SDN中基于条件熵和GHSOM的DDoS攻击检测方法

田俊峰，齐鎏岭



SDN中基于条件熵和GHSOM的DDoS攻击检测方法

田俊峰1,2，齐鎏岭1,2

（1. 河北大学网络空间安全与计算机学院，河北 保定 071002；2. 河北省高可信信息系统重点实验室，河北 保定 071002）

软件定义网络（SDN, software defined networking）简化了网络结构，但同时控制器也面临着“单点失效”的安全威胁。攻击者可以发送大量交换机流表中并不存在的伪造数据流，影响网络正常性能。为了准确检测这种攻击的存在，提出了基于条件熵和GHSOM（growing hierarchical SOM）神经网络的DDoS攻击检测方法MBCE&G 。首先，依据此DDoS的阶段性特征，定位了网络中的受损交换机以发现可疑攻击流；然后，依据可疑攻击流种类的多样性特征，以条件熵的形式提取了四元组特征向量，将其作为神经网络的输入特征进行更加精确的分析；最后，搭建了实验环境完成验证。实验结果显示，MBCE&G检测方法可以有效检测SDN中的DDoS攻击。

软件定义网络；条件熵；神经网络；DDoS攻击

1 引言

软件定义网络作为新型网络架构给传统网络带来了巨大的变革和提升。在云计算环境中，随着网络规模的不断扩大，以TCP/IP架构为基础的传统网络架构在网络优化时遇到了诸多问题[1]，主要表现为：1) 由于控制平面和数据平面难以分离，使网络更新变得十分烦琐，一旦确定了转发策略，如果后期需要对策略进行调整，只能通过对设备配置进行大规模更改才能实现；2) 大规模的网络设备使管理员对这些设备的管理也变得十分困难。

SDN作为新型网络架构，将传统网络架构解耦为数据平面、控制平面和应用平面，简化了网络结构，使网络控制变得更为灵活和集中。其开放性和可编程性，令SDN在网络虚拟化、云数据中心网络、无线局域网和云计算中得到了大规模的应用[2]。

由于SDN的广泛应用，其本身的安全问题日益突出[1]。其中，DDoS攻击由于可以造成控制器过载，对SDN的威胁巨大。Shin等[3]首次论述了在SDN中存在DDoS攻击的可能性，并且进行了实验论证。Neelam等[4]将传统网络中的各种DDoS攻击形式在SDN中逐一进行了测试，总结出不同种类的DDoS攻击对SDN的影响。

OpenFlow是SDN中的南向接口协议，定义了SDN交换机和SDN控制器之间的通信规则。在OpenFlow中，如果交换机遇到无法匹配的流请求信息，会利用packet_in数据帧对其封装并发送至控制器，由控制器为其提供相关的应答策略，这种工作模式极大地增加了控制器遭受DDoS攻击的可能性。攻击者可以制造大量的在交换机流表中并不存在的恶意流请求信息，进而交换机将大量的packet_in数据帧发送至控制器，使控制器资源被耗尽。

为了准确分析和精确检测这种DDoS攻击，本文提出将信息熵和GHSOM神经网络进行结合，将DDoS流量的攻击特征用条件熵进行量化，再将其输入GHSOM网络中进行攻击检测。并且在进行流量特征提取之前，首先定位受损交换机，实现对可疑流量的精确定位。

2 相关工作

Shin等[3]首次通过实验论述了在SDN中存在DDoS攻击的可能性，之后的大量工作也同样指出了在SDN中存在针对控制器的DDoS攻击隐患。Chen等[5]以不同速率向SDN中发送伪造的数据流，观察合法数据流受到的影响。实验结果表明：当攻击流强度超过300 flows/s时，便会出现合法数据流的分组丢失情况；当攻击流强度达到1 200 flows/s时，超过60%的合法数据流匹配失败。Neelam等[4]分析了传统DDoS攻击对SDN的影响，其中，HTTP和TCP_SYN洪泛攻击并不需要大规模的流量冲击，即可对控制器造成90%的table_miss攻击效果，且其对控制器造成的危害是不可逆的。一些针对OpenFlow协议的研究[6-7]提出DDoS攻击同样可以对OpenFlow协议造成影响，进而影响交换机和控制器之间的通信情况。

