[发明专利]一种面向软件定义网络的分布式拒绝服务攻击检测方法

摘要

本发明提供了一种适用于软件定义网络(Software Defined Network，缩写为SDN)环境中，使用模块化的思想实现DDoS攻击的检测，本发明选择在SDN控制器上选取网络流量的六个关键属性Apf(平均每个流中的报文数)，Abf(平均每个流中的字节数)，Adf(平均每个流表项的持续时间)，PPf(交互流的比率)，GSf(非交互流的增速)，GDP(不同端口的增速)组成六元组并采用KNN算法实现SDN环境中DDoS攻击检测。应用本方法可以实现高效SDN环境中多SDN交换机DDoS流量检测并降低系统的误警率。

主权项

一种面向软件定义网络的分布式拒绝服务攻击检测方法，其特征在于该方法包含以下的具体步骤：面向软件定义网络的分布式拒绝服务攻击的检测步骤如下：1)流表收集模块通过软件定义网络SDN控制器定期向网络内所有的软件定义网络SDN交换机发送流表获取报文来获得流表信息，流表信息通过安全信道发送给控制器，设置定期获取的时间间隔为3秒；2)特征提取模块分析获得的流表信息组成一个六元组，每一个交换机都有一个六元组，通过交换机ID来辨识；选取的六元组包括：平均每个流中的报文数Apf，平均每个流中的字节数Abf，平均每个流表项的持续时间Adf，交互流的比率PPf，非交互流的增速GSf，不同端口的增速GDP；3)分类模块分析特征提取模块中的六元组来决定该段时间内的流量是正常流量还是分布式拒绝服务攻击DDoS攻击流量；分类模块使用KNN算法对特征提取模块中的六元组进行流量的分类，先分别使用若干组的正常流量以及DDoS流量对分类模块进行训练，获得了若干个样本点，然后对检测流量的六元组求出最近的K个邻居，若K个邻居中DDoS流量点多于正常流量点，认为流量为DDoS流量，反之，则认为该流量点为正常流量；对新的样本点求最近的K个邻居时，使用的距离度量是马氏距离，第i个六元组与第j个六元组之间的马氏距离Dij用下式计算D(Xi-Xj)=(Xi-Xj)TS-1(Xi-Xj)]]>其中，S为前期训练六元组的协方差矩阵，T表示转置。