[发明专利]一种基于重标极差法的SDN异常流量检测方法

说明书

一种基于重标极差法的SDN异常流量检测方法，属于计算机网络安全技术领域。该方法包括收集SDN各节点(包括控制器和各用户终端)的正常网络流量包数量，分别计算其Hurst指数；保存并作为网络正常指标，设定正常状态的阈值；收集各节点发生某种已知异常的网络流量包数量，计算各节点Hurst指数作为该异常的指标；用窗函数截取前向序列并计算其Hurst指数，若由正常指标最终变为某种异常指标，即可确定该模式的异常发生并确定发生异常时刻点。若只是指标变化偏离了正常值，但不能找到相近的异常指标，则发生了已知模式之外的异常，并能够确定异常时刻点。本发明可以实时检测流量状态，判断流量是否异常，并且能够检测异常发生时刻，有利于加强SDN网络系统的安全性。

技术领域

本发明属于计算机网络安全技术领域，具体涉及一种基于重标极差法的SDN异常流量检测方法。

背景技术

软件定义网络(Software Defined Network，SDN)是一种网络形式发展的新趋势，其最重要的、最有别于传统网络的特性就是数据平面和控制平面的相互分离。这一特点使得SDN拥有更强的灵活性和易维护性，解决了传统网络静态架构的分散和复杂的主要问题。数据平面和控制平面可以独立更新迭代，两层使用统一协议通信接口相互交换指令与数据。尤其在大型复杂网络拓扑结构下，免除了管理员手动重构网络配置和连接的任务，提高效率的同时也减少了人力干预，途中出现错误的可能性。

SDN控制器控制着网络全局。作为整个网络的管控中心，调度全网资源是其首要任务，收集全网信息能够帮助控制器的智能算法调整网络结构和参数。集中管理的特点也有利于发展SDN网络的可编程能力。这是SDN智能化进行网络调度，动态管理的基础。一旦控制器失效，所有与之相连的节点链路将全部失效。在这样的背景下，对网络流量是否发生异常的检测显得尤为重要，异常流量不仅可以反映潜在的网络攻击，也能预防由于漏洞或故障引起的连锁反映。尤其是涉及到SDN控制器的异常流量更需重点关注。

目前网络流量异常检测倍受学者的关注，例如Leland W E等学者采用R/S分析法和聚集方差法分别计算序列的Hurst指数从而区别正常与异常流量序列，Pharande S等学者使用R/S分析法结合分数高斯噪声分析拒绝服务(Denial of Service，DoS)攻击的自相似性，Lozhkovskyi A G利用R/S分析法计算局部R/S序列以得到分组交换网的流量自相似特征。以上研究都是针对传统网络流量而言，上述方法中，有关R/S分析法和Hurst指数的流量分析是一种计算效率较高，实现简单且可广泛应用的一种方法，但是由于网络环境的差异，对于SDN环境下的流量分析则需要专门的研究测试。对于SDN环境，有基于信息熵的深度神经网络检测法，主成分分析法等，这些方法都全面地考虑到了SDN控制器和其他设备，比较符合SDN特殊的环境，但是这些方法实现的算法较为复杂，耗费计算资源较大，对设备性能有一定要求。

将应用于传统网络的R/S分析法计算Hurst指数的方法引申至SDN环境下，除了计算从用户终端收集的流量序列特征，还要计算控制器的流量特征。但是根据实验研究发现，以100ms为采样间隔，对控制器采集样本点，样本点的值为控制器正常工作时的数据包数量，在编程计算Hurst指数时发生错误。原因在于控制器流量序列有较多长期连续0值，计算R/S序列时，由于恒值序列的极差和标准差均为0，做除法后产生无意义值影响了最终线性拟合的收敛。这个问题在流量较小的时段，对于其他用户终端甚至在传统网络中也会造成影响。

发明内容

本发明的目的在于提供一种基于重标极差法的SDN异常流量检测方法。鉴于现有技术的缺陷，本发明所要解决的技术问题是：

(1)针对SDN流量分析使用R/S分析法，简化计算方法，提高计算速度。

(2)解决在小流量时序列持续为0导致的计算错误。

(3)检测异常发生时刻。

(4)该方法应该对具体硬件环境依赖较小，针对具体网络拓扑结构有具体的参数优化。