基于时间特征的SDN控制器DDoS检测与防御方法技术

本发明专利技术公开一种基于时间特征的SDN控制器DDoS攻击检测与防御方法，包括以下步骤：收集SDN交换机流表项统计数据；根据流表项统计数据计算流表在时间维度上的变化特性；使用BP神经网络对流表的时间特征样本进行训练，得到检测DDoS攻击所需的特征模式；使用BP神经网络对实时计算得到的时间特征进行判别，检测DDoS攻击；计算特定流表项的时间特征，动态地对受害端口进行恢复。本发明专利技术将SDN交换机流表的时间特征与BP神经网络相结合实现了检测针对SDN控制器的DDoS攻击这一目标，与现有方法相比可以更快速、全面地检测到针对控制器的DDoS攻击，并且支持后续对受害端口的动态恢复，减少了误封对正常业务的影响。

DDoS detection and defense method of SDN controller based on time feature

The invention discloses a SDN controller DDoS attack detection and defense method based on time characteristics, which comprises the following steps: flow table statistics data collection SDN switch; according to the characteristics of flow table data flow calculation table in the dimension of time; time characteristics of samples using BP neural network to train the flow table, feature model DDoS attack detection required; distinguishing features of time using BP neural network for real-time computing, DDoS attack detection; computing time characteristics of specific flow table entries, to restore the victim port dynamically. The SDN switch flow table time characteristics combined with BP neural network to realize DDoS detection based on SDN controller to attack the target, can be more rapid and comprehensive detection controller for DDoS attacks compared with the existing methods, and support for the victims of the subsequent dynamic port recovery, reduce the wrong sealing effect on normal business.

