基于Renyi熵的SDN自主防护系统

doi:10.11959/j.issn.2096-109x.2021049

网络与信息安全学报 ›› 2021, Vol. 7 ›› Issue (3): 85-94.doi: 10.11959/j.issn.2096-109x.2021049

• 专栏Ⅱ：SDN与云计算安全 • 上一篇下一篇

基于Renyi熵的SDN自主防护系统

赵普¹, 赵文涛¹, 付章杰², 刘强¹

¹ 国防科技大学计算机学院，湖南长沙 410073
² 南京信息工程大学计算机与软件学院，江苏南京 210044

修回日期:2020-11-16 出版日期:2021-06-15 发布日期:2021-06-01
作者简介:赵普（1991- ），男，河南安阳人，国防科技大学硕士生，主要研究方向为软件定义网络安全
赵文涛（1978- ），男，博士，内蒙古凉城人，国防科技大学教授、博士生导师，主要研究方向为网络性能优化、信息处理和机器学习
付章杰（1983- ），男，博士，河南南阳人，南京信息工程大学教授、博士生导师，主要研究方向为网络与信息安全等
刘强（1986- ），男，博士，江西临川人，国防科技大学副教授，主要研究方向为网络安全和机器学习
基金资助:
国家自然科学基金(U1811462);国家自然科学基金(61702539);湖南省自然科学基金(2018JJ3611)

SDN self-protection system based on Renyi entropy

Pu ZHAO¹, Wentao ZHAO¹, Zhangjie FU², Qiang LIU¹

¹ College of Computer, National University of Defense Technology, Changsha 410073, China
² School of Computer ＆Software, Nanjing University of Information Science ＆Technology, Nanjing 210044, China

Revised:2020-11-16 Online:2021-06-15 Published:2021-06-01
Supported by:
The National Natural Science Foundation of China(U1811462);The National Natural Science Foundation of China(61702539);The Natural Science Foundation of Hunan Province(2018JJ3611)

摘要/Abstract

摘要：

针对SDN架构下的常见网络异常行为，提出了一套基于Renyi熵的SDN自主防护系统，该系统可实现网络异常行为检测、诊断及防御。系统无须引入第三方测量设备，直接利用OpenFlow交换机流表信息。首先，通过计算和检测特征熵值，实现异常网络行为的检测。然后，进一步分析OpenFlow流表信息，实现异常行为的诊断。最后，实施防御控制措施，建立一套黑名单机制，将产生异常行为的主机加入黑名单，并阻塞相应的异常流量。为了验证系统的有效性，在Floodlight控制器上开发了原型。Mininet上的仿真实验表明，系统能够有效检测、诊断及防御网络中常见的异常行为，且具有较低的部署成本，增强了SDN的安全性。

关键词: 软件定义网络, 网络异常检测, Renyi熵, OpenFlow协议

Abstract:

Aiming at the abnormal behaviors in SDN architecture, a self-protection system based on Renyi entropy that implemented a set of detection, diagnosis and defense method of SDN abnormal behaviors was proposed.The system did not need to introduce the third-party measurement equipment, and directly used the flow table information of OpenFlow switches.Firstly, the abnormal network behavior was detected by calculating the characteristic entropy.Then, the information of the OpenFlow flow table was further analyzed to realize the diagnosis of abnormal behavior.Finally, a blacklist mechanism was established.And the system added the hosts with abnormal behavior to the blacklist and blocked the corresponding abnormal traffic.In order to verify the effectiveness of the system, a prototype was developed on the Floodlight controller.The simulation results on Mininet show that the system can effectively detect, diagnose and defend the abnormal behaviors.The system has low deployment cost, which enhances the security of SDN.

Key words: software defined network, anomaly detection, Renyi entropy, OpenFlow protocol

中图分类号:

TP393

赵普, 赵文涛, 付章杰, 刘强. 基于Renyi熵的SDN自主防护系统[J]. 网络与信息安全学报, 2021, 7(3): 85-94.

