[发明专利]一种网络流量异常检测和防御方法

说明书

本发明公开了一种网络流量异常检测和防御方法，包括下述步骤：S1，建立网络流量异常检测与防御架构，并收集流表项信息；其中，所述网络流量异常检测与防御架构包括Ryu控制器单元、基于BP神经网络的异常检测单元、基于OpenFlow协议的OpenvSwitch交换机和接入设备，所述Ryu控制器单元包括流表信息收集模块、流表特征提取模块和防御流表项生成模块，所述流表信息收集模块以周期T1向OpenvSwitch交换机请求所有流表项信息；本发明可便捷地提取出源端口、目的端口、源IP、目的IP、转发数据包数、转发字节数以及持续时间等网络流量信息，并充分利用SDN架构可动态更新流规则的特点，当检测到异常时，自动生成Action为Drop的流表项，阻断后续流量。

技术领域

本发明涉及网络流量检测技术领域，具体涉及一种网络流量异常检测和防御方法。

背景技术

随着互联网的快速发展以及网络规模的不断扩大，网络管理和安全控制变得愈加困难。软件定义网络(SDN)是一种新型的网络架构，其利用分层的思想，将网络解耦为应用层、控制层、数据转发层，并构建开放可编程的网络环境。其中控制层提供北向接口，以开发网络相关应用，如防火墙、IDS以及流量监控，同时控制层提供了南向接口，以管理和配置数据层面的转发交换机。SDN将传统的网络架构从分布式控制转为集中控制管理，并以软件的方式驱动网络控制，这一方面使得网络可视化和管理更为便捷和有效，另一方面随着网络中业务新需求的日益增加，SDN网络可以方便地对流量、带宽进行管理，并开发、测试和应用新的网络协议，打破网络设备商垄断的封闭局面。

网络流量异常检测作为网络动态安全的核心技术之一，能够实时监控网络的运行状态，并主动对网络流量异常进行报警。在传统网络中，网络流的特征获取以及动态防御都较为困难。软件定义网络(SDN)的出现为传统的网络流量异常检测和防御技术提供了新思路，SDN网络具有控制中心化、灵活可编程、全局网络视图、基于流规则的转发机制以及动态更新流转发规则的特点，且基于OpenFlow协议的SDN网络可以以很低的网络开销获取网络流的字段以及流统计信息。

SDN集中开放可编程的特点也为很多传统应用的安全防护提供了新的思路，如利用集中控制的特性，根据OpenFlow流发现流量异常，防范垃圾邮件、蠕虫和DDoS攻击等。在目前的研究中，针对网络流量异常检测技术，一些研究者提出了在SDN环境下的检测技术方案：

(1)文献(Braga R，Mota E，Passito A.Lightweight DDoS flooding attackdetection using NOX/OpenFlow[C]//Local Computer Networks(LCN),2010IEEE 35thConference on.IEEE，2010：408-415)提出一种基于机器学习算法Self-Organizing Maps(SOM)的DDoS攻击检测方法，通过收集的流表项统计信息，从中提取出APf(Average ofPackets per flow)、ABf(Average of Bytes per flow)、ADf(Average of Duration perflow)、PPf(Percentage of Pair-flows)、GSf(Growth of Single-flows)、GDP(Growth ofDifferent Ports)六元组作为SOM算法的输入特征向量，但是，该文献中没有提到在检测到攻击后，该如何缓解或者阻止攻击；