SDN网络攻击检测及防御的方法和装置制造方法及图纸

本发明专利技术提供一种SDN网络攻击检测及防御的方法和装置，涉及计算机领域。所述SDN网络攻击检测及防御的方法包括：S1、基于已标记的网络历史数据，训练二叉决策树模型；S2、扩充SDN交换机的匹配域；S3、将所述决策树模型转换为流规则；S4、将所述流规则部署到所述SDN交换机中；S5、进行流量级别监控过程和数据包级别过滤过程；S6、数据判断结果处理。本发明专利技术可以实时检测SDN网络攻击并进行防御。

Method and Device of SDN Network Attack Detection and Defense

The invention provides a method and device for SDN network attack detection and defense, which relates to the computer field. The methods of SDN network attack detection and defense include: S1, training binary decision tree model based on marked network history data; S2, expanding the matching domain of SDN switch; S3, transforming the decision tree model into flow rules; S4, deploying the flow rules to the SDN switch; S5, monitoring the flow level and filtering the data packet level; Processing according to the judgement result. The invention can detect and defend SDN network attacks in real time.

【技术实现步骤摘要】
SDN网络攻击检测及防御的方法和装置
本专利技术涉及计算机领域，具体涉及一种SDN网络攻击检测及防御的方法和装置。
技术介绍
随着科学技术的发展，计算机网络也在不断地普及与发展。与此同时，各种网络攻击也随之而来，对网络安全造成极大的威胁。针对网络安全问题，现有技术使用安全设备或者采用抽样和监控技术进行安全检测和监控。安全设备主要利用入侵检测系统，基本上是对旁路或者镜像流量进行分析，不阻断任何网络访问，主要以提供检测报告和事后溯源为主。抽样和监控技术主要利用OpenFlow进行安全检测和监控，利用OpenFlow交换机中的计数器，可以反映每一时刻总体流量大小的变化，并且可以针对不同的攻击建立模型进行防御。但是在应用于SDN网络中发现，基于OpenFlow的监控抽样技术仅可以反映总体流量变化趋势，粒度较粗，无法实时检测网络攻击；安全检测系统无法实时防御攻击。因此，现有技术均难以实时检测SDN网络攻击并进行防御。
技术实现思路
(一)解决的技术问题针对现有技术的不足，本专利技术实施例提供了一种SDN网络攻击检测及防御的方法和装置，解决了现有技术难以实时检测SDN网络攻击并进行防御的问题。(二)技术方案为实现以上目的，本专利技术实施例提出以下技术方案：本专利技术实施例解决其技术问题所提供的一种SDN网络攻击检测及防御方法，包括以下步骤：S1、基于已标记的网络历史数据，训练二叉决策树模型；S2、根据所述二叉决策树模型扩充SDN交换机的匹配域；S3、将所述二叉决策树模型转换为流规则；S4、将所述流规则部署到所述SDN交换机中；S5、进行流量级别监控过程和数据包级别过滤过程；S6、数据判断结果处理；所述步骤S6，具体包括以下步骤：所述流量级别监控过程对所述二叉决策树模型中的计数器变化率进行实时监控并判断监测结果是否异常，若结果为是，则执行用户自定义操作；若结果为否，则继续进行所述流量级别监控过程；所述数据包级别过滤过程通过所述二叉决策树模型判断数据包是否异常，若结果为是，则执行用户自定义操作；若结果为否，则继续进行所述数据包级别过滤过程。优选的，所述二叉决策树模型基于多种协议的多个字段进行构建，包括：IP、TCP、UDP和ICMP协议。