一種基于重標極差法的SDN異常流量檢測方法，屬于計算機網絡安全技術領域。該方法包括收集SDN各節點(包括控制器和各用戶終端)的正常網絡流量包數量，分別計算其Hurst指數；保存并作為網絡正常指標，設定正常狀態的閾值；收集各節點發生某種已知異常的網絡流量包數量，計算各節點Hurst指數作為該異常的指標；用窗函數截取前向序列并計算其Hurst指數，若由正常指標最終變為某種異常指標，即可確定該模式的異常發生并確定發生異常時刻點。若只是指標變化偏離了正常值，但不能找到相近的異常指標，則發生了已知模式之外的異常，并能夠確定異常時刻點。本發明可以實時檢測流量狀態，判斷流量是否異常，并且能夠檢測異常發生時刻，有利于加強SDN網絡系統的安全性。

技術領域

本發明屬于計算機網絡安全技術領域，具體涉及一種基于重標極差法的SDN異常流量檢測方法。

背景技術

軟件定義網絡(Software Defined Network，SDN)是一種網絡形式發展的新趨勢，其最重要的、最有別于傳統網絡的特性就是數據平面和控制平面的相互分離。這一特點使得SDN擁有更強的靈活性和易維護性，解決了傳統網絡靜態架構的分散和復雜的主要問題。數據平面和控制平面可以獨立更新迭代，兩層使用統一協議通信接口相互交換指令與數據。尤其在大型復雜網絡拓撲結構下，免除了管理員手動重構網絡配置和連接的任務，提高效率的同時也減少了人力干預，途中出現錯誤的可能性。

SDN控制器控制著網絡全局。作為整個網絡的管控中心，調度全網資源是其首要任務，收集全網信息能夠幫助控制器的智能算法調整網絡結構和參數。集中管理的特點也有利于發展SDN網絡的可編程能力。這是SDN智能化進行網絡調度，動態管理的基礎。一旦控制器失效，所有與之相連的節點鏈路將全部失效。在這樣的背景下，對網絡流量是否發生異常的檢測顯得尤為重要，異常流量不僅可以反映潛在的網絡攻擊，也能預防由于漏洞或故障引起的連鎖反映。尤其是涉及到SDN控制器的異常流量更需重點關注。

目前網絡流量異常檢測倍受學者的關注，例如Leland W E等學者采用R/S分析法和聚集方差法分別計算序列的Hurst指數從而區別正常與異常流量序列，Pharande S等學者使用R/S分析法結合分數高斯噪聲分析拒絕服務(Denial of Service，DoS)攻擊的自相似性，Lozhkovskyi A G利用R/S分析法計算局部R/S序列以得到分組交換網的流量自相似特征。以上研究都是針對傳統網絡流量而言，上述方法中，有關R/S分析法和Hurst指數的流量分析是一種計算效率較高，實現簡單且可廣泛應用的一種方法，但是由于網絡環境的差異，對于SDN環境下的流量分析則需要專門的研究測試。對于SDN環境，有基于信息熵的深度神經網絡檢測法，主成分分析法等，這些方法都全面地考慮到了SDN控制器和其他設備，比較符合SDN特殊的環境，但是這些方法實現的算法較為復雜，耗費計算資源較大，對設備性能有一定要求。

將應用于傳統網絡的R/S分析法計算Hurst指數的方法引申至SDN環境下，除了計算從用戶終端收集的流量序列特征，還要計算控制器的流量特征。但是根據實驗研究發現，以100ms為采樣間隔，對控制器采集樣本點，樣本點的值為控制器正常工作時的數據包數量，在編程計算Hurst指數時發生錯誤。原因在于控制器流量序列有較多長期連續0值，計算R/S序列時，由于恒值序列的極差和標準差均為0，做除法后產生無意義值影響了最終線性擬合的收斂。這個問題在流量較小的時段，對于其他用戶終端甚至在傳統網絡中也會造成影響。

發明內容

本發明的目的在于提供一種基于重標極差法的SDN異常流量檢測方法。鑒于現有技術的缺陷，本發明所要解決的技術問題是：

(1)針對SDN流量分析使用R/S分析法，簡化計算方法，提高計算速度。

(2)解決在小流量時序列持續為0導致的計算錯誤。

(3)檢測異常發生時刻。

(4)該方法應該對具體硬件環境依賴較小，針對具體網絡拓撲結構有具體的參數優化。