[发明专利]基于时间特征的SDN控制器DDoS检测与防御方法

说明书

本发明公开一种基于时间特征的SDN控制器DDoS攻击检测与防御方法，包括以下步骤：收集SDN交换机流表项统计数据；根据流表项统计数据计算流表在时间维度上的变化特性；使用BP神经网络对流表的时间特征样本进行训练，得到检测DDoS攻击所需的特征模式；使用BP神经网络对实时计算得到的时间特征进行判别，检测DDoS攻击；计算特定流表项的时间特征，动态地对受害端口进行恢复。本发明将SDN交换机流表的时间特征与BP神经网络相结合实现了检测针对SDN控制器的DDoS攻击这一目标，与现有方法相比可以更快速、全面地检测到针对控制器的DDoS攻击，并且支持后续对受害端口的动态恢复，减少了误封对正常业务的影响。

技术领域

本发明涉及一种SDN与DDoS攻击检测技术，具体涉及一种基于时间特征的SDN控制器DDoS攻击检测与防御方法。

背景技术

SDN，即软件定义网络，作为一种新型的网络架构，是为了解决日益庞大的网络的管理与配置问题而产生的。

传统网络面临的问题有：传统网络中的控制与转发平面是分布式且耦合的，当网络的规模不断增大会使得对整个网络的管理和配置变得十分困难：分布式的控制平面使得网络决策需要多个交换机协作，越庞大的网络需要越长的时间对网络事件进行决策，当网络达到一定规模后，网络的管理将变得十分困难；控制平面与转发平面的耦合导致两个平面互相限制，大大减慢了两个平面的技术革新速度。

在SDN中控制平面和转发平面解耦和：其中控制平面为集中式，主要由SDN控制器组成，负责进行网络中所有决策；而转发平面为分布式，主要由SDN交换机组成，负责执行控制平面的决策。集中式的控制平面可以产生网络的全局视图，可以更快地对网络事件进行响应，而不需要等待交换机之间的状态同步，更重要的是SDN控制器由软件实现，支持编程进行功能的修改，真正使得网络可以通过软件定义；解耦和后的转发平面可以专注于数据转发，进而提高数据转发的速度。控制平面与转发平面的解耦和也使得两个平面可以分别更新而互不影响，加快了两个平面的技术革新。

虽然SDN相比传统网络具有更灵活、可编程的优点，同时也会产生传统网络中不存在的问题，例如控制平面的单点故障问题。由于SDN中控制平面是集中式的，所有网络决策都由控制平面处理，一旦控制平面发生故障失去了决策能力，整个网络将陷入瘫痪状态，所有业务将被强制中断。而DDoS攻击，即分布式拒绝服务攻击，作为一种传统的网络攻击方式，可以造成受害者资源耗尽失去处理能力，在SDN环境下，针对SDN控制器的DDoS攻击相比于传统的DDoS攻击将造成更大的危害。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供种基于时间特征的SDN控制器DDoS攻击检测与防御方法。

技术方案：本发明的一种基于时间特征的SDN控制器DDoS攻击检测与防御方法，包括以下步骤：

(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期t₁内SDN交换机的流表项集合F_P的统计数据，并将数据传送至特征计算模块,统计数据包括流表项数目、每条流表命中数据包数和每条流表存在时间；

(2)内嵌于SDN控制器的特征计算模块在周期T内收集到定量统计数据并计算得到SDN交换机端口的流表时间特征模式；

(3)在训练阶段，BP神经网络接收时间特征向量并进行迭代训练，经过足量训练最终得到用于检测DDoS攻击的时间特征模式；

(4)在测试阶段，BP神经网络对实时计算得到的时间特征进行检测，一旦检测到DDoS攻击则封禁端口；

(5)内嵌于SDN控制器的端口恢复模块遍历封禁端口的列表，并通过特定流表项(对应端口的封禁流表项)的统计数据计算端口的时间特征，动态地将恢复正常的端口解封。

所述步骤(1)的具体过程为：