[发明专利]一种SDN网络DDoS和DLDoS分布式时空检测系统

权利要求书

1.一种SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：包括设置在各个SDN交换机内部的检测节点，其中检测节点包括数据采集模块、时空异常检测模块和输出模块；

其中数据采集模块用于采集经过SDN交换机的网络流量；

时空异常检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确定是否存在可疑流量，并基于空间域的检测结果，再从时间域上确认是否存在着DDoS或DLDoS；

输出模块用于将检测结果按照既定格式进行数据及存储；

所述时空异常检测模块由两个级联的ANN构成，其中第一级ANN用于从空间域对网络流量进行检测，确定是否存在着可疑攻击；第二级ANN基于第一级ANN的检测结果，从时间域对网络流量进行检测，并根据检测结果确认是否存在着DDoS或DLDoS；

所述第一级ANN和第二级ANN均包括有一个输入层、一个或多个隐藏层和一个输出层，第一级ANN和第二级ANN之间、输入层、隐藏层和输出层三者两两之间、同级的隐藏层与相邻隐藏层之间通过通信模块进行信息的传递，其中输入层的神经元用于接收输入并对输入的数据进行预处理，隐藏层的神经元用于接收输入层或上一层隐藏层的神经元传输来的数据后对数据进行数学运算，并将结果输送到下一个隐藏层或输出层的神经元；输出层用于对接收到的数据进行处理，并输出该级ANN的最终结果；

第二级AAN的输入层接收第一级AAN输出层输出的数据后，采用自相关函数对接收的数据进行预处理；

所述自相关函数表示如下：

R_xx(m)表示自相关函数的值，xx为进行相关运算的两序列的标号，N为检测时时间序列的长度，m为运算的两列序列错开的时间间隔，x(n)表示某个时间段内第一级ANN的输出，x(n+m)表示与x(n)时间间隔为m的某个时间段内第一级ANN的输出，x(n+m)、x(n)的取值为0～1。

2.根据权利要求1所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：所述通信模块内包含有ANN的拓扑信息，拓扑信息存储在通信模块内部的神经网络转发表中。

3.根据权利要求2所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：所述神经网络转发表包含有若干个条目，每个条目由目的端交换机的DPID和本机的端口port组成，具体表示为{DPIP：port}。

4.根据权利要求1～3任一项所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：所述数据采集模块采集经过SDN交换机的网络流量，并根据网络流量的特征更新网络特性指标，然后将更新的网络特性指标发送至时空异常检测模块，时空异常检测模块根据网络特性指标对DDoS和DLDoS进行空间域、时间域上的检测。

5.根据权利要求4所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：所述网络特性指标包括：

(1)SDN交换机流表项的hit rate：

h为流表项的hit rate，L是流表总项数，当第i条流表项在周期内到达的数据包数大于等于1时p_i＝1，否则，p_i＝0；

(2)SDN交换机的Packet-In速率：

v为Packet-In速率，m_packetIn表示检测周期内交换机上报的packet In数据包总数，表示每个检测周期Δt内packet-in的数目；

(3)流表的饱和度：

ρ为饱和度，L为流表总项数，L_max是switch允许的最大流表项数目。

6.根据权利要求5所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：数据采集模块更新网络特性指标后，对网络特性指标进行归一化处理，再将归一化处理后的网络特性指标发送至时空异常检测模块；其中进行归一化处理的具体过程如下：

x是归一化后的数值结果，x₀是归一化前的数值结果，x_max是对应指标历史上的最大值，x_min是对应指标历史上的最小值。