[发明专利]一种SDN网络的DoS攻击分布式检测与防御方法

权利要求书

1.一种SDN网络的DoS攻击分布式检测与防御方法，其特征在于，包括：

S1、通过异常流量检测，得到疑似被攻击节点；

S2、在普通节点中选取分布式处理节点；步骤S2具体为：首先对各普通节点代价进行计算；然后根据计算出的各普通节点代价以及各普通节点覆盖的节点集选取分布式处理节点；根据普通节点的计算时间代价、通信代价以及计算资源代价来计算该普通节点代价；

计算时间代价的计算式为：

其中，β_i表示第i个普通节点的计算速率，deg_i表示第i个普通节点的度数；

通信代价计算式为：

其中，r_ij表示普通节点i与相邻的普通节点j之间链路的传输速率，r_m表示普通节点i经过链路l_m的传输速率，k表示普通节点i到控制器的最短路径长度；

计算资源代价的计算式为：

L_i＝L_ave+αdeg_i

其中，L_ave表示普通节点i正常情况下的平均负载量，α为常数；

S3、步骤S2选取的分布式处理节点对疑似被攻击节点的异常流量进行处理；具体为：用逻辑斯蒂曲线对负载和计算资源代价之间的关系进行描述，关系曲线方程式为：其中，k＝C_proh，代价在满负载时为近似C_proh的值C_proh-ε，其中，ε为一个任意小的值；代价在负载为0时为C_prol+ε，得到计算资源代价的表达式为

其中，

从而得到节点i的代价：

通过节点选取算法来选出最合适的分布式处理节点，如下：

假设N＝{n₁,n₂,…n_m}，其中对于每一个节点i，w_i＝[α_i1,α_i2,…α_im]^T，其中可以得到优化模型为

求解线性规划问题：

对得到的解做二次处理，对于0≤n_i≤0.5，判定n_i＝0，即节点i为普通节点；对于0.5≤n_i≤1，判定n_i＝1，即节点i为处理节点。

2.根据权利要求1所述的一种SDN网络的DoS攻击分布式检测与防御方法，其特征在于，步骤S1具体包括以下分步骤：

S11、控制器对与其直连的链路上的packet_in报文的速率进行监控；

S12、当packet_in报文速率大于第一阈值时，控制器下发指令到相应的节点，节点进行异常流检测，得到疑似被攻击节点。

3.根据权利要求2所述的一种SDN网络的DoS攻击分布式检测与防御方法，其特征在于，节点进行异常流检测具体为：

A1、节点利用自身计数器收集每个流进入端口的n个时间间隔内的流特征；

A2、收到异常检测的命令后，对目标IP地址的熵值进行计算；

A3、若熵值小于第二阈值，则判定为异常流，继续执行下一跳；否则判定当前节点为疑似被攻击节点。

4.根据权利要求3所述的一种SDN网络的DoS攻击分布式检测与防御方法，其特征在于，第二阈值计算式为：

其中，H_i(X)表示第i个时间间隔内的计算得到的目标IP地址的熵值，λ_i表示第i个时间间隔目标IP地址的熵值对应的权值，且

5.根据权利要求4所述的一种SDN网络的DoS攻击分布式检测与防御方法，其特征在于，步骤S3具体包括以下分步骤：

S31、报文重定向，每个检测到的疑似被攻击节点将所有发送到自己的流量交给对应的S2步骤中选出的分布式处理节点；

S32、流量清洗，在分布式处理节点进行攻击流量的识别和清洗，最终将判定正常的报文交给控制器进行处理。