本發明公開了一種軟件定義網絡中的DDoS攻擊檢測與防御方法與系統，包括：收集packet_in數據包；提取窗口中數據包的源IP、源端口、目的IP、目的端口和協議類型五元特征，計算五元特征熵值；判斷窗口源IP熵值是否超過閾值，若是，判定為可疑流量，否則，過濾該窗口流量；采用機器學習判別可疑流量是否存在攻擊，若是，判定為攻擊流量，否則，過濾該可疑流量；將攻擊流量中IP熵值最大的交換機端口標志為可疑端口，被重復檢測為可疑端口判定為攻擊端口；防御規則下發至攻擊端口所在交換機，從轉發層面過濾攻擊流量。本發明結合五元特征熵值和機器學習算法檢測DDoS攻擊，定位并及時采取防御措施，從轉發層面過濾大量惡意流量，保護控制器和交換機。

技術領域

本發明屬于網絡安全領域，更具體地，涉及一種軟件定義網絡中的DDoS攻擊檢測與防御方法與系統。

背景技術

軟件定義網絡(Software Defined Network,SDN)是一種新型的網絡架構，具有控制轉發分離、集中控制和可編程性的特點。其集中控制的特性，給軟件編程提供了極大的便利的同時，也帶來了一系列安全問題。SDN控制器集中管理網絡資源，一旦控制器單點失效，整個網絡將面臨癱瘓的風險。

在各種網絡安全問題中，DDoS(Distributed Denial of Service，分布式拒絕服務)攻擊是一種分布式、大范圍協同作戰的網絡攻擊方式，這種攻擊方式易于發動、難于防御、極易對網絡造成嚴重的危害。而SDN網絡中的DDoS攻擊不僅會對目標主機造成嚴重危害，更會對網絡中交換機和控制器產生嚴重影響，嚴重時整個SDN網絡將徹底崩潰。

當前已經有學者致力于SDN網絡中的DDoS攻擊檢測研究，可分為基于機器學習方法的攻擊檢測和基于統計學方法的攻擊檢測。(1)基于機器學習的攻擊檢測方式周期性收集交換機流表項的統計數據，利用機器學習方法對統計數據進行判別。機器學習的攻擊檢測方式分析DDoS攻擊連接特征，在控制器上維護一個收集線程，周期性向全網中交換機發送請求消息以獲取流表中的統計信息。機器學習方法數據收集方式給控制器造成一定負載，且網絡規模越大，對控制器造成負載越大。(2)基于統計學方法的攻擊檢測方式，收集packet_in數據包，提取數據包中的一個或多個特征，采用統計學方法對特征序列進行判別。當采用目的IP熵值這一特征量來檢測攻擊時，在實驗網絡中多次測試確定一個閾值。但是，該方式必須考慮單一特征量如何確定一個合理閾值，且該方式不具有自適應性且特征單一，容易制造一種攻擊繞過檢測。當采用多維信息熵值來檢測攻擊時，綜合考慮目的IP、目的端口、源IP三個特征量。然而該方式必須考慮如何合理評估三個特征量之間的關系來檢測DDoS攻擊。

發明內容

針對現有技術的缺陷，本發明的提供一種軟件定義網絡中DDoS攻擊檢測與防御方法與系統，該方法結合五元特征的熵值和機器學習算法，檢測DDoS攻擊，定位并及時采取防御措施，從轉發層面過濾大量惡意流量，保護SDN控制器和交換機。

為實現上述目的，一方面，本發明實施例提供了一種軟件定義網絡中的DDoS攻擊檢測與防御方法，該方法包括以下步驟：

S1.收集交換機上發給控制器的packet_in數據包；

S2.采取滑動窗口機制，提取每個窗口中數據包的源IP、源端口、目的IP、目的端口和協議類型五元特征，并計算每個窗口的五元特征的熵值；

S3.判斷每個窗口的源IP熵值是否超過閾值，若否，則過濾該窗口的流量，若是，則判定該窗口的流量為可疑流量；

S4.采用機器學習算法判別可疑流量是否存在攻擊，若是，則判定為攻擊流量，否則，過濾該可疑流量；

S5.將攻擊流量中源IP熵值最大的交換機端口標志為可疑端口，被重復檢測為可疑端口判定為攻擊端口；

S6.防御規則下發至攻擊端口所在的交換機，從轉發層面過濾攻擊流量。