[发明专利]基于软件定义网络的网络异常流量检测防御系统

摘要

基于软件定义网络的网络异常流量检测防御系统，软件定义网络与传统网络对异常流量的检测方法大有不同，使得传统的检测方法不再适用，通过运用网络控制平面和数据平面分离的思想,软件定义网络为研发网络新应用和处理网络安全问题提供了新的解决方案。本发明利用软件定义网络架构的集中控制等特点，在攻击的源头实现流量实时监控，使用源IP防伪，接入层异常检测，链路流量异常检测形成多重防御体系，逐渐过滤异常流量，实现网络层DDoS攻击在源端的检测和防御。

主权项

1.基于软件定义网络的网络异常流量检测防御系统，其特征在于：该系统在控制器中内建源IP地址防伪模块，通过源IP防伪模块与DHCP模块的实时交互实现IP地址的动态绑定，实现源IP防伪；利用控制器提供的API编写接入层异常检测与链路流量异常检测，通过两个算法对正常流量的学习建立正常模型；接入层异常检测会通过算法判断用户是否发起泛洪攻击，对异常交换机端口进行限制，阻断异常流量；链路流量异常检测在网络的中间节点对网络整体信息进行检测，对出大范围的分布式攻击有良好的检测效果，实现异常流量的检测与防御；采用定义差分方差为测度在接入层检测异常流量，以及采用统计学多元统计分析算法在链路中发现接入层漏检的异常流量，通过控制器和DHCP服务器实时通信，下发策略到SDN交换机端口进行限速和阻止伪造源IP地址，实现网络层DDoS攻击的检测和防御；具体内容如下：(1)基于差分方差的接入层流量异常检测技术本系统采用基于差分方差算法为测度在接入层针对DDoS攻击的异常流量进行检测；此算法利用已知的正常历史流量数据对某一时刻采集到的流量进行判断是否属于异常，这里的历史数据通过该时刻之前的有限个流量数据进行判断，再者，此处有限个历史数据也不同于统计历史数据，这里的历史数据仅仅通过一个变量来体现，这个变量即是该时刻之前有限个数据的均值，而这个均值每次都是迭代进行计算得到，因此计算中仅仅用到一个均值变量；算法采用差分方差来判断流量的变化趋势，根据当前时刻之前的流量趋势来判断当前时刻的流量是否属于异常，当在某时刻出现流量陡增时属于异常情况发出报警，若某时刻的流量变化趋势和该时刻之前的流量变化趋势不大则属于正常流量；(2)基于统计学多元统计分析算法的链路流量异常检测技术利用多元统计分析中的主成分分析法，设置确定的累积贡献率，将链路上的流量分成不同的子空间；累积贡献率在85％以上的前k个主成分特征向量构成正常子空间，并将真实的流量映射到正常子空间，称为正常模型流量；剩余的主成分特征向量构成异常子空间，将真实流量映射在异常子空间，称为残差流量模型；在残差流量模型中设置阈值，当残差值的变化量超过某个阈值时，认为存在流量异常；(3)基于SDN架构的源IP地址防伪技术阻止伪造源地址：DHCP获取IP的用户与配置静态IP的用户通过控制器对接入层端口的监控，下发只允许其合法IP通过的流表项，当用户发送伪造源IP地址的数据包时，会直接被交换机所丢弃。