葛菁 赵巍 徐亦丹
摘 要:
针对基于OpenFlow协议的云平台的安全性问题,文中对分布式拒绝服务攻击(DDoS)检测方法进行研究。通过引入自组织映射(SOM)神经网络,利用网络流量的包数、速率、生存周期等特征建立网络的输入特征向量对SOM中的输入层、竞争层进行合理的优化,借助Stacheldraht工具生成网络的训练和测试数据。在实验时,文中基于不同的流量数据集训练得到3个不同的SOM网络。测试结果表明,所提方法对于恶意流量的识别准确率可达98%以上,误判率可降低至0.5%以下,证明了神经网络在DDoS攻击检测中的可用性。
关键词:
云平台; DDoS攻击监测; 自组织映射; 神经网络; 特征优化; 流量检测; 实验测试
中图分类号:
TN911.7?34; TP311 文献标识码:
A 文章编号:
1004?373X(2020)24?0102?03
Research on neural network based DDoS attack detection method for
big data cloud platform
GE Jing, ZHAO Wei, XU Yidan
(Institute of Technology, East China Jiaotong University, Nanchang 330100, China)
Abstract:
In allusion to the security problem of cloud platform based on OpenFlow protocol, the detection method of distributed denial of service (DDoS) attack is researched. With the introduction of the self?organizing mapping (SOM) neural network, the input eigenvector of the network is established by means of the characteristics of the number of packet, rate and life cycle of network traffic to reasonably optimize the input layer and competition layer in the SOM neural network. The training and testing data of the network are generated with Stacheldraht. In the experiment, three different SOM networks were obtained on the basis of training of different traffic datasets. The testing results show that the recognition accuracy of this method for malicious traffic can reach more than 98%, and its misjudgment rate can reduce less than 0.5%, which proves the availability of neural network in DDoS attack detection.
Keywords:
cloud platform; DDoS attack detection; SOM; neural network; characteristic optimization; traffic detection; experimental testing
随着计算机技术的发展,大数据时代的来临,对于数据中心云平台的建设需求越来越大。为了提升数据中心的建设效率,降低维护难度,数据中心通常基于集中式的控制器和标准化接口对各种网络设备进行管理。这种架构的云平台需要借助负载均衡设备平衡各路流量,协调网络服务。云平台的网络安全性是大数据平台建设中需要面对的严峻挑战之一。在上述的云平台架构中,会面临分布式拒绝服务(DDoS)、Web、操作系统等攻击。云平台被攻击会造成大量的隐私数据泄露,给用户带来严重的安全和财产损失[1?3]。
基于上述分析,本文对基于OpenFlow协议的数据云平台的安全性进行了研究。针对DDoS攻击,建立流量检測模型,可以及时发现恶意流量,从而保证云平台的安全。
1 算法研究
1.1 DDoS攻击
在大数据平台的数据中心,其网络结构大多基于SDN(Software Defined Network),运行OpenFlow协议。在该模式下,数据中心在逻辑上可以划分为3个部分:端口、流表和安全通道。各主机通过端口和数据中心连接,安全通道和流表运行在OpenFlow交换机上,OpenFlow交换机与控制器之间通过OpenFlow、TCP、SSL协议连接。图1给出了这种结构的拓扑图[4?7]。
正常状态下,数百万的用户共享了上述架构的数据设施。但当用户中存在恶意主机,其向基础数据设施不断发送恶意流量。此时,控制器与交换机间就会存在大量的数据流量交互,影响其他合法用户获取数据服务。这种攻击方式即为分布式拒绝服务攻击(DDos)[8?10]。
DDoS攻击会造成严重的后果:首先是数据中心计算资源的无端消耗,甚至耗尽计算资源;其次,恶意主机在攻击过程中会伪装成合法的Web流量,从而创建出更多代理,泄露数据隐私,给云平台的正常用户带来不良影响[11?13]。
为了防止DDoS攻击给云平台带来的伤害,需建立高效的DDoS攻击检测机制,因此需要快速的流量识别技术。本文使用自组织映射(Solf Orgnanizing Maps,SOM)神经网络进行异常流量的识别。
1.2 SOM神经网络
图2给出SOM神经网络结构,其包括输入层x和竞争层l。输入层的n维向量通过竞争层映射为一维向量,是一种无监督的机器学习算法,其基本步骤如下:
1) 初始化。给网络中所有的神经元随机赋予权值,维护输入层的神经元数和特征向量的维度相等。
2) 采样。随机选取入口模式空间内的样本,反馈至神经网络。
3) 依据欧几里得距离,利用l个神经元,筛选神经元:
[i(x)=argminjx-wj] (1)
式中,j=1,2,…,l。
4) 调整权重。利用竞争胜利的神经元调整其载体的权重:
[wj(t+1)=wj(t)+η(t)θj(t)(x(t)-Wj(t))] (2)
5) 迭代。重复步骤2)~步骤4),直至网络收敛。
SOM网络只对入口模式进行学习。根据训练样本对自身进行重新组织并调整权重,对于网络流量的识别具有较好的甄别能力。
2 算法仿真
2.1 仿真实验设计
为了识别恶意流量,需要合理选择流量的特征。本文选取的流量特征有:流的平均包数(Average of Packets per Flow,APF)、流的平均比特数(Average of Bytes per Flow,ABF)、流的平均生存周期(Averge of Duration per Flow,ADF)、流内的成对数据比例(Percentage of Pair?Flows,PPF)、流量增长速率(Growth of Single?Flows,GSF)及伪造端口增长率(Growth of Different Ports,GDP)。其中,GSF和GDP的定义如下:
[GSF=Num_Flows-(2×Num_PairFlows)interval GDP=Num_Portsinterval] (3)
