1、江南大学现代远程教育考试大作业考试科目:信息安全概论一、大作业题目(内容)题目:基于机器学习的IoT网络分布式拒绝服务(DDoS)攻击检测软件(或系统)目的:目前越来越多的物联网(IoT)设备连接到互联网,但其中许多设备并不安全,进一步恶化了互联网环境。利用不安全的家用物联网设备,一些僵尸网络(如Mirai)对关键基础设施进行分布式拒绝服务(DDoS)攻击。据报道,通过物联网病毒“Mirai”实施的DDoS攻击事件感染了超过100,000个物联网设备。在其爆发的高峰期,“Mirai”僵尸网络病毒感染了40万台以上的机器人。亚马逊,Netflix,Reddit,Spotify,Tumblr和Tw
2、itter等服务都遭到其攻击。根据绿盟科技的数据显示,目前许多传统的安全设备在设计时并没有考虑如何应对大规模的DDoS攻击,要更新这些设备需要大量资金和时间;此外,DDoS攻击的方式多样,难以对攻击来源进行追踪,这使得DDoS攻击成为攻击者的热门选择。针对物联网DDoS攻击检测的研究迫在眉睫。要求实现的功能:(1)不同于传统的DDoS检测方法,本项目首先通过分析DDoS攻击流量与普通流量的区别,再从DDoS攻击的特征中寻找解决方案;(2)本系统采用深度学习的方法区分正常物联网数据包和DDoS攻击数据包;(3)相比较现有的检测方法,本系统结合了深度学习算法和轻量级物联网流量特征,能在短时间内对大
3、量的访问流量进行检测,并具有实时监测功能,准确率高达99%;(4)因为人们对物联网设备的安全问题不够重视,导致多种设备成为黑客手中的帮凶,因此本系统针对的重点是智能家居设备;5)通过在网关进行物联网流量的实时获取、实时检测,并对DDoS攻击流量进行在线分析和报警,不仅可以防止智能家居设备被感染,而且还可以防止网络中其他设备的DDoS攻击。大作业具体要求:1.项目必须为一个基本完整的设计;2.项目设计报告书旨在能够清晰准确地阐述 (或图示)该项目(或方案);3.作品报告采用A4纸撰写。除标题外,所有内容必需为宋体、小四号字、1.25倍行距;4.项目设计报告逻辑严明、条理清晰;5.项目设计报告不少
4、于5页;6.在规定时间以报告形式提交。基于软件定义网络的DDoS攻击检测方法及其应用1.概述分布式拒绝服务攻击(Distributed Denial of Service,DoS)通过控制多台主机向受害主机发送大量数据包,使得受害机的资源被过度消耗而无法正常提供服务。,其发起简单、破坏性强且难以检测和防御。传统的攻击检测系统根据标志位、端口号等特征或者比较标准库的参数来检测DDoS攻击,而这种方式对于攻击手段多样的DDoS攻击没有很好的效果,且具有很大的局限性。通过引入机器学习算法。使得系统自身具有自适应攻击环境的功能,并通过训练不断提高系统的检测性能。文献3根据DDoS攻击流量大、多对一映射
5、的特点,定义了流特征条件熵(Traffic Feature Conditional Entropy,TFCE)的概念,提出基于TFCE的DDoS检测方法,检测率高、误报率低。随着新型网络体系架构的研究日趋增加,有关安全技术方面的研究也不断出现。2008年,由McKeown教授担任负责人的项目组提出了采用控制和转发分离架构的Openflow技术5。随着该技术的推广和研究,软件定义网络(Software Defined Network,SDN)被提出,其最初主要是作为一个学术研究方向,但近年来被越来越多地部署在产品系统中。随着SDN在网络领域的广泛应用,研究人员对其网络安全方面也进行了大量研究”9
