[发明专利]一种面向软件定义网络的分布式拒绝服务攻击检测方法

说明书

技术领域

本发明是一种适用于软件定义网络(Software Defined Network，缩写为SDN)环境中，在SDN控制器上选取网络流量的关键属性并采用K最近邻(K-Nearest Neighbor，缩写为KNN)算法实现SDN环境中分布式拒绝服务攻击(Distributed Denial ofService，缩写为DDoS)攻击检测。本技术属于计算机网络领域。

背景技术

传统网络中，对流量的控制和转发都依赖于网络设备实现，且设备中集成了与业务特性紧耦合的操作系统和专用硬件，这些操作系统和专用硬件都是各个厂家自己开发和设计的，缺少灵活性和扩展性，阻碍了网络的进一步发展。SDN概念及相关技术的产生正是为了克服以上缺点。

SDN是一种新型的网络架构，设计理念是将网络的控制平面与数据转发层面分离，并实现可编程化控制。SDN架构通常分为三层，最上层为应用层，包括不同的业务和应用；控制层主要负责处理数据资源的编排，维护网络拓扑，信息状态等；基础设施层负责基于流表的数据处理，转发和状态收集。SDN中，网络设备只负责单纯的数据转发，可以采用通用的硬件；原来负责控制的操作系统将变为独立的网络操作系统，由其负责不同业务特性的适配，而且网络操作系统和业务特性以及硬件设备之间的通信都可以通过编程实现。

Openflow技术初步实现了SDN的思想，Openflow技术由Openflow交换机和Openflow控制器实现。Openflow交换机通过流表(flow table)来进行包查找和转发，是数据转发平面；Openflow控制器负责Openflow交换机上流表的配置，是控制平面。控制器是Openflow技术的核心，控制器和交换机之间可以通过Openflow协议，实现交换机流表的查询、添加、删除，交换机流和包的统计等。

Openflow控制器拥有网络的控制权，可以查看该网络的信息，所以可以对网络的DDoS攻击流量实施检测和处理。

拒绝服务攻击(Denial of Service，缩写为DoS)是指一个或多个攻击源通过伪造数据、发送非法请求来淹没正常服务，以至于合法请求被忽略，导致服务质量下降。这种攻击通常通过消耗网络带宽和主机资源，使网络或主机超过最大负荷，从而无法正常提供服务。DDoS，是指利用分布式的攻击方式，控制网络上能够发动拒绝服务攻击的若干主机同时发动攻击，制造大量的数据分组进入目标网络或主机，致使目标主机或网络的瘫痪。如今的DDoS攻击的门槛非常低，攻击者不需要利用任何黑客的支持就可以借助攻击软件发动攻击，比较著名的攻击工具有Trinoo，TFN，Stacheldraht，TFN2K。

KNN算法是数据挖掘中的经典算法，也常被应用在分类中，该算法先给定一个数据集，然后对于新输入的实例，在训练数据集中寻找与该实例最邻近的K个实例，这K个实例的多数属于某个类，就把该输入实例分类到这个类中。

发明内容

技术问题：本发明的目的是提供一种面向软件定义网络的分布式拒绝服务攻击检测方法，通过选取网络流量中的关键属性，与初始训练的结果集相比较，达到检测软件定义网络中DDoS攻击的目的，通过本方法可以实现高效的流量关键属性分析与攻击检测。

技术方案：本发明的方法采用SDN控制器流表分析和KNN算法，来完成异常流量的检测。流量进入SDN交换机时首先查看交换机上的流表，有匹配项执行相应的行动，比如转发操作；如果没有匹配的表项，则将报文发送给SDN控制器，由SDN控制器生成流表并发送给交换机。SDN控制器还可以随时获取交换机上的流表信息，通过分析流表信息，我们可以得知网络该段时间内有没有遭到DDoS攻击。

该方法包含以下的具体步骤：

面向软件定义网络的分布式拒绝服务攻击的检测步骤如下：

1)流表收集模块通过软件定义网络SDN控制器定期向网络内所有的软件定义网络SDN交换机发送流表获取报文来获得流表信息，流表信息通过安全信道发送给控制器，设置定期获取的时间间隔为3秒；

2)特征提取模块分析获得的流表信息组成一个六元组，每一个交换机都有一个六元组，通过交换机ID来辨识；选取的六元组包括：平均每个流中的报文数Apf，平均每个流中的字节数Abf，平均每个流表项的持续时间Adf，交互流的比率PPf，非交互流的增速GSf，不同端口的增速GDP；