优选的，在所述步骤S2中：所述SDN交换机的匹配域根据所述二叉决策树模型中的字段进行扩充，具体扩充内容包括OpenVSwitch中OpenFlow结构体和所述SDN交换机预处理数据包字段中的至少一项。优选的，在所述步骤S3中：对所述二叉决策树模型进行前序遍历，每遍历一个节点的同时，将该节点的内容转换为相应的流规则，并在所述二叉决策树模型的叶子节点自定义处理规则。优选的，在所述步骤S4中：利用部署器将所述流规则部署到所述SDN交换机中，且，由所述部署器确定部署流规则的至少一个SDN交换机。优选的，所述流规则的部署算法为：首先遍历网络中所有主机之间路径，为每一个交换机赋予权值；之后每次从交换机权值向量V中选择出权值最大的交换机，并且找出这台交换机S所覆盖的路径；如果交换机S可以覆盖所有主机间交换机路径序列集合P中至少一条路径，则将交换机S加入结果集合S′中，并且从所有主机间交换机路径序列集合P中去掉交换机S所覆盖的路径，并将交换机S的权值置为0，直到所有主机间交换机路径序列集合P为空，则终止该算法，返回结果集合S′。优选的，所述步骤S5具体为：流量级别监控：利用提取器不断地提取每个流表中的计数器值，进行预处理后传输到分类器中进行检测；数据包级别过滤：流量经过所述SDN交换机时依次从所述二叉决策树模型的根节点流经至叶子节点，并到达相应的流表。本专利技术解决其技术问题所提供的一种SDN网络攻击检测及防御的装置，包括：决策树模块，用于基于已标记的网络历史数据，训练二叉决策树模型；匹配域扩充模块，用于根据所述二叉决策树模型对SDN交换机的匹配域进行扩充；流规则模块，用于将所述二叉决策树模型转换为流规则；流规则部署模块，用于利用部署器将所述流规则部署到所述SDN交换机中；数据处理模块，用于进行流量级别监控过程和数据包级别过滤过程；数据判断结果处理模块，用于对数据判断结果进行处理；所述流量级别监控过程对所述二叉决策树模型中的计数器变化率进行实时监控并判断监测结果是否异常，若结果为是，则执行用户自定义操作；若结果为否，则继续进行所述流量级别监控过程；所述数据包级别过滤过程通过所述二叉决策树模型判断数据包是否异常，若结果为是，则执行用户自定义操作；若结果为否，则继续进行所述数据包级别过滤过程。优选的，在所述决策树模块中：所述二叉决策树模型基于多种协议的多个字段进行构建，包括：IP、TCP、UDP和ICMP协议。优选的，在所述数据处理模块中：所述流量级别监控过程为：利用提取器不断地提取每个流表中的计数器值，进行预处理后传输到分类器中进行检测；所述数据包级别过滤过程为：流量经过所述SDN交换机时依次从所述二叉决策树模型的根节点流经至叶子节点，并到达相应的流表。(三)有益效果本专利技术实施例提供了一种SDN网络攻击检测及防御的方法和装置。与现有技术相比，具备以下有益效果：本专利技术实施例基于已标记的网络历史数据，训练二叉决策树模型，并将二叉决策树模型转换为SDN交换机的流规则，再将流规则写入SDN交换机，每当交换机处理数据包时，流量级别监控过程不断读取流规则所匹配到数据包数量变化率，实时检测网络攻击，并且数据包级别过滤过程通过二叉决策树模型实现了对数据包的逐个过滤，实时防御网络攻击。因此，本专利技术实施例可以实时检测SDN网络攻击并进行防御。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例所述的SDN网络攻击检测及防御的方法和装置的整体流程图；图2为本专利技术实施例决策树中的字段示意图；图3为本专利技术实施例决策树转换成流规则的算法示意图；图4为本专利技术实施例部署规则用例图；图5为本专利技术实施例流规则部署算法示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例通过提供一种SDN网络攻击检测及防御的方法和装置，解决了现有技术难以实时检测SDN网络攻击并进行防御的问题，实现了SDN网络攻击的实时检测及防御。本申请实施例中的技术方案为解决上述技术问题，总体思路如下：如现有技术的阐述，在SDN网络中，存在难以实时检测SDN网络攻击并进行防御的问题。本专利技术实施例基于已标记的网络历史数据，训练二叉决策树模型，并将二叉决策树模型转换为SDN交换机的流规则，再将流规则写入SDN交换机，每当交换机处理数据包时，流量级别监控过程不断读取流规则所匹配到数据包数量变化率，实时检测网络攻击，并且数据包级别过滤过程通过二叉决策树模型实现了对数据包的逐个过滤，实时防御网络攻击。因此，本专利技术实施例本文档来自技高网...

