本發明提供一種軟件定義網絡中DDos攻擊的檢測方法及系統。所述方法包括，步驟S1,流表信息收集模塊周期性地向交換機進行流表狀態信息采集；步驟S2,特征提取模塊從采集到的交換流表信息中提取與DDos相關的特征值同時計算流對比例；步驟S3,分類器進行分類，區分正常流量和攻擊異常流量。本發明通過分析DDos攻擊的特點，有針對性性的收集交換流表信息并提取特征，然后構建XGBoost分類算法來獲得檢測的結果，能夠準確、高效的檢測DDos攻擊。

技術領域

本發明涉及網絡安全領域，特別是涉及一種軟件定義網絡中DDos攻擊的檢測方法及系統。

背景技術

DDos攻擊是互聯網面臨的嚴重網絡安全威脅之一，它的出現會導致相關網絡服務出現異常，造成巨大的經濟損失，甚至導致災難性的后果。準確且快速地檢測DDos攻擊是安全領域的一個重要研究課題。

軟件定義網絡(Software Defined Network，SDN)是一種新興的網絡體系結構，它將網絡數據轉發平面和控制平面分開，具有網絡可編程性、能夠集中管理控制和接口開放的特點，因此在不同的網絡組織中得到了廣泛的應用。在SDN環境下，通過完整的網絡視圖，可以對數據包進行深入的分析，支持快速的響應以及流量策略和規則的更新。

網絡攻擊者主要通過攻擊網絡的帶寬、系統資源和應用程序資源等來達到網絡拒絕服務的效果。DDos攻擊有著規模不斷擴大、攻擊方式更加智能的特征。其檢測的難點在于：(1)攻擊流量的特征不容易被識別；(2)相關網絡節點之間缺乏協作；(3)攻擊工具的功能變強，使用門檻降低；(4)地址欺詐使得跟蹤攻擊的來源變得困難；(5)持續時間短。在傳統的網絡結構中，DDos攻擊檢測技術的主要方法可以被分為兩類：基于流量特性的攻擊檢測和基于流量異常的攻擊檢測。前者主要通過收集攻擊的相關特征信息，建立一個DDos攻擊特征數據庫，再將當前網絡中數據包的數據信息和特征數據庫進行對比和分析，來判斷網絡是否被DDos攻擊。后者則主要通過建立一個流量模型來分析流變化，判斷該流量是否異常，并以此來檢測服務器是否被攻擊。如何有效的檢測DDos攻擊是預預防攻擊的重要基礎。

發明內容

本發明實施例所要解決的技術問題在于，提供一種軟件定義網絡中DDos攻擊的檢測方法及系統，通過分析DDos攻擊的特點，如何有效的檢測DDos攻擊。

本發明的一方面，提供一種軟件定義網絡中DDos攻擊的檢測方法，包括如下步驟：

步驟S1,流表信息收集模塊周期性地向交換機進行流表狀態信息采集；

步驟S2,特征提取模塊從采集到的交換流表信息中提取與DDos相關的特征值同時計算流對比例；

步驟S3,分類器進行分類，區分正常流量和攻擊異常流量。

進一步，所述步驟S1中，所述流標狀態信息采集具體為，流表信息收集模塊周期性地通過OpenFlow協議向交換機發送一個流表請求，交換機周期性地響應控制器發送的請求信息，向流表信息收集模塊返回相應的流表信息。

進一步，在所述步驟S1中，所述流標狀態信息采集過程中，流表的獲取周期與控制器的流刪除時間一致，并經過一個周期執行一次命令收集流表的狀態信息。

進一步，在所述步驟S2中，所述提取與DDos相關的特征值具體為，對每個時間周期計算內的特征值進行提取。

進一步，在所述步驟S2中，所述特征值包括流對比例，具體根據以下公式進行計算：

其中，Pair_Sum為交互流表項的數量，N為在發生攻擊時該時間周期的流條目總數；

進一步，交互流是滿足下列公式的交互流表項：

Src_IP_i＝DSt_IP_j