[发明专利]针对SDN控制平面的DDoS攻击检测方法

权利要求书

1.针对SDN控制平面的DDoS攻击检测方法，其特征在于，包括：

接收来自于交换机的OpenFlow报文；

当OpenFlow报文为Packet-in报文时，采用窗口计数器累计Packet-in报文数量；

当窗口计数器累计的Packet-in报文数量达到预设数量时，计算预设数量Packet-in报文的Packet-in速率：

Rate_{packet_in} = N / (T_end - T_begin)

其中，Rate_{packet_in}为Packet-in速率；N为预设数量；T_begin为窗口计数器记录第一个Packet-in报文的时间；T_end为窗口计数器记录第N个Packet-in报文的时间；

当Packet-in速率小于设定阈值时，则Packet-in报文对应的主机不存在攻击，并将窗口计数器更新为零；

当Packet-in速率超过设定阈值时，基于Packet-in报文的熵值提取Packet-in报文中的可疑攻击源；

获取可疑攻击源的流表统计数据，并将流表项匹配报文数小于报文阈值的流标记为可疑流，之后计算可疑攻击源的可疑程度：

R_attack = N_suspect / N

其中，R_attack为可疑程度；N为从可疑攻击源进入交换机的总流数目；N_suspect为可疑流的数目；

当可疑程度小于可疑阈值时，则可疑攻击源对应的主机出现突发流，将窗口计数器更新为零；

当可疑程度大于等于可疑阈值时，则可疑攻击源对应的主机为被攻击对象，同时将窗口计数器更新为零；

所述基于Packet-in报文的熵值提取Packet-in报文中的可疑攻击源进一步包括步骤401至步骤406：

步骤401，计算预设数量的Packet-in报文的熵值，所述Packet-in报文的熵值的计算公式为：

其中，H为熵值；S_i为第i个源IP发出的Packet-in报文数量；n为Packet-in报文总数量，n≤预设数量；k为n个Packet-in报文对应源IP的种类；

步骤402，判断熵值是否小于预设熵值，若大于等于，则进入步骤403中，否则，进入步骤404中；

步骤403，Packet-in报文对应的交换机端口不存在攻击，将窗口计数器更新为零，之后返回步骤105；

步骤404，统计不同源IP发送的Packet-in报文数量，并根据每个源IP对应的Packet-in报文数量进行降序排序；

步骤405，根据源IP发送的Packet-in报文数量降序顺序，依次去除源IP对应的Packet-in报文后，计算剩余Packet-in报文的熵值，直至剩余Packet-in报文的熵值大于等于预设熵值；

步骤406中，当剩余Packet-in报文的熵值大于等于预设熵值时，将已删除的Packet-in报文对应的交换机端口定位为可疑攻击源。

2.根据权利要求1所述的针对SDN控制平面的DDoS攻击检测方法，其特征在于，采用窗口计数器累计Packet-in报文数量之前还包括对进入控制器的Packet-in报文进行冗余Packet-in报文过滤和/或对进入控制器的Packet-in报文进行伪造源IP/MAC的攻击报文过滤。