[发明专利]一种针对软件定义网络的混合型DDoS攻击检测的方法

权利要求书

1.一种针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，包括如下步骤：

步骤1：当转发器收到一个数据包时先做判断是否在转发流表信息中，如果是，则按照转发要求进行处理，如果不是，则返回给控制器做判断；

步骤2：对于控制器下发packet-out数据包做转发处理的同时，利用监控探头实时监控源转发器和可信转发器设备之间的带宽、时延、丢包率，将可信转发器设置在离受保护目标主机上一层设备上，同时认为其对于目标主机和控制器为绝对可信，通过人为设定主观阈值的方式，对参数带宽、时延、丢包率做出处理，判断源转发器与可信转发器之间的直接信任值T_p,C；

步骤3：依据极限学习机对流表信息进行二次加工和处理，得到间接信任值，用以判断是否为恶意DDoS数据流，并根据攻击进行多分类；

步骤4：通过结合监控探头得到的实时直接信任值和通过极限学习机对判断数据流得到的间接信任值及上一个时刻的信任值，算出当前两个转发器之间信任值，依据信任的传递性，快速判断源转发器对于目标主机和控制器的可信状态，如果在相对安全的信任区间，针对该源转发器发出的数据流做转发处理，如果在相对危险的信任区间，管理员可根据极限学习机判断攻击类型进行相应的响应处理，屏蔽该源转发器、丢弃自源转发器发出的数据包，进一步达到保护目标主机、控制器乃至整个网络的目的。

2.如权利要求1所述的针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，步骤2中，T_p,C的计算公式如下：

其中，TH_bw为带宽阈值，TH_td为时延阈值，TH_lp为丢包率阈值，Po为当前监控参数的对比结果，Ne为阈值的对比结果；

设定带宽阈值TH_bw为当前两台转发器之间最大带宽的70％，一旦实时带宽超过这个阈值，则认定目标主机有遭受到DDoS攻击的潜在可能性；将丢包率阈值TH_lp设置为20％，在一个稳定的SDN网络中，不会出现长时间的丢包现象，如果连续2个周期丢包率为100％，则认定目标主机遭受到严重攻击，信任值为0；根据对网络质量的要求程度人为调整时延阈值TH_td，一旦时延超过一定值，则认定网络不佳，需要调整。

3.如权利要求2所述的针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，利用极限学习机得到间接信任值的方法如下：

步骤3-1：首先确定网络的输入和输出，依据SDN流表中的信息流特征进行提取并且降维的特征向量：

作为网络的输入样本，选定正常流量、ICMP-flood、UDP-flood、Ping-flood、SYN-flood、HTTP attack和slow attack分别输出标签(000,001,010,011,100,101,110)；

步骤3-2：随机设定输入层和隐含层的连接权值W和隐含层神经元的阈值b，确定隐含层神经元的个数，选择一个极限学习机默认的无限可微函数sigmoid作为激活函数，进而计算出隐含层输出矩阵H，可得输出层权值β；

步骤3-3：对一个复杂网络进行正常流量和混合DDoS攻击，然后将相关流表和攻击结果提取，按照三七分设为训练集和测试集，用训练集得到极限学习机训练模型，最后可以根据流表特征值对当前状态进行判断，再用极限学习机分类器对测试集进行测试，以评估极限学习机多分类器的性能；

步骤3-4：当极限学习机的多分类结果为非000时，我们认定目前遭受到攻击，用T_j,c来表示当前间接信任值，当攻击时，T_j,c值为-1，代表信任值持续下降，正常流量时T_j,c值为1，信任值持续上升，如果管理员或控制器针对攻击做出响应，T_j,c置为0：

4.如权利要求3所述的针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，设T_S,C为信任值，为了保证动态连贯性，认定信任值T_S,C不仅仅依赖直接信任值T_p,C和间接信任值T_j,c的总和，还包括上个时刻的信任值，因此T_S,C用公式(4)计算：

T_S,C＝g(αT_S,C-1+βT_j,C-1+γT_p,C) (4)

其中α，β，γ是各个信任值的系数权重，α+β+γ＝1，T_S,C-1为T_S，C上一个时刻的信任值。