Генетичний алгоритм захисту SDN від мережевих атак
This paper examines the problem of detecting and blocking network attacks using SDN. This problem is formulated as the problem of finding the "correct" vector, in fact, it is the task of the binary integer programming. The DDoS-attack is used as a network attack. A mathematical mod...
Gespeichert in:
| Datum: | 2016 |
|---|---|
| 1. Verfasser: | |
| Format: | Artikel |
| Sprache: | Russisch |
| Veröffentlicht: |
The National Technical University of Ukraine "Igor Sikorsky Kyiv Polytechnic Institute"
2016
|
| Schlagworte: | |
| Online Zugang: | https://journal.iasa.kpi.ua/article/view/56028 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | System research and information technologies |
| Завантажити файл: |  |
Institution
System research and information technologies| _version_ | 1866301624898551808 |
|---|---|
| author | Zabielin, Stanislav Igorovych |
| author_facet | Zabielin, Stanislav Igorovych |
| author_sort | Zabielin, Stanislav Igorovych |
| baseUrl_str | http://journal.iasa.kpi.ua/oai |
| collection | OJS |
| datestamp_date | 2018-03-30T15:27:05Z |
| description | This paper examines the problem of detecting and blocking network attacks using SDN. This problem is formulated as the problem of finding the "correct" vector, in fact, it is the task of the binary integer programming. The DDoS-attack is used as a network attack. A mathematical model of the problem and algorithm to identify sets of attacking hosts from the recorded data is developed. Upon detection of the set, the problem is reduced to the problem of preventing the attack, which means blocking IP-addresses. To evaluate the effectiveness of the proposed algorithm of intrusion detection, experimental studies have been conducted. To simulate SDN networks, Mininet network emulator was used. The task of the binary integer programming was solved. The analysis of results confirms that using SDN advantages, namely, centralized management and flexibility, we were able to implement a genetic algorithm, which protected the network from one of the most common network attacks — DDoS. |
| doi_str_mv | 10.20535/SRIT.2308-8893.2016.2.02 |
| first_indexed | 2025-07-17T10:19:40Z |
| format | Article |
| fulltext |
© С.И. Забелин, 2016
14 ISSN 1681–6048 System Research & Information Technologies, 2016, № 2
УДК 004.7, 004.05
DOI: 10.20535/SRIT.2308-8893.2016.2.02
ГЕНЕТИЧЕСКИЙ АЛГОРИТМ ЗАЩИТЫ SDN
ОТ СЕТЕВЫХ АТАК
С.И. ЗАБЕЛИН
Рассмотрены проблемы обнаружения и блокирования сетевых атак при помо-
щи SDN. Эта проблема сформулирована как задача нахождения «правильного»
вектора и является задачей бинарного целочисленного программирования.
В качестве сетевой атаки рассматривается DDoS-атака. Построена математи-
ческая модель задачи и разработан ее алгоритм, позволяющий выявить множе-
ства атакующих хостов по зарегистрированным данным в сети. При обнару-
жении множества задача сводиться к предотвращению атаки, т.е. блокировке
по IP-адресам. Для оценки эффективности предложенного алгоритма опера-
тивного управления трафиком и обнаружения сетевых атак были проведены
экспериментальные исследования. Для моделирования SDN сетей использо-
вался эмулятор сетей Mininet. Решена задача бинарного целочисленного про-
граммирования. Анализ результатов подтверждает, что, используя преимуще-
ства SDN, а именно централизацию управления, гибкость, удалось реализовать
генетический алгоритм, защищающий сеть от одной из самых распространён-
ных сетевых атак — DDoS.
ВВЕДЕНИЕ
Ценность SDN сетей состоит в их особенности обеспечивать сетевую вир-
туализацию, динамическую политику управления данными и полный кон-
троль над сетевыми сущностями по всей сети [1]. Такие протоколы, как
OpenFlow позволяют реализовать эти возможности SDN. Но при централи-
зации плоскости управления SDN становится лабиринтом для администра-
торов с целью обеспечения безопасности и корректного функционирования
всей сети. Некоторые вредоносные сетевые сущности могут быть использо-
ваны для перехвата ценной информации пользователей или прекращения
работы всей сети [6].
