基于对象特征的软件定义网络分布式拒绝服务攻击检测方法

admin

文字版：
第39卷第2期电子与信息学报Vol.39No.2
2017年2月JournalofElectronics&InformationTechnologyFeb.2017
基于对象特征的软件定义网络分布式拒绝服务攻击检测方法
姚琳元董平*张宏科
(北京交通大学电子信息工程学院北京100044)
摘要：软件定义网络(SDN)受到分布式拒绝服务(DDoS)攻击时，攻击方会发送大量数据包，产生大量新的终端
标识占用网络连接资源，影响网络正常运转。为准确发现受攻击对象，检测被占用资源，利用GHSOM技术，该
文提出基于对象特征的DDoS攻击检测方法。首先，结合SDN网络及攻击特点，提出基于目的地址的检测7元组，
并以此作为判断目标地址是否受到DDoS攻击的检测元素；然后，采用模块化设计，将GHSOM算法应用于SDN
网络DDoS攻击的分析检测中，并在OpenDayLight的仿真平台上完成了仿真实验。实验结果显示，该文提出的
检测7元组可有效检测目标对象是否受到DDoS攻击。
关键词：软件定义网络；7元组；自组织映射；分布式拒绝服务
中图分类号：TP393文献标识码：A文章编号：1009-5896(2017)02-0381-08
DOI:10.11999/JEIT160370
DistributedDenialofServiceAttackDetectionBasedon
ObjectCharacterinSoftwareDefinedNetwork
YAOLinyuanDONGPingZHANGHongke
(SchoolofElectronicandInformationEngineering,BeijingJiaotongUniversity,Beijing100044,China)
AbstracturingtheDistributedDenialofService(DDoS)attackhappeninginSoftwareDefinedNetwork(SDN)
network,theattackerssendalargenumberofdatapackets.Largequantitiesofnewterminalidentifiersare
generated.Accordingly,thenetworkconnectionresourcesareoccupied,obstructingthenormaloperationofthe
network.Todetecttheattackedtargetaccurately,andreleasetheoccupiedresources,aDDoSattackdetection
methodbasedonobjectfeatureswiththeGHSOMtechnologyisprovided.First,theseven-tupleisproposedfor
detectiontodeterminewhetherthetargetaddressisunderattackbyDDoS.Then,asimulationplatformisbuilt,
whichisbasedontheOpenDayLightcontroller.GHSOMalgorithmisappliedtothenetwork.Simulation
experimentsareperformedtovalidatethefeasibilityofthedetectionmethod.Theresultsshowthatthe
seven-tuplefordetectioncaneffectivelyconfirmwhetherthetargetobjectisunderaDDoSattack.
Keywords:SoftwareDefinedNetwork(SDN);Seven-tuple;Self-organizationmapping;DistributedDenialof
Service(DDoS)
1引言
互联网的快速发展，网络用户规模的爆发式增
长，传统网络架构随之面临各种各样的问题。为满
足时延、负载等网络基本要求，许多网络协议、网
络策略在设计之初被预先定义，造成传统IP
收稿日期：2016-04-18；改回日期：2016-10-19；网络出版：2016-12-20