6、。文献10通过提取流统计信息中与DDoS攻击相关的六元组特征,采用人工神经网络方法识别DDoS攻击、文献11研究了多种传统的流量异常检测方法在SDN中的应用。文献12使用sFlow和OpenFlow协议收集流量信息,减轻了对控制器CPU的消耗。文献13提出一种基于SDN的在线流量异常检测方法(OpenTAD),即组合整个网络的流量矩阵和样本熵矩阵,并采用主成分分析方法检测异常流量:相比于传统网络,基于软件定义网络的安全检测方法通过获取全网信息进行攻击检测和缓解,其实现和处理方式更简单有效,但是以上方法采用的流量特征数据较为单一,仅针对某种或某些特定的异常数据。基于以上分析,本文提出一种基于软件
7、定义网络的DDoS检测方法,即流表特征检测方法。该方法通过分析DDoS攻击特点和OpenFlow技术,构造全局网络流表特征值,使其更加全面高效地反映攻击行为,并利用支持向量机(Support Vector Machine,SVM)分类算法检测攻击。2检测算法设计及其性能分析2.1检测算法2.1.1流表项特征值根据OpenFlow协议,交换机的流表是数据包的转发依据,每个流表由多个流表项组成。流表项代表数据转发的规则,主要包括匹配域、操作、计数器等。其中,匹配域包括2层4层的大部分标记,用于匹配数据包,从而在转发数据包时使用丰富的规则;操作表明对匹配成功的数据包执行的动作,例如转发到某个端口、丢
8、包、修改包头信息等;计数器用于统计数据流的基本信息,包括匹配该流表项的数据包数、比特数等。DDoS攻击者可以任意伪造报文,并且攻击方式是多样的,但是大多数攻击流量具有一定规律。因此,通过获取流表项信息,可以分析单位时间内网络流量分布特性的变化,从而检测攻击流。基于以上分析,针对流表中“转发”操作的流表项,统计其相应的匹配域和计数器信息,其中,令sip,dip,sport,dport,pcount,bcount分别表示流表项的源地址、目的地址、源端口、目的端口、数据包数、比特数。设一个采样周期丁内的不同流表项总数为s,流表项的集合为(sip,dip,sport,dport,pcount,bcou
9、nt,)l i =1,2,S,其中,pcount或bcount,为流表项信息的权重。不同的IP地址集合为(ip。l k=1,2,K,对于每个咖。,提取相关的流表项集合为(sip,dipt,sportj,dportj,pcountj,bcountj)IJ=1,2,N和(sip,dipf,sportf,dport;,pcountf,bcountj)IJ=1,2,|,并转换为有关DDoS攻击的一维信息特征,包括平均包数、平均比特数、流表项速率、源地址熵、源端口熵、目的端口熵,表示为AP,AB,FR,H(sip),H(sport),H(dport)。(1)流表平均包数:分析发现攻击流的平均数据包数目异
10、于正常流,例如源IP地址欺骗会随机生成大批假冒IP,这一特性使得攻击源IP地址发到受害主机的数据包数目减少。APk=pcountjN其中,pcountj表示sipj,到dipk。的数据包数目;N表示dip的数目j(2)流表平均比特数。一些攻击流的平均比特数较高,而某些攻击通过减少包负载,高效发送数据包,从而降低流的平均比特数。AB=bcount/pcountj其中,bcountj表示s咖,到dip。的数据包比特大小。(3)流表项速率。当产生攻击时,将增加网络中针对特定主机的请求,导致有关该主机的流表项数目在固定时间内也有所增加,因此,可以通过流表项速率表征攻击属性。FPk=N/T其中,丁表示采
