本發明公開了一種SDN中基于信任值自適應啟動的ddos防御方法，交換機接收到一個無法匹配的包，發送packet_in數據包至控制器；在SDN控制器中部署一個計數器，該計數器預先設定packet_in數量值，每當到達的packet_in數量等于該設定值時，計算此時間段packet_in的到達速率；然后判斷packe_in到達速率是否異常；利用反向神經網絡分類器對packet_in對應的交換機上的流量進行精確檢測，建立一個中間層為50*50的神經網絡，計算出六個特征值，將上述六個特征值作為分類器的輸入，進行訓練，若神經網絡輸出值介于0.5和1之間，則判定該流量為ddos攻擊。本發明該充分利用SDN的特性：數據層的流表信息，控制層控制器對整個網絡的控制等，有效防御SDN中ddos攻擊。

技術領域

本發明屬于下一代網絡安全技術領域，涉及一種SDN中基于信任值的自適應啟動的ddos防御方法和系統。

背景技術

作為影響檢測效率和系統性能的重要因素，針對防御系統的啟動機制研究的很少。目前，大多數的ddos防御系統采用的是基于周期性檢查流表項的機制去啟動ddos的檢測。大多數方法中，控制器對流表項的收集周期性收集。周期性的缺點很明顯，周期過長，會導致檢測ddos不及時，周期過短，會導致控制器負荷增大。不同于以上方法，本發明提出了一種基于packet_in到達速率的自適應啟動機制。

目前，大多數的研究集中在ddos攻擊的檢測方面。主要有兩種，一種是基于包的檢測,另一種是基于流表的檢測。通過比較基于包的檢測和基于流表的檢測，我們發現基于流表的檢測更好。因為基于包的檢測會在沒有ddos攻擊發生的情況下，依然收集包的信息去判斷此包是否為ddos攻擊包，這樣會使控制器花費很多的時間和資源去處理大量的正常的信息。作為對比，基于流表的ddos檢測如果設計一個合適的啟動機制，當沒有ddos攻擊時，檢測機制就不會啟動，所以可以極大的減少控制器的負荷。另外，本發明采用的是神經網絡的分類檢測方法，神經網絡算法的特點是有一定的理論保證、適用性強且是一種無模型的計算機學習方法。將神經網絡應用于ddos檢測，可以提升檢測的準確性，另外，改變訓練數據，可以檢測出不同種類的ddos攻擊。

現今，國內外主要的恢復方法是改變流表的處理指令，或者是添加一個新的流表。例如將ip地址和端口號匹配成功的包的流表項處理指令被設置為丟棄或者采用一個速率限制和黑名單的方式，本發明在以上方法的基礎上提出了基于信任值的隊列管理的方案，可以靈活的處理ddos攻擊。

發明內容

本發明目的在于提供一種基于信任值自適應啟動的ddos檢測與防御方法，該方法利用人工神經網絡作為異常流量的分類檢測方法，在保障檢測的準確性的前提下，確保不占用控制器大量的資源，采用一種自適應的啟動機制。首先，控制器終端計數器計算packet_in的到達速率，根據其到達速率，決定是否啟用人工神經網絡檢測流量。當檢測完成后，控制器根據其信任值修改packet_in在隊列中的位置，從而達到防御ddos，提升服務質量的目的。

為達到上述目的，本發明采用的技術方案是一種SDN中基于信任值自適應啟動的ddos防御方法，包括如下步驟：

步驟1：交換機接收到一個無法匹配的包，發送packet_in數據包至控制器；

步驟2：在SDN控制器中部署一個計數器，該計數器預先設定packet_in數量值，每當到達的packet_in數量等于該設定值時，計算此時間段packet_in的到達速率；