由于云计算具有虚拟化、高可扩展性、按需服务等特点,越来越多的企业和个人将应用迁移到云平台环境中运行。但是,云计算的规模大、易获取等特点,使云环境中的分布式拒绝服务(DDoS,distributed denial of service)攻击比传统网络中的攻击力度和范围都要大得多。由于传统网络中DDoS攻击检测算法的检测结果受攻击强度的影响,难以应对云环境中强度更大的攻击。文献提出的PacketScore方案利用贝叶斯公式计算数据分组的分数,分数比阈值低的是攻击分组,但由于阈值受攻击强度的影响,因此不适合在云环境中处理大流量的DDoS攻击。对此,研究人员提出一系列针对云环境中DDoS攻击的检测与防御方法。胡汉卿提出基于特征检测和行为检测相结合的方法来检测DDoS攻击。Dou等提出基于置信度过滤(CBF,confidence-basedfiltering)的方法,根据数据分组中的相关特性来判断分组的合法性。文献利用数据挖掘和神经网络技术训练数据分组来检测和过滤攻击分组。现有的云环境中检测和防御DDoS攻击的方法主要是针对大流量的洪泛式DDoS攻击,文献通过将数据分组分类的方式检测洪泛式DDoS攻击,并建立黑名单存储攻击分组源IP进行防御。文献提出了一种欺骗检测算法用于检测在云环境中对服务器发起的大流量DDoS攻击。但近年来云环境中逐渐流行的低速率式DDoS攻击能很好地躲避这些针对洪泛式DDoS攻击的检测方法。文献将基于熵的系统和异常检测系统相结合,以提供多级检测方法来检测云环境中隐蔽的小流量DDoS攻击,但是对云环境中大流量的DDoS攻击,这种方法速度较慢。尽管研究人员已经分别提出了一些检测云环境中洪泛式DDoS攻击和低速率式DDoS攻击的方法,却很少考虑到实际系统可能会遭受到不同攻击方式的情况。因此,研究在云环境中既能检测传统洪泛式DDoS攻击又能检测低速率式DDoS攻击的方法,给云用户提供安全的网络环境具有重要意义。
软件定义网络(SDN, software defined network)是一种新型的网络架构,其控制转发分离的特点简化了数据层面数据分组转发的过程;中心控制器连接了所有交换机,能实时获取网络拓扑结构及状态信息;因此,使用 SDN 架构有利于在云环境中快速检测 DDoS 攻击并做出迅速反应。研究人员利用SDN的特性提出了一些云环境中DDoS攻击的检测与防御方法,结果表明,使用 SDN 架构的方法比其他未使用的检测和防御速度更快。Wang 等提出基于 SDN 架构的 DaMask 系统,通过不断更新数据分组类型库来检测攻击分组,然后通过 SDN 控制器下发流表拦截攻击分组,但在新的攻击分组类型较多时,DaMask 系统需要不断更新数据分组类型库,会影响检测速度。文献在 SDN 架构上,结合正常流量学习、外部黑名单和弹性容量调用来实现自动化地防御洪泛式 DDoS 攻击,但却难以检测到小流量的低速率式 DDoS 攻击。
因此,本文提出一种云环境中基于SDN架构,并使用改进的CBF方法来检测与防御DDoS攻击的方案——SDCC。与文献解决洪泛式DDoS攻击和文献解决低速率式DDoS攻击这些只能检测单一类型DDoS攻击的方案相比,SDCC综合使用链路带宽检测和数据流检测这2种方式,能准确检测出不同类型的DDoS攻击,其中,基于链路带宽的检测方式通过SDN架构实时获取交换机各端口的流量信息,主要用来检测洪泛式DDoS攻击;基于数据流的检测方式根据系统的不同状态抽取不同比例数据分组,分析其中非正常分组比例的方式来实时检测系统中的数据流状态,主要用于检测低速率式DDoS攻击。在文献提出的CBF方案中,SDCC不仅简化了profile表的更新,实现了实时检测系统状态,还通过增加攻击流特征库,大幅降低了控制器的检测压力。在系统遭受DDoS攻击时,若不是攻击流特征库中的攻击分组类型,则使用改进的CBF方法计算数据分组的CBF分数来判断攻击分组,并将已识别的攻击分组存入攻击流特征库中,再利用SDN控制器下发流表拦截攻击分组以保护系统免受攻击。无论攻击源来自云外还是云内,SDCC都能在误判率较低的情况下及时检测出云环境中不同类型的DDoS攻击,且在提高了DDoS攻击检测效率的同时有效降低了控制器的计算开销。
一、相关工作
本节首先介绍了云环境中 DDoS 攻击与传统网络环境中 DDoS 攻击的差异以及逐渐流行的低速率式 DDoS 攻击;然后介绍了 SDN 技术的发展和特点;最后介绍了 CBF 方法检测 DDoS 攻击的流程。
1.1 云环境中 DDoS 攻击
DDoS攻击是通过控制分布式的多台服务器和PC机组成联合攻击平台,向一个或多个目标发送大量恶意流量,使网络带宽或系统资源被消耗殆尽,造成正常请求遭到拒绝。在传统网络中,短时间内感染足够数量的机器仍然相当复杂,但在按需服务的云环境中,却能快速创建一个强大的僵尸网络,因此云环境中DDoS攻击的强度也会比传统网络中大得多。对于云环境中更大流量的DDoS攻击,传统的检测方法难以做出快速反应。所以,在云环境中检测这类大流量的洪泛式DDoS攻击的关键就是检测算法能快速检测出攻击分组,尽量减少攻击分组对系统资源的过多消耗。
………………
云环境中基于 SDN 的 DDoS 攻击检测与防御方案 PDF 完整版下载:
https://www.aliyundrive.com/s/GRYdSTxeCiP 提取码: 73mf