[发明专利]一种SDN网络DDoS和DLDoS分布式时空检测系统

摘要

本发明涉及一种SDN网络DDoS和DLDoS分布式时空检测系统，包括设置在各个SDN交换机内部的检测节点，其中检测节点包括数据采集模块、时空异常检测模块和输出模块；其中数据采集模块用于采集经过SDN交换机的网络流量；时空异常检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确定是否存在可疑流量，并基于空间域的检测结果，再从时间域上确认是否存在着DDoS或DLDoS；输出模块用于将检测结果按照既定格式进行数据及存储。本发明提供的检测系统针对DDoS、DLDoS的特征，从网络流量空间域和时间域来检测、辨别DDoS、DLDoS，运用分布式的虚拟ANN覆盖网实现异常检测时的全局视觉。

主权项

1.一种SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：包括设置在各个SDN交换机内部的检测节点，其中检测节点包括数据采集模块、时空异常检测模块和输出模块；其中数据采集模块用于采集经过SDN交换机的网络流量；时空异常检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确定是否存在可疑流量，并基于空间域的检测结果，再从时间域上确认是否存在着DDoS或DLDoS；输出模块用于将检测结果按照既定格式进行数据及存储；所述时空异常检测模块由两个级联的ANN构成，其中第一级ANN用于从空间域对网络流量进行检测，确定是否存在着可疑攻击；第二级ANN基于第一级ANN的检测结果，从时间域对网络流量进行检测，并根据检测结果确认是否存在着DDoS或DLDoS；所述第一级ANN和第二级ANN均包括有一个输入层、一个或多个隐藏层和一个输出层，第一级ANN和第二级ANN之间、输入层、隐藏层和输出层三者两两之间、同级的隐藏层与相邻隐藏层之间通过通信模块进行信息的传递，其中输入层的神经元用于接收输入并对输入的数据进行预处理，隐藏层的神经元用于接收输入层或上一层隐藏层的神经元传输来的数据后对数据进行数学运算，并将结果输送到下一个隐藏层或输出层的神经元；输出层用于对接收到的数据进行处理，并输出该级ANN的最终结果；第二级AAN的输入层接收第一级AAN输出层输出的数据后，采用自相关函数对接收的数据进行预处理；所述自相关函数表示如下：R_xx(m)表示自相关函数的值，xx为进行相关运算的两序列的标号，N为检测时时间序列的长度，m为运算的两列序列错开的时间间隔，x(n)表示某个时间段内第一级ANN的输出，x(n+m)表示与x(n)时间间隔为m的某个时间段内第一级ANN的输出，x(n+m)、x(n)的取值为0～1。