[发明专利]一种软件定义网络下僵尸网络检测系统及方法

权利要求书

1.一种软件定义网络下僵尸网络检测系统，其特征在于：包括数据预热模块、拓扑收集模块、流图提取模块、检测引擎模块；

所述数据预处理模块，从数据层获取数据传递到上层进行分析，形成一个过渡层对数据进行第一次收集处理；

所述拓扑收集模块，通过SDN控制器收集通过流表信息从而构建得到网络拓扑结构图；

所述流量图抽取模块，通过进一步解析Openflow消息实现对网络拓扑结构图作流量图抽取工作，从而得到某个时间段内实时通信的一个流量图；

所述检测引擎模块，对比实时流量图和CLI-graph模型，从匹配的结果中判断是否存在僵尸网络，如若存在僵尸网络，则通过SDN控制器下发阻止流表，采取相应的限制措施。

2.根据权利要求1所述的软件定义网络下僵尸网络检测系统，其特征在于：构建网络拓扑结构图，依赖于POX控制器的discovery.py和spanning_tree.py，其具体构建过程包括以下子步骤：

(1)出现新的Switvh，触发ConnectionUp事件；

(2)LLDPSender类的实例将端口相关的信息从其连接的交换机中传送出去；该实例调用add_port()函数构造LLDP数据包，然后调用_set_timer()函数来触发timer_hander()以发送LLDP数据包；

(3)LLDP数据包被发送至POX控制器，触发Packet-in消息；

(4)Discovery类通过构造一个Link对象解析来自交换机的LLDP数据包，解析结果分为以下三种情况：

①链接不存在于现有的链接表，这个新链接会作为一个新的记录计入在字典中，并触发LinkEvent事件；

②链接已经存在，更新一次网络拓扑结构图；

③链接被关闭或者某个端口改变，_calc_spanning_tree()将会被用于更新网络的拓扑结构；

(5)将网络拓扑结构图的最终树结构看作拓扑收集的最终结果，并作为下一个模块流量图抽取模块的重要输入。

3.根据权利要求1所述的软件定义网络下僵尸网络检测系统，其特征在于，所述流量图抽取模块对网络拓扑结构图作流量图抽取，具体实现过程是：SDN交换机将消息发送给SDN控制器，如果在SDN交换机的流表中不存在相匹配的流表，那么SDN控制器会下发建立新连接的指令；遇到新的数据包时，SDN控制器会获取其流特征，包括端口和SDN交换机的信息；然后获取数据包的五元组，用来构建在流量图抽取模块所需要的实时流量图；接着，分析数据包的五元组之间的关系，从Packet-in消息中获取数据包的五元组，从而分析出在当前网络中，哪些主机是相互通信，存在连接的；最终，一个实时的流量图就通过这样的迭代过程得到了。

4.根据权利要求1所述的软件定义网络下僵尸网络检测系统，其特征在于：所述CLI-graph模型是一个有向图，表示为一个有序对G＝(V,A)，其中V代表顶点集合，A表示一系列顶点的顺序对，即顶点之间的关联，也称为有向边；CLI-graph模型的特性如下：

①源端点仅有一个出度边；

②目标节点只有一个入度边；

③源端点和目标节点之间有多个顶点，且顶点之间的关联边各不相同。

5.根据权利要求4所述的软件定义网络下僵尸网络检测系统，其特征在于：所述对比实时流量图和CLI-graph模型，从匹配的结果中判断是否存在僵尸网络；具体实现包括以下步骤：

(1)依照纯中心结构的僵尸网络拓扑特征构建CLI-graph模型；

(2)使用到了广度优先算法来遍历整个网络拓扑结构图，从而计算网络拓扑结构图中每个节点的出入度情况；如果节点的度正好满足CLI-graph模型中的节点情况，则推测当前的网络中存在一个纯中心化的僵尸网络攻击模型。