【技术保护点】
1.一种SDN网络攻击检测及防御方法，其特征在于，包括以下步骤：S1、基于已标记的网络历史数据，训练二叉决策树模型；S2、根据所述二叉决策树模型扩充SDN交换机的匹配域；S3、将所述二叉决策树模型转换为流规则；S4、将所述流规则部署到所述SDN交换机中；S5、进行流量级别监控过程和数据包级别过滤过程；S6、数据判断结果处理；所述步骤S6，具体包括以下步骤：所述流量级别监控过程对所述二叉决策树模型中的计数器变化率进行实时监控并判断监测结果是否异常，若结果为是，则执行用户自定义操作；若结果为否，则继续进行所述流量级别监控过程；所述数据包级别过滤过程通过所述二叉决策树模型判断数据包是否异常，若结果为是，则执行用户自定义操作；若结果为否，则继续进行所述数据包级别过滤过程。

【技术特征摘要】
1.一种SDN网络攻击检测及防御方法，其特征在于，包括以下步骤：S1、基于已标记的网络历史数据，训练二叉决策树模型；S2、根据所述二叉决策树模型扩充SDN交换机的匹配域；S3、将所述二叉决策树模型转换为流规则；S4、将所述流规则部署到所述SDN交换机中；S5、进行流量级别监控过程和数据包级别过滤过程；S6、数据判断结果处理；所述步骤S6，具体包括以下步骤：所述流量级别监控过程对所述二叉决策树模型中的计数器变化率进行实时监控并判断监测结果是否异常，若结果为是，则执行用户自定义操作；若结果为否，则继续进行所述流量级别监控过程；所述数据包级别过滤过程通过所述二叉决策树模型判断数据包是否异常，若结果为是，则执行用户自定义操作；若结果为否，则继续进行所述数据包级别过滤过程。2.如权利要求1所述的SDN网络攻击检测及防御方法，其特征在于：所述二叉决策树模型基于多种协议的多个字段进行构建，包括：IP、TCP、UDP和ICMP协议。3.如权利要求1所述的SDN网络攻击检测及防御方法，其特征在于，在所述步骤S2中：所述SDN交换机的匹配域根据所述二叉决策树模型中的字段进行扩充，具体扩充内容包括OpenVSwitch中OpenFlow结构体和所述SDN交换机预处理数据包字段中的至少一项。4.如权利要求1所述的SDN网络攻击检测及防御方法，其特征在于，在所述步骤S3中：对所述二叉决策树模型进行前序遍历，每遍历一个节点的同时，将该节点的内容转换为相应的流规则，并在所述二叉决策树模型的叶子节点自定义处理规则。5.如权利要求1所述的SDN网络攻击检测及防御方法，其特征在于，在所述步骤S4中：利用部署器将所述流规则部署到所述SDN交换机中，且，由所述部署器确定部署流规则的至少一个SDN交换机。6.如权利要求5所述的SDN网络攻击检测及防御方法，其特征在于，所述流规则的部署算法为：首先遍历网络中所有主机之间路径，为每一个交换机赋予权值；之后每次从交换机权值向量V中选择出权值最大的交换机，并且找出这台交换机S所覆盖的路径；如果交换机S可以覆盖所有...

【专利技术属性】
技术研发人员：刘麒，李华，阮宏玮，连超，李晓迪，王显荣，
申请(专利权)人：内蒙古大学，
类型：发明
国别省市：内蒙古,15