1.一種SDN環(huán)境下DDoS攻擊檢測系統(tǒng)，其特征在于，包括異常檢測模塊、防誤判模塊、流量處理模塊、異常存儲模塊及信息查看模塊；

異常檢測模塊，用于數(shù)據(jù)平面輕量級檢測和控制平面重量級檢測，其中數(shù)據(jù)平面進行的輕量級檢測選取DDoS有代表性的特征對流量進行判斷，當新進來的流量特征超過訓練時流量的允許范圍，則滿足其中一個異常條件，當所選的特征均滿足時，就認為在數(shù)據(jù)平面輕量級檢測的流量是異常的；當數(shù)據(jù)平面檢測出異常流量后，進行控制平面的重量級檢測，首先對特定特征集合的數(shù)據(jù)集進行訓練，所用的算法是隨機森林，對數(shù)據(jù)平面?zhèn)鬟f來的異常流量信息進行特征提取，然后將提取的特征集合輸入隨機森林進行細粒度分類，分析出流量的異常情況；

防誤判模塊，用于減少誤報率，針對異常檢測模塊篩選出的異常流量，選取設定比例的流量進行再分配，一部分作為正常流量轉(zhuǎn)發(fā)，一部分當作異常流量進行丟棄；

流量處理模塊，用于把分類好的流量進行分別處理，正常流量正常轉(zhuǎn)發(fā)，異常流量通過下發(fā)相應的流表規(guī)則進行處理；具體如下：若是正常流，控制器就向交換機下發(fā)流表規(guī)則，根據(jù)原始流中的信息進行相關設置，并且將正常流交還給交換機，在交換機中匹配到相關規(guī)則，根據(jù)流表規(guī)則進行轉(zhuǎn)發(fā)，至此，流量經(jīng)過異常檢測模塊，被標記成可疑流，最終經(jīng)過分類器又分成了正常流量，最終到達目的主機端；

若是異常流，在控制器設置一個黑名單，針對異常流的流表規(guī)則進行二級存儲，記錄到異常黑名單中，當流量信息進入到控制器中的時候，先去匹配黑名單，如果沒有就進行異常檢測模塊控制平面重量級算法的檢測，同時將識別后的異常流量記錄到黑名單中，如果有相應的流表規(guī)則，就將流表規(guī)則下發(fā)到流表中，不再對這些流量進行檢測；

異常存儲模塊，通過DataBroker將相應的威脅信息記錄到DataStore中，用戶通過RPC查看記錄在DataStore中的威脅信息；

信息查看模塊，用于實現(xiàn)管理員在網(wǎng)頁端進行查看攻擊記錄。