鉴于SDN控制层面临单点失效的威胁,为保证SDN网络在DDoS攻击下合法用户的流请求被及时处理,保证SDN网络的可用性,本研究提出SDN网络中DDoS攻击抑制模型,如 Fig.1 !![The inhibition model of DDoS attacks in SDN networks]">图1.

Fig.1 !![The inhibition model of DDoS attacks in SDN networks]">

图1 SDN网络中DDoS攻击抑制模型
Fig.1 !![The inhibition model of DDoS attacks in SDN networks]

该模型主要是在应用层上扩展应用模块,包括DDoS检测模块和MSlot(multiple timeslot)算法模块.DDoS检测模块针对Mousavi等^[9]基于单个流特征指标的不足,提出采用多流量指标.模糊综合评判决策模型可综合多个流特征指标实时检测DDoS的发生,检测结果通过一个DDoS综合评判分定量描述DDoS的攻击程度^[11].MSlot算法模块针对Lim等^[10]指出多个逻辑队列轮询机制MultiQ的不足,提出基于时间片分配策略的多队列SDN控制器调度算法.根据检测报告采取相应的时间片分配策略,确保SDN网络在DDoS攻击下可以有效保护合法用户的通信^[12]. Fig.1 !![The inhibition model of DDoS attacks in SDN networks]">图1为SDN网络场景和模型图,当各个OpenFlow交换机下的合法用户群向服务器发起访问,同时攻击主机群也向服务器发起DDoS攻击时,大量的恶意流请求在OpenFlow交换机上生成并发送到SDN控制器上,引起SDN控制器的DDoS攻击,造成合法用户的流请求不能被及时处理.为此,本研究提出SDN网络中DDoS抑制模型.

DDoS检测模块使用基于模糊综合评判模型检测算法,检测结果采用DDoS综合分数来定量的描述DDoS攻击,见 Fig.2 The implementation of DDoS detection moduleSDN">图2.

Fig.2 The implementation of DDoS detection moduleSDN">

图2 DDoS检测模块实现过程
Fig.2 The implementation of DDoS detection moduleSDN

控制器的全局网络视图有利于实现对网络中各种流特征统计( Fig.2 The implementation of DDoS detection moduleSDN">图2).首先,获取评判因素U中的元素.因为当DDoS攻击发生时,SDN网络的流请求速率会更大,目的IP地址将会更汇聚,源端IP地址也会更发散.同时,考虑到针对服务器上某个应用的DDoS攻击,目的TCP端口也会更汇聚.因此,本研究通过提取DDoS攻击发生时代表性的流特征指标FRR、DstPort、DstIP和SrcIP进行统计.然后,使用熵值对大部分因素进行量化.最后,采用模糊综合评判决策模型求得DDoS综合评判分数,定量描述DDoS的发生,把检测结果发送给MSlot算法模块进行后续处理.

数学模型.模糊综合评判决策模型的数学模型由评价因素U、 评价因素值V和单因素评判矩阵 R组成. r_ij为方案在第i个评价因素处于第j级评语的隶属度.在算法检测期间,第j级评语的隶属度代表着第j个检测周期T对评价因素i测量的隶属度值 R=(r_ij)_n×m的综合评判.当对U中多个评价因素进行综合评价时,还要对各个评价因素分别加权,组成权重矩阵 W. 采用加权平均型 M(·, +)可求得综合评判矩阵 B.

检测算法.选择评价因素U={FRR, DstPort, DstIP, SrcIP}来指示DDoS攻击的发生,并用熵值量化某些评价因素指标(熵值是用来对不确定性的一种度量).流请求速率(flow request rate, FRR)指每秒传向SDN控制器的流请求个数; DstPort为描述目的TCP端口汇聚度的熵值; DstIP为描述目的IP地址汇聚度的熵值; SrcIP为描述源端IP地址发散度的熵值.

为对DDoS攻击作出综合评判,需设置权重矩阵 W=[w₁, w₂, w₃, w₄],∑⁴_i=1w_i=1. 其中, w₁、 w₂、w₃和w₄分别为FRR、DstPort、DstIP和SrcIP的权重值,可根据需要设定.

