[发明专利]基于时间特征的SDN控制器DDoS检测与防御方法

权利要求书

1.一种基于时间特征的SDN控制器DDoS攻击检测与防御方法，其特征在于：包括以下步骤：

(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期t₁内SDN交换机的流表项集合F_P的统计数据，并将数据传送至特征计算模块,统计数据包括流表项数目、每条流表命中数据包数和每条流表存在时间；

(2)内嵌于SDN控制器的特征计算模块在周期T内收集到定量统计数据并计算得到SDN交换机端口的流表时间特征向量；

(3)在训练阶段，BP神经网络接收时间特征向量并进行迭代训练，经过足量训练最终得到用于检测DDoS攻击的时间特征模式；具体方法为：

(3.1)对每个时间特征向量进行标定，即时间特征向量对应正常流量或DDoS攻击模式，通过人工进行最终产生目标向量；

(3.2)将时间特征向量与其对应模式输入BP神经网络并调整参数：将每个标定完成的样本，即输入向量与目标向量，输入BP神经网络进行训练，每一次训练后，BP神经网络根据输出向量与目标向量的误差对连接层之间的权重矩阵进行调整；

(3.3)使用大量样本重复进行训练直到满足误差要求，最终得到两个权重矩阵，分别为输入层-隐层连接矩阵iptHidWeights与隐层-输出层连接矩阵hidOptWeights，这两个矩阵将被用于BP神经网络测试使用；

(4)在测试阶段，BP神经网络对实时计算得到的时间特征进行检测，一旦检测到DDoS攻击则封禁端口；

(5)内嵌于SDN控制器的端口恢复模块遍历封禁端口的列表，并通过特定流表项的统计数据计算端口的时间特征，动态地将恢复正常的端口解封；

时间特征是指SDN交换机中流表项的统计数据通过计算得到流量特征值，该值在时间维度上的变化情况。

2.根据权利要求1所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法，其特征在于：所述步骤(1)的具体过程为：

(1.1)数据收集模块以周期t₁向SDN控制器请求SDN交换机S流表项集合的统计数据；

(1.2)数据收集模块根据SDN交换机端口号P对流表项集合进行划分，得到各个端口的流表项集合F_P；

(1.3)筛选得到端口P对应流表项数目Num，任一流表项f命中数据包数目FlowCount、存在时间Duration，即任一流表项f的流表项数目、命中数据包数、存在时间组成特征(Num，FlowCount，Duration，f)，且f∈F_P，计算当前端口P的流表命中率：

3.根据权利要求1所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法，其特征在于：所述步骤(2)的具体过程为：

(2.1)特征计算模块以周期T＝t₂向数据收集模块请求t₂时间内SDN交换机各个端口的流表命中率总共得到的命中率数据数目为t₂/t₁，t₂是t₁的整数倍；

(2.2)特征计算模块计算任意t₁时间间隔内交换机端口流表命中率的变化率：

即

(2.3)特征计算模块得到t₂时间内共有t₂/t₁-1个变化特性，组成时间特征向量该时间特征向量的维度为t₂/t₁-1。

4.根据权利要求3所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法，其特征在于：所述步骤(2.2)的具体方法为：

统计时间t与t+t₁流表集合所有流表项命中数据包总数，统计时间t与t+t₁流表集合所有流表项存在时间总和，分别计算时间t与t+t₁每条流表项在单位时间命中的数据包数与流表项数目的比值作为实时特征值，并使用时间t+t₁与时间t的特征值之比作为t₁时间内的变化特性。