*通信作者：董平pdong@bjtu.edu.cn
基金项目：国家973重点基础研究发展计划(2013CB329100)，国家
863高技术研究发展计划(2015AA016103)，国家自然科学基金
(61301081)，国家电网公司科技项目([2016]377)
FoundationItems:TheNationalKeyBasicResearchProgramof
China(2013CB329100),TheNationalHighTechnologyResearch
andDevelopmentProgram863(2015AA016103),TheNational
NaturalScienceFoundationofChina(61301081),SGRIXTJSFW
([2016]377)
(InternetProtocol)网络难于更新，网络结构越发复
杂，网络管理更加困难[1]。传统网络控制域与数据域
相绑定，是造成网络难以管理的主要因素[2]。为从根
本上解决网络痼疾，新型网络架构被相继提出。其
中控制域与转发域相分离的思想受到业界的广泛关
注，具有代表性的网络结构之一是近年来不断被寄
予厚望的软件定义网络(SoftwareDefined
Networking,SDN)[3,4]。
传统网络中，控制逻辑分布在各个网络设备。
这种分布式的网络结构在一定程度上降低了网络因
遭受DistributedDenialofService(DDoS)攻击全面瘫
痪的风险。而在SDN网络中，控制器集中管理网络
设备，增大了网络安全风险[5]。当SDN网络受到
DDoS(DistributedDenialofService)攻击时，攻击
方会发送大量数据包，这些数据包含有不同源地址、
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。382电子与信息学报第39卷
目的地址等信息。为获取转发规则，交换机需要不
断向控制器发送请求，以获得新的转发规则；控制
器也需要不断响应交换机的请求，制定、下发相应
规则，以至于控制器的存储资源、计算资源大量消
耗，控制器与交换机的连接资源大量占用。文献[5]
将OpenFlow下的SDN网络DDoS攻击归纳为两
种，即控制域带宽攻击和交换机流表攻击。文献[6]
也将控制域与数据域之间接口造成的固有通信瓶颈
视为SDN网络的主要安全挑战之一。
冲突检测是一种有效探测DDoS攻击的方法。
文献[7]对冲突探测进行了说明，并总结为签名探测
技术和异常探测技术。统计分析和机器学习是两种
主要的异常探测技术。该文阐述了机器学习的6种
方法，即NeuralNetworks,SupportVectorMachine,
GeneticAlgorithms,FuzzyLogic,Bayesian
Networks,DecisionTree，并对6种方法的优缺点进
行了总结。但是，文章缺乏与SDN的关联，没有给
出解决SDN中控制器受到DDoS攻击的具体方法。
作为机器学习中的一种，神经网络的无监督学
习可以在网络目标输出未知的情况下，通过自训练，
聚类分析输入样本[8]，达到自动监测的目的。文献[9]
利用神经网络中的自组织映射(Self-Organizing
Map,SOM)技术实现对SDN网络的数据检测。该
文提出了一种基于SOM技术的DDoS攻击检测方
法，并在SDN网络控制器中实现了此方法。作者采
用模块化的方法完成“数据流采集”、“特性提取”
以及“攻击探测(数据包分类)”等功能。然而，该
文献中的统计元素沿用传统网络的参考元素，并没
有对SDN网络的数据特点进行分析。另外，SOM
要求预先确定神经元的数量和排列，致使神经元排
列固定、单一，这在一定程度上限制了攻击检测的
准确性。
文献[10]以目的IP地址作为参考要素，采用信
息熵与阈值相结合的方法完成检测。虽然信息熵较
SOM灵活、方便，但在阈值确定和多元素权重分配
等方面仍需与其他技术结合。文献[11]提出了
Openflow与sFlow相结合的数据采集方法，这在一
定程度上提高了检测带宽。但文献[11]同文献[10]，
使用了信息熵检测方法。文献[12]提出了FortNOX
内核，优化了SDN网络中NOX控制器的安全性能，
但并没有给出具体的DDoS攻击检测方法。文献[13]
利用基于神经网络和生物威胁理论的计算机防御系
