本發明提供一種SDN網絡攻擊檢測及防御的方法和裝置，涉及計算機領域。所述SDN網絡攻擊檢測及防御的方法包括：S1、基于已標記的網絡歷史數據，訓練二叉決策樹模型；S2、擴充SDN交換機的匹配域；S3、將所述決策樹模型轉換為流規則；S4、將所述流規則部署到所述SDN交換機中；S5、進行流量級別監控過程和數據包級別過濾過程；S6、數據判斷結果處理。本發明可以實時檢測SDN網絡攻擊并進行防御。

技術領域

本發明涉及計算機領域，具體涉及一種SDN網絡攻擊檢測及防御的方法和裝置。

背景技術

隨著科學技術的發展，計算機網絡也在不斷地普及與發展。與此同時，各種網絡攻擊也隨之而來，對網絡安全造成極大的威脅。

針對網絡安全問題，現有技術使用安全設備或者采用抽樣和監控技術進行安全檢測和監控。安全設備主要利用入侵檢測系統，基本上是對旁路或者鏡像流量進行分析，不阻斷任何網絡訪問，主要以提供檢測報告和事后溯源為主。抽樣和監控技術主要利用OpenFlow進行安全檢測和監控，利用OpenFlow交換機中的計數器，可以反映每一時刻總體流量大小的變化，并且可以針對不同的攻擊建立模型進行防御。

但是在應用于SDN網絡中發現，基于OpenFlow的監控抽樣技術僅可以反映總體流量變化趨勢，粒度較粗，無法實時檢測網絡攻擊；安全檢測系統無法實時防御攻擊。因此，現有技術均難以實時檢測SDN網絡攻擊并進行防御。

發明內容

(一)解決的技術問題

針對現有技術的不足，本發明實施例提供了一種SDN網絡攻擊檢測及防御的方法和裝置，解決了現有技術難以實時檢測SDN網絡攻擊并進行防御的問題。

(二)技術方案

為實現以上目的，本發明實施例提出以下技術方案：

本發明實施例解決其技術問題所提供的一種SDN網絡攻擊檢測及防御方法，包括以下步驟：

S1、基于已標記的網絡歷史數據，訓練二叉決策樹模型；

S2、根據所述二叉決策樹模型擴充SDN交換機的匹配域；

S3、將所述二叉決策樹模型轉換為流規則；

S4、將所述流規則部署到所述SDN交換機中；

S5、進行流量級別監控過程和數據包級別過濾過程；

S6、數據判斷結果處理；

所述步驟S6，具體包括以下步驟：

所述流量級別監控過程對所述二叉決策樹模型中的計數器變化率進行實時監控并判斷監測結果是否異常，若結果為是，則執行用戶自定義操作；若結果為否，則繼續進行所述流量級別監控過程；

所述數據包級別過濾過程通過所述二叉決策樹模型判斷數據包是否異常，若結果為是，則執行用戶自定義操作；若結果為否，則繼續進行所述數據包級別過濾過程。

優選的，所述二叉決策樹模型基于多種協議的多個字段進行構建，包括：IP、TCP、UDP和ICMP協議。

優選的，在所述步驟S2中：

所述SDN交換機的匹配域根據所述二叉決策樹模型中的字段進行擴充，具體擴充內容包括OpenVSwitch中OpenFlow結構體和所述SDN交換機預處理數據包字段中的至少一項。

優選的，在所述步驟S3中：

對所述二叉決策樹模型進行前序遍歷，每遍歷一個節點的同時，將該節點的內容轉換為相應的流規則，并在所述二叉決策樹模型的葉子節點自定義處理規則。

優選的，在所述步驟S4中：