11、样周期。(4)流表特征熵。DDoS攻击通过分散攻击源对目标发起攻击,造成攻击流量中的源地址、源端口和目的地址呈现多对一的映射,而正常流量有一对多、一对一、多对一的映射形式。合法用户在一定时间段内请求的服务比较固定,而攻击者为了快速地消耗目标资源,通常会向受害主机请求尽可能多的服务或是对单一服务在单位时问内发送大量数据包。此时,源地址、目的端口和目的地址之间存在的映射关系异于正常状态,采用熵日(J勿),H(印Drf),H(aport)描述DDoS攻击的特点。以H(sfp)为例,设在有关d咖。的流表项集合中,不同的源地址集合为(5巾。I,z=1,2,N,定义JV维的矩阵Sip:sfpn表示源地址为
12、sipn,目的地址为dipk的权重,可得到H(sip):H(sip)=-P(sipn)log(P(sipn)=-sipn/Nlog(sipn/N)攻击者采用的源地址越多,在目的地址为dp。的流表项集合中,源地址的分布就越分散式(5)中的H(sip)也越大。同理,在有关d咖。的流表项中,不同的源端口集合为(sport。I,l=1,2,M,不同目的端口集合为(dport,I,=l,2,L,定义M维的矩阵印M,L维的矩阵却M,可以求出H(sport)和H(aport):212分类算法若把攻击检测看作一个分类问题,即对给定数据进行分类,判断当下网络状态是正常或异常。攻击检测的基本处理流程为:选择合适的
13、网络流特征抽象为一组样本序列,并赋予样本序列标记正常,异常,标记取值集合分别代表网络的2种状态。选择适当的机器学习算法根据特征样本序列构建检测模型,使用模型对未标记的特征样本进行分类。持向量机是建立在统计学习理论基础上的学习方法,将非线性可分的样本集映射到一个高维乃至无穷维的特征空间中使其线性可分,并在此高维特征空间中求最优分类面。通过引入核函数有效解决高维映射引起的维数灾难问题,增强处理高维小样本数据的能力,将SVM应用于DDoS攻击检测,具有较好的正确率。本文提出的DDoS攻击检测方法使用有监督的学习算法。首先对交换机中的流表项集合Flows进行采样,时间间隔为r,计算每次采样的流表项特征
14、值,获得样本集x,表示为X=(X,Y,),i=1,2,K,其中,Ji=AP,AB,FR,H(s巾),日(印D玎),H(aport),表示流表项特征值序列;Y。为X,对应的类别标记:“0”代表正常状态,“1”代表攻击状态;K表示样本数目。然后利用SVM分类器对样本集进行训练以获得其参数。最后应用训练后的SVM对待测样本进行分类检测分析。2.2性能分析2.2.1样本提取本文将DARPA 99数据集作为产生正常流(Trace normal),CAIDA DDoS 2007数据集作为产生异常流(Tracel attack)的依据,同时以DARPA 99数据集中的back攻击作为异常样本(Trace2a
15、ttack)。DARPA 99用于评估入侵检测系统,该数据集记录了9周的网络流量,同时每条数据完整记录了数据包的详细信息。CAIDA DDoS 2007包含大约1 h的DDoS攻击流量数据,其中,流量数据只包含到目的主机的攻击流量和目的主机的响应流量,被存储为pcap格式。通过SVM分类器学习和测试实验数据集,所用的分析工具是LIBSVM软件包。将获取的异常数据集与正常数据集转换为流表项集合,并对流表项集合进行周期取样,遛过调整两者的采样周期(分别记作,丁),使得两者以不同的比重混合,样本数量分布如表1所示。为了更好地反映特征值之间的分布情况,对样本集x中的每一列特征分别进行标准归一化,表示为X,=AP,AB,FR,H(s驴),H(sport)7,H(aport),同时标准化后的特征序列均没有单位。图l给出了正常流表项的抽样周期t=20 S以及攻击流表项的抽样周期T=02 S时,2类样本在特征空间中的分布。图1(a)图1(c)分别表示AP和AB7、FR和H(曲,)、日(sport)和日(dport)的特征分布。可以看出,即使正常特征采样周期是攻击特征采样周期的100倍,2类特征样本的分界面也比