SDN中的DDoS攻击检测方法主要分为以下3类：基于策略的检测方法、基于统计信息的检测方法和基于机器学习的检测方法[8]。基于策略的检测方法类似于防火墙机制，通过允许合法请求、拒绝非法请求的形式，达到维护网络安全的目的。基于统计信息的检测方法通过信息熵可以良好地体现被测序列的随机性。Mousavi等[9]提出了一种针对SDN控制器的DDoS攻击的早期检测算法，该算法基于数据分组目的地址的分布概率计算熵值，通过与阈值进行比较，可以在250个数据分组之内判断是否发生DDoS攻击，实现早期检测。该检测方法仅对数据分组的目的地址进行了熵值的计算，而对攻击特征的描述较为单一。Dong等[10]提出了一种针对SDN控制器的DoS攻击的检测方法，该方法通过检测low-traffic确定了low-traffic事件，并且通过序贯概率比测试控制了攻击检测的漏报率和误报率。在基于机器学习的检测方法中，神经网络通过对训练样本的学习后，可以实现对攻击流量的高效检测。Braga等[11]利用SDN集中管控的特点，提出利用自组织神经网络SOM对信息流进行分类，通过设立的六元组特征（信息流中数据分组的平均数量、信息流的平均字节数、信息流的平均持续时间、配对信息流的百分比、单信息流的增长率、不同端口的增长率）对DDoS攻击进行检测，然而并没有考虑到DDoS攻击对SDN控制器的影响。除此之外，SOM神经网络神经元的排列形式较为固定，对攻击检测的实时性有一定影响。姚琳元等[12]同样使用了基于神经网络的检测方法，首先提取了基于目的IP地址的检测七元组，通过GHSOM神经网络对DDoS攻击进行了检测。相较SOM神经网络，GHSOM神经网络具有生长、分层的特性，结构更加灵活，数据处理更加高效。

在传统网络中，研究者对GHSOM神经网络也进行了一定的研究工作。杨雅辉等[13]针对传统的GHSOM网络只能处理数字型样本的缺陷，对GHSOM网络进行改进，提出一种可以混合处理数字型和字符型样本的改进GHSOM入侵检测算法。阳时来等[14]基于半监督GHSOM的入侵检测方法，将传统无监督的GHSOM模型进行了改进。

通过上述分析可知，虽然在传统网络中DDoS的检测算法多种多样，但是目前对SDN中DDoS的攻击检测主要还是基于信息熵和神经网络技术，并且GHSOM神经网络在传统网络中的入侵检测方面已有较成熟的研究。信息熵能够良好地体现被测序列的随机性，通过配置相应参数的阈值，可以对DDoS攻击进行检测。然而单纯使用基于熵的检测算法若存在待检测数据维数较多的情况，则难以对SDN中的大量数据进行精确刻画。神经网络具有较强的抽象和概括能力，可以对多维数据进行高效处理。

因此，结合SDN中针对控制器的DDoS攻击特征，提出了基于条件熵和GHSOM神经网络的DDoS攻击检测方法MBCE&G。MBCE&G具有如下特点。

1) 针对攻击的阶段性特征，通过确定SDN中的受损交换机来判断可疑的DDoS攻击流量。

2) 针对攻击种类的多样性特征，提出使用基于目的地址和目的端口的条件熵作为神经网络的输入向量，更加准确地表现了DDoS攻击流量中数据分组地址间多对一的映射关系。

3) 利用神经网络强大的分类能力，对DDoS攻击进行精确检测。

3 预备知识

3.1 条件熵

信息熵[15]用对数函数度量随机变量的期望，定量地表示变量的随机性，变量的随机性越大，其熵值越大，反之亦然。

根据式(1)得到关于条件熵的定义，对于随机变量和，关于的条件熵可以表示为

条件熵可以更加精确地表示当某一个随机变量为定值时，另一个随机变量的随机性分布，可以很好地表现SDN中针对控制器的DDoS攻击流量的特征。

3.2 GHSOM神经网络

GHSOM网络为多层树状结构，如图1所示，每一层结构中包含多个独立的SOM网络，每个子网都遵循SOM过程。和SOM网络相比，GHSOM网络增加了横向和纵向扩展方向，并且每个方向都有自己的扩展条件。

