標題：基於深度學習的軟體定義網路（SDN）DDoS檢測系統
來源：Security and Safety
時間：2016年11月

摘要

分散式拒絕服務（DDoS）是當今組織網路基礎架構遇到的最普遍的攻擊之一。 本文在軟體定義網路（SDN）環境中提出了基於深度學習的多向量DDoS檢測系統。 SDN提供了針對不同目標對網路裝置進行程式設計的靈活性，並消除了對第三方供應商特定硬體的需求。 本文將系統實現為SDN控制器之上的網路應用程式，使用深度學習來減少從網路流量標頭派生的大量功能。本文將系統應用於從不同場景收集的流量跟蹤，從而根據不同的效能指標評估該系統。 在本文提出的系統中，可以觀察到高準確度和低誤報率的攻擊檢測。

針對什麼問題？

• 分散式拒絕服務（DDoS）攻擊通過不斷地使其伺服器充滿不良流量而導致網路服務不可用。
• 近年來這些攻擊的數量，規模和複雜性大幅增加。攻擊的性質也變為多向量而不是單一型別的洪水。截至2016年中期，64％的攻擊是多載體，包括TCP SYN氾濫和DNS / NTP放大組合在一起。
• 在SDN中，在控制平面上的攻擊中，攻擊者為流量安裝規則指紋SDN，然後傳送新的流量，導致交換機中的流量表丟失。這種現象迫使控制器處理每個資料包，並在交換機中安裝新的流規則，消耗控制器和交換機上的系統資源。

目標

• 實時檢測和緩解大規模、多型別的DDos攻擊

解決方案

• 設計了一個基於深度學習的多向量DDoS檢測系統。由三個模組組成：1.流量收集器和流安裝程式(TCFI)，2.特徵提取器(FE)，3.流量分類器(TC)。
• TCFI：通過從資料包中獲取頭欄位，從而從流中提取特徵。TCFI將這些提取的headers儲存在一個列表中。
  • TCFI會為合法流量安裝流規則，避免交換機中出現流表飽和攻擊。這裡它設計的機制是：查詢與流列表中的資料包流相對應的對稱流，只為“對稱流”安裝流規則，這主要是基於“攻擊者一般會欺騙他們的IP地址，以防止受害者對他們的響應”的假設。
  • 對稱流的判定：如果一個流的源IP地址和埠號與另一個流的目標IP和埠號相似，則對於TCP或UDP通訊量，兩個流是對稱的，反之亦然。對於ICMP通訊量，如果兩個流是請求和響應型別，則它們是對稱的。
• FE：從TCFI填充的分組列表中提取分組報頭，並在設定的間隔內從它們中提取特徵，並重置分組列表以儲存下一時間段的報頭。
  • 本文列出了用於TCP(34)、UDP(20)和ICMP(14)的FE提取的68個特性。這個特徵集是在詳細的文獻調查後得出的，並利用SAE對其進行了簡化。
  • FE計算經SAE簡化後的特定特徵值。
• TC：在FE計算出特徵後，呼叫基於SAE的DL演算法對流量進行分類。它將流量劃分為八個類中的一個，其中包括一個正常的DDoS攻擊類和七個基於TCP、UDP或ICMP向量的DDoS攻擊類。

所做貢獻

• 在SDN環境中實現了基於深度學習的DDoS檢測系統，用於多向量攻擊檢測。 該系統識別單個ddos攻擊類，準確率為95.65％。 它將正常流量和攻擊類別的流量分類，準確率為99.82％，與其他工作相比，誤報率非常低。

存在問題

• 不足：由於TCFI和FE模組需要收集每個資料包提取功能，且在控制器上實現，這會影響/限制控制器在大型網路中的效能。
• 對應解決方案：1.混合。融入流量取樣。2.將tcfi和fe模組部署在另一個主機上，將所有資料包傳送給它而不是控制器進行特徵處理，然後用提取的TC模組的特徵週期性地通知控制器。為了減少特徵提取的時間，還可以應用類似於分散式處理的思想。

深度學習在這裡起的作用

• 簡化特徵集（無監督學習）
• 對流量進行分類

實驗資料獲取方式

• 正常流量的收集：使用連線到Internet的家庭無線網路（HWN）來進行正常的流量收集。HWN由大約12個網路裝置組成，包括膝上型電腦和智慧手機。這些裝置在所有時間內都沒有同時開啟，從而導致了流量的自然變化。在一個linux系統中使用tcpdump和埠映象在wi-fi接入點儲存了72小時的hwn流量。前48小時流量為正常流量。最後24小時的流量與單獨收集的攻擊資料混合在一起，在正常流量的情況下被標記為攻擊。所收集的流量包括來自網頁瀏覽、音訊/視訊流、實時資訊和線上遊戲的資料。
• 攻擊流量的收集：使用VMWare ESXi主機在隔離的實驗室環境中建立了一個專用網路。專用網路由10個DDoS攻擊者和5個受害主機組成。使用hping3來發起具有不同分組頻率和大小的不同型別的DDoS攻擊。一次啟動一類攻擊，以便在提取功能時可以輕鬆標記。