[发明专利]一种基于流表信息的网络异常流量行为识别阻断的方法

说明书

本发明公开了一种基于流表信息的网络异常流量行为识别阻断的方法，本发明的主要步骤为：首先采集流表信息，提取流量特征，构造多维序列，利用阈值自适应的累加算法对异常流量进行检测；然后使用机器学习算法对异常网络行为进行识别；最后结合黑名单的流表保护机制对异常网络行为进行阻断。经测试表明，该方案具有系统开销小、抗压能力好、阻断准确率高的特点，实用价值较强。

技术领域

本发明涉及一种异常网络行为检测防护技术方法，特别是一种基于流表信息的网络异常流量行为识别阻断的方法，属于网络异常检测技术领域。

背景技术

近年来，网络技术高速发展使得网络成为人们日常生活中不能缺少的部分。然而，固然网络给用户带来了方便，然则针对网络的攻击也越来越多。虽然很多组织机构和政府企业已建立起相对安全的保护机制，但是攻击手段也越来越呈现多样化，而且后果也越来越严重。在如斯严峻的情况下，采取措施阻止网络生态环境的恶化的需求越来越迫切。但是保证网络犯罪绝对不发生是不可能的，只能通过采取有效的手段检测到网络异常并能够及时处理，该方式称为异常网络行为检测。

目前异常网络行为检测技术主要两种：一、基于主机。该技术主要检测主机日志和操作指令。缺点是：只能实现“事后”调查，不能实时检测。二、基于网络。对网络行为做了分类：“正常”和“异常”行为。可是，原有的异常检测的方法准确度低，误报率高，特别是在如今大数据时代，针对海量网络数据流信息的处理，执行时间太长，没有办法跟的上时代的需求。在这样的情况下，需要提出新的技术来提高检测的效率。

发明内容

为了克服现有技术中存在的不足，本发明提供了一种基于流表信息的网络异常流量行为识别阻断的方法，用于解决现有的异常网络行为检测效率低，误报率高的问题。本发明利用软件定义网络技术，提出了一种在软件定义网络场景下软件定义网络的控制器选择合适的交换机下发控制流表项，不仅能够快速检测异常网络行为，而且能够识别出具体的异常网络行为类型。该发明一定程度上解决了异常网络检测误报率的特点，也为后续处理提供了新的思路。并且该发明能够实现异常网络行为的阻断，缓解整个网络在遭受攻击时的拥堵现象，提高网络的传输效率。

为实现上述目的，本发明采用的技术方案为：一种基于流表信息的网络异常流量行为识别阻断的方法，具体包括以下步骤：

步骤1、异常网络流量检测；首先基于OpenFlow协议以轮询的方式收集所有交换机的流表信息，并对信息进行处理和统计；然后选择总流表数、总数据包数、总字节数、源IP地址的熵、目的IP地址的熵，作为标记异常网络行为的典型特征，并且构造多维序列；最后利用阈值自适应的累加算法对异常流量进行检测；

步骤1.1、流表信息采集：记信息采集周期为T_poll，每隔T_poll该模块向网络中所有交换机发送收集信息的请求，即OFP_FLOW_STATS_REQUEST类型的报文；每个交换机在收到请求后，向控制器回复OFP_FLOW_STATS_REPLY报文，报文中包含了流表项统计信息：

ReceivedPackets、ReceivedBytes、Duration(seconds)、Duration(nanoseconds)；

控制器收到交换机回复的报文后，将每条流表项与其对应的计数器信息取出；其次从流表项计数器中记录中计算得到当前时间周期的统计信息，其计算方法为当前周期时间节点的流表项计数器统计信息减去上一个周期时间节点的流表项计数器统计信息，二者之差为该流表项在该时间周期内的统计信息。至此，控制器完成流表信息的处理；

步骤1.2、特征提取和分析：定义向量C_i，表示流表中第i个流表项的信息：