Pu ZHAO, Wentao ZHAO, Zhangjie FU, Qiang LIU. SDN self-protection system based on Renyi entropy[J]. Chinese Journal of Network and Information Security, 2021, 7(3): 85-94.

图/表 10

表1

图1

表2

表3

图2

图3

图4

图5

图6

图7

参考文献 17

[1]	BRAGA R , MOTA E , PASSITO A . Lightweight DDoS flooding attack detection using NOX/OpenFlow[C]// The 35th Annual IEEE Conference on Local Computer Networks. 2010.
[2]	BEHAL S , SINGH J . Detection and mitigation of DDoS attacks in SDN:a comprehensive review,research challenges and future directions[J]. Computer Science Review, 2020,37: 1-25.
[3]	MCKEOWN N , ANDERSON T , BALAKRISHNAN H ,et al. OpenFlow:enabling innovation in campus networks[J]. ACM Sigcomm Computer Communication Review, 2008,38(2): 69-74.
[4]	ZHAO P , ZHAO W , LIU Q . Multi-objective link-separation multipath selection using k max-min for software-defined MANET[C]// 2019 15th International Conference on Mobile Ad-Hoc and Sensor Networks (MSN). 2019: 253-258.
[5]	SALMAN O , ELHAJJ I H , KAYSSI A ,et al. A review on machine learning-based approaches for Internet traffic classification[J]. Annals of Telecommunications, 2020: 1-38.
[6]	WILLIAMS N , ZANDER S , ARMITAGE G . A preliminary performance comparison of five machine learning algorithms for practical IP traffic flow classification[J]. ACM SIGCOMM Computer Communication Review, 2006,36(5): 5-16.
[7]	LAKHINA A , CROVELLA M , DIOT C . Mining anomalies using traffic feature distributions[C]// ACM Sigcomm Conference on Applications. 2005:217.
[8]	FIADINO P D , DALCONZO A , SCHIAVONE M ,et al. Challenging entropy-based anomaly detection and diagnosis in cellular networks[J]. ACM Sigcomm Computer Communication Review, 2015,45(4): 87-88.
[9]	TIMCENKO V V , IBRAHIM J , GAJIN S . The hybrid machine learning support for entropy based network traffic anomaly detection[C]// ICIST 2019. 2019: 144-149.
[10]	IBRAHIM J , TIMCENKO V V , GAJIN S . A comprehensive flow-based anomaly detection architecture using entropy calculation and machine learning classification[C]// ICIST 2019. 2019: 138-143.
[11]	SHUKLA A S , MAURYA R . Entropy-based anomaly detection in a network[J]. Wireless Personal Communications, 2018,99: 1487-1501.
[12]	SCHAEFFER-FILHO A , MAUTHE A , HUTCHISON D ,et al. PReSET:a toolset for the evaluation of network resilience strategies[C]// IFIP/IEEE International Symposium on Integrated Network Management. 2013.
[13]	STONE-GROSS B , COVA M , GILBERT B ,et al. Analysis of a Botnet Takeover[J]. IEEE Security ＆ Privacy, 2011,9(1): 64-72.
[14]	WANG Q , CHEN Z , CHEN C ,et al. On the robustness of the botnet topology formed by worm infection[C]// Global Telecommunications Conference. 2010.
[15]	周佳骏, 汪婷婷 . 基于计算机网络对抗的 Agobot 实例分析[J]. 网络安全技术与应用, 2013,(7): 86-88.
	ZHOU J J , WANG T T . Instance analysis of Agobot based on computer network operations[J]. Network Security Technology ＆ Application, 2013,(7): 86-88.
[16]	李世杰, 倪洪 . 面向DDoS防御设备安全性测试的Scapy应用[J]. 网络安全技术与应用, 2020,(1): 20-22.
	LI S J , NI H . Scapy application for DDoS defense equipment se curity test[J]. Network Security Technology and Application, 2020,(1): 20-22.
[17]	KAUR K , SINGH J , GHUMMAN N S . Mininet as Software Defined Networking Testing Platform[C]// International Conference on Communiction,Computing ＆ Systems. 2014.

