[发明专利]一种SDN中基于信任值的自适应启动的ddos防御方法和系统

说明书

本发明公开了一种SDN中基于信任值自适应启动的ddos防御方法，交换机接收到一个无法匹配的包，发送packet_in数据包至控制器；在SDN控制器中部署一个计数器，该计数器预先设定packet_in数量值，每当到达的packet_in数量等于该设定值时，计算此时间段packet_in的到达速率；然后判断packe_in到达速率是否异常；利用反向神经网络分类器对packet_in对应的交换机上的流量进行精确检测，建立一个中间层为50*50的神经网络，计算出六个特征值，将上述六个特征值作为分类器的输入，进行训练，若神经网络输出值介于0.5和1之间，则判定该流量为ddos攻击。本发明该充分利用SDN的特性：数据层的流表信息，控制层控制器对整个网络的控制等，有效防御SDN中ddos攻击。

技术领域

本发明属于下一代网络安全技术领域，涉及一种SDN中基于信任值的自适应启动的ddos防御方法和系统。

背景技术

作为影响检测效率和系统性能的重要因素，针对防御系统的启动机制研究的很少。目前，大多数的ddos防御系统采用的是基于周期性检查流表项的机制去启动ddos的检测。大多数方法中，控制器对流表项的收集周期性收集。周期性的缺点很明显，周期过长，会导致检测ddos不及时，周期过短，会导致控制器负荷增大。不同于以上方法，本发明提出了一种基于packet_in到达速率的自适应启动机制。

目前，大多数的研究集中在ddos攻击的检测方面。主要有两种，一种是基于包的检测,另一种是基于流表的检测。通过比较基于包的检测和基于流表的检测，我们发现基于流表的检测更好。因为基于包的检测会在没有ddos攻击发生的情况下，依然收集包的信息去判断此包是否为ddos攻击包，这样会使控制器花费很多的时间和资源去处理大量的正常的信息。作为对比，基于流表的ddos检测如果设计一个合适的启动机制，当没有ddos攻击时，检测机制就不会启动，所以可以极大的减少控制器的负荷。另外，本发明采用的是神经网络的分类检测方法，神经网络算法的特点是有一定的理论保证、适用性强且是一种无模型的计算机学习方法。将神经网络应用于ddos检测，可以提升检测的准确性，另外，改变训练数据，可以检测出不同种类的ddos攻击。

现今，国内外主要的恢复方法是改变流表的处理指令，或者是添加一个新的流表。例如将ip地址和端口号匹配成功的包的流表项处理指令被设置为丢弃或者采用一个速率限制和黑名单的方式，本发明在以上方法的基础上提出了基于信任值的队列管理的方案，可以灵活的处理ddos攻击。

发明内容

本发明目的在于提供一种基于信任值自适应启动的ddos检测与防御方法，该方法利用人工神经网络作为异常流量的分类检测方法，在保障检测的准确性的前提下，确保不占用控制器大量的资源，采用一种自适应的启动机制。首先，控制器终端计数器计算packet_in的到达速率，根据其到达速率，决定是否启用人工神经网络检测流量。当检测完成后，控制器根据其信任值修改packet_in在队列中的位置，从而达到防御ddos，提升服务质量的目的。

为达到上述目的，本发明采用的技术方案是一种SDN中基于信任值自适应启动的ddos防御方法，包括如下步骤：

步骤1：交换机接收到一个无法匹配的包，发送packet_in数据包至控制器；

步骤2：在SDN控制器中部署一个计数器，该计数器预先设定packet_in数量值，每当到达的packet_in数量等于该设定值时，计算此时间段packet_in的到达速率；