构建单因素评判矩阵 R=(r_ij)_4×k可由U和V的关系构成,采用隶属度函数描述.其中, k为周期的序号, k=1, 2,3,…. U中的每个因素都有对应的隶属度函数.

FRR的隶属度函数为

μ(frr)={1, frr≥FRR₃

(frr-FRR₁)/(FRR₃-FRR₁), FRR₃>frr>FRR₁

0, frr≤FRR₁

DstPort的隶属度函数为

μ(edp)={1, edp≤EDP₃

(EDP₁-edp)/(EDP₁-EDP₃), EDP₃<edp<EDP₁

0, edp≥EDP₁

DstIP的隶属度函数为

μ(ed)={1, ed≤ED₃

(ED₁-ed)/(ED₁-ED₃), ED₃<ed<ED₁

0, ed≥ED₁

SrcIP的隶属度函数为

μ(es)={1, es≥ES₃

(es-ES₁)/(ES₃-ES₁), ES₃>es>ES₁

0, es≤ES₁

其中,frr、edp、ed和es分别为实时获取的FRR、DstPort、DstIP和SrcIP值; FRR₁、FRR₃、EDP₁、EDP₃、ED₁、ED₃和ES₁、ES₃是通过模拟1级DDoS攻击(轻微)和3级DDoS攻击(严重,根据网络可承受攻击程度而定,在DDoS检测模块测试与分析中将具体说明如何模拟不同等级DDoS攻击)的训练参数.

一旦隶属度函数建立好, R=[μ(frr_k)μ(edp_k)μ(ed_k)μ(es_k)]^T, k为周期序号, k=1, 2, 3,….

最后,使用加权平均型 M(·, +)可求得综合评判矩阵 B.

B=W·R=w₁μ(frr_k)+w₂μ(edp_k)+

w₃μ(ed_k)+w₄μ(es_k), k=1,2,3, …

DDoS检测模块采用基于模糊综合评判模型检测算法作为运行在SDN控制器之上的轻型模块,应用实时统计进入SDN控制器的流请求数据包信息,包括FRR、DstPort、DstIP和SrcIP并在每个滑动窗口(由几个周期T组成)内计算它们的熵值.使用模糊综合评判模型计算得到每个周期T的综合评判分数S(S∈[0,1]), 其代表DDoS攻击的强度,1表示SDN控制器或被攻击的服务器被DDoS攻击达到不能提供正常服务的严重程度.通过该算法,DDoS检测模块可实时通过多因素综合评判SDN网络中各个交换机受到DDoS攻击的程度.

若简单的把各交换机受到DDoS攻击程度从低到高划分为3个等级,则可通过对描述DDoS攻击程度的DDoS综合评判分数S作如下映射:

AttackLevel={ 1, 0.30≤S<0.50

2, 0.50≤S<0.75

3, 0.75≤S≤1.00

通过映射可求得交换机受到的DDoS攻击等级,当S<0.30时,可认为攻击的效果很微弱,不需启动应对策略.检测程序可根据服务器抵抗DDoS攻击的能力或使用更加智能的算法进行合理设置.

MSlot算法模块根据DDoS检测模块的检测结果,采取时间片分配策略,确保SDN网络在DDoS攻击下可以有效保护合法用户的通信.MSlot算法模块具体实现过程见 Fig.3 The implementation of MSlot algorithm module">图3.

Fig.3 The implementation of MSlot algorithm module">

图3 MSlot算法模块实现过程
Fig.3 The implementation of MSlot algorithm module

由 Fig.3 The implementation of MSlot algorithm module">图3可见,MSlot算法模块修改了控制器原始先进先出的物理队列模式.逻辑上划分出与多个交换机相对应的逻辑队列,通过轮询或时间片分配策略处理各个交换机逻辑队列中的流请求.修改后分为2种工作状态.当网络处于正常状态,采用轮询策略; 当网络处于DDoS攻击状态,采用时间片分配策略处理.具体处于哪种状态需根据DDoS检测模块的检测结果来决策.

1.3.1 MSlot处理过程

正常情况下,MSlot算法模块将使用轮询策略处理各个OpenFlow交换机发起的流请求.在DDoS检测模块检测到存在交换机被DDoS攻击,MSlot算法模块才会启动时间片分配策略对受不同攻击程度的交换机的逻辑队列区别处理.