统完成风险评估，实现对DDoS攻击的防御，但缺
乏详尽的实现方案和效果对比。
通过上述分析可知，面向SDN网络的DDoS
攻击检测方法主要包括SOM技术和信息熵。但是，
SOM技术要求训练前完成神经元数量和排列的预
先确定，而信息熵通常与相应参数的阈值共同使用，
难以独立完成对多维数据的分析与检测。而一种基
于SOM技术的GHSOM(GrowingHierarchical
SOM)[14]技术更加灵活，且可以独立完成对多维数据
的分析与检测。该技术已应用于传统网络的攻击检
测中，如文献[8],文献[15]，但在SDN网络上却缺
乏相应的应用研究。鉴于此，利用GHSOM技术，
本文提出了基于对象特征的DDoS攻击检测方法。
本文的创新性在于：(1)结合SDN网络及攻击
特点，提出了基于目的地址的检测7元组，判断目
标地址是否受到DDoS攻击；(2)采用模块化设计，
将GHSOM应用于SDN网络DDoS攻击的分析检
测中，并在OpenDayLight的仿真平台上完成了仿
真实验。
本文内容如下：第2节介绍了GHSOM算法的
原理与使用方法；第3节详细说明了基于对象特征
的DDoS攻击检测方法；第4节完成检测方法的可
行性分析，并进行了实验验证；第5节总结全文。
2GHSOM介绍
本节对GHSOM算法进行简单介绍。较SOM
固定的神经元结构，GHSOM具有生长、分层的特
性，结构更加灵活，数据处理效率更高。GHSOM
算法总结如下[16]：
初始化：GHSOM从第0层开始，该层只包括
一个神经元e0，其权重向量为m000=[,,,mm12L
T
m0n],m0为输入数据的平均值；计算平均量化误
差mqemx0=-(1/)d0，其中x表示输入数据，d
表示输入数据的个数。
第1次映射：GHSOM映射过程从第1层开始，
如图1，首先从第0层的神经元e0扩展到第1层的4
个神经元A,B,C,D，然后从输入数据中取样执行
SOM过程，完成输入数据的第1次映射。
SOM过程：(1)相似性匹配：i()argmin
j
ex=
×-exj,ei表示获胜神经元，ei为ej中的某一个；
(2)更新：eteti(1)()()()[()()]+=+iathtcixtet-i,t
表示迭代次数，a表示学习率参数，hci表示获胜神
图1GHSOM扩展说明
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。第2期姚琳元等：基于对象特征的软件定义网络分布式拒绝服务攻击检测方法383
经元i周围的邻域函数。当在映射结果中看不到明显
变化时，SOM过程结束。
横向拓展：当映射神经元满足MQEm3
tmmqe0时，进行横向拓展，找出映射神经元中最大
量化误差的神经元
ee以及ee临近神经元中最不同的
神经元ed，在二者间增加1列(行)神经元，然后完
成SOM过程，并判断上述条件；当不满足上述
条件时，进行纵向拓展。其中，MQEm=
1
i
ui
åmqe,u表示该映射中获胜神经元的个数；
tm为横向拓展参数。
纵向拓展：当映射神经元满足mqemqeiu>t0
时，进行纵向拓展，产生新的映射层，完成SOM过
程，并重新进行横向拓展条件检验；当不满足上述
条件时，映射结束。其中，
tu为纵向拓展参数。
3基于对象特征的DDoS攻击检测方法
DDoS攻击的目的主要在于资源占用和资源消
耗[17]。对SDN网络而言，DDoS攻击主要包括控制
域带宽、流表条目两个方面[5]。当网络中的设备受到
攻击时，交换机会接收到大量不同包头数据，流表
条目会大幅增长，数据带宽会被大量消耗，严重时
攻击会直接造成网络瘫痪。为准确检测网络是否遭
受攻击，及时遏制攻击规模。当攻击者通过DDoS
方式攻击网络目标时，其数据包目的地址、长度变
化幅度单一，源地址、源端口、目的端口变化多样。
根据这一特点，本文提出了基于对象特征的DDoS
攻击检测方法。
该方法充分利用了SDN网络的可编程性以及
控制器对网络的综合管理性，包括流信息采集、7
元组提取、数据训练与分析、命令下发4个部分，
如图2。
(1)流信息采集：该部分负责向控制器数据库
周期性发送信息请求，获取最新的网络流表信息，
请求周期为t。
(2)7元组提取：SDN网络遭受到DDoS攻击
主要包括流表溢出和控制器带宽[5]。因此从层级角度
图2检测方法说明图
分析，SDN网络受到的网络攻击主要位于OSI
