2020年江南大學(xué)信息安全概論大作業(yè)答案本文旨在探討基于軟件定義網(wǎng)絡(luò)（SDN）的DDoS攻擊檢測方法及其應(yīng)用。隨著物聯(lián)網(wǎng)設(shè)備的普及和互聯(lián)網(wǎng)的快速發(fā)展，DDoS攻擊已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的一大難題。傳統(tǒng)的DDoS攻擊檢測方法無法滿足現(xiàn)代網(wǎng)絡(luò)的需求，因此提出了基于SDN的DDoS攻擊檢測方法，該方法可以更加準(zhǔn)確地檢測DDoS攻擊流量，并且可以實現(xiàn)靈活的網(wǎng)絡(luò)管理和控制。2.基于SDN的DDoS攻擊檢測方法基于SDN的DDoS攻擊檢測方法主要包括以下幾個步驟：首先，將網(wǎng)絡(luò)拓撲結(jié)構(gòu)抽象為一個邏輯控制平面和一個物理數(shù)據(jù)平面；其次，通過SDN控制器對網(wǎng)絡(luò)流量進行監(jiān)測和控制；最后，利用機器學(xué)習(xí)算法對流量進行分類和分析，從而實現(xiàn)DDoS攻擊的檢測和防御。3.基于SDN的DDoS攻擊檢測方法的應(yīng)用基于SDN的DDoS攻擊檢測方法已經(jīng)得到了廣泛的應(yīng)用。例如，可以將該方法應(yīng)用于云計算環(huán)境中，通過SDN控制器對虛擬機進行管理和控制，提高了網(wǎng)絡(luò)的安全性和可靠性。此外，該方法還可以應(yīng)用于大規(guī)模分布式系統(tǒng)中，例如數(shù)據(jù)中心和電信網(wǎng)絡(luò)，有效地防止了DDoS攻擊的發(fā)生。4.總結(jié)基于SDN的DDoS攻擊檢測方法是一種有效的網(wǎng)絡(luò)安全技術(shù)，可以更加準(zhǔn)確地檢測DDoS攻擊流量，并且可以實現(xiàn)靈活的網(wǎng)絡(luò)管理和控制。在未來的網(wǎng)絡(luò)安全領(lǐng)域中，該方法將會得到更加廣泛的應(yīng)用和發(fā)展。分布式拒絕服務(wù)攻擊(DistributedDenialofService，DoS)是一種通過控制多臺主機向受害主機發(fā)送大量數(shù)據(jù)包，使得受害機的資源被過度消耗而無法正常提供服務(wù)的攻擊方式。這種攻擊方式簡單、破壞性強且難以檢測和防御。傳統(tǒng)的攻擊檢測系統(tǒng)根據(jù)標(biāo)志位、端口號等特征或者比較標(biāo)準(zhǔn)庫的參數(shù)來檢測DDoS攻擊，而這種方式對于攻擊手段多樣的DDoS攻擊沒有很好的效果，且具有很大的局限性。因此，引入機器學(xué)習(xí)算法可以使得系統(tǒng)自身具有自適應(yīng)攻擊環(huán)境的功能，并通過訓(xùn)練不斷提高系統(tǒng)的檢測性能。文獻[3]根據(jù)DDoS攻擊流量大、多對一映射的特點，定義了流特征條件熵(TrafficFeatureConditionalEntropy，TFCE)的概念，提出基于TFCE的DDoS檢測方法，檢測率高、誤報率低。隨著新型網(wǎng)絡(luò)體系架構(gòu)的研究日趨增加，有關(guān)安全技術(shù)方面的研究也不斷出現(xiàn)。2008年，由McKeown教授擔(dān)任負責(zé)人的項目組提出了采用控制和轉(zhuǎn)發(fā)分離架構(gòu)的Openflow技術(shù)。隨著該技術(shù)的推廣和研究，軟件定義網(wǎng)絡(luò)(SoftwareDefinedNetwork，SDN)被提出，其最初主要是作為一個學(xué)術(shù)研究方向，但近年來被越來越多地部署在產(chǎn)品系統(tǒng)中。隨著SDN在網(wǎng)絡(luò)領(lǐng)域的廣泛應(yīng)用，研究人員對其網(wǎng)絡(luò)安全方面也進行了大量研究。文獻[10]通過提取流統(tǒng)計信息中與DDoS攻擊相關(guān)的六元組特征，采用人工神經(jīng)網(wǎng)絡(luò)方法識別DDoS攻擊。文獻[11]研究了多種傳統(tǒng)的流量異常檢測方法在SDN中的應(yīng)用。文獻[12]使用sFlow和OpenFlow協(xié)議收集流量信息，減輕了對控制器CPU的消耗。文獻[13]提出一種基于SDN的在線流量異常檢測方法(OpenTAD)，即組合整個網(wǎng)絡(luò)的流量矩陣和樣本熵矩陣，并采用主成分分析方法檢測異常流量。相比于傳統(tǒng)網(wǎng)絡(luò)，基于軟件定義網(wǎng)絡(luò)的安全檢測方法通過獲取全網(wǎng)信息進行攻擊檢測和緩解，其實現(xiàn)和處理方式更簡單有效，但是以上方法采用的流量特征數(shù)據(jù)較為單一，僅針對某種或某些特定的異常數(shù)據(jù)。基于以上分析，本文提出了一種基于軟件定義網(wǎng)絡(luò)的DDoS檢測方法，即流表特征檢測方法。