图1 GHSOM网络示意

第0层初始化：第0层只有一个神经元，在训练过程中，全部待训数据将落在该神经元上，并且将待训数据的平均值作为该神经元的初始权值。

训练过程：在训练开始之后，第0层的神经元作为父神经元会产生一个新的SOM子网，该子网共包含4个神经元，之后会从输入数据中取样执行SOM过程，进行进一步的细分。

4 基于条件熵和GHSOM的DDoS攻击检测方法

4.1 攻击特征

在针对控制器的DDoS中，攻击过程被分为2个阶段：攻击者发送大量伪造数据流到达SDN交换机，在交换机内部出现流表不匹配情况；交换机发送大量packet_in数据帧到达控制器。和传统网络中的DDoS攻击不同，攻击者不需要知道控制器的IP地址与IP端口，就可以发动针对控制器的DDoS攻击，属于盲DDoS攻击[16]。

然而，SDN更多表现的是一种思想，即网络的自动化运维，具体表现为数据和控制分离。OpenFlow协议是实现SDN数控分离的一种手段，就OpenFlow协议本身而言，它是一种网络控制器和网络转发设备之间交换信息和下发命令的协议，主要是为了实现二层交换和三层路由。因此，虽然SDN改变了传统网络路由设备的转发方式，但并没有改变数据分组的封装结构。所以在网络的数据传输中，目的IP地址仍然是数据分组到达目的地的重要依据。

所以，这种针对SDN控制器的DDoS攻击既有传统网络中DDoS攻击的一般特征，结合SDN的分层结构又有一些新的表现形式，具体如下。

图2 检测流程

1) 阶段性。此类攻击具有明显的阶段特征，攻击者发送攻击流量到达交换机，交换机产生packet_in数据帧发送至控制器，所以攻击流量并没有直接到达控制器。

2) 多样性。在传统网络中的DDoS攻击中，任何可以产生大量packet_in消息的攻击形式都可用来发动针对控制器的DDoS攻击。其中，文献[4]已经通过实验论证，HTTP洪泛攻击和TCP_SYN洪泛攻击并不需要大规模流量，即可对控制器造成不可恢复的攻击效果。

3) 多对一映射。攻击者从多个攻击源对目标发起攻击，因此对于攻击目标而言，攻击流量中的源地址相对于目的地址为多对一映射，而正常流量则具有多对一、一对一、一对多这3种映射形式；除此之外，合法用户在一定时间段内请求的服务比较单一，而攻击者为了快速消耗目标资源，通常会请求尽可能多的服务，因此，目的端口与目的地址之间也存在着多对一的映射关系；最后，正常流量和攻击流量在数据分组长度上也有很大的区别。

基于上述特征，MBCE&G首先通过分析受损交换机的存在，判断出SDN中确实存在流量突发情况；然后通过受损交换机的可疑流量，利用条件熵提取攻击特征；最后通过GHSOM神经网络对可疑流量进行分析，判断DDoS攻击。检测流程如图2所示。

4.2 对SDN交换机的分析

将攻击者发送的大量伪造数据流定义为新流（new_flow），那么检测算法的第一步就是确认这些new_flow的存在。在OpenFlow协议中，packet_in数据帧可以侧面反映出交换机是否遇到了无法匹配的数据流。另一方面，由于交换机是攻击流到达的第一个SDN实体，因此首先通过监测packet_in数据帧定位受损交换机，进而确认new_flow的存在。

通过监测一段时间内packet_in数据帧的个数来表示交换机的流请求速率，进而说明有流量突发情况的存在。

将整个检测时长定义为，共有个检测时隙。每个检测时隙的检测时长为，和控制器设置的idle_timeout相等，通常为5 s。SDN为了提高交换机的匹配效率，设置了2种超时时间：一种是软超时时间idle_tiemout，表示一条流表项不再匹配数据分组时能持续的最大时间；另一种是硬超时时间hard_timeout, 表示一条流表项在交换机流表中的最大生存时间。一旦达到时间期限，交换机就会自动删除相应的表项，此时交换机内的流表项就会更新。通过上述分析，可知idle_time≤hard_time，即最少在一个idle_time时间内，交换机内的流表项是不变的，将idle_time的时间长度设置为每个检测时隙的检测时长，可在每个idle_time的时间长度内，检测packet_in数据帧的个数。

