本發(fā)明公開了一種基于SDN入侵檢測技術(shù)，具體步驟為：構(gòu)建DDoS攻擊檢測與響應(yīng)系統(tǒng)，包括四個單元：流表收集單元、攻擊檢測單元、攻擊溯源單元和攻擊緩解單元，流表收集單元和攻擊檢測單元負責(zé)判斷是否發(fā)生攻擊。該單元收集交換機所有流表項，并分析計算流表狀態(tài)信息?；谟嬎憬Y(jié)果，與閾值相比較，從而判斷是否發(fā)生DDoS攻擊。一旦攻擊檢測單元發(fā)現(xiàn)攻擊，系統(tǒng)觸發(fā)攻擊溯源單元。發(fā)現(xiàn)攻擊路徑和攻擊源是該單元的主要任務(wù)。利用控制器掌握全局拓撲，系統(tǒng)串聯(lián)惡意交換機得到攻擊路徑，直至發(fā)現(xiàn)攻擊者所在的交換機。攻擊溯源單元將攻擊路徑和攻擊源送入攻擊緩解單元，為在源頭丟棄惡意數(shù)據(jù)包提供依據(jù)。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，特別是涉及一種基于SDN入侵檢測技術(shù)。

背景技術(shù)

分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊已經(jīng)成為惡意用戶攻擊網(wǎng)絡(luò)的重要武器之一。DDoS攻擊導(dǎo)致受害主機迅速癱瘓，導(dǎo)致巨大利益損失。盡管已提出并應(yīng)用了大量遏制攻擊的方法，但效果并不理想，DDoS攻擊仍然是威脅網(wǎng)絡(luò)安全的重要因素。為了解決安全問題，網(wǎng)絡(luò)需要全新的架構(gòu)，滿足人們的安全需求。適應(yīng)數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)——軟件定義網(wǎng)絡(luò)(SDN:Software-defined networking)引起了社會的廣泛關(guān)注。集中控制、可編程以及智能化的SDN可實時監(jiān)控和準確分析網(wǎng)絡(luò)流量，為及時發(fā)現(xiàn)異常流量和快速響應(yīng)提供了天然條件。SDN技術(shù)將網(wǎng)絡(luò)控制轉(zhuǎn)移到專用SDN控制器上，由它負責(zé)管理和控制虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的所有功能。SDN安全策略支持更深層次的數(shù)據(jù)包分析、網(wǎng)絡(luò)監(jiān)控和流量控制，對于防御網(wǎng)絡(luò)攻擊有很大作用。通過使用可編程的靈活SDN交換機，讓它們作為數(shù)據(jù)包攔截和重定向平臺，安全團隊就可以檢測和防御目前的各種常見攻擊。典型部署是，SDN交換機作為數(shù)據(jù)包提取、上報、和攔截設(shè)備，而控制器則作為監(jiān)控、分析、和策略下發(fā)設(shè)備。SDN提供了一個靈活的、開放的和可編程的平臺，使部署DDoS攻擊防御系統(tǒng)變得可行、容易和方便。目前的DDoS攻擊可謂是千變?nèi)f化，DDoS是傳統(tǒng)的拒絕服務(wù)攻擊(DoS)的升級版本，主要通過控制多臺服務(wù)器組成聯(lián)合攻擊平臺，對一個或多個目標發(fā)動拒絕服務(wù)攻擊，從而成倍地提高拒絕服務(wù)攻擊的效力，使得網(wǎng)絡(luò)帶寬或者平臺資源被消耗殆盡，最終造成服務(wù)能力失效。DDoS攻擊現(xiàn)狀為：攻擊規(guī)模不斷增加，隨著電腦、智能終端的普及、網(wǎng)絡(luò)帶寬的不斷擴大，攻擊者可以調(diào)度更多數(shù)量的受控僵尸主機，從而發(fā)動更大規(guī)模的DDoS攻擊；攻擊模式進一步智能化；攻擊目標向業(yè)務(wù)應(yīng)用層擴展。隨著黑客技術(shù)的不斷發(fā)展，以及互聯(lián)網(wǎng)業(yè)務(wù)的進一步豐富，針對業(yè)務(wù)應(yīng)用層的攻擊方式也越來越多。目前DDoS攻擊的防護難點為：DDoS攻擊流量特征難識別；網(wǎng)絡(luò)節(jié)點間缺乏協(xié)作。在現(xiàn)有防御體系中，各系統(tǒng)平臺大多獨立建設(shè)防御系統(tǒng)，彼此間溝通和信息共享不夠充分，這不僅使攻擊流量特征識別結(jié)果無法被共享，也浪費了防護資源，難以提升整體網(wǎng)絡(luò)的安全可靠性；攻擊工具使用門檻不斷降低。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于SDN入侵檢測技術(shù)，以解決上述現(xiàn)有技術(shù)存在的問題，使。

為實現(xiàn)上述目的，本發(fā)明提供了如下方案：

本發(fā)明提供一種基于SDN入侵檢測技術(shù)，具體步驟為：

1.適應(yīng)SDN架構(gòu)的檢測與響應(yīng)系統(tǒng)結(jié)構(gòu)

本方案所提出的DDoS攻擊檢測與響應(yīng)系統(tǒng)主要包括四個單元，即流表收集單元、攻擊檢測單元、攻擊溯源單元和攻擊緩解單元，如圖1所示。流表收集單元和攻擊檢測單元負責(zé)判斷是否發(fā)生攻擊。該單元收集交換機所有流表項，并分析計算流表狀態(tài)信息?；谟嬎憬Y(jié)果，與閾值相比較，從而判斷是否發(fā)生DDoS攻擊。一旦攻擊檢測單元發(fā)現(xiàn)攻擊，系統(tǒng)觸發(fā)攻擊溯源單元。發(fā)現(xiàn)攻擊路徑和攻擊源是該單元的主要任務(wù)。由于控制器掌握全局拓撲，系統(tǒng)串聯(lián)惡意交換機得到攻擊路徑，直至發(fā)現(xiàn)攻擊者所在的交換機。攻擊溯源單元將攻擊路徑和攻擊源送入攻擊緩解單元，為在源頭丟棄惡意數(shù)據(jù)包提供依據(jù)。詳細流程如圖2所示。

2.基于熵的SDN異常流量檢測單元

2.1異常流量檢測算法