[发明专利]一种SDN中基于信任值的自适应启动的ddos防御方法和系统

权利要求书

1.一种SDN中基于信任值自适应启动的ddos防御方法，其特征在于包括如下步骤：

步骤1：交换机接收到一个无法匹配的包，发送packet_in数据包至控制器；

步骤2：在SDN控制器中部署一个计数器，该计数器预先设定packet_in数量值，每当到达的packet_in数量等于该设定值时，计算此时间段packet_in的到达速率；

步骤3：判断packe_in到达速率是否异常，具体做法如下：建立一种数据结构，将步骤2中计算所获得的packet_in到达速率作为新节点顺序存储在该数据结构中，每个节点设立生存周期范围为10-20秒，若两个节点的速率值差小于一个值，则这两个节点互为相近节点，对于代表packet_in的到达率值的每一个新到节点，更新其前向相近节点数量；相对的，也要更新之前到达节点的后继相近节点数量，若一个节点的前向相近节点数量与后继相近节点数量之和小于一个值，即该节点相近节点数量低于正常值，则判断该节点可疑，执行步骤4；否则，执行步骤5；

步骤4：利用反向神经网络分类器对packet_in对应的交换机上的流量进行精确检测，建立一个中间层为50*50的神经网络，首先，利用网络上的ddos攻击数据对该分类器进行训练，提取攻击数据流表的头域信息，计算出六个特征值：apf即每个流的平均包的数量、abf即每个流的平均比特量、adf即每个流的平均持续时间、ppf即每个流成对包的比例、gsf即每个流单一包的增长率、gdp即每个流不同端口的增长率，将上述六个特征值作为分类器的输入，进行训练，然后利用训练完成的神经网络，将步骤3中可疑packet_in对应交换机上的流量的六个特征作为输入值，若神经网络输出值介于0.5和1之间，则判定该流量为ddos攻击；

步骤5：建立用户信任值数据库，用来存储每个用户的信任值，若精确检测模块检测出是ddos攻击，则减小用户信任值，若检测出不是ddos攻击，则查看控制器状态，若控制器正在遭受攻击也减小其信任值；否则增加其信任值，最后，根据信任值，重新排列packet_in在队列中的位置。

2.根据权利要求1所述的一种SDN中基于信任值自适应启动的ddos防御方法，其特征在于，所述步骤2中，根据packet_in包到达速率，自适应地启动ddos精确检测，具体做法如下：

2-1：在控制器上部署一个计数器，用于计算packet_in的到达数量；

2-2：packet_in计数器的所述设定值为2000，每2000个packet_in包到达时，则计算此时间段packet_in的到达速率。

3.根据权利要求1所述的一种SDN中基于信任值自适应启动的ddos防御方法，其特征在于，所述步骤3中判断packet_in到达速率可疑的具体步骤如下：

3-1：设步骤2计算出的packet_in到达速率为velocity，对于每个新到velocity，建立一个新的节点n_current.obj,将该节点与数据库中的每个节点进行比较，若两节点的速率之差小于150，则将该新到节点的前向相近节点数量加1，同时，将对应的前向相近节点的后继相近节点数量加1，并将n_current.obj存储至数据库；

3-2：每隔一段时间，范围为5-20秒检查一次数据库中的节点，对于数据库中的每一个节点，prec_neighs为该节点前向相近节点的数量，succ_neighs为该节点后继相近节点的数量，若(prec_neighs+succ_neighs)25，则判定该节点可疑。

4.根据权利要求3所述的一种SDN中基于信任值自适应启动的ddos防御方法，其特征在于步骤3-2中所述一段时间为10秒。