模块采用符号及描述如 Table 1 Symbolic representation">表1,MSlot算法模块主要伪代码见 Fig.4 Pseudo code of MSlot algorithm">图4.可见,当DDoS检测模块检测到DDoS攻击发生时,MSlot算法模块初始化算法1( Fig.5 Time slice allocation strategy">图5)的参数Deg_SA和Times_SJ并启用时间片分配策略.否则,正常情况下,pollingTag轮询到哪个交换机的逻辑队列就把控制器的处理能力μ(单位为reqs/s,代表每秒的请求数)分配给该逻辑队列.

Table 1 Symbolic representation">

表1 符号表示
Table 1 Symbolic representation

Fig.4 Pseudo code of MSlot algorithm">

图4 MSlot算法伪代码
Fig.4 Pseudo code of MSlot algorithm

1.3.2 时间片分配策略

当DDoS发生时,时间片分配策略可以有效保护合法交换机的流请求并得到及时处理,从而保证合法用户群的通信质量.该策略的逻辑处理过程见 Fig.5 Time slice allocation strategy">图5、部分符号描述及描述见 Table 1 Symbolic representation">表1.策略根据交换机被攻击的等级来决定是否把本次轮询到的机会放弃.如当N=3, 交换机2被检测到攻击等级为2时,则SA₂和SJ₂的初始值都为2. 2=2, N=3时,MSlot的处理过程
Table 2 The processing of MSlot when SA₂=2, N=3">表2给出此情况下MSlot的处理过程,表格从上而下每条记录代表着控制器轮询指标pollingTag的变化,可见在控制器每次轮询中,每次轮询到交换机2时,只有当SJ₂=SA₂时交换机2的逻辑队列才会被处理,出现其他情况将会跳过本次轮询,每3次轮询中交换机2逻辑队列才被处理1次.然而这符合本研究的核心思想,预留更多控制器的处理能力给那些未受攻击交换机的逻辑队列,从而达到在DDoS攻击时保护合法用户流请求可以被及时处理的效果.

Fig.5 Time slice allocation strategy">

图5 时间片分配策略
Fig.5 Time slice allocation strategy

Table 2 The processing of MSlot when SA2=2, N=3">

2=2, N=3时,MSlot的处理过程
Table 2 The processing of MSlot when SA₂=2, N=3">表2 当SA2=2, N=3时,MSlot的处理过程
Table 2 The processing of MSlot when SA2=2, N=3

检测模块采用多个流特征指标综合判断,在检测效率上比其他单因素检测算法要高.为体现这一点,本研究通过与基于目的IP地址熵值^[9]这种单因素检测算法进行仿真对比.

Fig.6 Different attack intensity divided according to the entropy">

图6 根据熵值划分不同DDoS攻击强度
Fig.6 Different attack intensity divided according to the entropy

检测算法初始化U中各个评价因素对应隶属度函数参数是通过模拟1级DDoS攻击和3级DDoS攻击来获得.仿真对比使用文献[9]中基于目的IP地址熵值对不同DDoS攻击等级作初始化划分( Fig.6 Different attack intensity divided according to the entropy">图6).

为了初始化算法的参数,本研究根据网络目的IP地址熵值的范围初步划分出不同的DDoS攻击等级,从而模拟出不同强度的DDoS攻击.中部黑色加粗分隔线代表baseEntropy即无任何DDoS攻击时平均熵值,仿真中n取15, d为在无DDoS攻击下, n个检测周期T中目的IP地址熵值的最大偏差,公式为max(|Entropy_i-baseEntropy|), i=1, 2, …, 15.任何攻击流导致网络目的IP地址熵值落在“正常熵值范围”标记的区域都视为正常网络流.相应地,任何导致网络目的IP地址熵值落在对应等级DDoS攻击熵值范围标记区域将会对应被视为1级、2级或3级DDoS攻击强度.值得注意的是,一般针对某个目标服务器进行DDoS攻击会使熵值小于正常熵值,但若对整个SDN网络中所有主机发起DDoS攻击(这种情况一般是针对SDN控制器发起的攻击),将使熵值高于正常熵值.通过模拟以上3种等级DDoS攻击,可初始化算法的检测参数( Table 3 The initial parameters for detection method">表3)并进行后续具体DDoS攻击的检测.

