本發明涉及一種SDN網絡DDoS和DLDoS分布式時空檢測系統，包括設置在各個SDN交換機內部的檢測節點，其中檢測節點包括數據采集模塊、時空異常檢測模塊和輸出模塊；其中數據采集模塊用于采集經過SDN交換機的網絡流量；時空異常檢測模塊用于對數據采集模塊采集的網絡流量在空間域上進行檢測，確定是否存在可疑流量，并基于空間域的檢測結果，再從時間域上確認是否存在著DDoS或DLDoS；輸出模塊用于將檢測結果按照既定格式進行數據及存儲。本發明提供的檢測系統針對DDoS、DLDoS的特征，從網絡流量空間域和時間域來檢測、辨別DDoS、DLDoS，運用分布式的虛擬ANN覆蓋網實現異常檢測時的全局視覺。

技術領域

本發明涉及網絡入侵檢測領域，更具體地，涉及一種SDN網絡DDoS和DLDoS分布式時空檢測系統。

背景技術

傳統的DDoS和DLDoS在新興的SDN網絡下，也出現了新的攻擊方式：

(1)針對SDN控制器的DDoS。SDN交換機對于無法在流表中找到匹配項的數據包，會形成包含這些數據包的packet-in信息到SDN控制器。攻擊者通過對多個交換機持續不斷地發送精心設計的數據包，如數據包的源IP地址、目的IP地址、源端口、目的端口隨機生成，造成交換機收到大量無法在流表匹配的數據包。多個交換機同時向單個控制器發送packet-in信息，容易導致控制器或控制器的對外鏈路過載，導致控制器無法響應正常數據包的packet-in消息。

(2)針對SDN交換機的DLDoS。SDN里，每個數據包都屬于一個流(flow)，每個流的組成/粒度可粗可細，如IP A到IP B可以使一個流，IP A的TCP到IP B的TCP可以是一個流。對于某個流，SDN交換機在流表里有一個流表項與之對應，用于告訴交換機對這個流的數據包如何轉發/處理。SDN交換機對于無法在流表中找到匹配項的數據包，會形成包含這些數據包的packet-in信息到SDN控制器，依據返回的流信息，在流表中插入新的流表項，用以轉發這個數據包及這個流的后續數據包。當多個攻擊者對一臺SDN交換機發送精心設計的數據包，如數據包的源IP地址、目的IP地址、源端口、目的端口隨機生成，造成交換機收到大量無法在流表匹配的數據包，之后交換機會依據返回的信息建立大量的新流表項。流表項需要在一定時間之后才會過期，而交換機的流表大小有限，在這段時間內，交換機的流表被大量無用的項占據，正常網絡流無法建立或只有部分能新流表項，從而流經交換機的網絡通信被阻塞。

DDoS中的攻擊針對的是SDN控制器，控制器一般是性能較好的服務器，攻擊需要持續不斷的進行，達到的效果是控制器無法響應正常的packet-in消息，類似DDoS攻倒服務器的效果。DLDoS中的攻擊針對的是SDN交換機，達到的效果是交換機無法為正常流建立新流表項。由于流表項有過期時間，攻擊只需周期性進行，相較于DDoS，DLDoS在時間平均數是低速率的，這類似于DLDoS攻倒使用TCP的服務器的效果。

針對DDoS、DLDoS，傳統的檢測方法效果不佳。DDoS和DLDoS在傳統網絡中為多個攻擊源針對單個受害端的協同攻擊，網絡中出現大量目的IP相同、端口相同或協議相同的數據包，傳統的檢測方法大多利用這些特征進行檢測。但DDoS、DLDoS隨機偽造數據包字段的數值，不會出現上述特征，在傳統檢測方法看來，DDoS、DLDoS更類似于突發的正常的大流量。因此針對SDN下的新型DDoS和DLDoS，需要采用新的檢測指標和檢測方法，才能更有效發現攻擊。同時，分布式協同攻擊具有范圍廣、隱蔽性強、同步性差的特征。以往的單點IDS觀測的流量有限，很難從中檢測到分散、隱蔽的攻擊流量。因此，需要分布式數據采集的方法來獲得更多數據，從全局視覺來檢測隱蔽攻擊，提高檢測率。

發明內容

本發明為解決以上現有技術的缺陷，提供了一種SDN網絡DDoS和DLDoS分布式時空檢測系統，該系統針對DDoS、DLDoS的特征，采用適合于SDN網絡的網絡特性指標，從網絡流量空間域和時間域來檢測、辨別DDoS、DLDoS，運用分布式的虛擬ANN覆蓋網實現異常檢測時的全局視覺，并避免單點失效。