В работе рассматривается задача выявления множества атак (IP-адресов
злоумышленников) по зарегистрированным данным о событиях в сети. При
обнаружении множества задача сводиться к предотвращению атаки, т. е.
блокировке по IP-адресам, например, методом black hole filtering (фильтра-
ция черной дырой).
В качестве сетевой атаки рассматривается DDoS-атака — атака типа
«отказ в обслуживании» (Distributed Denial of Service) — один из наиболее
популярных видов атак на вычислительную систему. Цель — парализовать
работу атакуемого веб-узла.
ПОСТАНОВКА ЗАДАЧИ
Пусть bN — количество типов событий, генерируемых DDoS-атакой.
Пусть aN — количество известных типов DDoS-атак.
Генетический алгоритм защиты sdn от сетевых атак
Системні дослідження та інформаційні технології, 2016, № 2 15
Пусть AE это ae NN × — матрица атак-событий, которая представляет
множества событий генерируемых каждой атакой; ijAE — количество со-
бытий типа i , сгенерированных сценарием атаки j ( 0≥ijAE ).
Пусть R это aN -размерный вектор весов, где iR ( 0>iR ) — вес i -й
атаки.
Пусть O это eN -размерный вектор, где iO — количество событий i -го
типа ( O — наблюдаемый след).
Пусть H это aN -размерный вектор гипотезы, где 1=iH , если i -я атака
соответствует гипотезе, и 0=iH — в противном случае.
Чтобы правильно проанализировать наблюдаемый след ( O ), который
генерируется одной или несколькими типами DDoS-атак, необходимо найти
вектор H , который максимизирует HR× (задача пессимиста), при ограни-
чениях ii OHAE ≤).( )1( aNi ≤≤ .
Нахождение «правильного» H вектора, по сути, является задачей би-
нарного целочисленного программирования, которое является NP-полной
задачей. Применить классические алгоритмы невозможно, так как в данной
задаче eN равняется нескольким сотням.
Выбран следующий эвристический подход к решению NP-полной зада-
чи: генерируется случайная гипотеза, проверяется правильность гипотезы,
тестируется улучшенная гипотеза и т.д. до тех пор, пока решение не будет
найдено.
Необходимо найти алгоритм, который мог генерировать новые гипоте-
зы на основе предыдущих гипотез: этим алгоритмом стал генетический ал-
горитм.
ПОСТРОЕНИЕ ФУНКЦИИ ПРИГОДНОСТИ
Две подзадачи возникают при применении генетического алгоритма для
решения задачи:
1) кодирование решения задачи в строку из битов;
2) нахождение функции пригодности как критерия для операции от-
бора.
Для решения задачи кодирования используется следующий подход:
длина каждого индивидуума равна aN и каждый индивидуум в популяции
соответствует конкретному вектору H .
Для нахождения функции пригодности необходимо произвести поиск
среди всех множеств возможных атак, представляющих наибольшую опас-
ность системе, т.е. максимизировать произведение R и H . Получаем функ-
цию пригодности:
i
N
i
i IRF
a
.
1
∑
=
= ,
где I — индивидуум.
С.И. Забелин
ISSN 1681–6048 System Research & Information Technologies, 2016, № 2 16
Но функция пригодности не учитывает ограничения, т.е. из всего мно-
жества возможных индивидуумов не все являются «реалистичными».
В этом случае для некоторых типов событий i не будет выполняться
ii OHAE ≤).( . Для выполнений ограничений введем штраф для «нереали-
стичных» индивидуумов [3]. Введем штрафную функцию P , которая уве-
личивается, если «реализм» индивидуума уменьшается. Пусть eT — коли-
чество типов событий, для которых ii OHAE >).( . Тогда
.p
eTP =
Для функции пригодности выберем квадратную штрафную функцию
( 2=p ). Тогда функция пригодности приобретает следующий вид:
⎟
⎟
⎠
⎞
⎜
⎜
⎝
⎛
β−+α= ∑
=
2
1
..)( ei
N
i
ii TIRIF
a
,
где β — вес штрафной функции; α — порог для обеспечения положитель-
ных значений в функции пригодности. Если негативная пригодность найде-
на, то соответствующий индивидуум не может быть отобран. Параметр α
позволяет отсеять слишком нереалистичные гипотезы.
