一种SDN流表驱动的DDoS攻击检测方案制造技术

本发明专利技术公开了一种SDN流表驱动的DDoS攻击检测方案，属于互联网安全技术领域。该方案提出了一套OpenFlow流表特征，设计了基于深度学习的单交换机DDoS检测算法SSB，在该算法基础上利用交换机之间的关联特征设计了多交换机协同检测方法MSC。与现有技术相比，新的检测特征包含了多个维度，适用于OpenFlow交换机中存在常驻流表项和控制器下发匹配IP掩码流表项的情况。基于新特征的SSB针对过拟合提出了有效的解决方案，并在此基础上结合交换机间的关联特征得到协同检测方案MSC充分利用了SDN全局优势，对DDoS攻击检测具有良好的效果。

A DDoS Attack Detection Scheme Driven by SDN Stream Table

【技术实现步骤摘要】
一种SDN流表驱动的DDoS攻击检测方案
本专利技术涉及一种SDN流表驱动的DDoS攻击检测方案，属于互联网安全

技术介绍
分布式拒绝服务(DDoS)攻击是当前互联网面临的主要威胁之一，它通过制造攻击流量，使被攻击的服务器、网络链路或是网络设备(防火墙、路由器等)负载过高，最终导致系统崩溃，无法正常提供服务。攻击发起者一般针对重要服务器进行攻击，如银行、信用卡支付网关、甚至根域名服务器，该类攻击也常见于部分游戏，被心怀不满的玩家或是竞争对手广泛使用。DDoS攻击方式主要有SYNFlood、DNSQueryFlood、HTTPFlood、慢速连接攻击、反射攻击、放大攻击、CC攻击、EDDoS攻击等。当前，IPv6被大范围部署，相比于IPv4，IPv6在地址空间、报文格式、服务质量和安全性支持等方面有较大的改变。虽然初期IPsec(InternetProtocolSecurity)在IPv6中被要求强制实现，但之后由于部署上的困难，还是被作为可选扩展头实现。因此，很多DDoS攻击方式在IPv6中依然存在。OpenFlow协议是目前最广泛使用的SDN网络南向接口协议，已被工业界广本文档来自技高网...

【技术保护点】
1.一种SDN流表驱动的DDoS攻击检测方案，其特征在于，具体步骤如下：步骤1，在设定时间间隔Δt内，控制器提取表示某OpenFlow交换机与相邻交换机关联情况的交换机关联特征，同时利用该OpenFlow交换机中的常驻流表项和控制器下发匹配IP掩码流表项表征的特征，提取出用于表征该OpenFlow交换机流量状况的流表特征；步骤2，构建样本集，其中样本集包括若干组样本，每组样本包括每条流的一组流表特征及其对应的标记，所述标记包括表示该组流表特征对应的交换机未遭受攻击的“0”以及表示该组流表特征对应的交换机遭受攻击的“1”；步骤3，搭建第一深度学习模型，第一深度学习模型的输入为流表特征x及其标记y...

【技术特征摘要】
1.一种SDN流表驱动的DDoS攻击检测方案，其特征在于，具体步骤如下：步骤1，在设定时间间隔Δt内，控制器提取表示某OpenFlow交换机与相邻交换机关联情况的交换机关联特征，同时利用该OpenFlow交换机中的常驻流表项和控制器下发匹配IP掩码流表项表征的特征，提取出用于表征该OpenFlow交换机流量状况的流表特征；步骤2，构建样本集，其中样本集包括若干组样本，每组样本包括每条流的一组流表特征及其对应的标记，所述标记包括表示该组流表特征对应的交换机未遭受攻击的“0”以及表示该组流表特征对应的交换机遭受攻击的“1”；步骤3，搭建第一深度学习模型，第一深度学习模型的输入为流表特征x及其标记y，输出为x对应的交换机遭受攻击的概率并以样本集中的m组样本作为训练数据对第一深度学习模型进行训练学习；步骤4，以样本集中的n组数据{(x(1),y(1)),(x(2),y(2))……..,(x(n),y(n))}作为测试样本，输入步骤3中训练学习完成的深度学习模型，得到其中，(x(j),y(j))表示第j组样本，表示第j组样本对应的输出；步骤5，搭建第二深度学习模型，第二深度学习模型的输入为交换机关联特征和第一深度学习模型的输出及其对应的标记，输出为交换机遭受攻击的概率，并以y(j)及对应的交换机关联特征r(j)作为训练数据对第二深度学习模型进行训练学习；步骤6，通过步骤5中训练学习完成的第二深度学习模型进行DDoS攻击检测。2.根据如权利要求1所述的一种SDN流表驱动的DDoS攻击检测方案，其特征在于，步骤1中还包括对常驻流表项进行预处理，具体为：在SDN控制器内部维护各OpenFlow交换机的常驻流表项历史信息，当常驻流表项在idle_timeout时长内数据包匹配计数器没有变化时，认为该常驻流表项已经“消失”，后续特征提取将不涉及此常驻流表项，当发现计数字段变化时再加入该常驻流表项。3.根据如权利要求1所述的一种SDN流表驱动的DDoS攻击检测方案，其特征在于，每条流对应的一组流表特征包括流表项持续时间中位数FE_DM、流表项匹配字节数中位数FE_BM、IP成对流表项数占整体流表项百分比FE_PP、IP单向流表项绝对值FE_PN、交换机端口接收字节数增量最大值S_BMAX、交换机端口接收字节数增量平均值S_BAVG、交换机端口接收字节数与历史平均值比值最大值S_BPMAX、交换机端口接收字节数与历史平均值比值平均值S_BPAVG、交换机端口接收数据包数增量最大值S_PMAX、交换机端口接收数据包数增量平均值S_PAVG、交换机端口接收数据包数增量与历史平均值比值最大值S_PPMAX，交换机端口接收数据包数增量与历史平均值比值平均值S_PPAVG、一天中的时刻T_H、特殊节日T_F。4.根据如权利要求3所述的一种SDN流表驱动的DDoS攻击检测方案，其特征在于，IP成对流表项包括以下两种情况：1)单一IP地址场景下若src_ip1＝dst_ip2且src_ip2＝dst_ip1，则称流表项f1和流表项f2为成对流表项，其中，src_ip1为f1匹配域的源IP，dst_ip1为目的IP，src_ip2为f2匹配域的源IP，dst_ip2为目的IP；此时，FE_PP＝N(peerflow)/N，N代表交换机中流表项总数，N(peerflow)代表IP成对流表项数目；2)带有掩码的源IP、目的IP地址场景下若C1和C2不同时为空，则称流表...

【专利技术属性】
技术研发人员：董永强，李青橙，徐晨，陈芸丽，
申请(专利权)人：东南大学，赛尔网络有限公司，
类型：发明
国别省市：江苏,32