基于SDN的DDOS攻击检测与防护的方法及应用技术

本发明专利技术公开了一种基于SDN的DDOS攻击检测与防护的方法及应用，该方法包括以下步骤：采集数据包的五元特征，并计算所述五元特征的熵值，其中所述五元特征包括源IP、源端口、目的IP、目的端口和协议类型；合并五元特征的熵值并进行hash计算，判断hash计算值是否超过阈值，若是，判定该数据包为可疑流量；若否，过滤该数据包；判断所述可疑流量是否存在攻击行为，若是，判定该可疑流量为攻击流量；若否，过滤该可疑流量；标志所述攻击流量中源IP熵值最大的交换机端口为可疑端口，标志重复检测为可疑端口的交换机端口为攻击端口；将防御规则下发至所述攻击端口所在的交换机，过滤攻击流量。该方法能够有效降低控制器负载，保护SDN控制器和交换机。制器和交换机。制器和交换机。

【技术实现步骤摘要】
基于SDN的DDOS攻击检测与防护的方法及应用


[0001]本专利技术是关于网络安全
，特别是关于一种基于SDN的DDOS攻击检测与防护的方法及应用。

技术介绍

[0002]在SDN网络中，攻击者通常会利用僵尸网络对控制器发起DDOS攻击。由于SDN集中管控的特性，当DDOS攻击出现时，交换机与控制器之间通信次数急剧增加，交换机流表数呈爆炸式增长，最终会使交换机流表缓存耗尽，链路拥塞，控制器系统资源耗尽，最终导致SDN网络崩溃。
[0003]目前大多数现有技术方案仅执行DDoS攻击检测，而未解决检测到DDOS攻击后如何防御和恢复的问题。
[0004]公开于该
技术介绍
部分的信息仅仅旨在增加对本专利技术的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