(OpenSystemInterconnection)参考模型中的网络
层和传输层。虽然SDN网络改变了传统网络路由设
备的转发方式，但并没有改变数据包的封装结构，
因此，目的IP地址仍然是数据包到达目的地的最终
依据。如文献[11]中，作者便使用目的地址作为信息
熵的参考对象。相对于受攻击对象的目的IP地址唯
一性，为躲避安全防护系统，DDoS攻击方会制造
大量不同的源IP地址、端口数据包。针对这一特性，
我们提出了基于被攻击对象目的地址的检测7元
组，如表1。接收到网络流表信息后，通过对特别
要素的提取与检测，得到相应流表数据。
表1检测7元组
缩写元素名称
Sip_Num一个目的IP地址对应源IP地址数量
Sip_Rate一个目的IP地址对应源IP地址的变化速率
Sport_Num一个目的IP地址对应源端口数量
Sport_Rate一个目的IP地址对应源端口的变化速率
Dport_Num一个目的IP地址对应目的端口数量
Dport_Rate一个目的IP地址对应目的端口的变化速率
StD_一个目的IP地址对应数据包长度的标准差
Sipi_Num,Sporti_Num和Dporti_Num表示
在某次采样后对应的元素数目；Sipi_Rate,
Sporti_Rate,Dporti_Rate表示相邻两个周期对应
元素前后两次取样数目差，用公式表示为
ipip1ip1
portport1
port1
portport1
port1
_Rate_Num()_Num()
_Rate_Num()
_Num()
_Rate_Num()
_Num()
iii
ii
i
ii
i
SSTST
SST
ST
DDT
DT
t
tt
=+-
=+
-
=+
-
其中，T1表示某采样时刻。
StDi_表示在某次采样后目的IPi的数据包长
度标准差，用公式表示为
(())2
1
1
1
_LenLen(Len)
1
Len
i
Ni
iijii
ij
N
ij
ij
StDEE
N
N
=
=
=-
=
å
å
Ni表示目的IPi在采样后数据包个数，Lenij表示目
的IPi在采样后的数据包j的长度，E(Len)i表示目
的IPi在采样后数据包j长度的期望。
(3)数据训练与分析：该部分采用GHSOM算
法，对获取到的元素进行训练和检测。
训练过程主要包括4个部分：(a)初始化：按照
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。384电子与信息学报第39卷
输入数据，计算第0层神经元权重向量，并计算出
平均量化误差；(b)第1次映射：将第0层的独立神
经元扩展为第1层的4个神经元，执行SOM过程，
完成数据的第1次映射；(c)横向拓展：计算最新层
获胜神经元的平均量化误差，并将其与第0层神经
元的平均量化误差进行比较，确定是否进行横向拓
展；如果满足横向拓展条件，在映射神经元中寻找
最大量化误差的神经元以及与该神经元临近的最不
同神经元，在二者间增加新列或行，继续SOM过
程，并继续判定是否满足横向拓展条件；(d)纵向拓
展：完成横向拓展后，判断映射神经元是否满足纵
向拓展条件，如果需要纵向拓展，产生新的映射层，
对新映射层重新进行SOM过程、横向拓展和纵向
拓展。
检测过程将采样数据放入训练结果中进行比
对，判断目标对象是否遭受到DDoS攻击。
(4)命令下发：对发现异常目的地址，该部分
负责向控制器数据库发送安全指令，修改流表内容，
使交换机停止接收发向受攻击目的地址的数据包。
4可行性分析与仿真验证
本节包括可行性分析与仿真验证两个部分。在
可行性分析中，本文对SOM与信息熵的特点进行
了总结，并对选取的GHSOM算法是否适合于SDN
网络下的DDoS攻击进行了说明；另外，对本文提
出的7元组是否可以充分体现SDN网络下的DDoS
攻击数据特点进行了实验验证。在仿真验证中，本
文搭建了网络环境，在OpenDayLight控制器下完
成了检测方法，通过模拟实际数据，对所提方法的
效果进行了分析。
4.1可行性分析
(1)GHSOM可行性分析：针对SDN网络的
DDoS攻击，信息熵和SOM是两种主要的探测方
法。信息熵通常与相应参数的阈值共同使用，如文
献[10]。该方法较SOM更加方便、灵活，对系统资
源的占用更少。但是，阈值的设定过程会消耗一定
的计算资源，而且，当需要分别计算并考虑多个参
数的信息熵时，衡量各参数的权值也需要额外的算