恶意行为标记向量	网络异常行为	异常行为特点
（0,1,0,0,0,0）	端口扫描	目的端口号熵值显著增加
（0,1,1,0,0,0）	蠕虫病毒传播	目的端口号和源IP熵值显著下降
（0,1,0,1,0,0）	DDoS攻击	目的IP和目的端口号显著下降

源端口	目的端口	源IP	目的IP	源MAC	目的MAC
tcp_src	tcp_dst	ipv4_src	ipv4_dst	eth_src	eth_dst

匹配包数	传输字节数	活跃时间
packet_count	byte_count	duration_sec

基于Renyi熵的SDN自主防护系统

SDN self-protection system based on Renyi entropy

在线阅读

pdf下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 10

参考文献 17

相关文章 15

Metrics

推荐阅读 0

[1]	王泽南, 李佳浩, 檀朝红, 皮德常. 面向网络安全资源池的智能服务链系统设计与分析[J]. 网络与信息安全学报, 2022, 8(4): 175-181.
[2]	王洋, 汤光明, 王硕, 楚江. 基于API调用管理的SDN应用层DDoS攻击防御机制[J]. 网络与信息安全学报, 2022, 8(2): 73-87.
[3]	何威振, 陈福才, 牛杰, 谭晶磊, 霍树民, 程国振. 面向网络层的动态跳变技术研究进展[J]. 网络与信息安全学报, 2021, 7(6): 44-55.
[4]	陈浩宇, 邹德清, 金海. 面向SDN/NFV环境的网络功能策略验证[J]. 网络与信息安全学报, 2021, 7(3): 59-71.
[5]	王涛, 陈鸿昶. 考虑拜占庭属性的SDN安全控制器多目标优化部署方案[J]. 网络与信息安全学报, 2021, 7(3): 72-84.
[6]	吴奇,陈鸿昶. 低故障恢复开销的软件定义网络控制器布局算法[J]. 网络与信息安全学报, 2020, 6(6): 97-104.
[7]	李国春,马睿,马季春,李伯中,刘惠明,张桂玉. 广域网出口流量调度SDN部署研究[J]. 网络与信息安全学报, 2020, 6(5): 148-157.
[8]	黄伟, 路冉, 刘存才, 祁思博. 基于SDN分级分域架构的QoS约束路由算法[J]. 网络与信息安全学报, 2019, 5(5): 21-31.
[9]	王洋,汤光明,雷程,韩冬. 面向链路洪泛攻击的多维检测与动态防御方法[J]. 网络与信息安全学报, 2019, 5(4): 80-90.
[10]	谭晶磊, 张红旗, 雷程, 刘小虎, 王硕. 面向SDN的移动目标防御技术研究进展[J]. 网络与信息安全学报, 2018, 4(7): 1-12.
[11]	郭中孚, 张兴明, 赵博, 王苏南. 软件定义网络数据平面安全综述[J]. 网络与信息安全学报, 2018, 4(11): 1-12.
[12]	吴奇,陈鸿昶,陈福才. 异构容错控制平面的安全性分析[J]. 网络与信息安全学报, 2018, 4(11): 32-39.
[13]	卢振平,陈福才,程国振. 软件定义网络中控制器调度时间机制设计与实现[J]. 网络与信息安全学报, 2018, 4(1): 36-44.
[14]	施江勇,杨岳湘,李文华,王森. 基于SDN的云安全应用研究综述[J]. 网络与信息安全学报, 2017, 3(5): 10-25.
[15]	卢振平,陈福才,程国振. 基于贝叶斯−斯坦科尔伯格博弈的SDN安全控制平面模型[J]. 网络与信息安全学报, 2017, 3(11): 40-49.