技术实现思路

[0005]本专利技术的目的在于提供一种基于SDN的DDOS攻击检测与防护的方法及应用，其能够有效降低控制器负载，保护SDN控制器和交换机，提高检测准确率。
[0006]为实现上述目的，本专利技术的实施例提供了一种基于SDN的DDOS攻击检测的方法。
[0007]在本专利技术的一个或多个实施方式中，所述方法包括：采集数据包的五元特征，并计算所述五元特征的熵值，其中所述五元特征包括源IP、源端口、目的IP、目的端口和协议类型；合并五元特征的熵值并进行hash计算，判断hash计算值是否超过阈值，若是，判定该数据包为可疑流量；若否，过滤该数据包；判断所述可疑流量是否存在攻击行为，若是，判定该可疑流量为攻击流量；若否，过滤该可疑流量。
[0008]在本专利技术的一个或多个实施方式中，所述采集数据包的五元特征采取滑动窗口机制来实现，具体包括：在滑动窗口尾部写入所述数据包，完成对所述数据包的操作；滑动窗口向后移动，删除前端数据包，增添尾部数据包，重复前述步骤。
[0009]在本专利技术的一个或多个实施方式中，所述采集数据包的五元特征采取滑动窗口机制来实现，还包括：根据网络中主机的数量来设定滑动窗口大小，其中所述窗口大小为发送数据包的最大数量。
[0010]在本专利技术的一个或多个实施方式中，所述计算所述五元特征的熵值，包括：统计窗口中所述数据包的五元特征出现的次数，根据次数和窗口大小计算每个特征出现的概率，并计算窗口内各个特征的熵值，将每个窗口的五元特征的熵值合并做hash运算。
[0011]在本专利技术的一个或多个实施方式中，所述判断hash计算值是否超过阈值，包括：所述阈值为网络中最大的源IP熵值。
[0012]在本专利技术的一个或多个实施方式中，所述判断所述可疑流量是否存在攻击行为，包括：采用SVM算法来判别可疑流量是否存在攻击行为。
[0013]为实现上述目的，本专利技术的实施例还提供了一种基于SDN的DDOS攻击防护的方法。
[0014]在本专利技术的一个或多个实施方式中，所述方法包括：采集数据包的五元特征，并计算所述五元特征的熵值，其中所述五元特征包括源IP、源端口、目的IP、目的端口和协议类型；合并五元特征的熵值并进行hash计算，判断hash计算值是否超过阈值，若是，判定该数据包为可疑流量；若否，过滤该数据包；判断所述可疑流量是否存在攻击行为，若是，判定该数据包为攻击流量；若否，过滤该数据包；标志所述攻击流量中源IP熵值最大的交换机端口为可疑端口，标志重复检测为可疑端口的交换机端口为攻击端口；以及将防御规则下发至所述攻击端口所在的交换机，过滤攻击流量。
[0015]在本专利技术的一个或多个实施方式中，所述采集数据包的五元特征采取滑动窗口机制来实现，具体包括：在滑动窗口尾部写入所述数据包，完成对所述数据包的操作；滑动窗口向后移动，删除前端数据包，增添尾部数据包，重复前述步骤。
[0016]在本专利技术的一个或多个实施方式中，所述采集数据包的五元特征采取滑动窗口机制来实现，还包括：根据网络中主机的数量来设定滑动窗口大小，其中所述窗口大小为发送数据包的最大数量。
[0017]在本专利技术的一个或多个实施方式中，所述计算所述五元特征的熵值，包括：统计窗口中所述数据包的五元特征出现的次数，根据次数和窗口大小计算每个特征出现的概率，并计算窗口内各个特征的熵值，将每个窗口的五元特征的熵值合并做hash运算。
[0018]在本专利技术的一个或多个实施方式中，所述判断hash计算值是否超过阈值，包括：所述阈值为网络中最大的源IP熵值。
[0019]在本专利技术的一个或多个实施方式中，所述判断所述可疑流量是否存在攻击行为，包括：采用SVM算法来判别可疑流量是否存在攻击行为。
[0020]在本专利技术的一个或多个实施方式中，所述将防御规则下发至所述攻击端口所在的交换机，包括：判断规则缓存队列中是否存在该防御规则，若是，则不下发；若否，则将该防御规则添加到所述规则缓存队列中，并在控制器上下发该防御规则到攻击端口所在的交换机上。
[0021]在本专利技术的一个或多个实施方式中，所述防御规则以流表项形式存在于交换机中，其特征在于，所述方法还包括：在所述流表项的生存时间内，若DDOS攻击停止，则所述流表项自动失效。
[0022]在本专利技术的另一个方面当中，提供了一种基于SDN的DDOS攻击检测的装置，其包括计算模块和监测模块。
[0023]计算模块，用于采集数据包的五元特征，并计算所述五元特征的熵值，其中所述五元特征包括源IP、源端口、目的IP、目的端口和协议类型。
[0024]检测模块，用于合并五元特征的熵值并进行hash计算，判断hash计算值是否超过阈值，若是，判定该数据包为可疑流量；若否，过滤该数据包；判断所述可疑流量是否存在攻击行为，若是，判定该可疑流量为攻击流量；若否，过滤该可疑流量。
[0025]在本专利技术的一个或多个实施方式中，所述计算模块还用于：采集数据包的五元特征采取滑动窗口机制来实现，在滑动窗口尾部写入所述数据包，完成对所述数据包的操作；滑动窗口向后移动，删除前端数据包，增添尾部数据包，重复前述步骤。
[0026]在本专利技术的一个或多个实施方式中，所述计算模块还用于：根据网络中主机的数
量来设定滑动窗口大小，其中所述窗口大小为发送数据包的最大数量。
[0027]在本专利技术的一个或多个实施方式中，所述计算模块还用于：统计窗口中所述数据包的五元特征出现的次数，根据次数和窗口大小计算每个特征出现的概率，并计算窗口内各个特征的熵值，将每个窗口的五元特征的熵值合并做hash运算。
[0028]在本专利技术的一个或多个实施方式中，所述检测模块还用于：所述阈值为网络中最大的源IP熵值。
[0029]在本专利技术的一个或多个实施方式中，所述检测模块还用于：采用SVM算法来判别可疑流量是否存在攻击行为。
[0030]在本专利技术的另一个方面当中，提供了一种基于SDN的DDOS攻击防护的装置，其包括计算模块、监测模块、判定模块和防御模块。
[0031]计算模块，用于采集数据包的五元特征，并计算所述五元特征本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于SDN的DDOS攻击检测的方法，其特征在于，所述方法包括：采集数据包的五元特征，并计算所述五元特征的熵值，其中所述五元特征包括源IP、源端口、目的IP、目的端口和协议类型；合并五元特征的熵值并进行hash计算，判断hash计算值是否超过阈值，若是，判定该数据包为可疑流量；若否，过滤该数据包；判断所述可疑流量是否存在攻击行为，若是，判定该可疑流量为攻击流量；若否，过滤该可疑流量。2.如权利要求1所述的基于SDN的DDOS攻击检测的方法，其特征在于，所述采集数据包的五元特征采取滑动窗口机制来实现，具体包括：在滑动窗口尾部写入所述数据包，完成对所述数据包的操作；滑动窗口向后移动，删除前端数据包，增添尾部数据包，重复前述步骤。3.如权利要求2所述的基于SDN的DDOS攻击检测的方法，其特征在于，所述采集数据包的五元特征采取滑动窗口机制来实现，还包括：根据网络中主机的数量来设定滑动窗口大小，其中所述窗口大小为发送数据包的最大数量。4.如权利要求3所述的基于SDN的DDOS攻击检测的方法，其特征在于，所述计算所述五元特征的熵值，包括：统计窗口中所述数据包的五元特征出现的次数，根据次数和窗口大小计算每个特征出现的概率，并计算窗口内各个特征的熵值，将每个窗口的五元特征的熵值合并做hash运算。5.如权利要求1所述的基于SDN的DDOS攻击检测的方法，其特征在于，所述判断hash计算值是否超过阈值，包括：所述阈值为网络中最大的源IP熵值。6.如权利要求1所述的基于SDN的DDOS攻击检测的方法，其特征在于，所述判断所述可疑流量是否存在攻击行为，包括：采用SVM算法来判别可疑流量是否存在攻击行为。7.一种基于SDN的DDOS攻击防护的方法，其特征在于，所述方法包括：采集数据包的五元特征，并计算所述五元特征的熵值，其中所述五元特征包括源IP、源端口、目的IP、目的端口和协议类型；合并五元特征的熵值并进行hash计算，判断hash计算值是否超过阈值，若是，判定该数据包为可疑流量；若否，过滤该数据包；判断所述可疑流量是否存在攻击行为，若是，判定该可疑流量为攻击流量；若否，过滤该可疑流量；标志所述攻击流量中源IP熵值最大的交换机端口为可疑端口，标志重复检测为可疑端口的交换机端口为攻击端口；以及将防御规则下发至所述攻击端口所在的交换机，过滤攻击流量。8.如权利要求7所述的基于SDN的DDOS...

【专利技术属性】
技术研发人员：请求不公布姓名，
申请(专利权)人：安超云软件有限公司，
类型：发明
国别省市：