法实现。因此，信息熵灵活、方便的特点并不适用
于对多维数据的分析与检测。
使用SOM，首先对数据完成训练，得到合法数
据与攻击数据的排列规律，依此规律完成对录入数
据的检测。然而，SOM要求在训练前完成神经元数
量和排列的预先确定，相对DDoS攻击数据量大且
多变、数据特征不明等特点，SOM难以准确完成
SOM神经元的数量和排列。此外，SOM中神经元
分布在同一映射层，而类型繁多的DDoS攻击数据
加重了数据映射后的处理难度。
GHSOM算法具有生长、分层的特性，可根据
处理数据的复杂程度自动调整神经元层级和数量。
其更加灵活的结构、更高的数据处理效率，更适用
于DDoS攻击的数据检测。在传统的无中心网络中，
GHSOM算法已被广泛使用，如文献[8]，文献[15]。
在SDN网络环境下，控制与数据相分离，控制器可
以掌控全网数据，更有利于GHSOM算法的实现。
因此，从算法的灵活性、完整度，以及自身的可实
现性等角度考虑，GHSOM算法较SOM算法和信
息熵具有明显优势。
(2)检测7元组的可行性：本文首次提出了基
于目的地址的检测7元组，并以此作为判定SDN网络
下DDoS攻击的参考要素。为验证所提7元组的可行
性，本节对7元组进行了数据分析与说明。
网络拓扑如图3所示，控制器为OpenDayLight
(ODL)，连接3个Openflow交换机。Openflow交
换机1，交换机3与普通交换机相连，主要为模拟
数据的接入口；同时，与未被攻击的虚拟主机相连，
虚拟主机用来模拟真实网络中的各种设备。3台目
标主机目标1，目标2，目标3作为被攻击对象，与
Openflow交换机2连接。依据文献[18]中3种常见
协议ICMP,TCP,UDP数据包的比例(5:85:10)，仿
照WIDE项目[19]的数据流量，本文模拟了常规通信
的数据流量，同时通过tfn2k攻击软件获得了攻击
数据。
在数据采集中，为了能够保证每次取样的数据
是在该时间间隔内正在通信的条目，取样周期t为5
s，并在每次取样后清空控制器流表，重新计时，重
新取样。在取样过程中，我们选取了时长为16t连
续合法数据，4t攻击数据，攻击数据发生时间在合
法数据的T8~T11之间(如图4所示)，攻击对象为
图3中目标1，目标2，目标3。通过对数据的采集
分析，我们得到了图4，图5，图6的对比图。
图4中横坐标表示16个不同时段的目的IP地
址，纵坐标分别表示不同时段不同目的IP对应的源
IP数量(图4(a))、源端口数量(图4(b))和目的端口
数量(图4(c))。从3个子图中可以看出，每个图可
分上下两部分。上半部分包括3条折线，对应的是
图3中3个受攻击目标1，目标2，目标3在遭受
DDoS攻击时对应的源IP、源端口和目的端口数量；
下半部分表示未遭受到攻击的目的IP地址对应的
纵坐标数量。
从图4可以看出，本文选取的Sip_Num,
Sport_Num和Dport_Num3个参考元素在被攻击对
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。第2期姚琳元等：基于对象特征的软件定义网络分布式拒绝服务攻击检测方法385
图3网络拓扑图
图4IP与端口数量对比图
图5变化速率对比图
象受到攻击前后变化十分明显，这也说明攻击者针
对同一攻击对象伪造了大量不同头部的数据包。
图5(a)，图5(c)，图5(e)横坐标分别表示正常
通信中源IP、源端口、目的端口的变化率，纵坐标
表示不同变化率对应的目的IP地址数量。可以看
出，源IP和目的端口的变化范围为(-100,100)，源
端口的变化范围为(-50,50)，而且分布呈抛物线形
式，越靠近中心点(横坐标为0，即相邻t变化速率
为0)，目的IP地址越多。
图5(b)，图5(d)，图5(f)横坐标表示抽样时间，
纵坐标表示图3中3个受攻击目标1，目标2，目标
3在遭受DDoS攻击时对应的源IP、源端口和目的
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。386电子与信息学报第39卷
图6数据包长度标准差对比图
端口变化速率。在T8时刻，3个目标受到攻击，可
以看到其对应的变化速率迅速升高，当攻击结束时
(T12时刻)，变化速率迅速降低，在攻击过程中，
各变化速率也在不停抖动。通过左右对比可以看出，
合法数据的变化速率远远低于受到攻击时的速率。
