[发明专利]一种SDN环境下DDoS攻击检测系统及方法

说明书

本发明属于SDN中入侵检测算法领域，公开了一种SDN环境下DDoS攻击检测系统及方法。为了及时有效的识别出网络中的异常流量，减少DDoS攻击对网络资源的消耗，结合MD‑SAL框架，设计了一个DDoS攻击防御系统。该系统包括异常检测模块、防误判模块、流量处理模块、异常存储模块及信息查看模块。该系统能识别出网络中流量的异常，及时报警通知系统进行制定相应防御措施，最后根据源IP，目的IP等事先RPC预设值来查看攻击信息，基于TDMC算法实现对可疑流量的准确分类。

技术领域

本发明属于SDN中入侵检测算法领域，具体涉及一种SDN环境下DDoS攻击检测系统及方法。

背景技术

如今互联网技术的发展日新月异，互联网技术给生活带来了巨大方便，然而同时它在安全方面也面临着非常严峻的问题，其中DDoS攻击就在严重的威胁着互联网正常的服务，DDoS是由很多僵尸主机发起的大规模的分布式协同攻击，是对Internet服务安全造成威胁的主要因素，同时也给各大企业的安全运营造成很大的安全性问题。在这方面比较典型的受害者包括像CNN、雅虎以及亚马逊这样的大型流行网站，但是更多的网络公司越来越依赖于互联网环境的稳定性、安全性和可用性，如果它们遭受到了DDoS的攻击，它们这些公司将面临非常巨大的损失。

在传统网络中，在每一台网络设备上都分布着控制平面和数据平面，要想实现流量路径的调整，就需要通过在网元上配置相应的流量策略来进行，但是这并不是稳妥的，对于一些特殊情况就会出现一些棘手的问题，比如在调整大型网络流量的时候，不仅过程非常麻烦同时还比较容易出现难以想象的故障；关于对于流量的调整，除了以上措施，通过TE隧道也可以做到，但是有个弊端就是TE隧道非常复杂，维护技术难度高，维护成本大。再者就是传统网络协议非常复杂，比如现在有的BGP、IGP、组播协议、MPLS等，而且其数量还在不断的增加。通常除了标准协议外，设备厂家都还会扩展一些私有协议，因此不仅关于设备的操作命令非常杂乱，同时不同厂家生产的设备还会有独一无二的操作界面，这样的话就会对运维造成很多麻烦。在传统网络中，封闭的来对设备进行管理，并且不同厂家设备实现机制也不尽相同，所以部署一种新功能的周期可能会比较长；并且要是想后续对设备进行维护升级的话，还需要单独的操作每一台设备，这无疑大大降低了整体工作效率。SDN作为一个全新的概念，在学术研究这一方面更倾向于在提供功能性SDN基础设施。因此，根据最近的调查结果显示，安全性是软件定义网络中最为关键的问题之一。

软件定义网络SDN作为一种新出现的网络结构，与传统网络相比，具有非常大的优势。SDN的控制器由于具有全局拓扑的功能，所以可以使用控制器来对整个网络进行管理，并且SDN还可以使得数据平面与控制平面相分离。SDN的交换机不像传统交换机具有控制功能，在SDN中它们的功能只能是转发数据包。另外，由于SDN可以对数据进行统一的集中控制，这个特性实现了对网络资源的优化管理，从而使得网络的灵活性和可控性有了很大的提高。目前，可编程网络由于具有抽象的网络视图的特性而普遍受到欢迎，同时这个特性反过来也能好的理解复杂网络的操作，并在任何潜在威胁的情况下提高应采取的行动的有效性。SDN代表一种新兴的集中式网络架构，它的转发元件是由称为SDN控制器的中央单元来进行管理，这个中央单元能够从每个交换机获得流量统计，通过获取的流量数据来采取比较适当的措施，以此来防止任何恶意行为或不合理使用网络所需要的行动。同时，由于SDN控制器和交换机之间使用可编程网络协议，也就是OpenFlow协议，以便将控制器的命令通过该协议转发给支持OpenFlow协议的交换机。虽然集中式控制器的使用会产生比较大的作用，但控制器本身也有一些缺陷，即可能会产生单点故障，这一点与传统网络架构相比较来说，会使使用集中式控制器的网络变的更加脆弱。另一方面，由于在启用的交换机和控制器之间使用OpenFlow进行通信，这就为各种各样的攻击行为提供了机会，比如说拒绝服务(DOS)、主机位置劫持以及中间人攻击。因此，对于SDN环境中异常流量的检测的研究具有重要的意义，而且应用前景十分广阔。

发明内容