标题:基于深度学习的软件定义网络(SDN)DDoS检测系统
来源:Security and Safety
时间:2016年11月
摘要
分布式拒绝服务(DDoS)是当今组织网络基础架构遇到的最普遍的攻击之一。 本文在软件定义网络(SDN)环境中提出了基于深度学习的多向量DDoS检测系统。 SDN提供了针对不同目标对网络设备进行编程的灵活性,并消除了对第三方供应商特定硬件的需求。 本文将系统实现为SDN控制器之上的网络应用程序,使用深度学习来减少从网络流量标头派生的大量功能。本文将系统应用于从不同场景收集的流量跟踪,从而根据不同的性能指标评估该系统。 在本文提出的系统中,可以观察到高准确度和低误报率的攻击检测。
针对什么问题?
- 分布式拒绝服务(DDoS)攻击通过不断地使其服务器充满不良流量而导致网络服务不可用。
- 近年来这些攻击的数量,规模和复杂性大幅增加。攻击的性质也变为多向量而不是单一类型的洪水。截至2016年中期,64%的攻击是多载体,包括TCP SYN泛滥和DNS / NTP放大组合在一起。
- 在SDN中,在控制平面上的攻击中,攻击者为流量安装规则指纹SDN,然后发送新的流量,导致交换机中的流量表丢失。这种现象迫使控制器处理每个数据包,并在交换机中安装新的流规则,消耗控制器和交换机上的系统资源。
目标
- 实时检测和缓解大规模、多类型的DDos攻击
解决方案
- 设计了一个基于深度学习的多向量DDoS检测系统。由三个模块组成:1.流量收集器和流安装程序(TCFI),2.特征提取器(FE),3.流量分类器(TC)。
- TCFI:通过从数据包中获取头字段,从而从流中提取特征。TCFI将这些提取的headers存储在一个列表中。
- TCFI会为合法流量安装流规则,避免交换机中出现流表饱和攻击。这里它设计的机制是:查找与流列表中的数据包流相对应的对称流,只为“对称流”安装流规则,这主要是基于“攻击者一般会欺骗他们的IP地址,以防止受害者对他们的响应”的假设。
- 对称流的判定:如果一个流的源IP地址和端口号与另一个流的目标IP和端口号相似,则对于TCP或UDP通信量,两个流是对称的,反之亦然。对于ICMP通信量,如果两个流是请求和响应类型,则它们是对称的。
- FE:从TCFI填充的分组列表中提取分组报头,并在设置的间隔内从它们中提取特征,并重置分组列表以存储下一时间段的报头。
- 本文列出了用于TCP(34)、UDP(20)和ICMP(14)的FE提取的68个特性。这个特征集是在详细的文献调查后得出的,并利用SAE对其进行了简化。
- FE计算经SAE简化后的特定特征值。
- TC:在FE计算出特征后,调用基于SAE的DL算法对流量进行分类。它将流量划分为八个类中的一个,其中包括一个正常的DDoS攻击类和七个基于TCP、UDP或ICMP矢量的DDoS攻击类。
所做贡献
- 在SDN环境中实现了基于深度学习的DDoS检测系统,用于多向量攻击检测。 该系统识别单个ddos攻击类,准确率为95.65%。 它将正常流量和攻击类别的流量分类,准确率为99.82%,与其他工作相比,误报率非常低。
存在问题
- 不足:由于TCFI和FE模块需要收集每个数据包提取功能,且在控制器上实现,这会影响/限制控制器在大型网络中的性能。
- 对应解决方案:1.混合。融入流量采样。2.将tcfi和fe模块部署在另一个主机上,将所有数据包发送给它而不是控制器进行特征处理,然后用提取的TC模块的特征周期性地通知控制器。为了减少特征提取的时间,还可以应用类似于分布式处理的思想。
深度学习在这里起的作用
- 简化特征集(无监督学习)
- 对流量进行分类
实验数据获取方式
- 正常流量的收集:使用连接到Internet的家庭无线网络(HWN)来进行正常的流量收集。HWN由大约12个网络设备组成,包括笔记本电脑和智能手机。这些设备在所有时间内都没有同时开启,从而导致了流量的自然变化。在一个linux系统中使用tcpdump和端口镜像在wi-fi接入点保存了72小时的hwn流量。前48小时流量为正常流量。最后24小时的流量与单独收集的攻击数据混合在一起,在正常流量的情况下被标记为攻击。所收集的流量包括来自网页浏览、音频/视频流、实时信息和在线游戏的数据。
- 攻击流量的收集:使用VMWare ESXi主机在隔离的实验室环境中创建了一个专用网络。专用网络由10个DDoS攻击者和5个受害主机组成。使用hping3来发起具有不同分组频率和大小的不同类型的DDoS攻击。一次启动一类攻击,以便在提取功能时可以轻松标记。