該方法通過分析DDoS攻擊特點和OpenFlow技術(shù)，構(gòu)造全局網(wǎng)絡(luò)流表特征值，使其更加全面高效地反映攻擊行為，并利用支持向量機(SupportVectorMachine，SVM)分類算法檢測攻擊。據(jù)進行分類，可以采用機器學(xué)習(xí)算法進行DDoS攻擊檢測。分類算法的目的是將數(shù)據(jù)集分為不同的類別，從而識別出攻擊流量。其中，常用的分類算法包括支持向量機(SVM)、決策樹、隨機森林等。對于SVM算法，其基本思想是將數(shù)據(jù)映射到高維空間，使得數(shù)據(jù)在該空間中變得線性可分。通過選擇最優(yōu)的超平面將不同類別的數(shù)據(jù)分離開來，從而實現(xiàn)分類。在DDoS攻擊檢測中，可以將流表項的特征作為輸入數(shù)據(jù)，通過SVM算法進行分類，判斷是否為攻擊流量。決策樹算法是一種基于樹形結(jié)構(gòu)的分類方法。通過對輸入數(shù)據(jù)進行逐層判斷，最終得到分類結(jié)果。在DDoS攻擊檢測中，可以將流表項的特征作為輸入數(shù)據(jù)，構(gòu)建決策樹模型，判斷是否為攻擊流量。隨機森林算法是一種基于集成學(xué)習(xí)的分類方法。其基本思想是通過構(gòu)建多個決策樹，從而提高分類準(zhǔn)確率。在DDoS攻擊檢測中，可以將流表項的特征作為輸入數(shù)據(jù)，通過隨機森林算法進行分類，判斷是否為攻擊流量。綜上所述，機器學(xué)習(xí)算法可以有效地對DDoS攻擊進行檢測，提高網(wǎng)絡(luò)安全性。本文通過分類網(wǎng)絡(luò)狀態(tài)為正常或異常來進行攻擊檢測。基本處理流程包括選取網(wǎng)絡(luò)流特征并賦予標(biāo)記{正常，異常}，選擇適當(dāng)?shù)臋C器學(xué)習(xí)算法構(gòu)建檢測模型，并使用模型對未標(biāo)記的特征樣本進行分類。持向量機是一種建立在統(tǒng)計學(xué)習(xí)理論基礎(chǔ)上的學(xué)習(xí)方法，通過將非線性可分的樣本集映射到高維特征空間中使其線性可分，并在此高維特征空間中求最優(yōu)分類面。利用核函數(shù)可以有效解決高維映射引起的維數(shù)災(zāi)難問題，增強處理高維小樣本數(shù)據(jù)的能力。在DDoS攻擊檢測方面，SVM具有較好的正確率。本文提出的DDoS攻擊檢測方法使用有監(jiān)督的學(xué)習(xí)算法，對交換機中的流表項集合進行采樣，并計算每次采樣的流表項特征值，獲得樣本集X，其中Ji=[AP，AB，F(xiàn)R，H(s巾)，日(印D玎)，H(aport)]表示流表項特征值序列，Y為X對應(yīng)的類別標(biāo)記：“0”代表正常狀態(tài)，“1”代表攻擊狀態(tài)，K表示樣本數(shù)目。最后，利用SVM分類器對樣本集進行訓(xùn)練以獲得其參數(shù)，并應(yīng)用訓(xùn)練后的SVM對待測樣本進行分類檢測分析。本文使用DARPA99數(shù)據(jù)集作為產(chǎn)生正常流的依據(jù)，CAIDADDoS2007數(shù)據(jù)集作為產(chǎn)生異常流的依據(jù)，并以DARPA99數(shù)據(jù)集中的back攻擊作為異常樣本。DARPA99數(shù)據(jù)集記錄了9周的網(wǎng)絡(luò)流量，同時每條數(shù)據(jù)完整記錄了數(shù)據(jù)包的詳細信息，用于評估入侵檢測系統(tǒng)。CAIDADDoS2007包含大約1小時的DDoS攻擊流量數(shù)據(jù)，其中，流量數(shù)據(jù)只包含到目的主機的攻擊流量和目的主機的響應(yīng)流量，被存儲為pcap格式。通過SVM分類器學(xué)習(xí)和測試實驗數(shù)據(jù)集，所用的分析工具是LIBSVM軟件包。將獲取的異常數(shù)據(jù)集與正常數(shù)據(jù)集轉(zhuǎn)換為流表項集合，并對流表項集合進行周期取樣，通過調(diào)整兩者的采樣周期使得兩者以不同的比重混合，樣本數(shù)量分布如表1所示。本文介紹了一種基于軟件定義網(wǎng)絡(luò)的DDoS攻擊檢測方法。首先，選擇hostl作為受害主機，并考慮其相關(guān)的流表項特征值。在控制臺每隔20秒輸出對hostl的攻擊檢測結(jié)果。根據(jù)前期訓(xùn)練完成的分類模型作為實驗?zāi)Ｐ?，先注入正常流，再注入對hostl的攻擊流。當(dāng)多臺主機同時向hostl發(fā)起攻擊時，控制平臺輸出“10.1.1.10isattacked”，表明hostl現(xiàn)在為受害主機。本文提出的攻擊檢測方法可以有效地在軟件定義網(wǎng)絡(luò)中實現(xiàn)并運行，并在發(fā)現(xiàn)攻擊時輸出受害主機的IP地址，便于后續(xù)管理人員采取措施以緩解攻擊。針對此問題，本文設(shè)計了一種基于軟件定義網(wǎng)絡(luò)的DDoS攻擊檢測方法。該方法通過分析DDoS攻擊的特性和