[发明专利]一种基于流表信息的网络异常流量行为识别阻断的方法

权利要求书

1.一种基于流表信息的网络异常流量行为识别阻断的方法，其特征在于，所述方法包括以下步骤：

步骤1、异常网络流量检测；首先基于OpenFlow协议以轮询的方式收集所有交换机的流表信息，并对信息进行处理和统计；然后选择总流表数、总数据包数、总字节数、源IP地址的熵、目的IP地址的熵，作为标记异常网络行为的典型特征，并且构造多维序列；最后利用阈值自适应的累加算法对异常流量进行检测；

步骤2、异常网络行为识别：首先在步骤1获取的交换机流表信息基础上，再增加不对称数据包数、不对称字节数和流表匹配率作为检测异常网络行为的特征；接着，根据基于决策树的AdaBoost算法以及训练好的模型，实时地对特征向量进行分类，识别异常网络行为；

步骤3、异常网络行为阻断：在检测到异常网络行为之后，控制器基于动态流表对异常报文实时过滤，从而对异常网络行为进行阻断；同时利用基于黑名单的流表保护机制有效地减小了交换机被无效流表占满导致溢出的可能性。

2.根据权利要求1所述的一种基于流表信息的网络异常流量行为识别阻断的方法，其特征在于：所述步骤1按照以下步骤顺序进行：

步骤1.1、流表信息采集：记信息采集周期为T_poll，每隔T_poll该模块向网络中所有交换机发送收集信息的请求，即OFP_FLOW_STATS_REQUEST类型的报文；每个交换机在收到请求后，向控制器回复OFP_FLOW_STATS_REPLY报文，报文中包含了流表项统计信息：

ReceivedPackets、ReceivedBytes、Duration(seconds)、Duration(nmoseconds)；

控制器收到交换机回复的报文后，将每条流表项与其对应的计数器信息取出；其次从流表项计数器中记录中计算得到当前时间周期的统计信息，其计算方法为当前周期时间节点的流表项计数器统计信息减去上一个周期时间节点的流表项计数器统计信息，二者之差为该流表项在该时间周期内的统计信息；至此，控制器完成流表信息的处理；

步骤1.2、特征提取和分析：定义向量C_i，表示流表中第i个流表项的信息：

C_i＝[dpID_i,srcIP_i,dstIP_i,pkts_i,bytes_i,speed_i]，

其中，下标i表示流表项的序号，dpID表示该流表项所在交换机的ID，srcIP和dstIP分别表示流表项中匹配域内的源IP地址和目的IP地址，pkts、bytes和speed表示与该流表项匹配的数据包的统计信息：数据包数、总字节数、流速；

步骤1.3、构造多维特征序列：共提取四个维度的特征来表示网络流量，分别是总数据包数pktCount，源IP地址的熵H(srcIP)，目的IP地址的熵H(dstIP)和新出现流数pkt_InCount，每隔时间周期T_poll，提取到的特征构成一个向量，记为C_t：

C_t＝[pktCount,H(srcIP),H(dstIP),pkt_InCount].；

C_t即为异常探测所需的特征向量，而异常检测算法需要通过观测特征序列来探测异常，采用如下图所示的滑动窗口机制来构造特征序列，窗口长度为8。每隔时间T_poll，最新的特征向量C_t被加入已构造的特征序列中，同时，滑动窗口向右滑动一个单位，虚线框内新的特征序列被输入到检测算法中。

步骤1.4、采用阈值自适应的累加算法实现异常流量检测：将每个特征序列的滑动窗口同时后移一个值，即序号为2至L+1，重复上述步骤，完成对下一个滑动窗口的检测；在真实的网络环境中，每隔周期T_poll产生一个特征向量，该向量触发滑动窗口的后移行为，检测算法对当前滑动窗口内的序列进行异常检测实际上是对该窗口内最后一个样本点进行异常检测，由此，每次实时采集的新样本均能结合历史数据信息被及时处理，低延时地完成检测。