Table 3 The initial parameters for detection method">

表3 检测算法的初始化参数
Table 3 The initial parameters for detection method

单因素DDoS检测方法根据DDoS发生导致目的IP地址熵值变小的特征,然而有些DDoS攻击发生并不会使熵值小于阈值,相反会使熵值变大.如通过模拟伪造源端对整个SDN网络发起的TCP泛洪攻击.对SDN网络发起不同程度的该类攻击(15%、25%和50%速率),15%表示攻击包发送速率与正常包发送速率的比值为0.15.仿真中主要参数设置(如N=3, T=10 s)为:当10个正常周期T过后,开始发送15%速率的DDoS攻击,目标是整个网络60台主机,攻击持续15T. 攻击结束后经10T再发送25%速率攻击攻击持续15T, 攻击结束再经10T后发起50%速率DDoS攻击.两种检测效率对比如 Fig.7 Detection efficiency comparison">图7.

Fig.7 Detection efficiency comparison">

图7 检测效率对比图
Fig.7 Detection efficiency comparison

从 Fig.7 Detection efficiency comparison">图7可见,整个SDN网络的DDoS攻击绕过了基于目的IP地址熵值的DDoS检测,然而本研究提出的检测算法由于同时考虑到FRR、DstPort和SrcIP等流特征指标进行综合判断,所以还是可以检测出不同程度的DDoS综合评判分数.

在应对DDoS攻击策略上,通过与文献[10]提出的MultiQ和SingleQ进行对比.比较TCP连接失败率R_f和成功TCP连接延迟D_s这两个指标^[10].

如 Fig.1 !![The inhibition model of DDoS attacks in SDN networks]">图1所示,设N=3, T=10, μ=30 reqs/s, γ=50 reqs/s, Tslot=1 s, Q_max=150 reqs, L_qmax=50 reqs,DDoS攻击者群体模拟发送α=4γ强度伪造源端的TCP泛洪攻击服务器且攻击流模拟持久,同时每个交换机下的合法用户群体模拟以μ/6的速率发出500个与服务器建立TCP连接的TCP SYN请求.测量当攻击强度α=4γ时,不同合法用户群体的R_f和D_s. 通过发起不同强度的DDoS攻击(α=4γ、 6γ和8γ), 得到不同DDoS攻击强度下,3种策略的R_f和D_s这2个指标的对比结果如 s(柱状)和R_f(线条)对比
Fig.8 D_s(bars)and R_f(lines)under different DDoS attack intensities">图8.

Fig.8 Ds(bars)and Rf(lines)under different DDoS attack intensities">

s(柱状)和R_f(线条)对比
Fig.8 D_s(bars)and R_f(lines)under different DDoS attack intensities">图8 当不同DDoS攻击强度时Ds(柱状)和Rf(线条)对比
Fig.8 Ds(bars)and Rf(lines)under different DDoS attack intensities

从 s(柱状)和R_f(线条)对比
Fig.8 D_s(bars)and R_f(lines)under different DDoS attack intensities">图8可见,当DDoS攻击时,在SingleQ策略下,各交换机(S₁, S₂和S₃)下的合法用户群体的TCP连接失败率R_f随着DDoS攻击强度的增加呈同步上升趋势,说明SingleQ并不能在DDoS攻击时保护间接受攻击影响的内部交换机S₂和S₃. MultiQ和MSlot策略比SingleQ策略的保护效果更好.如这两种策略在α=6γ, S₂和S₃下的合法用户群的R_f和D_s都小于S₁下合法用户群的R_f和D_s, 说明它们能更好地保护内部交换机S₂和S₃下合法用户群的通信质量,且效果随着DDoS攻击强度的增加更明显,如α=8γ. 由 s(柱状)和R_f(线条)对比
Fig.8 D_s(bars)and R_f(lines)under different DDoS attack intensities">图8还可见,不管是R_f还是D_s, 本研究提出的MSlot对S₂和S₃下合法用户的保护效果比MultiQ好,且这种效果差异会随DDoS攻击强度的增加更明显.