图5说明本文选取的Sip_Rate,Sport_Rate和
Dport_Rate可以充分体现被攻击对象受到攻击前
后的不同特征。
图6为数据包长度标准差对比图，横坐标表示
目标IP，纵坐标表示目标IP对应的数据包长度标
准差。上半部分3个点表示3个受攻击目标1，目
标2，目标3在遭受DDoS攻击时的数据包长度标
准差；下半部分为未受攻击下的标准差。从图中可
以看出，虽然合法数据包的不同目的IP地址对应的
数据包长度标准差大小不一，但攻击者发送的攻击
数据包其数据包长度的标准差明显大于合法数据包
长度的标准差。StD_充分体现了被攻击对象受到
攻击前后的差异性。
通过实际拓扑的搭建、数据的模拟，图4，图5，
图6有力证明了文中所提出基于对象特征的7元组
可以检测SDN网络是否遭受DDoS攻击的可行性。
4.2仿真验证与结果分析
在OpenDayLight控制器(Helium版本)上结合
Openflow1.0完成了上文所提方法，并利用图3所示
拓扑完成了数据的模拟、采集、训练和检测。与可
行性检测类似，常规通信中训练、检测所用数据完
全由ICMP,TCP,UDP3种协议，按5:85:10比例
构成，数据流量仿照WIDE项目；攻击数据通过
tfn2k攻击软件获得；取样周期t为5s。参数设置：
0.7
tm=,tu=0.035，学习速率a()0.1/(1t=
+0.001)t。
作为对比，我们使用相同采样数据，从中提取
了文献[9]中引用的6个参考元素(平均每个流的包数
(APf)、平均每个流的比特数(ABf)、平均每个流的
持续时间、对称流比例、独立流增长速度和不同端
口增长速度)(后文简称6元组)，并进行了基于
GHSOM算法的实验。实验中，我们对合法数据和
攻击数据分别进行了3600次和2160次训练，并将
攻击数据包速率与合法数据包速率之比(后文简称
为速率比)设定为1:6，对攻击数据和合法数进行了
1400次和1800次的检测。
在实际检测中，本文将攻击方式分为3种，方
式1受攻击对象包括目标1，目标2，目标3；方式
2受攻击对象包括目标2，目标3；方式3受攻击对
象包括目标1。表2给出了速率比为1:6时两种检测
方法对应的检测率，其中3种攻击方式的总攻击次
数为1440次。从表2可以看出，本文所提出的7元
组的检测率要高于6元组对应的检测率。这是因为
6元组检测项以流为分析对象，而每个流表条目可
能会对应诸多信息，比如目的地址、源地址、Vlan
等，提高了检测受攻击目的地址的难度，牺牲了检
测率。而本文提出的7元组，以目的地址为分析对
象，从数目、变化速率等多个角度对同一目标进行
分析，提高了检测率。
为验证攻击速率对检测率的影响，本文按不同
速率比1110,)nnnN*分10次依照表2中
攻击方式重新进行了攻击实验，并分别使用7元组
与6元组进行了攻击检测，检测结果如图7所示。
从图中可以看出，在数据类型不变的情况下，检测
率随速率比的增加而上升。同时，不同速率比下7
元组的检测率要高于6元组的检测率。当速率比达
到1:5时，7元组首先达到100%，在速率比达到1:4
时，6元组的检测率才接近100%。
4.3算法开销讨论
本文方法的开销主要包括训练过程和检测过程
两部分。
训练过程是线下过程，可以在其他网络设备中
表2攻击与检测
攻击方式
攻击对象
攻击次数7元组检测
次数
7元组检
测率(%)
加权检
测率(%)
6元组检
测次数
6元组检
测率(%)
加权检
目标1目标2目标3测率(%)
方式1√√√100095695.6
95.7
94494.4
方式2√√30029197.027993.093.4
方式3√14013193.612287.1
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。第2期姚琳元等：基于对象特征的软件定义网络分布式拒绝服务攻击检测方法387
图7不同速率比检测率
进行。因此，训练过程对控制器的影响可以忽略。
检测过程的计算复杂度主要受检测目标数量和单次
检测目标所需计算次数决定。其中检测目标数量由
目的IP地址的数量决定，在实验过程中以千为单
位。单次检测目标所需计算次数受到7元组提取和
GHSOM算法匹配时间影响。7元组提取主要包括
前后两次数据的比较，因此，如果每个周期提取的
数据包数目为N，那么在完成一次7元组提取时，
数据包处理总量应为2N。GHSOM算法匹配时间，
