[发明专利]一种软件定义网络中DDos攻击的检测方法及系统

权利要求书

1.一种软件定义网络中DDos攻击的检测方法，其特征在于，包括如下步骤：

步骤S1,流表信息收集模块周期性地向交换机进行流表状态信息采集；

步骤S2,特征提取模块从采集到的交换流表信息中提取与DDos相关的特征值同时计算流对比例；

步骤S3,分类器进行分类，区分正常流量和攻击异常流量。

2.如权利要求1所述的方法，其特征在于，在所述步骤S1中，所述流标状态信息采集具体为，流表信息收集模块周期性地通过OpenFlow协议向交换机发送一个流表请求，交换机周期性地响应控制器发送的请求信息，向流表信息收集模块返回相应的流表信息。

3.如权利要求2所述的方法，其特征在于，在所述步骤S1中，所述流标状态信息采集过程中，流表的获取周期与控制器的流删除时间一致，并经过一个周期执行一次命令收集流表的状态信息。

4.如权利要求3所述的方法，其特征在于，在所述步骤S2中，所述提取与DDos相关的特征值具体为，对每个时间周期计算内的特征值进行提取。

5.如权利要求4所述的方法，其特征在于，在所述步骤S2中，所述特征值包括流对比例，具体根据以下公式进行计算：

其中，Pair_Sum为交互流表项的数量，N为在发生攻击时该时间周期的流条目总数；

进一步，交互流是满足下列公式的交互流表项：

Src_IP_i＝Dst_IP_j

Dst_Port_i＝Src_Port_j

Dst_IP_i＝Src_IP_j

Src_Port_i＝Dst_Port_j

其中，Src_IP_i表示数据包i的源IP，Dst_IP_j表示数据包j的目的IP，Dst_Port_i表示数据包i的目的端口号，Src_Port_j表示数据包j的源端口号，Dst_IP_i表示数据包j的目的IP，Src_IP_j表示数据包j的源IP，Src_Port_i表示数据包i的源端口号，Dst_Port_j表示数据包j的目的端口号。

6.如权利要求5所述的方法，其特征在于，所述步骤S2中，所述特征值包括熵值的计算，具体根据以下公式进行计算：

其中，集合F＝{f₁,f₂,…,f_n}表示每个不同的值的频率，f_i表示值i出现的频率，n表示一共有多少个不同的值。

7.如权利要求6所述的方法，其特征在于，在所述步骤S3中，所述分类器进行分类的过程具体为，提取给定数据中的特征根据分类模型进行分类，判断当前网络的状态是否正常，其中，所述分类模型为XGBoost。

8.如权利要求7所述的方法，其特征在于，在所述步骤S3中，所述分类器根据时间间隔从流表状态信息中提取特征值序列判断当前网络的状态是否正常，并给样本序列一个标志，标记网络为非正常状态或正状态。

9.一种软件定义网络中DDos攻击的检测系统，用以实现如权利要求1-8任一所述的方法，其特征在于，包括：

流表信息收集模块，用以周期性地向交换机发送一个流表请求，并接受交换机返回相应的流表信息；

特征提取模块，用以从交换流表信息中提取与DDos相关的特征值；

分类器，用以通过分类模型进行分类，区分正常流量和攻击异常流量。

10.如权利要求9所述的系统，其特征在于，所述分裂模型进行分类具体为，通过不断地进行特征分裂生成函数，没分裂一次生成一个新函数，拟合上一次预测的残差；当训练完成得到多个函数，根据函数的特征，将相对应的函数值相加得到样本的预测值。