【技术实现步骤摘要】
基于时间特征的SDN控制器DDoS检测与防御方法
本专利技术涉及一种SDN与DDoS攻击检测技术，具体涉及一种基于时间特征的SDN控制器DDoS攻击检测与防御方法。
技术介绍
SDN，即软件定义网络，作为一种新型的网络架构，是为了解决日益庞大的网络的管理与配置问题而产生的。传统网络面临的问题有：传统网络中的控制与转发平面是分布式且耦合的，当网络的规模不断增大会使得对整个网络的管理和配置变得十分困难：分布式的控制平面使得网络决策需要多个交换机协作，越庞大的网络需要越长的时间对网络事件进行决策，当网络达到一定规模后，网络的管理将变得十分困难；控制平面与转发平面的耦合导致两个平面互相限制，大大减慢了两个平面的技术革新速度。在SDN中控制平面和转发平面解耦和：其中控制平面为集中式，主要由SDN控制器组成，负责进行网络中所有决策；而转发平面为分布式，主要由SDN交换机组成，负责执行控制平面的决策。集中式的控制平面可以产生网络的全局视图，可以更快地对网络事件进行响应，而不需要等待交换机之间的状态同步，更重要的是SDN控制器由软件实现，支持编程进行功能的修改，真正使得网络可以通过软件定义；解耦和后的转发平面可以专注于数据转发，进而提高数据转发的速度。控制平面与转发平面的解耦和也使得两个平面可以分别更新而互不影响，加快了两个平面的技术革新。虽然SDN相比传统网络具有更灵活、可编程的优点，同时也会产生传统网络中不存在的问题，例如控制平面的单点故障问题。由于SDN中控制平面是集中式的，所有网络决策都由控制平面处理，一旦控制平面发生故障失去了决策能力，整个网络将陷入瘫痪状态，所有业务将被强制中断。而DDoS攻击，即分布式拒绝服务攻击，作为一种传统的网络攻击方式，可以造成受害者资源耗尽失去处理能力，在SDN环境下，针对SDN控制器的DDoS攻击相比于传统的DDoS攻击将造成更大的危害。
技术实现思路
专利技术目的：本专利技术的目的在于解决现有技术中存在的不足，提供种基于时间特征的SDN控制器DDoS攻击检测与防御方法。技术方案：本专利技术的一种基于时间特征的SDN控制器DDoS攻击检测与防御方法，包括以下步骤：(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期t1内SDN交换机的流表项集合FP的统计数据，并将数据传送至特征计算模块,统计数据包括流表项数目、每条流表命中数据包数和每条流表存在时间；(2)内嵌于SDN控制器的特征计算模块在周期T内收集到定量统计数据并计算得到SDN交换机端口的流表时间特征模式；(3)在训练阶段，BP神经网络接收时间特征向量并进行迭代训练，经过足量训练最终得到用于检测DDoS攻击的时间特征模式；(4)在测试阶段，BP神经网络对实时计算得到的时间特征进行检测，一旦检测到DDoS攻击则封禁端口；(5)内嵌于SDN控制器的端口恢复模块遍历封禁端口的列表，并通过特定流表项(对应端口的封禁流表项)的统计数据计算端口的时间特征，动态地将恢复正常的端口解封。所述步骤(1)的具体过程为：(1.1)数据收集模块以周期t1向SDN控制器请求SDN交换机S流表项集合的统计数据；(1.2)数据收集模块根据SDN交换机端口号P对流表项集合进行划分，通过提取流表项信息的入端口字段并对流表项集合进行划分，得到各个端口的流表项集合FP；(1.3)筛选得到端口P对应流表项数目Num，流表项f命中数据包数目FlowCount、存在时间Duration，即任一流表项f的流表项数目、命中数据包数、存在时间组成特征(Num，FlowCount，Duration，f)，且f∈FP；计算端口P的流表命中率：所述步骤(2)的具体过程为：(2.1)特征计算模块以周期t2向数据收集模块请求t2时间内SDN交换机各个端口的流表命中率总共得到的命中率数据数目为t2/t1，t2是t1的整数倍；(2.2)特征计算模块计算任意t1时间中交换机端口流表命中率的变化率，其中t代表时间t1间隔的起始时间，可为任意时刻：即(2.3)特征计算模块得到t2时间内共有t2/t1-1个变化特性，组成时间特征向量该时间特征向量的维度为t2/t1-1，其中t为统计时间。所述步骤(2.2)的具体方法为：统计时间t与t+t1流表集合所有流表项命中数据包总数，统计时间t与t+t1流表集合所有流表项存在时间总和，分别计算时间t与t+t1每条流表项在单位时间命中的数据包数与流表项数目的比值作为实时特征值，并使用时间t+t1与时间t的特征值之比作为t1时间内的变化特性。所述步骤(3)的具体过程为：(3.1)对每个时间特征向量进行标定，即时间特征向量对应正常流量或DDoS攻击模式，通过人工进行最终产生目标向量(Normal,Abnormal)；(3.2)将时间特征向量与其对应模式输入BP神经网络并调整参数：将每个标定完成的样本，即输入向量与目标向量，输入BP神经网络进行训练，每一次训练后，BP神经网络根据输出向量与目标向量的误差对连接层之间的权重矩阵进行调整；(3.3)使用大量样本重复进行训练直到满足误差要求，最终得到两个权重矩阵，分别为输入层-隐层连接矩阵iptHidWeights与隐层-输出层连接矩阵hidOptWeights，这两个矩阵将被用于BP神经网络测试使用。所述步骤(4)的具体过程为：(4.1)使用特征收集模块与特征计算模块计算得到SDN交换机端口实时的时间特征；(4.2)将实时的时间特征输入到BP神经网络，得到测试结果，该测试结果为正常模式或者DDoS攻击模式，并根据测试结果更新两个权重矩阵，保持持续的学习过程；(4.3)当测试结果对应DDoS攻击模式时，下发流表项封禁对应端口。所述步骤(4.3)的具体方法为：对于检测结果为DDoS攻击模式的端口下发流表：流表匹配域为端口号，动作域为丢弃，超时时间为无穷，仅能通过手动或者动态恢复模块进行删除。所述步骤(5)的具体过程为：(51)遍历封禁端口列表，列表为空则返回；(52)计算正常端口集合的综合流表命中率；(53)计算封禁端口的流表命中率，与正常端口命中率比较，如果在可接受范围内则删除对应封禁流表项。有益效果：与现有技术相比，本专利技术具有以下优点：(1)本专利技术所检测的DDoS攻击针对于SDN控制器，使用了SDN交换机中流表的统计数据，由于传统网络中使用的交换机与SDN交换机工作模式差异巨大，故传统DDoS攻击检测方法中无法使用该类型特征，故本专利技术相比传统DDoS攻击检测方法更具有针对性，更加适用于部署于SDN中检测针对SDN控制器的DDoS攻击。(2)本专利技术考虑当DDoS攻击发生时交换机流表统计数据在时间维度上的变化情况，以梯度值而非实时数值作为检测DDoS攻击的阈值，可在DDoS攻击发生的初期检测到DDoS攻击并及时进行抵御，减少DDoS攻击造成的危害；以多段时间梯度作为检测DDoS攻击的阈值可使得DDoS攻击检测模型覆盖更多不同规模的DDoS攻击，因为不同规模DDoS攻击攻击产生的流量模式是类似的。(3)本专利技术考虑DDoS攻击防御后的端口动态恢复功能：即使DDoS攻击检测出现了误封，也能通过端口恢复模块在短时间内对误封端口进行恢复；而持续遭受DDoS攻击的端口则需要更长时间恢复，因为该类型端口再次受到DDoS攻击的概率远大于其本文档来自技高网...