主要受到神经元匹配过程影响，单位应小于受检测
目标数量。
综上，可以看出本文所提方法的计算复杂度为
O(10)3。实验过程中，本文选用8G缓存、3.2GHz
因特尔i5处理器的硬件设备作为控制器的仿真设
备。因此，本文方法的计算开销对控制器的影响可
忽略。
5总结
在基于Openflow协议的SDN网络环境中，控
制器利用传输层协议与交换机建立连接，传输指令，
交换信息。当网络受到DDoS攻击时，攻击方会发
送大量数据包，产生大量新的终端标识，造成控制
器的存储资源、计算资源大量消耗，并大量占用控
制器与交换机的连接资源，影响网络正常运转。为
便捷准确地发现受攻击对象，最大限度释放攻击数
据占用的网络资源，利用GHSOM技术，本文提出
了基于对象特征的DDoS攻击检测方法。
首先，结合SDN网络及攻击特点，提出了基于
目的地址的检测7元组，并以此作为判断目标地址
是否受到DDoS攻击的检测元素；然后，采用模块
化设计，将GHSOM算法应用于SDN网络DDoS
攻击的分析检测中，并在OpenDayLight的仿真平
台上完成了仿真实验。实验结果表明，本文提出的
检测7元组可以有效检测目的地址是否受到攻击。
参考文献
[1]BENSONT,AKELLAA,andMALTZDA.Unravelingthe
ComplexityofNetworkManagement[C].6thUSENIX
SymposiumonNetworkedSystemsDesignand
Implementation,Boston,MA,USA,2009:335-348.
[2]KREUTZD,RAMOSFMV,ESTEVESVERISSIMOP,et
al.Software-definednetworking:Acomprehensivesurvey[J].
ProceedingsoftheIEEE,2015,103(1):14-76.doi:10.1109/
jproc.2014.2371999.
[3]MCKEOWNN.HowSDNwillshapenetworking[C].Open
NetworkingSummit,PaloAlto,CA,USA,2011:56-61.
[4]SHENKERS,CASADOM,KOPONENT,etal.Thefuture
ofnetworking,andthepastofprotocols[C].OpenNetworking
Summit,PaloAlto,CA,USA,2011:24-29.
[5]KANDOIRandANTIKAINENM.Denial-of-serviceattacks
inOpenFlowSDNnetworks[C].2015IFIP/IEEE
InternationalSymposiumonIntegratedNetwork
Management(IM),Ottawa,BC,Canada,2015:1322-1326.
doi:10.1109/inm.2015.7140489.
[6]SHINS,YEGNESWARANV,PORRASP,etal.Avantguard:Scalableandvigilantswitchflowmanagementin
software-definednetworks[C].Proceedingsofthe2013ACM
SIGSACConferenceonComputer&Communications
Security,Berlin,Germany,2013:413-424.doi:10.1145/
2508859.2516684.
[7]ASHRAFJandLATIFS.HandlingintrusionandDDoS
attacksinsoftwaredefinednetworksusingmachinelearning
techniques[C].IEEE2014NationalSoftwareEngineering
Conference(NSEC),Event-Karachi,Pakistan,2014:55-60.
doi:10.1109/nsec.2014.6998241.
[8]杨雅辉,姜电波,沈晴霓,等.基于改进的GHSOM的入侵检
测研究[J].通信学报,2011,32(1):121-126.doi:10.3969/j.
issn.1000-436X.2011.01.016.
