[发明专利]一种SDN中基于信任值的自适应启动的ddos防御方法和系统

摘要

本发明公开了一种SDN中基于信任值自适应启动的ddos防御方法，交换机接收到一个无法匹配的包，发送packet_in数据包至控制器；在SDN控制器中部署一个计数器，该计数器预先设定packet_in数量值，每当到达的packet_in数量等于该设定值时，计算此时间段packet_in的到达速率；然后判断packe_in到达速率是否异常；利用反向神经网络分类器对packet_in对应的交换机上的流量进行精确检测，建立一个中间层为50*50的神经网络，计算出六个特征值，将上述六个特征值作为分类器的输入，进行训练，若神经网络输出值介于0.5和1之间，则判定该流量为ddos攻击。本发明该充分利用SDN的特性：数据层的流表信息，控制层控制器对整个网络的控制等，有效防御SDN中ddos攻击。

主权项

一种SDN中基于信任值自适应启动的ddos防御方法，其特征在于包括如下步骤：步骤1：交换机接收到一个无法匹配的包，发送packet_in数据包至控制器；步骤2：在SDN控制器中部署一个计数器，该计数器预先设定packet_in数量值，每当到达的packet_in数量等于该设定值时，计算此时间段packet_in的到达速率；步骤3：判断packe_in到达速率是否异常，具体做法如下：建立一种数据结构，将步骤1发来的packet_in到达速率作为一个节点顺序存储在该数据结构中，每个节点设立生存周期范围为10‑20秒，若两个节点的速率值差小于一个值，则这两个节点互为相近节点，对于每一个新到的节点，更新其前向相近节点数量；相对的，也要更新之前到达节点的后继相近节点数量，若一个节点的前向相近节点数量与后继相近节点数量之和小于一个值，即该节点相近节点数量低于正常值，则判断该节点可疑，执行步骤4；否则，执行步骤5；步骤4：利用反向神经网络分类器对packet_in对应的交换机上的流量进行精确检测，建立一个中间层为50*50的神经网络，首先，利用网络上的ddos攻击数据对该分类器进行训练，提取攻击数据流表的头域信息，计算出六个特征值：apf即每个流的平均包的数量、abf即每个流的平均比特量、adf即每个流的平均持续时间、ppf即每个流成对包的比例、gsf即每个流单一包的增长率、gdp即每个流不同端口的增长率，将上述六个特征值作为分类器的输入，进行训练，然后利用训练完成的神经网络，将步骤3中可疑packet_in对应交换机上的流量的六个特征作为输入值，若神经网络输出值介于0.5和1之间，则判定该流量为ddos攻击；步骤5：建立用户信任值数据库，用来存储每个用户的信任值，若精确检测模块检测出是ddos攻击，则减小用户信任值，若检测出不是ddos攻击，则查看控制器状态，若控制器正在遭受攻击也减小其信任值；否则增加其信任值，最后，根据信任值，重新排列packet_in在队列中的位置。