[发明专利]一种基于重标极差法的SDN异常流量检测方法

权利要求书

1.一种基于重标极差法的SDN异常流量检测方法，其特征在于，包括：

步骤一、收集SDN各节点的正常网络流量包数量，分别计算Hurst指数，作为正常网络状态的指标I_Normal；

所述的Hurst指数的计算方法为：

步骤1.1、以长度A均分一个序列R_t，A＝2^q,q＝1,2,...,λ-1，该序列被均分为n段，设子区间为I_a,a＝1,2,...,n，I_a中的元素记为N_k,m,k＝1,2,...,n,m＝1,2,...,A，计算I_a的平均值e_a；

步骤1.2、对于每个I_a，计算其均值差累积序列X_k,a；

步骤1.3、计算每个I_a的极差后加一个微小量ξ作为极差结果；

步骤1.4、计算每个I_a的标准差后加一个微小量δ作为标准差结果；

步骤1.5、计算(R/S)_n；

步骤1.6、取A＝2^q,q＝1,2,...,λ-1，重复上述计算；将log₂(R/S)作为log₂(n)的函数进行线性拟合，其斜率为Hurst指数值；

步骤二、收集各节点发生某种已知异常的网络流量包数量，计算各节点Hurst指数，作为异常指标I_Abnormal；

步骤三、使用窗函数截取各节点实时产生的前向序列，并计算Hurst指数；每当序列更新一个采样点，就向后移动一次窗函数进行新一轮计算；

步骤四、根据阈值判断此时各节点的Hurst指数是否偏离I_Normal，若偏离，则继续执行步骤五；若没有偏离，则重复步骤三；

步骤五、当Hurst指数趋于稳定时，判断此时的流量指标是否符合步骤二中得到的已知异常指标I_Abnormal，若是，则此时发生了对应模式的异常；若不是，则此时发生了一种新的未知异常。

2.根据权利要求1所述的一种基于重标极差法的SDN异常流量检测方法，其特征在于：

所述的步骤一中I_Normal需要设定阈值，具体阈值应针对具体网络进行测试而定，根据正常网络流量进行多次采集流量并计算Hurst指数，通过统计方法确定好各节点Hurst指数的阈值范围；

所述的步骤二中I_Abnormal需要设定阈值，具体阈值应针对具体网络进行测试而定，根据该异常下的网络流量进行多次采集流量并计算Hurst指数，通过统计方法确定各节点Hurst指数的阈值范围。

3.根据权利要求2所述的一种基于重标极差法的SDN异常流量检测方法，其特征在于：所述的统计方法为使用箱型图的上边缘和下边缘作为I_Normal和I_Abnormal的上、下阈值。

4.根据权利要求1所述的一种基于重标极差法的SDN异常流量检测方法，其特征在于：所述的步骤五中趋于稳定的判断方法为异常发生后一段时间T_Total内，当各节点Hurst指数在异常发生后时间T_Check内都保持在I_Abnormal的阈值内，则判定此时异常模式为I_Abnormal对应模式；在T_Total内无法做出判断，则一律归为未知异常。

5.根据权利要求4所述的一种基于重标极差法的SDN异常流量检测方法，其特征在于：所述的T_Total和T_Check由具体的异常模式而定，多种异常的组合时，取所需的最大值。