本發明公開了一種SDN環境下的DDoS攻擊檢測方法，涉及網絡安全技術領域，所述方法包括如下步驟：代理模塊將獲取的數據消息構建為特征消息；將特征消息發送至預先構建的檢測模型中獲得檢測結果；根據檢測結果做出決策指令；代理模塊根據決策指令執行控制操作，該方法。首先，在交換機端口入口處增加基于熵的預檢測模塊，以保證SDN網絡設施在受到DDoS攻擊時不會過早的產生拒絕服務行為；其次，通過在控制器程序中增加代理模塊實現安全與控制的分離，以保證檢測本身不會占用過多的控制器和交換機資源；最后，采用遞歸式特征消除和分類回歸樹結合的檢測算法，保證檢測的效率和準確度。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種SDN環境DDoS攻擊檢測防御方法

背景技術：

軟件定義網絡(SDN)提出數據平面和控制平面分離的方案，解決了傳統網絡不能解決的高可靠性、擴展性和靈活性等方面的問題，但其在業務方面創新的同時也帶來了新的安全方面的挑戰。SDN控制器中業務控制與安全控制高度耦合互相影響，通過流表控制整個網絡安全的安全控制機制還有待完善，且所有安全控制只能到達數據轉發層，并沒有與安全設備或者節點直接交互，使得安全控制能力受限。

現有的SDN攻擊檢測方案主要分為兩大類，第一類為基于統計分析的檢測方案，這類方案所需的計算資源較少，但往往準確度不高。第二類為基于機器學習的方案，這類方案通常將檢測模塊部署在控制器上，這大大的消耗控制器的計算資源，使控制器無法向交換機正常下發控制，使控制器成為網絡的瓶頸。當把交換機和控制器作為DDoS(DistributedDenial of Service：分布式拒絕服務攻擊)攻擊對象時，攻擊方發送大量的未知數據包，這可能會使得交換機緩存大量無用的數據包和增添大量的無用流表項，最終導致流表溢出。更危險的是，交換機向控制器發送大量的請求，導致控制器產生拒絕服務的行為，使得整個網絡處于癱瘓狀態。

發明內容

本發明的目的在于提供一種SDN環境DDoS攻擊檢測防御方法，以解決現有技術中存在的高資源占用或低檢測精度的問題。

一種SDN環境DDoS攻擊檢測防御方法，包括如下步驟：代理模塊將獲取的數據消息構建為特征消息；將特征消息發送至預先構建的檢測模型中獲得檢測結果；根據檢測結果做出決策指令；代理模塊根據決策指令執行控制操作。

進一步地，所述檢測模型的構建方法包括如下步驟：通過特征消息構建數據集；對數據集進行特征選擇以及訓練得到特征子集；對特征子集進行迭代獲得檢測模型。

進一步地，所述數據信息包括交換機向控制器發送的請求、統計消息以及控制器端持有的數據中的一種或多種。

進一步地，所述特征消息包括索引部分和特征域部分，所述特征域部分包括控制信息以及組合特征；所述組合特征包括流的平均數據包數量、每條流的平均字節數、每個流的平均持續時間、對稱流占比、非對稱流變化率以及端口變化量中的一種或多種。

進一步地，根據特征消息構建數據集的方法包括如下步驟：通過特征消息生成若干組樣本；對每組樣本進行標記；將標記后的若干樣本劃分為訓練樣本集和測試樣本集，即為數據集。

進一步地，對數據集進行特征選擇的方法包括如下步驟：通過分類器對數據集進行分類，并對得到的特征分類權重；將特征權重取絕對值后進行排序；根據排序后的絕對值對特征權重進行篩選。

進一步地，所述訓練的方法包括如下步驟：以訓練集、基尼系數的閾值作為輸入；選取一個特征，根據特征的類型計算它每個屬性的基尼系數，最后選擇基尼系數最小的特征及其對應屬性作為分裂依據；將樣本集劃分到子節點中，遞歸上述過程，直到基尼系數小于閾值或沒有特征，則輸出決策樹；對決策樹進行減枝操作，生成檢測模型。