技術領域

本發明是一種適用于軟件定義網絡(Software?Defined?Network，縮寫為SDN)環境中，在SDN控制器上選取網絡流量的關鍵屬性并采用K最近鄰(K-Nearest?Neighbor，縮寫為KNN)算法實現SDN環境中分布式拒絕服務攻擊(Distributed?Denial?ofService，縮寫為DDoS)攻擊檢測。本技術屬于計算機網絡領域。

背景技術

傳統網絡中，對流量的控制和轉發都依賴于網絡設備實現，且設備中集成了與業務特性緊耦合的操作系統和專用硬件，這些操作系統和專用硬件都是各個廠家自己開發和設計的，缺少靈活性和擴展性，阻礙了網絡的進一步發展。SDN概念及相關技術的產生正是為了克服以上缺點。

SDN是一種新型的網絡架構，設計理念是將網絡的控制平面與數據轉發層面分離，并實現可編程化控制。SDN架構通常分為三層，最上層為應用層，包括不同的業務和應用；控制層主要負責處理數據資源的編排，維護網絡拓撲，信息狀態等；基礎設施層負責基于流表的數據處理，轉發和狀態收集。SDN中，網絡設備只負責單純的數據轉發，可以采用通用的硬件；原來負責控制的操作系統將變為獨立的網絡操作系統，由其負責不同業務特性的適配，而且網絡操作系統和業務特性以及硬件設備之間的通信都可以通過編程實現。

Openflow技術初步實現了SDN的思想，Openflow技術由Openflow交換機和Openflow控制器實現。Openflow交換機通過流表(flow?table)來進行包查找和轉發，是數據轉發平面；Openflow控制器負責Openflow交換機上流表的配置，是控制平面。控制器是Openflow技術的核心，控制器和交換機之間可以通過Openflow協議，實現交換機流表的查詢、添加、刪除，交換機流和包的統計等。

Openflow控制器擁有網絡的控制權，可以查看該網絡的信息，所以可以對網絡的DDoS攻擊流量實施檢測和處理。

拒絕服務攻擊(Denial?of?Service，縮寫為DoS)是指一個或多個攻擊源通過偽造數據、發送非法請求來淹沒正常服務，以至于合法請求被忽略，導致服務質量下降。這種攻擊通常通過消耗網絡帶寬和主機資源，使網絡或主機超過最大負荷，從而無法正常提供服務。DDoS，是指利用分布式的攻擊方式，控制網絡上能夠發動拒絕服務攻擊的若干主機同時發動攻擊，制造大量的數據分組進入目標網絡或主機，致使目標主機或網絡的癱瘓。如今的DDoS攻擊的門檻非常低，攻擊者不需要利用任何黑客的支持就可以借助攻擊軟件發動攻擊，比較著名的攻擊工具有Trinoo，TFN，Stacheldraht，TFN2K。

KNN算法是數據挖掘中的經典算法，也常被應用在分類中，該算法先給定一個數據集，然后對于新輸入的實例，在訓練數據集中尋找與該實例最鄰近的K個實例，這K個實例的多數屬于某個類，就把該輸入實例分類到這個類中。

發明內容

技術問題：本發明的目的是提供一種面向軟件定義網絡的分布式拒絕服務攻擊檢測方法，通過選取網絡流量中的關鍵屬性，與初始訓練的結果集相比較，達到檢測軟件定義網絡中DDoS攻擊的目的，通過本方法可以實現高效的流量關鍵屬性分析與攻擊檢測。

技術方案：本發明的方法采用SDN控制器流表分析和KNN算法，來完成異常流量的檢測。流量進入SDN交換機時首先查看交換機上的流表，有匹配項執行相應的行動，比如轉發操作；如果沒有匹配的表項，則將報文發送給SDN控制器，由SDN控制器生成流表并發送給交換機。SDN控制器還可以隨時獲取交換機上的流表信息，通過分析流表信息，我們可以得知網絡該段時間內有沒有遭到DDoS攻擊。

該方法包含以下的具體步驟：

面向軟件定義網絡的分布式拒絕服務攻擊的檢測步驟如下：

1)流表收集模塊通過軟件定義網絡SDN控制器定期向網絡內所有的軟件定義網絡SDN交換機發送流表獲取報文來獲得流表信息，流表信息通過安全信道發送給控制器，設置定期獲取的時間間隔為3秒；

2)特征提取模塊分析獲得的流表信息組成一個六元組，每一個交換機都有一個六元組，通過交換機ID來辨識；選取的六元組包括：平均每個流中的報文數Apf，平均每個流中的字節數Abf，平均每個流表項的持續時間Adf，交互流的比率PPf，非交互流的增速GSf，不同端口的增速GDP；