The invention provides a method and device for SDN network attack detection and defense, which relates to the computer field. The methods of SDN network attack detection and defense include: S1, training binary decision tree model based on marked network history data; S2, expanding the matching domain of SDN switch; S3, transforming the decision tree model into flow rules; S4, deploying the flow rules to the SDN switch; S5, monitoring the flow level and filtering the data packet level; Processing according to the judgement result. The invention can detect and defend SDN network attacks in real time.
【技术实现步骤摘要】
SDN网络攻击检测及防御的方法和装置
本专利技术涉及计算机领域,具体涉及一种SDN网络攻击检测及防御的方法和装置。
技术介绍
随着科学技术的发展,计算机网络也在不断地普及与发展。与此同时,各种网络攻击也随之而来,对网络安全造成极大的威胁。针对网络安全问题,现有技术使用安全设备或者采用抽样和监控技术进行安全检测和监控。安全设备主要利用入侵检测系统,基本上是对旁路或者镜像流量进行分析,不阻断任何网络访问,主要以提供检测报告和事后溯源为主。抽样和监控技术主要利用OpenFlow进行安全检测和监控,利用OpenFlow交换机中的计数器,可以反映每一时刻总体流量大小的变化,并且可以针对不同的攻击建立模型进行防御。但是在应用于SDN网络中发现,基于OpenFlow的监控抽样技术仅可以反映总体流量变化趋势,粒度较粗,无法实时检测网络攻击;安全检测系统无法实时防御攻击。因此,现有技术均难以实时检测SDN网络攻击并进行防御。
技术实现思路
(一)解决的技术问题针对现有技术的不足,本专利技术实施例提供了一种SDN网络攻击检测及防御的方法和装置,解决了现有技术难以实时检测SDN网络攻击并进行防御的问题。(二)技术方案为实现以上目的,本专利技术实施例提出以下技术方案:本专利技术实施例解决其技术问题所提供的一种SDN网络攻击检测及防御方法,包括以下步骤:S1、基于已标记的网络历史数据,训练二叉决策树模型;S2、根据所述二叉决策树模型扩充SDN交换机的匹配域;S3、将所述二叉决策树模型转换为流规则;S4、将所述流规则部署到所述SDN交换机中;S5、进行流量级别监控过程和数据包级别过滤过程 ...
【技术保护点】
1.一种SDN网络攻击检测及防御方法,其特征在于,包括以下步骤:S1、基于已标记的网络历史数据,训练二叉决策树模型;S2、根据所述二叉决策树模型扩充SDN交换机的匹配域;S3、将所述二叉决策树模型转换为流规则;S4、将所述流规则部署到所述SDN交换机中;S5、进行流量级别监控过程和数据包级别过滤过程;S6、数据判断结果处理;所述步骤S6,具体包括以下步骤:所述流量级别监控过程对所述二叉决策树模型中的计数器变化率进行实时监控并判断监测结果是否异常,若结果为是,则执行用户自定义操作;若结果为否,则继续进行所述流量级别监控过程;所述数据包级别过滤过程通过所述二叉决策树模型判断数据包是否异常,若结果为是,则执行用户自定义操作;若结果为否,则继续进行所述数据包级别过滤过程。
【技术特征摘要】
1.一种SDN网络攻击检测及防御方法,其特征在于,包括以下步骤:S1、基于已标记的网络历史数据,训练二叉决策树模型;S2、根据所述二叉决策树模型扩充SDN交换机的匹配域;S3、将所述二叉决策树模型转换为流规则;S4、将所述流规则部署到所述SDN交换机中;S5、进行流量级别监控过程和数据包级别过滤过程;S6、数据判断结果处理;所述步骤S6,具体包括以下步骤:所述流量级别监控过程对所述二叉决策树模型中的计数器变化率进行实时监控并判断监测结果是否异常,若结果为是,则执行用户自定义操作;若结果为否,则继续进行所述流量级别监控过程;所述数据包级别过滤过程通过所述二叉决策树模型判断数据包是否异常,若结果为是,则执行用户自定义操作;若结果为否,则继续进行所述数据包级别过滤过程。2.如权利要求1所述的SDN网络攻击检测及防御方法,其特征在于:所述二叉决策树模型基于多种协议的多个字段进行构建,包括:IP、TCP、UDP和ICMP协议。3.如权利要求1所述的SDN网络攻击检测及防御方法,其特征在于,在所述步骤S2中:所述SDN交换机的匹配域根据所述二叉决策树模型中的字段进行扩充,具体扩充内容包括OpenVSwitch中OpenFlow结构体和所述SDN交换机预处理数据包字段中的至少一项。4.如权利要求1所述的SDN网络攻击检测及防御方法,其特征在于,在所述步骤S3中:对所述二叉决策树模型进行前序遍历,每遍历一个节点的同时,将该节点的内容转换为相应的流规则,并在所述二叉决策树模型的叶子节点自定义处理规则。5.如权利要求1所述的SDN网络攻击检测及防御方法,其特征在于,在所述步骤S4中:利用部署器将所述流规则部署到所述SDN交换机中,且,由所述部署器确定部署流规则的至少一个SDN交换机。6.如权利要求5所述的SDN网络攻击检测及防御方法,其特征在于,所述流规则的部署算法为:首先遍历网络中所有主机之间路径,为每一个交换机赋予权值;之后每次从交换机权值向量V中选择出权值最大的交换机,并且找出这台交换机S所覆盖的路径;如果交换机S可以覆盖所有...
【专利技术属性】
技术研发人员:刘麒,李华,阮宏玮,连超,李晓迪,王显荣,
申请(专利权)人:内蒙古大学,
类型:发明
国别省市:内蒙古,15
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。