在个检测时隙中，关于交换机的流请求速率的集合可以表示为

算法 交换机流请求速率算法

输入 packet_in数据帧

输出 受损交换机

for= 1;≤;++ do

则R为受损交换机；

end if

end for

4.3 利用条件熵提取攻击特征

当检测到网络中交换机的流请求速率超过阈值时，并不能判断发生DDoS攻击，因为存在着合法用户的突发流量。因此，上述过程只能判断流量突发情况确实存在，不能作为判断攻击发生的依据，还需要更加精细地检测，本阶段对通过受损交换机的数据分组的头信息进行分析。

针对攻击特征，提出使用基于目的地址和目的端口的条件熵作为神经网络的输入向量。当确定网络中的受损交换机后，对通过受损交换机的流量进行特征提取，得到以下多维条件熵特征：{(sip|dip),(dport|dip),(sip|dport),(psize|dip)}。

1)(sip|dip)：源IP地址关于目的IP地址的条件熵。对于DDoS攻击而言，攻击流量中源地址相对于目的地址具有明显的多对一的映射关系，但是正常流量间具有多对一、一对多与一对一等多种映射关系。所以，当源IP地址和目的IP地址之间存在多对一的映射关系时，(sip|dip)的值会显著增加。

2)(dport|dip)：目的端口关于目的IP地址的条件熵。对于DDoS攻击而言，攻击者通常会向目标主机请求尽可能多的服务，目的端口和目的地址之间具有多对一映射关系，而合法用户通常在一段时间内请求的服务较为单一。(dport|dip)可用来描述目的端口和目的地址间的多对一映射关系。

3)(sip|dport)：源IP地址关于目的端口的条件熵。针对某一特定服务的DDoS攻击而言，大量主机会向某固定端口请求服务，在这个过程中，同样有很大概率会造成交换机中流表不匹配，源地址和目的端口间存在多对一的映射关系。(sip|dport)可用来描述源地址和目的端口之间的多对一关系。

4)(psize|dip)：数据分组大小关于目的IP地址的条件熵。上述条件熵并不能很好地区分“合法突发流量”和DDoS攻击流量之间的区别。对于合法突发流量，对目标发送的数据分组大小往往是无规律的。而DDoS攻击流量往往具有固定大小的数据分组，因此相对于正常值，异常状况下该条件熵将下降。

4.4 使用GHSOM神经网络对流量进行分析

在使用神经网络进行攻击检测之前，需要利用训练样本对神经网络进行训练，目的是得到一个稳定的网络结构。

训练过程：训练过程就是构造GHSOM网络的过程。根据GHSOM算法的流程，主要有以下4个步骤。1) 初始第0层神经元，神经元的权值向量为所有输入模式向量的平均值，计算0层平均量化误差；2) 采用自顶向下的方式开始训练，将第0层神经元扩展为第1层2×2结构的SOM子网，此SOM子网采用传统的SOM学习方法；3) 将最新层的获胜神经元的平均量化误差和0层平均量化误差进行比较，判断横向扩展条件，若满足条件，在具有最大量化误差的误差神经元和距离它距离最远的神经元之间添加一行或一列，继续进行SOM学习，直到不能再进行横向扩展；4) 当SOM子网稳定不再进行扩展后，若某个神经元满足纵向扩展条件，则从这个神经元扩展出一个新的2×2结构子网。对于新的子网，重复上述训练过程，直到神经元的数量和层次不再增加，视为训练结束。

检测过程：从流量中提取出DDoS攻击的条件熵特征，输入神经网络，和之前的训练结果进行对比，判断流量是否为DDoS攻击流量。

生成报告：生成检测报告，由管理员决定下一步动作。

图3 网络拓扑

5 实验结果及分析

5.1 实验环境

本文选取POX控制器作为SDN的控制器。POX作为一种轻量级的OpenFlow控制器平台，它的前身是NOX控制器，具有良好的可编程性。交换机使用支持OpenFlow协议的华为千兆交换机，型号为S5720-32C-HI-24S-AC。主机配置为CPU 3.30 GHz，4 GB内存，Windows 10操作系统。

网络拓扑如图3所示，POX控制器连接3台交换机。由于本文所研究的针对控制器的DDoS攻击仍然需要目的地址作为数据分组的目的依据，因此仍然需要目标主机作为攻击目标。交换机1、交换机4和交换机5分别连接3台受攻击主机，交换机2连接的主机模拟发送攻击流量，交换机3作为正常交换机提供正常的数据转发。

