本發明屬于SDN中入侵檢測算法領域，公開了一種SDN環境下DDoS攻擊檢測系統及方法。為了及時有效的識別出網絡中的異常流量，減少DDoS攻擊對網絡資源的消耗，結合MD?SAL框架，設計了一個DDoS攻擊防御系統。該系統包括異常檢測模塊、防誤判模塊、流量處理模塊、異常存儲模塊及信息查看模塊。該系統能識別出網絡中流量的異常，及時報警通知系統進行制定相應防御措施，最后根據源IP，目的IP等事先RPC預設值來查看攻擊信息，基于TDMC算法實現對可疑流量的準確分類。

技術領域

本發明屬于SDN中入侵檢測算法領域，具體涉及一種SDN環境下DDoS攻擊檢測系統及方法。

背景技術

如今互聯網技術的發展日新月異，互聯網技術給生活帶來了巨大方便，然而同時它在安全方面也面臨著非常嚴峻的問題，其中DDoS攻擊就在嚴重的威脅著互聯網正常的服務，DDoS是由很多僵尸主機發起的大規模的分布式協同攻擊，是對Internet服務安全造成威脅的主要因素，同時也給各大企業的安全運營造成很大的安全性問題。在這方面比較典型的受害者包括像CNN、雅虎以及亞馬遜這樣的大型流行網站，但是更多的網絡公司越來越依賴于互聯網環境的穩定性、安全性和可用性，如果它們遭受到了DDoS的攻擊，它們這些公司將面臨非常巨大的損失。

在傳統網絡中，在每一臺網絡設備上都分布著控制平面和數據平面，要想實現流量路徑的調整，就需要通過在網元上配置相應的流量策略來進行，但是這并不是穩妥的，對于一些特殊情況就會出現一些棘手的問題，比如在調整大型網絡流量的時候，不僅過程非常麻煩同時還比較容易出現難以想象的故障；關于對于流量的調整，除了以上措施，通過TE隧道也可以做到，但是有個弊端就是TE隧道非常復雜，維護技術難度高，維護成本大。再者就是傳統網絡協議非常復雜，比如現在有的BGP、IGP、組播協議、MPLS等，而且其數量還在不斷的增加。通常除了標準協議外，設備廠家都還會擴展一些私有協議，因此不僅關于設備的操作命令非常雜亂，同時不同廠家生產的設備還會有獨一無二的操作界面，這樣的話就會對運維造成很多麻煩。在傳統網絡中，封閉的來對設備進行管理，并且不同廠家設備實現機制也不盡相同，所以部署一種新功能的周期可能會比較長；并且要是想后續對設備進行維護升級的話，還需要單獨的操作每一臺設備，這無疑大大降低了整體工作效率。SDN作為一個全新的概念，在學術研究這一方面更傾向于在提供功能性SDN基礎設施。因此，根據最近的調查結果顯示，安全性是軟件定義網絡中最為關鍵的問題之一。

軟件定義網絡SDN作為一種新出現的網絡結構，與傳統網絡相比，具有非常大的優勢。SDN的控制器由于具有全局拓撲的功能，所以可以使用控制器來對整個網絡進行管理，并且SDN還可以使得數據平面與控制平面相分離。SDN的交換機不像傳統交換機具有控制功能，在SDN中它們的功能只能是轉發數據包。另外，由于SDN可以對數據進行統一的集中控制，這個特性實現了對網絡資源的優化管理，從而使得網絡的靈活性和可控性有了很大的提高。目前，可編程網絡由于具有抽象的網絡視圖的特性而普遍受到歡迎，同時這個特性反過來也能好的理解復雜網絡的操作，并在任何潛在威脅的情況下提高應采取的行動的有效性。SDN代表一種新興的集中式網絡架構，它的轉發元件是由稱為SDN控制器的中央單元來進行管理，這個中央單元能夠從每個交換機獲得流量統計，通過獲取的流量數據來采取比較適當的措施，以此來防止任何惡意行為或不合理使用網絡所需要的行動。同時，由于SDN控制器和交換機之間使用可編程網絡協議，也就是OpenFlow協議，以便將控制器的命令通過該協議轉發給支持OpenFlow協議的交換機。雖然集中式控制器的使用會產生比較大的作用，但控制器本身也有一些缺陷，即可能會產生單點故障，這一點與傳統網絡架構相比較來說，會使使用集中式控制器的網絡變的更加脆弱。另一方面，由于在啟用的交換機和控制器之間使用OpenFlow進行通信，這就為各種各樣的攻擊行為提供了機會，比如說拒絕服務(DOS)、主機位置劫持以及中間人攻擊。因此，對于SDN環境中異常流量的檢測的研究具有重要的意義，而且應用前景十分廣闊。

發明內容