[发明专利]一种针对软件定义网络的混合型DDoS攻击检测的方法

说明书

本发明属于SDN网络安全技术领域，具体涉及一种针对软件定义网络的混合型DDoS攻击的检测方法。结合ELM对混合型DDoS的分类判定结果、交换机之间的历史信任值以及相关监控参数(带宽、时延、丢包率)，本发明设计了一个信任公式加入到控制器中；同时利用ELM算法对流表信息进行判断，并计算出控制器的信任值；最终提出一种更加有效、更具细粒度的解决方案，用于实时监控SDN网络系统的安全状态。管理员可以结合信任值的高低，调整不同转发器执行转发任务的优先级。本发明提出的信任框架，即能够解决设备之间的信任问题，又可以有效的检测出混合环境下的DDoS攻击；适用于环境相对复杂的SDN网络，以及对混合型DDoS攻击的识别粒度和检测实时性有较高要求的安全领域。

技术领域

本发明属于SDN网络安全技术领域，具体涉及一种针对软件定义网络的混合型DDoS攻击的检测方法，涉及利用极限学习机(ELM)快速分类的方法和基于信任公式判断SDN网络中转发器的可信状态。

背景技术

SDN是当前最热门的网络技术之一，它解放了手工操作，减少了配置错误，易于统一快速部署。利用分层的思想，SDN将数据与控制相分离。在控制层，包括具有逻辑中心化和可编程的控制器，可掌握全局网络信息，方便运营商和科研人员管理配置网络和部署新协议等。然而开放式接口的引入会产生新一轮的网络攻击形式，造成SDN的脆弱性。由非法用户通过恶意应用通过控制器发送蠕虫病毒、通过底层转发器向控制器进行DDoS攻击、非法用户恶意占用整个SDN网络带宽等，都会导致SDN全方位瘫痪。

分布式拒绝服务(distributed denial-of-service attack简称DDoS)攻击从传统网络到SDN网络一直都是互联网的重要威胁之一，攻击者利用傀儡机，通过互联网向目标发起攻击，消耗其计算资源(CPU，内存，带宽等)，阻止其为用户提供相应的服务。通过一些维度对分布式拒绝服务攻击进行分类：如果从数据包锁定在的网络层次划分，可以分为网络层攻击、传输层攻击、应用层攻击。如果通过数据包发送的频率和速度来划分，又可以将其分为洪水攻击和慢速攻击。然而攻击者从来不会考虑具体使用哪种攻击方式，其目的是使得目标服务不可达，因此攻击者会发动任何攻击手段进行攻击，这种方式称为混合攻击。简单来说，混合攻击就是针对被攻击目标使用多种形式的分布式拒绝攻击，针对不同资源进行攻击。对于攻击者来说使用多种攻击形式和单一攻击成本没有太大区别，而针对被攻击目标来说，同时相应不同协议，不同资源的分布式拒绝攻击，分析、响应、处理时间都会大大增加。

发明内容

为了弥补针对混合型DDoS检验的空缺，本发明提供了一种针对软件定义网络的混合型DDoS攻击检测的方法，基于信任公式用以判断两台转发器的可信状态，它包括了使用监控探头，实时监控两台转发器之间的带宽、时延、丢包率。通过设置阈值的方式，计算出设备的直接信任值T_p，C。又使用极限学习机(ELM)作为分类器，对转发器中流(flow)的进行多分类的判断，并计算出相应的间接信任值T_j，c。在不影响控制器和转发器之间带宽的情况下，快速有效实时的对其他转发器的可信状态进行识别，辨别混合型DDoS攻击并进行分类。

本发明是这样实现的，一种针对软件定义网络的混合型DDoS攻击检测的方法，包括如下步骤：

步骤1：当转发器收到一个数据包时先做判断是否在转发流表信息中，如果是，则按照转发要求进行处理，如果不是，则返回给控制器做判断；

步骤2：对于控制器下发packet-out数据包做转发处理的同时，利用监控探头实时监控源转发器和可信转发器设备之间的带宽、时延、丢包率，将可信转发器设置在离受保护目标主机上一层设备上，同时认为其对于目标主机和控制器为绝对可信，通过人为设定主观阈值的方式，对带宽、时延、丢包率等参数做出处理，判断转发器之间的直接信任值T_p，C；

步骤3：依据极限学习机对流表信息进行二次加工和处理，得到间接信任值，用以判断是否为恶意DDoS数据流，并根据攻击进行多分类；