YANGYahui,JIANGDianbo,SHENQingni,etal.Research
onintrusiondetectionbasedonanimprovedGHSOM[J].
JournalonCommunications,2011,32(1):121-126.doi:10.
3969/j.issn.1000-436X.2011.01.016.
[9]BRAGAR,MOTAE,andPASSITOA.LightweightDDoS
floodingattackdetectionusingNOX/OpenFlow[C].IEEE
201035thConferenceonLocalComputerNetworks(LCN),
Denver,Colorado,USA,2010:408-415.doi:10.1109/lcn.
2010.5735752.
[10]MOUSAVISMandST-HILAIREM.Earlydetectionof
DDoSattacksagainstSDNcontrollers[C].IEEE2015
InternationalConferenceonComputing,Networkingand
Communications(ICNC),Anaheim,California,USA,2015:
77-81.doi:10.1109/iccnc.2015.7069319.
[11]GIOTISK,ARGYROPOULOSC,ANDROULIDAKISG,et
al.CombiningOpenFlowandsFlowforaneffectiveand
scalableanomalydetectionandmitigationmechanismon
SDNenvironments[J].ComputerNetworks,2014,6(2):
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。388电子与信息学报第39卷
122-136.doi:10.1016/j.bjp.2013.10.014.
[12]PORRASP,SHINS,YEGNESWARANV,etal.Asecurity
enforcementkernelforOpenFlownetworks[C].Proceedings
oftheFirstWorkshoponHotTopicsinSoftwareDefined
Networks,Helsinki,Finland,2012:121-126.doi:10.1145/
2342441.2342466.
[13]MIHAI-GABRIELIandVICTOR-VALERIUP.Achieving
DDoSresiliencyinasoftwaredefinednetworkbyintelligent
riskassessmentbasedonneuralnetworksanddanger
theory[C].IEEE201415thInternationalSymposiumon
ComputationalIntelligenceandInformatics(CINTI),
Budapest,Hungary,2014:319-324.doi:10.1109/CINTI.
2014.7028696.
[14]RAUBERA,MERKLD,andDITTENBACHM.The
growinghierarchicalself-organizingmap:exploratory
analysisofhigh-dimensionaldata[J].IEEETransactionson
NeuralNetworks,2002,13(6):1331-1341.doi:10.1109/tnn.
2002.804221.
[15]HUANGSYandHUANGY.Networkforensicanalysisusing
growinghierarchicalSOM[C].IEEE201313thInternational
ConferenceonDataMiningWorkshops(ICDMW),Brisbane,
Australia,2013:536-543.doi:10.1109/icdmw.2013.66.
[16]RAUBER.TheGHSOMArchitectureandTrainingProcess
[OL].http://www.ifs.tuwien.ac.at/~andi/ghsom/description.
html,2016.
[17]鲍旭华,洪海,曹志华.破坏之王DoS攻击与防范深度剖
析[M].北京:机械工业出版社,2014:20-76.
BAOXuhua,HONGHai,ANDCAOZhihua.TheKingof
DestructionDoSAttactandDefenseDepthAnalysis[M].
Beijing:ChinaMachinePress,2014:20-76.
[18]BORGNATP,DEWAELEG,FUKUDAK,etal.Seven
yearsandoneday:Sketchingtheevolutionofinternet
traffic[C].IEEE2009INFOCOM,RiodeJaneiro,Brazil,
2009:711-719.doi:10.1109/infcom.2009.5061979.
[19]KENJIROCho.MAWIworkinggrouptrafficarchive[OL].
http://mawi.wide.ad.jp/mawi/,2016.
姚琳元：男，1988年生，博士生，研究方向为下一代互联网网络
层关键技术.
董平：男，1979年生，副教授，研究方向为新一代互联网、移
动、安全.
张宏科：男，1957年生，教授，博士生导师，研究方向为下一代
互联网架构、协议理论与技术、移动互联网络路由、传
感器网络技术等.
51学通信（51xuetongxin.com），致力打造最佳的通信技术分享平台，主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件，终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信：gprshome201101或51学通信淘宝店：51xuetongxin.taobao.com。