ГЕНЕТИЧЕСКИЙ АЛГОРИТМ ОБНАРУЖЕНИЯ DDOS-АТАК
Прототип генетического алгоритма обнаружения DDoS-атак находит вектор
,H который максимизирует произведение HR. с ограничениями
ii OHAE ≤).( .)1( aNi ≤≤ Если наблюдаемый след слишком длинный, то
след ограничивается aN -размерным вектором. Для экспериментального ис-
следования избран базис для фазы наблюдения 15 с. После фазы обнаруже-
ния по наблюдаемым данным заполняются вектора наблюдаемых следов.
Разработана матрица атак-событий с 6 типами DDoS-атак и с 28 возможны-
ми событиями.
Каждый эксперимент можно охарактеризовать следующим набором
параметров: ),,,( aLPP mc , где cP — вероятность размножения; mP — веро-
ятность мутации; L — размер популяции; a — количество атак, присутст-
вующих в следе. Для каждого набора произведено 10 запусков (все резуль-
таты усреднены по 10 запускам).
Генетический алгоритм обнаружения DDoS-атак был реализован на
языке Python с помощью API контроллера SDN POX [4]. Выбранный кон-
троллер является наиболее удачным для целей исследования. Контроллер
POX в своем составе имеет программный интерфейс (API) на языке Python
для приложений управления сетью [2].
Для моделирования SDN сетей использовался эмулятор сетей Mininet.
Эмулятор позволяет создать виртуальные сети с реальными рабочими ком-
понентами (коммутаторами, рабочими станциями, контроллерами) [5].
Mininet ведет себя как настоящая машина и запускает тот же код, что
и она. Хост Mininet представляет собой оболочку машины, в которую будут
Генетический алгоритм защиты sdn от сетевых атак
Системні дослідження та інформаційні технології, 2016, № 2 17
запускаться различные программы. Хосты могут посылать, получать и об-
рабатывать пакеты так, будто программа является настоящим Ethernet, но
в сущности является виртуальным коммутатором/интерфейсом. Пакеты
виртуальных коммутаторов, которые для Mininet хостов становятся реаль-
ными Ethernet коммутаторами или маршрутизаторами, обрабатываются в
зависимости от того, как они настроены [1].
РЕЗУЛЬТАТЫ
Наиболее важным аспектом для алгоритма является безопасность, поэтому
для исследования выбраны два параметры: pT и aT :
pT отвечает за долю индивидуумов, которые обнаружили существую-
щую атаку;
aT отвечает за долю индивидуумов, которые обнаружили несущест-
вующую атаку.
В начале работы алгоритма 5,00 ≅pT и 5,00 ≅aT (так как изначальные
популяции сгенерированы случайно). В конце работы алгоритма теорети-
чески параметры должны быть такими: 1=pT и 0=aT (все существующие
атаки обнаружены, а несуществующие атаки не обнаружены).
Эволюция pT и aT при генерации новых поколений показана на рис. 1
и 2. На рис. 1 по оси абсцисс отложены номера поколений (итерации), по
оси ординат — pT и aT . После 100 поколений pT и aT равны 0,997 и 0,0042
соответственно, что близко к их оптимальным значениям.
Из рис. 2, на котором показана зависимость функции пригодности от
номера поколения, видно, что максимальное значение функции пригодности
Рис. 1. Эволюция pT и aT при генерации новых поколений
Д
ол
я
ин
ди
ви
ду
ум
ов
Номер поколения
1
0,9
0,8
0,7
0,6
0,5
0,4
0,3
0,2
0,1
0
С.И. Забелин
ISSN 1681–6048 System Research & Information Technologies, 2016, № 2 18
быстро сходится до оптимума (примерно через 20 поколений). Количество
генерируемых атак не повлияло на результат.
