[发明专利]一种面向SDN控制器的实时DDoS攻击检测系统与方法

说明书

本公开提出了一种面向SDN控制器的实时DDoS攻击检测系统与方法，包括：解析SDN控制器收集的数据包，使用熵值判断检测流是否异常，若存在异常，进行异常警告；通过OpenFlow协议来对流表信息进行收集：控制器通过设置向OpenFlow交换机发送相应的报文来采集流表；每个流表由多个流表项组成，通过流表项信息分析单位时间内网络流量分布特性的变化，从而检测攻击，提取流表项相关信息并转换为有关DDoS攻击的一维特征信息；采用神经网络算法训练数据集生成CNN‑BiLSTM模型对实时流量进行分类，实现实时DDoS攻击的检测。可以高效地实现SDN环境中DDoS攻击流量检测并降低系统的误报率。

技术领域

本公开涉及网络技术领域，特别是涉及一种面向SDN控制器的实时DDoS攻击检测系统与方法。

背景技术

传统的网络设备(交换机、路由器)的固件是由设备制造商锁定和控制，所以大家希望将网络控制与物理网络拓扑分离，从而摆脱硬件对网络架构的限制。这样企业便可以向升级、安装软件一样对网络架构进行修改，满足企业对整个网站架构进行调整、扩容或升级、而底层的交换机、路由器等硬件则无需替换，节省大量的成本的同时，网络架构迭代周期将大大缩短。为了满足这些需求，SDN便应运而生。

软件定义网络(Software Defined Network，SDN)，是由美国斯坦福大学cleanslate研究组提出的一种新型网络创新架构，核心思想是：希望应用软件可以参与对网络的控制管理，满足上层业务需求，通过自动化业务部署简化网络运维。

SDN架构通常分为三层：应用层、转发层和控制层。应用层通过开放的北向接口获取网络信息，采用软件算法优化、网络资源调度，提高全网的使用率和网络质量，同时将虚拟网络配置的能力开放给用户；集中部署的控制层可完成拓扑管理、资源统计、路由计算、配置下发等功能，获得全网资源使用情况，隔离不同用户的虚拟网络；转发层实现分组交换功能。分层的架构满足用户按需调整网络的需求，实现网络服务虚拟化；提高了全网资源使用率；加速了网络创新。

发明人在研究中发现，随着SDN的广泛应用，SDN的安全问题引起了广泛的关注。SDN的集中控制特性极易引起单点失效，从而招致分布式拒绝服务(distributed denialof service，DDoS)攻击。SDN网络中可以利用数据包与流表不匹配，OpenFlow交换机向OpenFlow控制器发送Packet_in消息的特点，对控制器进行DDoS攻击，连续不断地上传Packet_in消息以至于超出控制器的处理能力，无法处理正常用户的数据包，造成网络拥塞。对于SDN控制器而言，DDoS攻击依然是最为简单行之有效的攻击方式。因此，需要针对SDN的架构特征，需要不断研究和设计新型的DDoS检测与防范技术。

发明内容

本说明书实施方式的目的是提供一种面向SDN控制器的实时DDoS攻击检测方法，实现实时DDoS攻击的检测，利用本方法可以高效地实现SDN环境中DDoS攻击流量检测并降低系统的误报率。

本说明书实施方式提供一种面向SDN控制器的实时DDoS攻击检测方法，通过以下技术方案实现：

包括：

解析SDN控制器收集的数据包，使用熵值判断检测流是否异常，若存在异常，进行异常警告；

通过OpenFlow协议来对流表信息进行收集：控制器通过设置向OpenFlow交换机发送相应的报文来采集流表；

每个流表由多个流表项组成，通过流表项信息分析单位时间内网络流量分布特性的变化，从而检测攻击，提取流表项相关信息并转换为有关DDoS攻击的一维特征信息；

采用深度学习算法训练数据集生成CNN-BiLSTM模型对实时流量进行分类，实现实时DDoS攻击的检测。

本说明书实施方式提供一种面向SDN控制器的实时DDoS攻击检测系统，通过以下技术方案实现：