[发明专利]一种软件定义网络中DDos攻击的检测方法及系统

说明书

本发明提供一种软件定义网络中DDos攻击的检测方法及系统。所述方法包括，步骤S1,流表信息收集模块周期性地向交换机进行流表状态信息采集；步骤S2,特征提取模块从采集到的交换流表信息中提取与DDos相关的特征值同时计算流对比例；步骤S3,分类器进行分类，区分正常流量和攻击异常流量。本发明通过分析DDos攻击的特点，有针对性性的收集交换流表信息并提取特征，然后构建XGBoost分类算法来获得检测的结果，能够准确、高效的检测DDos攻击。

技术领域

本发明涉及网络安全领域，特别是涉及一种软件定义网络中DDos攻击的检测方法及系统。

背景技术

DDos攻击是互联网面临的严重网络安全威胁之一，它的出现会导致相关网络服务出现异常，造成巨大的经济损失，甚至导致灾难性的后果。准确且快速地检测DDos攻击是安全领域的一个重要研究课题。

软件定义网络(Software Defined Network，SDN)是一种新兴的网络体系结构，它将网络数据转发平面和控制平面分开，具有网络可编程性、能够集中管理控制和接口开放的特点，因此在不同的网络组织中得到了广泛的应用。在SDN环境下，通过完整的网络视图，可以对数据包进行深入的分析，支持快速的响应以及流量策略和规则的更新。

网络攻击者主要通过攻击网络的带宽、系统资源和应用程序资源等来达到网络拒绝服务的效果。DDos攻击有着规模不断扩大、攻击方式更加智能的特征。其检测的难点在于：(1)攻击流量的特征不容易被识别；(2)相关网络节点之间缺乏协作；(3)攻击工具的功能变强，使用门槛降低；(4)地址欺诈使得跟踪攻击的来源变得困难；(5)持续时间短。在传统的网络结构中，DDos攻击检测技术的主要方法可以被分为两类：基于流量特性的攻击检测和基于流量异常的攻击检测。前者主要通过收集攻击的相关特征信息，建立一个DDos攻击特征数据库，再将当前网络中数据包的数据信息和特征数据库进行对比和分析，来判断网络是否被DDos攻击。后者则主要通过建立一个流量模型来分析流变化，判断该流量是否异常，并以此来检测服务器是否被攻击。如何有效的检测DDos攻击是预预防攻击的重要基础。

发明内容

本发明实施例所要解决的技术问题在于，提供一种软件定义网络中DDos攻击的检测方法及系统，通过分析DDos攻击的特点，如何有效的检测DDos攻击。

本发明的一方面，提供一种软件定义网络中DDos攻击的检测方法，包括如下步骤：

步骤S1,流表信息收集模块周期性地向交换机进行流表状态信息采集；

步骤S2,特征提取模块从采集到的交换流表信息中提取与DDos相关的特征值同时计算流对比例；

步骤S3,分类器进行分类，区分正常流量和攻击异常流量。

进一步，所述步骤S1中，所述流标状态信息采集具体为，流表信息收集模块周期性地通过OpenFlow协议向交换机发送一个流表请求，交换机周期性地响应控制器发送的请求信息，向流表信息收集模块返回相应的流表信息。

进一步，在所述步骤S1中，所述流标状态信息采集过程中，流表的获取周期与控制器的流删除时间一致，并经过一个周期执行一次命令收集流表的状态信息。

进一步，在所述步骤S2中，所述提取与DDos相关的特征值具体为，对每个时间周期计算内的特征值进行提取。

进一步，在所述步骤S2中，所述特征值包括流对比例，具体根据以下公式进行计算：

其中，Pair_Sum为交互流表项的数量，N为在发生攻击时该时间周期的流条目总数；

进一步，交互流是满足下列公式的交互流表项：

Src_IP_i＝DSt_IP_j