5.2 实验数据集

实验使用TFN2K攻击软件获得攻击流量，用于训练和检测。为了不失一般性，取林肯实验室的DARPA 1999 数据集中第1、3周中不包含攻击流量的正常流量数据集作为背景流量，并且依据文献[17]中提到的网络流量中3种常见网络协议（ICMP、TCP、UDP）的比例，5%为ICMP流量，85%为TCP流量，10%为UDP流量。

实验包括训练和检测2个阶段，均使用连续的1 500个样本。在训练阶段，确定交换机流请求速率检测阈值以及GHSOM神经网络的各个参数。在检测阶段，利用测试样本对MBCE&G方法进行测试，并且和基于GHSOM神经网络的七元组检测方法、基于SOM神经网络的式元组检测方法、基于目的地址的熵检测方法进行了对比。

5.3 实验结果分析

对背景流量和攻击流量进行混合采样用于MBCE&G检测方法的训练，在训练过程中将取样时间设置为100 s，采样周期为5 s，此处采样周期和4.2节的idle_timeout对应，为100 s。其中，有100 s的连续正常流量，在30~60 s之间加入了攻击流量。实验确定交换机流请求速率检测阈值和GHSOM神经网络的各个参数，并且对选取的四元组条件熵特征进行了可行性分析。

5.3.1 交换机流请求速率分析

对交换机流请求速率进行分析。在数据采集过程中，对交换机发送的packet_in数据帧进行了采样，图4显示了5台交换机的packrt_in数据帧的流量速率随时间的变化曲线。可以看到，在0~10 s这段时间内，5台交换机发送的packet_in数据帧都有所上升，此时因为随着未知流的进入，交换机需要向控制器询问流表规则；控制器下发规则之后，10~30 s时间的packet_in速率趋于平缓；在30 s之后的一段时间内，交换机1、交换机4、交换机5的packet_in数据帧的速率骤升，但是期间达到的峰值并不相同，并且维持了一段时间，整个过程持续了30 s。在此过程结束之后，packet_in数据帧的速率和正常交换机的速率大致相等。

图4 packet_in数据帧流量变化曲线

根据在采样过程中统计的packet_in数据帧的数量，依据式(3)得到了各交换机的流请求速率，5台交换机的流请求速率随时间的变化曲线如图5所示。

图5 交换机流请求速率变化曲线

5.3.2 四元组条件熵分析

图6中的(a)、(b)、(c)、(d)分别代表了通过受损交换机1、受损交换机4、受损交换机5的流量的(sip|dip)，(dport|dip)，(sip|dport)，(psize|dip)随时间的变化曲线。由于在DDoS攻击中前3种条件熵都表现出明显的多对一特征，而正常流量间具有多对一、一对多与一对一等多种映射关系，因此在图6(a)、(b)和(c)中可以看出相应的条件熵都有明显的升高。从图6(d)可以看出，合法数据分组对目标发送的数据分组的大小往往是无规律的，此时熵值较高，并且趋于平稳。当存在攻击流量时，由于数据分组通常具有固定长度，因此相对于正常值熵值有所下降。上述四元组特征在攻击前后都表现出了明显的差异性，可以用来检测SDN是否遭受到了DDoS攻击。

图6 条件熵变化曲线对比图

5.3.3 检测率分析

在检测过程中，将本文方法分别和GHSOM方法、SOM方法以及熵检测法进行了对比，并使用了相同的采样数据。依照文献[12]提取了七元组特征、依照文献[11]提取了六元组特征、依照文献[9]对目的地址求熵的方法分别进行了实验验证。在实验中，对正常流量和攻击流量分别进行了3 700次和2 300次训练，1 500次和2 000次检测。