Соотношение времени выполнения алгоритма (в секундах) при изме-
нении количества DDoS-атак показано на рис. 3. Так, при 200 атаках гене-
тическому алгоритму обнаружения DDoS-атак требуется 10 мин 35 с для
анализа.
ВЫВОДЫ
Используя преимущества SDN, а именно централизацию управления, гиб-
кость, удалось реализовать генетический алгоритм, защищающий сеть от
одной из самых распространённых сетевых атак — DDoS.
Рис. 2. Значение функции пригодности на протяжении 100 поколений
250
200
150
100
50
0
0 20 40 60 80 100
Зн
ач
ен
ия
ф
ун
кц
ии
п
ри
го
дн
ос
ти
Номер поколения
Рис. 3. Время работы выполнения алгоритма (ось абсцисс) при изменении
количества DDoS-атак (ось ординат)
В
ре
мя
в
ы
по
лн
ен
ия
, с
Количество DDoS-атак
Генетический алгоритм защиты sdn от сетевых атак
Системні дослідження та інформаційні технології, 2016, № 2 19
Приведены результаты экспериментальных исследований, которые на-
правлены на подтверждение применения разработанных методов и инстру-
ментов в практической работе.
ЛИТЕРАТУРА
1. Nadeau T. SDN: Software Defined Network [Text] / T. Nadeau, K. Gray. — Wash-
ington: O’Reilly Media, 2013. — P. 9–11.
2. Open Networking Lab - Confluence [Електронний ресурс] : POX Wiki.Ali Al-Shabibi.
— Режим доступу: https://openflow.stanford.edu/display/ONL/POX+Wiki
3. Holland J. Adaptation in natural and artificial systems [Text] / J. Holland. — Uni-
versity of Michigan Press, Ann Arbor, 1975. — P. 2.
4. Limoncelli T. Adaptation in natural and artificial systems [Text] / T. Limoncelli. —
ACM, 2012. — 55 p.
5. Composing software-defined networks / C. Monsanto, P. Private, A. Monsanto etc.
— New York, USA: USENIX NSDI, 2013. — 13 p.
6. A security enforcement kernel for openflow networks / P. Porras, S. Shin,
V. Yegneswaran etc. — New York, USA: ACM, 2012. — 10 p.
Поступила 28.01.2016
|
| id | journaliasakpiua-article-56028 |
| institution | System research and information technologies |
| keywords_txt_mv | keywords |
| language | Russian |
| last_indexed | 2025-07-17T10:19:40Z |
| publishDate | 2016 |
| publisher | The National Technical University of Ukraine "Igor Sikorsky Kyiv Polytechnic Institute" |
| record_format | ojs |
| resource_txt_mv | journaliasakpiua/86/0acf553776a6ed72e7c17a0669f8dc86.pdf |
| spelling | journaliasakpiua-article-560282018-03-30T15:27:05Z Genetic algorithm for SDN protection against network attacks Генетический алгоритм защиты SDN от сетевых атак Генетичний алгоритм захисту SDN від мережевих атак Zabielin, Stanislav Igorovych SDN controller OPENFLOW POX network attacks MININET defensive algorithm SDN контроллер OPENFLOW POX сетевые атаки MININET защитный алгоритм SDN контроллер OPENFLOW POX мережеві атаки MININET захисний алгоритм This paper examines the problem of detecting and blocking network attacks using SDN. This problem is formulated as the problem of finding the "correct" vector, in fact, it is the task of the binary integer programming. The DDoS-attack is used as a network attack. A mathematical model of the problem and algorithm to identify sets of attacking hosts from the recorded data is developed. Upon detection of the set, the problem is reduced to the problem of preventing the attack, which means blocking IP-addresses. To evaluate the effectiveness of the proposed algorithm of intrusion detection, experimental studies have been conducted. To simulate SDN networks, Mininet network emulator was used. The task of the binary integer programming was solved. The analysis of results confirms that using SDN advantages, namely, centralized management and flexibility, we were able to implement a genetic algorithm, which protected the network from one of the most common network attacks — DDoS. Рассмотрены проблемы обнаружения и блокирования сетевых атак при помощи SDN. Эта проблема сформулирована как задача нахождения "правильного" вектора и является задачей бинарного целочисленного программирования. В качестве сетевой атаки рассматривается DDoS-атака. Построена математическая модель задачи и разработан ее алгоритм, позволяющий выявить множества атакующих хостов по зарегистрированным данным в сети. При обнаружении множества задача сводиться к предотвращению атаки, т.