[发明专利]一种面向5g网络切片的DDoS攻击检测防御方法及系统

说明书

本发明公开了一种面向5g网络切片的DDoS攻击检测防御方法及系统，旨在现有技术无法有针对性对节点下的受DDoS攻击的子设备进行判断而造成后期防御DDoS攻击的效率低的问题；本发明通过对流表信息中进行准确的特征提取，并针建立以设备为键的哈希表进行设备异常数据流记录，后期进行丢弃屏蔽处理，从而实现了对节点下的子设备进行了有针对性的DDoS攻击判断，实现了准确高效的DDoS检测防御，提高攻击检测效率，同时提高攻击检测后攻击缓解效率，为大量存在SDN技术的5G网络切片提供安全保障；本发明适用于网络检测防御相关领域。

技术领域

本发明属于网络安全领域，更为具体地讲，涉及一种基于SDN技术面向5G网络切片的DDoS攻击检测与攻击防御方法及系统。

背景技术

在移动通信领域，从最初的2G、3G、到现在普遍使用的4G网络，移动网络主要服务移动手机，一般来说只为手机做一些优化。进入5G之后通信场景将变得多元化和复杂化，物与物之间的通信将迅猛发展，大大超越人与人之间的通信需求。传统的蜂窝网络和“一刀切”的模式已经不能满足5G时代各行各业对网络的不同需求。在未来的5G系统中，网络将通过SDN/NFV技术被进一步抽象为“网络切片”，从而支持成千上万个用例、众多用户类型和各种应用的使用。

而无论基于SDN技术的5G网络或者是传统网络，网络安全始终是一个不可忽略的问题。尤其是随着移动终端设备的计算能力越来越强，移动设备作为僵尸节点来组建僵尸网络正逐渐成为现实。分布式拒绝服务攻击(DDoS)是目前黑客经常采用而难以防范的攻击手段。基于SDN技术的5G网络中，控制层面和转发层面之间存在着持续的流，用于传输控制信息和上报状态信息，这种通信通道在传统网络中是没有的，而这种通信通道在SDN中传输着重要信息，地位十分重要。针对DDoS攻击，若不加防范，5G网络相比传统网络，后果可能更加严重。5G中SDN技术的大量应用,将会加速SDN技术的普及以满足不同行业网络需求，一方面将会导致SDN技术的大量普及以满足大量的智能设备需要；另一方面，其一旦受到攻击，后果不堪设想。比如无人驾驶的智能交通，一旦网络受到攻击，将造成交通系统瘫痪。

由于DDoS攻击造成的流表被非法转发规则填充或是网络造成拥塞产生的拒绝服务危害可导致基于SDN的5G网络切片严重影响，同时基于SDN技术的5G网络切片可以借其SDN中OpenFlow流表来对网络中的数据进行检测并将检测到的异常流进行丢弃以此来免受攻击。

现有技术主要包括防火墙防攻击、流量清洗两种；防火墙攻击存在长时间开启导致防火墙转发包的处理速度减慢；而流量清洗通常是在网络汇聚节点部署清洗设备，但是这样无法有针对性的进行清洗，导致清洗设备的工作效率低。

发明内容

本发明的目的在于：针对现有技术无法有针对性对节点下的受DDoS攻击的子设备进行判断而造成后期防御DDoS攻击的效率低的问题，本发明提供一种基于SDN技术面向5G网络切片的DDoS攻击检测与攻击防御方法及系统。

本发明采用的技术方案如下：

本申请提供了一种面向5g网络切片的DDoS攻击检测防御系统,包括网络数据采集模块、数据预处理模块、训练模块、异常检测模块和反馈抑制攻击模块；

网络数据采集模块：用于获取SDN网络切片中的流表信息及网络切片标识信息，流表信息包括正常流表信息和受DDoS攻击异常流表信息；

数据预处理模块：接收网络数据采集模块发送的流表信息和网络切片标识信息，并对流表信息进行特征提取得到平均包数、平均字节数、平均持续时间、对流比、源/目IP地址的熵值、源/目端口号的熵值并构成流量检测数据组；

训练模块：接收数据预处理模块发送的流量检测数据组并形成特征矩阵，并对特征矩阵进行训练得训练模型，并根据训练模型计算得到最优超平面，根据旧样本集中KKT条件对新样本集进行判断，是否存在违反原样本集KKT条件的情况，如有则更新训练模型；