SOM神经网络的相关参数设置如表1所示。
在训练数据的选择上,本文使用的网络流量组成如下:TCP流量占85%、UDP流量占10%、ICMP流量占5%。DDoS攻擊流量由Stacheldraht产生。攻击流量和正常流量组成相同,如表2所示。
在训练数据和测试数据的生成上,按照上述比例与表2的数量生成3组不同的Swich,3组数据可以训练3个不同的SOM网络。为了衡量测试、训练数据数量对模型性能的影响,Swich1与Swich2的数据量相等,Swich3的数量大于Swich1和Swich2。因此,训练数据与测试数据的比例为1∶10。
2.2 仿真结果
为了合理评价本文模型的效果,在网络性能指标的评价上,选取检测率(DR)和误报率(FR)作为网络指标。测试结果如表3所示。
从表3中可以看出,本文建立的DDoS攻击检测模型有较高的识别准确率。经过3次训练后得到的模型,其识别准确率均达到了98%以上;模型的误报率也较小,均在0.5%以下。此外,模型的训练效果会受到数据流大小的影响,在数据流的大小上有:Swich1=Swich2 3 结 语 针对OpenFlow协议下的云平台安全问题,本文设计了基于SOM神经网络的DDoS攻击检测方法。本文方法从恶意主机中发送的流量入手,通过识别恶意流量,阻止DDoS攻击的发生。实验结果表明,该方法具有较高的识别精度、极低的误判率以及较强的实用价值。 参考文献 [1] DANESHGADEH S, KEMMERICH T, AHMED T, et al. A hybrid approach to detect DDoS attacks using KOAD and the mahalanobis distance [C]// IEEE 17th International Symposium on Network Computing and Applications. Cheyenne: [2] PRASAD K M, REDDY A R M, RAO K V. Ensemble classifiers with drift detection (ECDD) in traffic flow streams to detect DDoS attacks [J]. Wireless personal communications, 2018, 39(5): [3] ZHANG J, LIU P, HE J B, et al. A hadoop based analysis and detection model for IP spoofing typed DDoS attack [C]// IEEE International Conference on Trust, Security and Privacy in Computing and Communications. Xian: [4] REZAEI H, MOTLAGHA N G, FARJAMIB Y, et al. A novel framework for DDoS detection in huge scale networks, thanks to QoS features [J]. IEEE transactions on communications, 2018, 33(7): [5] BREMLER?BARR A, BROSH E, SIDES M. DDoS attack on cloud auto?scaling mechanisms [C]// IEEE INFOCOM 2017?IEEE Conference on Computer Communications. Detroit: [6] LIU J, LAI Y X, ZHANG S X. FL?GUARD: [7] TORJESEN A, ISTFAN R, ROBLYER D. Ultrafast wavelength multiplexed broad bandwidth digital diffuse optical spectroscopy for in vivo extraction of tissue optical properties [J]. Journal of biomedical optics, 2017, 22(3): [8] AGRAWAL N, TAPASWI S. A lightweight approach to detect the low/high rate IP spoofed cloud DDoS attacks [C]// 7th International Symposium on Cloud and Service Computing. Frankfort: [9] REBECCHI F, BOITE J, NARDIN P A, et al. Traffic monitoring and DDoS detection using stateful SDN [C]// Conference on Network Softwarization. Harrisburg: [10] LIU Z Y, YANG X, ZHANG Y L, et al. Application?layer DDoS defense model based on Web behavior trajectory [J]. Journal of computer applications, 2017, 38(4): [11] YUAN X Y, LI C H, LI X L. Deep defense: [12] KO I, CHAMBERS D, BARRETT E. Feature dynamic deep learning approach for DDoS mitigation within the ISP domain [J]. International journal of information security, 2019(7): [13] LI C H, WU Y, YUAN X Y, et al. Detection and defense of DDoS attack?based on deep learning in OpenFlow?based SDN [J]. International journal of communication systems, 2018(11): 作者简介:葛 菁(1982—),女,江西南昌人,硕士,讲师,研究方向为计算机科学。
IEEE, 2018:
17?23.
1?21.
IEEE, 2017:
231?236.
633?642.
IEEE, 2017:
56?62.
a detection and defense system for DDoS attack in SDN [C]// International Conference on Computer Science. Beijing:
IEEE, 2017:
32?46.
36?49.
IEEE, 2017:
106?115.
IEEE, 2017:
421?426.
233?239.
identifying DDoS attack via deep learning [C]// 2017 IEEE International Conference on Smart Computing. Wuhan:
IEEE, 2017:
101?106.
79?83.
3497?3508.