е. блокировке по IP-адресам. Для оценки эффективности предложенного алгоритма оперативного управления трафиком и обнаружения сетевых атак были проведены экспериментальные исследования. Для моделирования SDN сетей использовался эмулятор сетей Mininet. Решена задача бинарного целочисленного программирования. Анализ результатов подтверждает, что, используя преимущества SDN, а именно централизацию управления, гибкость, удалось реализовать генетический алгоритм, защищающий сеть от одной из самых распространённых сетевых атак — DDoS. Розглянуто проблеми виявлення та блокування мережевих атак за допомогою SDN. Це завдання сформульовано як задачу знаходження "правильного" вектора і являє собою задачу бінарного цілочислового програмування. Як мережева атака розглядається DDoS-атака. Побудовано математичну модель задачі та розроблено її алгоритм, що дозволяє виявити множину атакуючих хостів за зареєстрованими даними в мережі. У разі виявлення множини завдання зводитися до запобігання атаці, тобто блокування за IP-адресами. Для оцінювання ефективності запропонованого алгоритму оперативного керування трафіком і виявлення мережевих атак проведено експериментальні дослідження. Для моделювання SDN мереж використовувався емулятор мереж Mininet. Розв’язано задачу бінарного цілочислового програмування. Аналіз результатів підтверджує, що, використовуючи переваги SDN, а саме централізацію керування, гнучкість, удалося реалізувати генетичний алгоритм, що захищає мережу від однієї з найпоширеніших мережевих атак — DDoS. The National Technical University of Ukraine "Igor Sikorsky Kyiv Polytechnic Institute" 2016-06-21 Article Article application/pdf https://journal.iasa.kpi.ua/article/view/56028 10.20535/SRIT.2308-8893.2016.2.02 System research and information technologies; No. 2 (2016); 14-19 Системные исследования и информационные технологии; № 2 (2016); 14-19 Системні дослідження та інформаційні технології; № 2 (2016); 14-19 2308-8893 1681-6048 ru https://journal.iasa.kpi.ua/article/view/56028/71109 Copyright (c) 2021 System research and information technologies |
| spellingShingle | SDN контроллер OPENFLOW POX мережеві атаки MININET захисний алгоритм Zabielin, Stanislav Igorovych Генетичний алгоритм захисту SDN від мережевих атак |
| title | Генетичний алгоритм захисту SDN від мережевих атак |
| title_alt | Genetic algorithm for SDN protection against network attacks Генетический алгоритм защиты SDN от сетевых атак |
| title_full | Генетичний алгоритм захисту SDN від мережевих атак |
| title_fullStr | Генетичний алгоритм захисту SDN від мережевих атак |
| title_full_unstemmed | Генетичний алгоритм захисту SDN від мережевих атак |
| title_short | Генетичний алгоритм захисту SDN від мережевих атак |
| title_sort | генетичний алгоритм захисту sdn від мережевих атак |
| topic | SDN контроллер OPENFLOW POX мережеві атаки MININET захисний алгоритм |
| topic_facet | SDN controller OPENFLOW POX network attacks MININET defensive algorithm SDN контроллер OPENFLOW POX сетевые атаки MININET защитный алгоритм SDN контроллер OPENFLOW POX мережеві атаки MININET захисний алгоритм |
| url | https://journal.iasa.kpi.ua/article/view/56028 |
| work_keys_str_mv | AT zabielinstanislavigorovych geneticalgorithmforsdnprotectionagainstnetworkattacks AT zabielinstanislavigorovych genetičeskijalgoritmzaŝitysdnotsetevyhatak AT zabielinstanislavigorovych genetičnijalgoritmzahistusdnvídmereževihatak |