[发明专利]一种SDN网络DDoS攻击检测方法

权利要求书

1.一种SDN网络DDoS攻击检测方法，其特征在于，具体的实现步骤如下：

步骤1.统计数据流量，在SDN的控制器中设定每个时间窗口的持续时间t和时间窗口数n，对每一时间窗口中的边界交换机提交的Packet-in包进行统计，每收集到一个Packet-in包计数器加1，当数据流量的收集窗口的总数量达到时间窗口数n，对数据流量进行预处理；

步骤2.数据流量预处理，根据泊松分布公式计算出每个时间窗口t内的Packet-in数据包数所对应的概率值，依据信息熵公式计算出n个时间窗口的实时信息熵值；

步骤3.选定信息熵阈值，对正常样本和异常样本进行训练，得到信息熵阈值；

步骤4.攻击检测判定，比较实时信息熵值与信息熵阈值，当n个时间窗口的实时信息熵值小于信息熵阈值时，判定SDN网络中存在DDoS攻击流；

步骤5.攻击报警，当SDN网络中存在DDoS攻击流时，系统报警；

步骤1中所述的时间窗口选定的方式为，将时间窗口的持续时间设为不同的持续时间，选取控制器接收数据包的分布与泊松分布理论模型偏差最小时的持续时间为时间窗口的持续时间t，再由窗口持续时间再选取时间窗口数n；

步骤2所述的对数据流量预处理，数据流量预处理主要采用泊松分布的熵值计算方法对实时采集的数据流量进行处理，根据泊松分布公式，计算出每个时间窗口内的流量的概率，

P_k(t)＝(e)^-λt(λt)^k/k！

根据信息熵公式计算出n个时间窗口内的信息熵值，

步骤3所述的对正常样本和异常样本进行训练是指，对正常样本进行流量预处理，然后采用统计分析的方法计算出多组正常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值，对异常样本进行流量预处理，然后采用统计分析的方法计算出多组异常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值；

步骤3所述的选定信息熵阈值是指，选取正常样本数据流量的置信区间的最小值和异常样本数据流量的置信区间的最大值之间的值，作为检测方法模型的阈值。