[發明專利]一種SDN異常檢測與阻截方法及系統在審
| 申請號: | 201410827207.6 | 申請日: | 2014-12-25 |
| 公開(公告)號: | CN104580173A | 公開(公告)日: | 2015-04-29 |
| 發明(設計)人: | 陳曉帆;黎志勇;吳廣銳;余順爭 | 申請(專利權)人: | 廣東順德中山大學卡內基梅隆大學國際聯合研究院 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 廣州粵高專利商標代理有限公司 44102 | 代理人: | 林麗明 |
| 地址: | 528300 廣東省佛山市順德區大良*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 sdn 異常 檢測 阻截 方法 系統 | ||
1.一種SDN異常檢測與阻截方法,所述方法應用于SDN網絡,其特征在于,所述方法包括以下步驟:
S1:在交換機的端口對數據流進行隨機采樣,得到采樣數據包;
S2:將采樣數據包中的樣本數據取出,得到樣本數據的多個特征字段,更新各個特征字段對應的可計數哈希表,可計數哈希表的值是各個特征字段的具體值在當前統計周期內已經出現的次數;
S3:在預設的時間窗口的間隔處,計算時間窗口內各個特征字段對應的可計數哈希表的熵值;如果熵值大于或等于預設的異常判定閾值,則清空異常計數器,否則異常計數器計數加1;如果異常計數器的值達到預設的計數閾值則判定為異常攻擊,否則不進行處理;
S4:根據預設的阻截機制對異常攻擊進行阻截。
2.根據權利要求1所述的SDN異常檢測與阻截方法,其特征在于,步驟S1中,采用sFlow數據流隨機采樣技術對數據流進行隨機采樣,對OpenFlow交換機的單個或多個端口上的流量進行抽樣或輪詢,采樣數據被封裝為sFlow數據包,然后加上UDP包頭和IP包頭進行傳輸。
3.根據權利要求2所述的SDN異常檢測與阻截方法,其特征在于,步驟S2中,將采樣數據包中的樣本數據取出的具體方法為:對采樣數據包進行解析,首先去除IP包頭,得到其中的UDP包,再去除UDP包頭,得到sFlow數據包,采樣數據封裝在sFlow數據包的Sample?Data中。
4.根據權利要求1所述的SDN異常檢測與阻截方法,其特征在于,步驟S2中,所述特征字段包括目的IP地址、源IP地址、目的端口和源端口,更新各個特征字段對應的可計數哈希表的具體方法為:SDN控制器提取樣本數據的目的IP地址、源IP地址、目的端口或源端口四個字段的具體值,判斷是否存在于各個字段的可計數哈希表中,如果存在,則對應可計數哈希表中的表項計數值加1,否則在可計數哈希表中添加新的條目,可計數哈希表的每一個鍵是目的IP地址、源IP地址、目的端口或源端口的具體值的哈希值,可計數哈希表的值是對應字段具體值在當前統計周期內已經出現的次數。
5.根據權利要求1所述的SDN異常檢測與阻截方法,其特征在于,步驟S3中,計算所述熵值的方法如下:
計算第j個字段的可計數哈希表中的第i個表項出現的次數所占的比重:
計算第j個字段可計數哈希表的的熵值:
其中m為樣本數,Xij為第j個字段的第i個表項在當前統計周期內已經出現的次數,ej為第j個字段可計數哈希表的的熵值,令k=1/lnm,0<ej<1。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于廣東順德中山大學卡內基梅隆大學國際聯合研究院;,未經廣東順德中山大學卡內基梅隆大學國際聯合研究院;許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410827207.6/1.html,轉載請聲明來源鉆瓜專利網。