通过实际检测，得到了如下的检测结果，如表1所示。实验选取了较有代表性的neptune攻击、portsweep攻击和ipsweep攻击，这3种DDoS攻击都可以对控制器产生较大影响。通过TFN2K攻击软件发送不同的攻击流量，将4种检测方法的检测率进行了对比。从表1可以看出，MBCE&G检测方法和其他3种相比，都拥有较高的检测率。其中，针对portsweep的攻击，熵检测法的检测率较低。因为这种攻击是为了侦测网络中的更多主机，目的IP地址较为分散，所以熵检测法中基于目的IP地址的熵值会比较高，导致检测率较低。同理，熵检测法对ipsweep攻击的检测率也不理想。而本文所提出的MBCE&G检测方法，在检测之前确定了受损交换机，并且以目的地址和目的端口为基准提取了不同的条件熵。相比文献[12]的七元组特征、文献[11]的六元组特征、文献[9]的特征选取更加明确，更能突出针对控制器的DDoS攻击流量的多对一特征。

表1 检测率对比

5.3.4 检测性能及算法开销分析

为了评估算法的检测性能，针对neptune、portsweep、ipsweep攻击，将MBCE&G检测方法和GHSOM检测方法、SOM检测方法以及熵检测法在检测时间上进行了比较，实验结果如表2所示。

表2 检测时间对比

从检测时间的对比可以看出，MBCE&G检测方法的检测时间比其他3种检测方法的检测时间要长，这主要是因为MBCE&G检测方法比其他3种检测方法更加复杂。和GHSOM检测方法相比，MBCE&G增加了对受损交换机的判定；GHSOM神经网络的扩展过程相比SOM神经网络具有更多的迭代运算；熵检测法由于只需对熵值和阈值进行对比，检测过程较为简单，所需时间较短。

除此之外，针对神经网络的训练过程，可独立进行线下训练，因此神经网络的训练过程对检测方法的影响可以忽略。

MBCE&G检测方法在检测过程中的开销主要包括2个部分：受损交换机的判断和GHSOM神经网络的分类判断。受损交换机的判断阶段的计算复杂度主要由网络中交换机的数量和检测周期内时隙的数量来决定，在本实验中交换机数量为5台，时隙数量为20，而在实际网络部署中此阶段的计算复杂度由网络中交换机的数量决定。GHSOM神经网络的分类判断的计算复杂度主要由待检测样本的数量和算法本身的匹配时间来决定，在本实验中检测样本数量为1 500个连续样本，算法本身的匹配时间受神经元的匹配过程影响，单位小于待检测样本的数量，因此在实际网络部署中此阶段的计算复杂度由待检测的样本数量决定。

因此，MBCE&G检测方法的计算复杂度为()，其中，为交换机的数量，为待检测样本的数量。

综上所述，MBCE&G的检测时延不足0.6 s，远小于采样周期5 s。在实际运行中，若对检测速度有较高的要求，可冗余设置多个检测模块，以流水线的形式并行处理检测任务，以此来弥补单一检测模块不足以应对海量数据的缺陷。综上所述，本文提出的MBCE&G检测方法是可行的。

6 结束语

本文介绍了SDN中一种针对控制器的DDoS攻击，分析了其攻击特征，并且针对这种攻击提出了MBCE&G检测算法。该检测算法在进行检测之前精确定位受损交换机，进而确定了可疑攻击流，之后以条件熵的形式对流量进行了特征提取，最后利用了神经网络强大的分类能力完成攻击检测。实验将MBCE&G检测算法与经典的熵检测法、基于SOM神经网络的六元组检测法和基于GHSOM神经网络的七元组检测法进行了比较，实验结果表明，MBCE&G检测方法可以有效检测SDN中针对控制器的DDoS攻击。

[1] KREUTZ D, RAMOS F M V, ESTEVES V P, et al. Software-defined networking: a comprehensive survey[J]. Proceedings of the IEEE, 2014, 103(1):10-13.

[2] SEZER S, SCOTT H S, CHOUHAN P K, et al. Are we ready for SDN? implementation challenges for software-defined networks[J]. IEEE Communications Magazine, 2013, 51(7):36-43.

[3] SHIN S, GU G. Attacking software-defined networks: a first feasibility study[C]// ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING., 2013:165-166.

[4] NEELAM D, SHASHANK S. Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN[C]//IEEE International Conference on Communication System and Networks (COMSNETS), 2017.

[5] CHEN K Y, JUNUTHULA A R, SIDDHRAU I K ,et al. SDNShiled: towards more comprehensive defense against DDoS attacks on SDN control plane[C]//IEEE Conference on Communications and Networks Security (CNS). 2016.

[6] KLOTI R, KOTRONIS V, SMITH P. OpenFlow: a security analysis[C]//IEEE International Conference on Network Protocols. 2013: 1-6.

