[發明專利]一種基于SDN的DDoS攻擊檢測方法在審
| 申請號: | 202110377525.7 | 申請日: | 2021-04-08 |
| 公開(公告)號: | CN112995202A | 公開(公告)日: | 2021-06-18 |
| 發明(設計)人: | 張三妞;張智斌;謝汶錦;李紅莉;徐玄驥 | 申請(專利權)人: | 昆明理工大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;G06N5/00;G06N20/00;G06N20/10;G06N20/20 |
| 代理公司: | 昆明明潤知識產權代理事務所(普通合伙) 53215 | 代理人: | 馬海紅 |
| 地址: | 650093 云*** | 國省代碼: | 云南;53 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 sdn ddos 攻擊 檢測 方法 | ||
1.一種基于SDN的DDoS攻擊檢測方法,其特征在于:包括如下步驟:
1)統計SDN中的流表項并預處理;
2)特征提取;
3)初步模型的訓練;
4)選取3-4個最優模型作為基模型,再進行訓練;
5)攻擊檢測判定。
2.根據權利要求1所述的一種基于SDN的DDoS攻擊檢測方法,其特征在于:所述步驟1)包括如下步驟:
統計流表項中的匹配域和計數器信息,protocol,srcIP,dstIP,srcPort,dstPort,pCount依次代表流表項的匹配協議類型、源地址、目的地址、源端口、目的端口以及數據包個數,設以周期T對OpenFlow交換機進行流表項提取,得到不同流表項總數為N,集合為flowSet={(protocol,srcIPi,dstIP,srcPorti,dstPort,pCount,i=l,2,...N},DDoS攻擊檢測算法需要定期提取交換機中的流表項信息并轉換為描述DDoS攻擊的特征向量。
3.根據權利要求1所述的一種基于SDN的DDoS攻擊檢測方法,其特征在于:所述步驟2)包括如下步驟:
step2.1流包速率PPS
式中PacketsNumi是在T時間內i流中數據包的數目,發生攻擊時,該值會上升;
step2.2流表項速率FER
FER=N/T (2)
發生DDoS攻擊時,網絡中針對受害主機的流請求迅速增加,所以有關受害主機的流表項生成速度會上升;
step2.3流包數均值APPF
step2.4單流表項比例SFP
SFP=NS/N (4)
其中NS是單流表項的條數;
step2.5運用協議熵描述DDoS攻擊特性,定義協議熵如下:
其中,M為采用周期內數據包總數,數組pro[k](k=l,2...L)為每種協議的數據包個數;
step2.6 H(srcIPldstIP),H(srcIPldstPort),H(dstPortldstIP)三個條件熵
以源IP關于目的IP的多對一關系的特征計算為例,對流表項集合flowSet進行統計,得到源IP集合為srcIP={slili=l,2...,P},目的IP集合dstIP={dIjlj=I,2...Q},其中A[j](j=l,2,...Q)表示目的IP為dIj的數據包總數,B[i][j](i=1,2,...P;j=l,2....Q)表示源IP為sIi,目的IP為dIj的數據包總數,需要通過Q個熵值來描述這種源IP關于目的IP的多對一關系,其計算公式如下:
H(dIj)=-∑Pijlog(Pij),j=1,2,...,Q (6)
其中Pij表示源地址為sIi,目的地址為dIj的權重,Pij=B[i][j]/A[i],隨機變量Y關于隨機X的條件熵用H(YIX)表示,定義為如下式:
H(Y|X)=-∑jP(xj)∑iP(yi|xj)log(P(yi|xj)) (7)
把數據包個數M和集合A、B代入上式,得到H(srcIPldstIP)的具體計算方法:
同理計算出H(srcIPldstPort)來描述源IP關于目的端口的多對一關系,以及計算H(dstPortldstIP)來描述目的端口關于目的IP的多對一關系。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于昆明理工大學,未經昆明理工大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110377525.7/1.html,轉載請聲明來源鉆瓜專利網。
