[发明专利]一种基于P-F的软件定义网络慢速拒绝服务攻击检测方法

权利要求书

1.一种基于P-F的软件定义网络的慢速拒绝服务攻击检测方法，其特征在于，所述慢速拒绝服务攻击的检测方法包括以下几个步骤：

步骤1、网络数据采样：实时获取软件定义网络交换机中的流表信息，对单位时间窗口内所有流经交换机的流量条目及其数据进行采样统计，作为检测攻击的原始数据；

步骤2、特征提取分类：分析网络原始数据并从中提取网络特征值，并依据被提取特征值的网络协议种类，将所提取的TCP流量占比、方差、标准差与包平均大小4个特征作为反映攻击效果的P组特征值，将所提取的UDP流量序列作为反映攻击特征的F组特征值；其中，P组特征值能反映正常网络受到慢速拒绝服务攻击的不良效果，在攻击发生时会出现明显的异常，而F组特征值能反映慢速拒绝服务攻击的周期性流量形态；

步骤3、建立检测模型：基于攻击效果P与攻击特征F两组特征值，分别建立两个检测模型，实现基于攻击效果P与攻击特征F两方面的联合慢速拒绝服务攻击检测；

步骤4、攻击判定检测：根据建立的两种检测模型，对待检测时间窗口内网络数据统计信息进行判定检测，若待检测时间窗口的网络数据同时符合P与F两种检测模型的检测标准，则判定该待检测时间窗口内网络发生了慢速拒绝服务攻击。

2.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤1中的网络数据采样基于软件定义网络所采用的OpenFlow协议实现，控制器以一定频率轮询网络拓扑中各交换机的流表，并解析每条流表项及其字段，形成原始网络流量数据。

3.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3中根据步骤2中提取的P与F两组特征值，分别建立起两个不同的检测模型，具体可分为两个步骤：

步骤3.1、对于P组特征值，使用梯度提升树GBDT与逻辑回归LR结合的算法对特征值进行训练，得到检测模型GBDT-LR；

步骤3.2、对于F组特征值所包含的待检测时间窗口中的UDP序列，采用DSS-KB算法进行分析检测，并设定算法检测阈值，以此判断慢速拒绝服务攻击突发流的存在性，所述DSS-KB算法的具体步骤为：首先根据控制器采样轮询网络拓扑中各交换机的流表的频率，将待检测时间窗口中的UDP流量序列划分检测片，使得检测片的长度与控制器的轮询周期保持一致，接着计算该待检测时间窗口所含UDP流量序列中，每两个相邻检测片之间的UDP能量比值，并为UDP能量比值设定一个检测阈值，若待检测时间窗口内，所有相邻检测片的UDP能量比值高于所设定阈值的情况超过一定次数，则判定该待检测时间窗口内存在慢速拒绝服务攻击。

4.根据权利要求3中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.1中的GBDT-LR检测模型的训练方式为：首先通过GBDT集成学习算法，基于回归决策树CART，将多个弱分类器组合、迭代，形成强分类器，再将GBDT模型对样本的预测结果转为One-Hot编码，最后将One-Hot编码和样本标签输入LR模型进行特征再学习，提高模型检测攻击的自适应性。

5.根据权利要求3中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤3.1中的GBDT-LR模型对于攻击的判定方法为：先提取并向GBDT-LR模型输入待检测窗口的4种网络流量特征，GBDT-LR模型将GBDT算法的预测转为One-Hot编码后，再输入LR算法，最后输出逻辑回归的二分类结果，并与阈值比较，判断该检测窗口中是否存在慢速拒绝服务攻击。

6.根据权利要求1中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4中将步骤3中的“基于攻击效果”与“基于攻击特征”两方面的检测结果综合，得到对于待检测窗口中是否发生慢速拒绝服务攻击的最终判断。

7.根据权利要求6中所述的慢速拒绝服务攻击检测方法，其特征在于，步骤4中，当且仅当基于攻击效果的检测与基于攻击特征的检测两种方法同时认为存在攻击时，该待检测时间窗口被认为存在慢速拒绝服务攻击。