一种软件定义网络中DDoS攻击检测与防御方法与系统技术方案

本发明专利技术公开了一种软件定义网络中的DDoS攻击检测与防御方法与系统，包括：收集packet_in数据包；提取窗口中数据包的源IP、源端口、目的IP、目的端口和协议类型五元特征，计算五元特征熵值；判断窗口源IP熵值是否超过阈值，若是，判定为可疑流量，否则，过滤该窗口流量；采用机器学习判别可疑流量是否存在攻击，若是，判定为攻击流量，否则，过滤该可疑流量；将攻击流量中IP熵值最大的交换机端口标志为可疑端口，被重复检测为可疑端口判定为攻击端口；防御规则下发至攻击端口所在交换机，从转发层面过滤攻击流量。本发明专利技术结合五元特征熵值和机器学习算法检测DDoS攻击，定位并及时采取防御措施，从转发层面过滤大量恶意流量，保护控制器和交换机。

【技术实现步骤摘要】
一种软件定义网络中DDoS攻击检测与防御方法与系统
本专利技术属于网络安全领域，更具体地，涉及一种软件定义网络中的DDoS攻击检测与防御方法与系统。
技术介绍
软件定义网络(SoftwareDefinedNetwork,SDN)是一种新型的网络架构，具有控制转发分离、集中控制和可编程性的特点。其集中控制的特性，给软件编程提供了极大的便利的同时，也带来了一系列安全问题。SDN控制器集中管理网络资源，一旦控制器单点失效，整个网络将面临瘫痪的风险。在各种网络安全问题中，DDoS(DistributedDenialofService，分布式拒绝服务)攻击是一种分布式、大范围协同作战的网络攻击方式，这种攻击方式易于发动、难于防御、极易对网络造成严重的危害。而SDN网络中的DDoS攻击不仅会对目标主机造成严重危害，更会对网络中交换机和控制器产生严重影响，严重时整个SDN网络将彻底崩溃。当前已经有学者致力于SDN网络中的DDoS攻击检测研究，可分为基于机器学习方法的攻击检测和基于统计学方法的攻击检测。(1)基于机器学习的攻击检测方式周期性收集交换机流表项的统计数据，利用机器学习方法对统计数据进行判本文档来自技高网...

【技术保护点】
1.一种软件定义网络中的DDoS攻击检测与防御方法，其特征在于，该方法包括以下步骤：S1.收集交换机上发给控制器的packet_in数据包；S2.采取滑动窗口机制，提取每个窗口中数据包的源IP、源端口、目的IP、目的端口和协议类型五元特征，并计算每个窗口的五元特征的熵值；S3.判断每个窗口的源IP熵值是否超过阈值，若否，则过滤该窗口的流量，若是，则判定该窗口的流量为可疑流量；S4.采用机器学习算法判别可疑流量是否存在攻击，若是，则判定为攻击流量，否则，过滤该可疑流量；S5.将攻击流量中源IP熵值最大的交换机端口标志为可疑端口，被重复检测为可疑端口判定为攻击端口；S6.防御规则下发至攻击端口所在...

【技术特征摘要】
1.一种软件定义网络中的DDoS攻击检测与防御方法，其特征在于，该方法包括以下步骤：S1.收集交换机上发给控制器的packet_in数据包；S2.采取滑动窗口机制，提取每个窗口中数据包的源IP、源端口、目的IP、目的端口和协议类型五元特征，并计算每个窗口的五元特征的熵值；S3.判断每个窗口的源IP熵值是否超过阈值，若否，则过滤该窗口的流量，若是，则判定该窗口的流量为可疑流量；S4.采用机器学习算法判别可疑流量是否存在攻击，若是，则判定为攻击流量，否则，过滤该可疑流量；S5.将攻击流量中源IP熵值最大的交换机端口标志为可疑端口，被重复检测为可疑端口判定为攻击端口；S6.防御规则下发至攻击端口所在的交换机，从转发层面过滤攻击流量。2.如权利要求1所述的方法，其特征在于，依据所述网络中主机的数量设定滑动窗口的大小。3.如权利要求1或2所述的方法，其特征在于，所述阈值为所述网络中最大的源IP熵值。4.如权利要求1或2所述的方法，其特征在于，机器学习算法为核函数为RBF的SVM。5.如权利要求1或2所述的方法，其特征在于，所述防御规则并非直接下发到攻击端口所在交换机上，而是经过规则缓存队列，具体为：判断规则缓存队列中是否存在该防御规则，若存在，则不必下发；否则，则将该防御规则添加到规则缓存队列中，并在控制器上下发该防御规则到攻击端口所在的交换机上。6.一种软件定义网络中的...

【专利技术属性】
技术研发人员：于俊清，余畅，李冬，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：湖北,42