【技术保护点】
一种基于时间特征的SDN控制器DDoS攻击检测与防御方法，其特征在于：包括以下步骤：(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期t1内SDN交换机的流表项集合FP的统计数据，并将数据传送至特征计算模块,统计数据包括流表项数目、每条流表命中数据包数和每条流表存在时间；(2)内嵌于SDN控制器的特征计算模块在周期T内收集到定量统计数据并计算得到SDN交换机端口的流表时间特征模式；(3)在训练阶段，BP神经网络接收时间特征向量并进行迭代训练，经过足量训练最终得到用于检测DDoS攻击的时间特征模式；(4)在测试阶段，BP神经网络对实时计算得到的时间特征进行检测，一旦检测到DDoS攻击则封禁端口；(5)内嵌于SDN控制器的端口恢复模块遍历封禁端口的列表，并通过特定流表项的统计数据计算端口的时间特征，动态地将恢复正常的端口解封。

【技术特征摘要】
1.一种基于时间特征的SDN控制器DDoS攻击检测与防御方法，其特征在于：包括以下步骤：(1)内嵌于SDN控制器的数据收集模块向SDN控制器请求周期t1内SDN交换机的流表项集合FP的统计数据，并将数据传送至特征计算模块,统计数据包括流表项数目、每条流表命中数据包数和每条流表存在时间；(2)内嵌于SDN控制器的特征计算模块在周期T内收集到定量统计数据并计算得到SDN交换机端口的流表时间特征模式；(3)在训练阶段，BP神经网络接收时间特征向量并进行迭代训练，经过足量训练最终得到用于检测DDoS攻击的时间特征模式；(4)在测试阶段，BP神经网络对实时计算得到的时间特征进行检测，一旦检测到DDoS攻击则封禁端口；(5)内嵌于SDN控制器的端口恢复模块遍历封禁端口的列表，并通过特定流表项的统计数据计算端口的时间特征，动态地将恢复正常的端口解封。2.根据权利要求1所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法，其特征在于：所述步骤(1)的具体过程为：(1.1)数据收集模块以周期t1向SDN控制器请求SDN交换机S流表项集合的统计数据；(1.2)数据收集模块根据SDN交换机端口号P对流表项集合进行划分，得到各个端口的流表项集合FP；(1.3)筛选得到端口P对应流表项数目Num，任一流表项f命中数据包数目FlowCount、存在时间Duration，即任一流表项f的流表项数目、命中数据包数、存在时间组成特征(Num，FlowCount，Duration，f)，且f∈FP，计算当前端口P的流表命中率：3.根据权利要求1所述的基于时间特征的SDN控制器DDoS攻击检测与防御方法，其特征在于：所述步骤(2)的具体过程为：(2.1)特征计算模块以周期T＝t2向数据收集模块请求t2时间内SDN交换机各个端口的流表命中率eti，总共得到的命中率数据数目为t2/t1，t2是t1的整数倍；(2.2)特征计算模块计算任意t1时间间隔内交换机端口流表命中率的变化率：即(2.3)特征计算模块得到t2时间内共有t2/t1-1个变化特性，组成时间特征向量该时间特征向量的维度为t2/t1-1。4.根据权利要求3所述的基...

【专利技术属性】
技术研发人员：崔杰，何建涛，仲红，许艳，石润华，陈志立，
申请(专利权)人：安徽大学，
类型：发明
国别省市：安徽,34