[发明专利]一种SDN网络DDoS攻击检测方法

说明书

本发明提供一种面向SDN网络的DDoS攻击检测方法，通过SDN的控制器统计数据流量，每收集到一个Packet‑in包计数器加1，当数据流量的收集窗口的总数量达到时间窗口数n，对数据流量进行预处理；根据泊松分布公式计算出每个时间窗口t内的Packet‑in数据包数所对应的概率值，依据信息熵公式计算出n个时间窗口的实时信息熵值；对正常样本和异常样本进行训练，得到信息熵阈值；当n个时间窗口的实时信息熵值小于信息熵阈值时，判定SDN网络中存在，系统报警。本发明能够及时有效地检测出SDN网络DDoS攻击，相对于传统的检测方法，减少了计算量并更具有适用性，提高了SDN网络中DDoS攻击的检测率。

技术领域

本发明属于软件定义网络领域，具体涉及一种面向SDN网络的DDoS攻击检测方法。

背景技术

目前SDN网络中的DDoS攻击检测方法多数是采用统计分析方法，加拿大研究学者T. Nakashima等人的检测方法，他们通过信息熵公式对控制器收集的数据包源IP或者目的IP进行分析，计算出源IP或者目的IP的信息熵值，最后与信息熵阈值比较来检测SDN网络中的DDoS攻击。这些检测方法结合了DDoS攻击的源IP伪造、目的IP高度集中等特性，但是，该方法并未充分利用SDN控制器的特点，同时还未考虑时间窗口大小和无效的目的IP等条件对信息熵的影响，只是单纯的分析的Packet-in数据包进行源IP地址信息熵的计算，当攻击者变换攻击方式时该检测方法就不能有效的检测出DDoS，因此在不同的攻击情况下该检测方法显示出了不可避免的局限性。

发明内容

本发明的目的在于提供了一种SDN网络DDoS攻击检测方法。

本发明的目的是这样实现的：

一种SDN网络DDoS攻击检测方法，其特征在于，具体的实现步骤如下：

步骤1.统计数据流量，在SDN的控制器中设定每个时间窗口的持续时间t和时间窗口数 n，对每一时间窗口中的边界交换机提交的Packet-in包进行统计，每收集到一个Packet-in包计数器加1，当数据流量的收集窗口的总数量达到时间窗口数n，对数据流量进行预处理；

步骤2.数据流量预处理，根据泊松分布公式计算出每个时间窗口t内的Packet-in数据包数所对应的概率值，依据信息熵公式计算出n个时间窗口的实时信息熵值；

步骤3.选定信息熵阈值，对正常样本和异常样本进行训练，得到信息熵阈值；

步骤4.攻击检测判定，比较实时信息熵值与信息熵阈值，当n个时间窗口的实时信息熵值小于信息熵阈值时，判定SDN网络中存在DDoS攻击流；

步骤5.攻击报警，当SDN网络中存在DDoS攻击流时，系统报警。

步骤1中所述的时间窗口选定的方式为，将时间窗口的持续时间设为不同的持续时间，选取控制器接收数据包的分布与泊松分布理论模型偏差最小时的持续时间为时间窗口的持续时间t，再由窗口持续时间再选取时间窗口数n。

步骤2所述的对数据流量预处理，数据流量预处理主要采用泊松分布的熵值计算方法对实时采集的数据流量进行处理，根据泊松分布公式，计算出每个时间窗口内的流量的概率，

P_k(t)＝(e)^-λt(λt)^k/k！

根据信息熵公式计算出n个时间窗口内的信息熵值，

步骤3所述的对正常样本和异常样本进行训练是指，对正常样本进行流量预处理，然后采用统计分析的方法计算出多组正常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值，对异常样本进行流量预处理，然后采用统计分析的方法计算出多组异常样本训练结果的平均熵值、方差、置信区间、置信区间最大值和置信区间最小值。