本公开提出了一种面向SDN控制器的实时DDoS攻击检测系统与方法,包括:解析SDN控制器收集的数据包,使用熵值判断检测流是否异常,若存在异常,进行异常警告;通过OpenFlow协议来对流表信息进行收集:控制器通过设置向OpenFlow交换机发送相应的报文来采集流表;每个流表由多个流表项组成,通过流表项信息分析单位时间内网络流量分布特性的变化,从而检测攻击,提取流表项相关信息并转换为有关DDoS攻击的一维特征信息;采用神经网络算法训练数据集生成CNN‑BiLSTM模型对实时流量进行分类,实现实时DDoS攻击的检测。可以高效地实现SDN环境中DDoS攻击流量检测并降低系统的误报率。
A Real-time DDoS Attack Detection System and Method for SDN Controller
【技术实现步骤摘要】
一种面向SDN控制器的实时DDoS攻击检测系统与方法
本公开涉及网络
,特别是涉及一种面向SDN控制器的实时DDoS攻击检测系统与方法。
技术介绍
传统的网络设备(交换机、路由器)的固件是由设备制造商锁定和控制,所以大家希望将网络控制与物理网络拓扑分离,从而摆脱硬件对网络架构的限制。这样企业便可以向升级、安装软件一样对网络架构进行修改,满足企业对整个网站架构进行调整、扩容或升级、而底层的交换机、路由器等硬件则无需替换,节省大量的成本的同时,网络架构迭代周期将大大缩短。为了满足这些需求,SDN便应运而生。软件定义网络(SoftwareDefinedNetwork,SDN),是由美国斯坦福大学cleanslate研究组提出的一种新型网络创新架构,核心思想是:希望应用软件可以参与对网络的控制管理,满足上层业务需求,通过自动化业务部署简化网络运维。SDN架构通常分为三层:应用层、转发层和控制层。应用层通过开放的北向接口获取网络信息,采用软件算法优化、网络资源调度,提高全网的使用率和网络质量,同时将虚拟网络配置的能力开放给用户;集中部署的控制层可完成拓扑管理、资源统计、路由计算、配置下发等功能,获得全网资源使用情况,隔离不同用户的虚拟网络;转发层实现分组交换功能。分层的架构满足用户按需调整网络的需求,实现网络服务虚拟化;提高了全网资源使用率;加速了网络创新。专利技术人在研究中发现,随着SDN的广泛应用,SDN的安全问题引起了广泛的关注。SDN的集中控制特性极易引起单点失效,从而招致分布式拒绝服务(distributeddenialofservice,DDoS)攻击。SDN网络中可以利用数据包与流表不匹配,OpenFlow交换机向OpenFlow控制器发送Packet_in消息的特点,对控制器进行DDoS攻击,连续不断地上传Packet_in消息以至于超出控制器的处理能力,无法处理正常用户的数据包,造成网络拥塞。对于SDN控制器而言,DDoS攻击依然是最为简单行之有效的攻击方式。因此,需要针对SDN的架构特征,需要不断研究和设计新型的DDoS检测与防范技术。
技术实现思路
本说明书实施方式的目的是提供一种面向SDN控制器的实时DDoS攻击检测方法,实现实时DDoS攻击的检测,利用本方法可以高效地实现SDN环境中DDoS攻击流量检测并降低系统的误报率。本说明书实施方式提供一种面向SDN控制器的实时DDoS攻击检测方法,通过以下技术方案实现:包括:解析SDN控制器收集的数据包,使用熵值判断检测流是否异常,若存在异常,进行异常警告;通过OpenFlow协议来对流表信息进行收集:控制器通过设置向OpenFlow交换机发送相应的报文来采集流表;每个流表由多个流表项组成,通过流表项信息分析单位时间内网络流量分布特性的变化,从而检测攻击,提取流表项相关信息并转换为有关DDoS攻击的一维特征信息;采用深度学习算法训练数据集生成CNN-BiLSTM模型对实时流量进行分类,实现实时DDoS攻击的检测。本说明书实施方式提供一种面向SDN控制器的实时DDoS攻击检测系统,通过以下技术方案实现:包括:异常检测模块,被配置为:解析SDN控制器收集的数据包,使用熵值判断检测流是否异常,若存在异常,进行异常警告;流表收集模块,被配置为:通过OpenFlow协议来对流表信息进行收集:控制器通过设置向OpenFlow交换机发送相应的报文来采集流表;特征提取模块,被配置为:每个流表由多个流表项组成,通过流表项信息分析单位时间内网络流量分布特性的变化,从而检测攻击,提取流表项相关信息并转换为有关DDoS攻击的一维特征信息;CNN-BiLSTM攻击检测模块,被配置为:采用深度学习算法训练数据集生成CNN-BiLSTM模型对实时流量进行分类,实现实时DDoS攻击的检测。与现有技术相比,本公开的有益效果是:本公开首先使用熵值检测流是否异常,发出异常警告后,获取OpenFlow交换机的流表项,分析SDN环境下DDoS攻击特征,提取出与攻击相关重要特征;通过分析相关特征值的变化,采用CNN-BiLSTM神经网络算法训练数据集生成CNN-BiLSTM模型对实时流量进行分类,实现实时DDoS攻击的检测,利用本方法可以高效地实现SDN环境中DDoS攻击流量检测并降低系统的误报率。附图说明构成本公开的一部分的说明书附图用来提供对本公开的进一步理解,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。图1为本公开实施例子的一种面向SDN控制器的实时DDoS攻击检测系统的框图;图2为本公开实施例子的CNN模型图;图3为本公开实施例子的BiLSTM模型图;图4为本公开实施例子的基于CNN-BiLSTM的DDoS攻击检测方法流程图。具体实施方式应该指出,以下详细说明都是例示性的,旨在对本公开提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本公开所属
