[发明专利]一种SDN环境下DDoS攻击检测系统及方法

权利要求书

1.一种SDN环境下DDoS攻击检测系统，其特征在于，包括异常检测模块、防误判模块、流量处理模块、异常存储模块及信息查看模块；

异常检测模块，用于数据平面轻量级检测和控制平面重量级检测，其中数据平面进行的轻量级检测选取DDoS有代表性的特征对流量进行判断，当新进来的流量特征超过训练时流量的允许范围，则满足其中一个异常条件，当所选的特征均满足时，就认为在数据平面轻量级检测的流量是异常的；当数据平面检测出异常流量后，进行控制平面的重量级检测，首先对特定特征集合的数据集进行训练，所用的算法是随机森林，对数据平面传递来的异常流量信息进行特征提取，然后将提取的特征集合输入随机森林进行细粒度分类，分析出流量的异常情况；

防误判模块，用于减少误报率，针对异常检测模块筛选出的异常流量，选取设定比例的流量进行再分配，一部分作为正常流量转发，一部分当作异常流量进行丢弃；

流量处理模块，用于把分类好的流量进行分别处理，正常流量正常转发，异常流量通过下发相应的流表规则进行处理；具体如下：若是正常流，控制器就向交换机下发流表规则，根据原始流中的信息进行相关设置，并且将正常流交还给交换机，在交换机中匹配到相关规则，根据流表规则进行转发，至此，流量经过异常检测模块，被标记成可疑流，最终经过分类器又分成了正常流量，最终到达目的主机端；

若是异常流，在控制器设置一个黑名单，针对异常流的流表规则进行二级存储，记录到异常黑名单中，当流量信息进入到控制器中的时候，先去匹配黑名单，如果没有就进行异常检测模块控制平面重量级算法的检测，同时将识别后的异常流量记录到黑名单中，如果有相应的流表规则，就将流表规则下发到流表中，不再对这些流量进行检测；

异常存储模块，通过DataBroker将相应的威胁信息记录到DataStore中，用户通过RPC查看记录在DataStore中的威胁信息；

信息查看模块，用于实现管理员在网页端进行查看攻击记录。

2.根据权利要求1所述的SDN环境下DDoS攻击检测系统，其特征在于，异常存储模块主要用来存储检测出来的异常信息，以便后续的调用和查看；在MD-SAL中通过DataStore存储数据，与DataStore的交互通过DataBroker实现，DataStore中存储的数据发生变化会触发onDataChange()事件，在onDataChange()中响应DataStore的变化；数据是通过树形结构在DataStore中存储的，在将数据存储之前，首先通过yang语言来对存储模型进行定义，yang在组织数据的时候是按着层次结构进行的，最后建成一棵树的形式；

RPC即远程过程调用，属于消息传递中的单播方式，在消息使用者和提供者之间以单播的方式进行通信，消息使用者发送请求消息到提供者，以异步方式作为应答。

3.权利要求1或2所述SDN环境下DDoS攻击检测系统的方法，其特征在于，包括步骤如下：

(1)进入到系统中的流量在流表中进行匹配流表规则，如果匹配成功，说明流表中已经有针对匹配成功流量的规则了，所以直接按着流表规则进行处理；

(2)对没有匹配到流表规则的流量则进入异常检测模块，通过计算交换机计数器来进行流量特征的提取，以进行轻量级的检测，分析出可疑流量：先用正常流量进行训练出正常流量的特征值的范围，以此作为轻量级阶段异常流量检测的模板，然后将提取的特征值与训练好的模板进行对照，当所有的特征都不在规定的范围内，则视为异常流量，否则，则视为正常流量，就不再走重量级检测的算法，直接进行正常转发即可；

(3)对于步骤(2)没能识别出异常的流量，则视为正常流量，则下发流表规则使其正常转发，对于识别出的可疑流量，则先和异常黑名单中的记录进行匹配，如果异常黑名单里有，则将这些流直接丢弃，如果没有，则进行控制平面的重量级检测；

(4)在重量级检测阶段，首先进行特征的提取，主要从源IP增速、成对流百分比、单流量增长、流包数中位值、流持续时间中位值和端口增速特征进行提取，最后使用随机森林进行分类；

(5)根据分类的结果，正常流量下发流表进行正常转发，对于异常流量则进行设定比例在转发，剩下的就丢弃，同时将异常流量的信息存储到DataStore中，方便后面的远程调用，并且更新异常黑名单；

(6)进行远程过程调用，使用RPC将异常信息在控制器提供的网页端进行调用查看，根据提前定义好的yang模型，通过源IP或者目的IP进行调用。