[7] BENTON K, CAMP L J, SMALL C. OpenFlow vulnerability assessment[C]// ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING. 2013:151-152.

[8] DAYAL N, MAITY P, SRIVASTAVA S, et al. Research trends in security and DDoS in SDN[J]. Security & Communication Networks, 2016, 9.

[9] MOUSAVI S M, STHILAIRE M. Early detection of DDoS attacks against SDN controllers[C]// International Conference on Computing, NETWORKING and Communications. 2015:77-81.

[10] DONG P, DU X, ZHANG H, et al. A detection method for a novel DDoS attack against SDN controllers by vast new low-traffic flows[C]//IEEE International Conference on Communications. 2016:1-6.

[11] BRAGA R, MOTA E, PASSITO A. Lightweight DDoS flooding attack detection using NOX/OpenFlow[C]// Conference on Local Computer Networks. 2010:408-415.

[12] 姚琳元, 董平, 张宏科. 基于对象特征的软件定义网络分布式拒绝服务攻击检测方法[J]. 电子与信息学报, 2017, 39(2): 381-388. YAO L Y, DONG P, ZHANG H K. Distributed denial of service attack detection based on object character in software defined network[J]. Journal of Electronica & Information Technology, 2017, 39(2): 381-388.

[13] 杨雅辉, 姜电波, 沈晴霓, 等. 基于改进的GHSOM的入侵检测研究[J]. 通信学报, 2011, 32(1): 121-126. YANG Y H, JIANG D B, SHEN Q N, et al. Research on intrusion detection based on an improved GHSOM[J]. Journal on Communications, 2011, 32(1): 121-126.

[14] 阳时来, 杨雅辉, 沈晴霓, 等. 一种基于半监督GHSOM的入侵检测方法[J]. 计算机研究与发展, 2013, 50(11): 2375-2382. YANG S L, YANG Y H, SHEN Q N, et al. A method of intrusion detection based on semi-supervised GHSOM[J]. Journal of Computer Research and Development, 2013, 50(11): 2375-2382.

[15] SHANNON C E. A mathematical theory of communication[J]. ACM Sigmobile Mobile Computing & Communications Review, 1948, 27(4): 379-423.

[16] MA D, XU Z, LIN D. Defending blind DDoS attack on SDN based on moving target defense[C]//International Conference on Security and Privacy in Communication Systems. 2014: 463-480.

[17] BORGNAT P, DEWAELE G, FUKUDA K, et al. Seven years and one day: sketching the evolution of internet traffic[C]// INFOCOM. 2009: 711-719.

DDoS attack detection method based on conditional entropy and GHSOM in SDN

TIAN Junfeng1,2, QI Liuling1,2

1. School of Cyber Security and Computer, Hebei University, Baoding 071002, China 2. Key Lab on High Trusted Information System in Hebei Province, Baoding 071002, China

Software defined networking (SDN) simplifies the network architecture, while the controller is also faced with a security threat of “single point of failure”. Attackers can send a large number of forged data flows that do not exist in the flow tables of the switches, affecting the normal performance of the network. In order to detect the existence of this kind of attack, the DDoS attack detection method based on conditional entropy and GHSOM in SDN (MBCE&G) was presented. Firstly, according to the phased features of DDoS, the damaged switch in the network was located to find the suspect attack flows. Then, according to the diversity characteristics of the suspected attack flow, the quaternion feature vector was extracted in the form of conditional entropy, as the input features of the neural network for more accurate analysis. Finally, the experimental environment was built to complete the verification. The experimental results show that MBCE&G detection method can effectively detect DDoS attacks in SDN network.

software defined networking, conditional entropy, neural network, DDoS attack

TP309

A

10.11959/j.issn.1000−436x.2018140

田俊峰（1965−），男，河北保定人，河北大学教授、博士生导师，主要研究方向为信息安全与分布式计算。

齐鎏岭（1992−），男，河北保定人，河北大学硕士生，主要研究方向为信息安全与分布式计算。

2017−09−08；

2018−07−03

国家自然科学基金资助项目（No.61170254）；河北省自然科学基金资助项目（No.F2016201244）

The National Natural Science Foundation of China (No.61170254), The Natural Science Foundation of Hebei Province (No.F2016201244)