的普通技术人员通常理解的相同含义。需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本公开的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。软件定义网络(SDN,softwaredefinednetwork)作为一种新兴的网络架构,最主要特征就是数据转发和控制分离,在网络架构中增加一个控制器,由这个控制器来实现网络集中控制。对于SDN控制器而言,DDoS攻击依然是最为简单且行之有效的攻击方式。针对这个问题,提出了一种面向SDN控制器的实时DDoS检测攻击方法。该方法首先使用熵值检测流是否异常,发出异常警告后,获取OpenFlow交换机的流表项,分析SDN环境下DDoS攻击特征,提取出与攻击相关重要特征;通过分析相关特征值的变化,采用CNN-BiLSTM神经网络算法训练数据集生成CNN-BiLSTM模型对实时流量进行分类,实现实时DDoS攻击的检测,利用本方法可以高效地实现SDN环境中DDoS攻击流量检测并降低系统的误报率。实施例子一该实施例公开了一种面向SDN控制器的实时DDoS攻击检测系统,具体系统框图参见附图1所示,包括异常检测模块、流表收集模块、特征提取模块、CNN-BiLSTM攻击检测模块。在该实施例子中,异常检测模块:通过解析控制器收集的Packet_in包,检测窗口内数据包的目的IP的熵。每个窗口50个数据包,设定一个阈值C,连续检测5个窗口,共检测250个数据包,如果连续5个窗口的熵值下降到该阈值以下,则认为网络流量存在异常,发出异常警报。在该实施例子中,将熵用于DDoS检测的主要原因是它能够测量到达网络数据包的随机性,随机性越高熵值越高。一般正常网络情况下主机之间通信的机会大致均等,当发生DDoS攻击时,往往是多对一攻击,数台傀儡主机将攻击数据包发送到受攻击的目的主机,大量相同的目的地址的数据包降低了网络随机性。因此目的IP地址的熵将降到最低。若在一个窗口T内IP地址xi出现次数为yi次,窗口内每一个目的IP地址出现的概率:pi=yi/n。Renyi熵的计算公式如下:其中,n本文档来自技高网...
【技术保护点】
1.一种面向SDN控制器的实时DDoS攻击检测方法,其特征是,包括:解析SDN控制器收集的数据包,使用熵值判断检测流是否异常,若存在异常,进行异常警告;通过OpenFlow协议来对流表信息进行收集:控制器通过设置向OpenFlow交换机发送相应的报文来采集流表;每个流表由多个流表项组成,通过流表项信息分析单位时间内网络流量分布特性的变化,从而检测攻击,提取流表项相关信息并转换为有关DDoS攻击的一维特征信息;采用深度学习算法训练数据集生成CNN‑BiLSTM模型对实时流量进行分类,实现实时DDoS攻击的检测。
【技术特征摘要】
1.一种面向SDN控制器的实时DDoS攻击检测方法,其特征是,包括:解析SDN控制器收集的数据包,使用熵值判断检测流是否异常,若存在异常,进行异常警告;通过OpenFlow协议来对流表信息进行收集:控制器通过设置向OpenFlow交换机发送相应的报文来采集流表;每个流表由多个流表项组成,通过流表项信息分析单位时间内网络流量分布特性的变化,从而检测攻击,提取流表项相关信息并转换为有关DDoS攻击的一维特征信息;采用深度学习算法训练数据集生成CNN-BiLSTM模型对实时流量进行分类,实现实时DDoS攻击的检测。2.如权利要求1所述的一种面向SDN控制器的实时DDoS攻击检测方法,其特征是,提取流表项相关信息并转换为有关DDoS攻击的一维特征信息包括以下12个特征:流量平均持续时间ADF、流量平均包数APF、流量平均比特数ABF、端口增速GP、源IP地址增速GIP、流表项增速GFE、单流增长速度GSF、流表匹配成功率RFM、对流百分比PPF、源IP地址熵ESA、目的IP地址熵EDA及协议熵EPT。3.如权利要求1所述的一种面向SDN控制器的实时DDoS攻击检测方法,其特征是,CNN-BiLSTM模型的构建:采用BiLSTM对长距离依赖进行特征提取。4.如权利要求1所述的一种面向SDN控制器的实时DDoS攻击检测方法,其特征是,提取流表项相关信息并转换为有关DDoS攻击的一维特征信息,将流表特征分别作为卷积神经网络和BiLSTM神经网络的输入,卷积神经网络的卷积层用不同的滤波器对记录序列矩阵进行卷积操作,提取局部特征;利用BiLSTM模型提取流量的历史信息和未来信息,提取流量的全局特征。5.如权利要求4所述的一种面向SDN控制器的实时DDoS攻击检测方法,其特征是,卷积神经网络的池化层对卷积层提取的局部特征进行最大池化操作...
【专利技术属性】
技术研发人员:管绍朋,孙文文,李奕,
申请(专利权)人:山东工商学院,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。