[发明专利]一种SDN环境下的DDoS攻击检测和防御方法

权利要求书

1.一种SDN环境下的DDoS攻击检测和防御方法，其特征在于，包括以下步骤：

1)根据数据平面上的交换机中的packet_in消息的统计信息触发DDoS攻击检测机制；

2)识别SDN网络流量特征，根据SDN网络流量特征判断可疑流量是否为DDoS攻击；

2.1)SDN控制器收到触发DDoS攻击检测的通知后，对交换机的流量特征进行提取；

用于DDoS检测的流量特征如下：

a)字节率br：单位时间间隔内的流量平均字节数；

其中，b_Tn和b_Tn-1分别表示在T_n和T_n-1之间的某条流比特数，br是在T_n和T_n-1之间某条流的平均比特率；

b)流平均持续时间adf：平均每条流的持续时间。

其中，dur_i表示第i条流的持续时间，Num_f表示采样周期T内流的数目；

c)对称流量百分比ppf：单位时间内对称流数量占总流量数量的百分比；

其中，Num_pf表示采样周期T内对称流的数目；

d)不对称流量变化率vrsf：单位时间内不对称流的变化率；

其中，vrsf表示在时间T_n-1到T_n内，不对称流量的变化率；

e)带少量数据包的流量百分比pfsp：带少量数据包的流量占总流量百分比；

其中，N_p表示一条流F中的数据包数量，V是设定的数量阈值，F_i(PNV)表示第i条带少量数据包的流量；

2.2)使用KNN算法进行DDoS检测；

3)缓解可疑流量对于SDN网络的影响。

2.根据权利要求1所述的SDN环境下的DDoS攻击检测和防御方法，其特征在于，所述步骤1)中触发DDoS攻击检测机制具体如下：

1.1)设置窗口值val与数据包速率阈值threshold；

1.2)统计源/目的IP无法匹配交换机中的流表项的数据包的个数；

1.3)当计数值达到val时，计算消息速率；

1.4)将消息速率与数据包速率阈值threshold比较，若消息速率大于数据包速率阈值，触发DDoS攻击检测机制。

3.根据权利要求1所述的SDN环境下的DDoS攻击检测和防御方法，其特征在于，所述步骤2)中使用KNN算法进行DDoS检测，具体如下：

2.2.1)预处理：基于K-Means的训练数据预处理将所有训练集的数据聚类；所述训练数据包括普通数据和DDoS攻击数据；

输入包括正常组和异常组的训练集数据，每个数据包含5个维度的特征，簇类数为K，进行聚类后输出簇类C＝(C₁,C₂,…,C_K)，质心集Cen，半径集R；

2.2.2)使用KNN算法进行检测时，先比较待测点与各簇类中心的距离，如果离待测点最近的k个类均为正常组或攻击组，则判定该流量为正常流或攻击流；如果最近的k个类位于不同的组中，无法判定待测点类型，则计算待测点与这k个簇类中各点的距离并从中选取最近的k个点，根据这些点的标签来确定检测流。

4.根据权利要求1所述的SDN环境下的DDoS攻击检测和防御方法，其特征在于，所述步骤3)中缓解可疑流量对于SDN网络的影响，具体如下：

3.1)若检测结果判定为DDoS攻击流量，通过控制器收集攻击数据包的入口端口信息，然后通过OpenFlow协议将流表的修改信息发送到发现DDoS攻击的交换机，将匹配该IP地址的数据包丢弃；在将流表项插入交换机后，通过入口端口到达交换机的攻击流量将与阻塞流条目进行匹配，交换机将攻击流量数据包直接丢弃，减轻DDoS攻击，阻止攻击流影响网络，在阻断攻击流量后，删除恶意流表项，释放它们在交换机上占用的存储空间；

3.2)检测到合法突发性流量后，控制器为其制定新的转发路径，分摊网络中流量的转发压力。