[发明专利]SDN网络攻击检测方法、装置、设备和系统

权利要求书

1.一种SDN网络攻击检测方法，其特征在于，包括：

每隔预设的检测时间段响应于参考统计操作时，统计任意两台主机转发数据包的参考时间，直至当前转发次数超过转发次数阈值；

根据所参考时间建立参考时间集；其中，所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集；

判断所述参考时间集是否在预设的标准时间集内；

若是，则更新所述检测时间段；若否，则累加当前判断次数；

当连续累加的所述判断次数超过判断次数阈值时，判定当前SDN网络发生中间人攻击。

2.如权利要求1所述的SDN网络攻击检测方法，其特征在于，所述标准时间集的生成方法包括：

响应于标准统计操作时，统计任意两台主机转发数据包的标准时间，直至当前转发次数超过转发次数阈值；

根据所述标准时间建立标准时间集；其中，所述任意两台主机每转发一次所述数据包都对应更新所述标准时间集。

3.如权利要求2所述的SDN网络攻击检测方法，其特征在于，响应所述标准统计操作的条件为：

检测到主机拓扑发生变化、初次创建时间集、SDN控制器主动更新时间集中的至少一种。

4.如权利要求2所述的SDN网络攻击检测方法，其特征在于，所述标准时间集的生成方法还包括：

当检测到所述任意两台主机之间的实际带宽或用于生成所述标准时间集的带宽占用率发生变化时，调整所述数据包的大小和所述转发次数阈值，并根据调整后的所述数据包的大小和所述转发次数阈值触发标准统计操作，以更新所述标准时间集；

当检测到所述任意两台主机之间的实际带宽和用于生成所述标准时间集的带宽占用率保持不变时，调整所述转发次数阈值，以将调整后的转发次数阈值用于下一次标准统计操作。

5.如权利要求2所述的SDN网络攻击检测方法，其特征在于，所述响应于标准统计操作前，还包括：

记录经过认证并加入SDN网络的主机。

6.如权利要求5所述的SDN网络攻击检测方法，其特征在于，所述判定当前SDN网络发生中间人攻击后，还包括：

禁止当前主机传输数据；

发送认证请求指令给所述当前主机，以使所述当前主机重新认证。

7.如权利要求6所述的SDN网络攻击检测方法，其特征在于，所述发送认证请求指令给所述当前主机，以使所述当前主机重新认证后，还包括：

当检测到排除中间人攻击后，重新记录经过认证并加入SDN网络的主机。

8.一种SDN网络攻击检测装置，其特征在于，包括：

时间集管理模块，用于每隔预设的检测时间段响应于参考统计操作；

时间集维护模块，用于统计任意两台主机转发数据包的参考时间，直至当前转发次数超过转发次数阈值；还用于根据所参考时间建立参考时间集；其中，所述任意两台主机每转发一次所述数据包都对应更新所述参考时间集；

判断模块，用于判断所述参考时间集是否在预设的标准时间集内；若是，则更新所述检测时间段；若否，则累加当前判断次数；还用于当连续累加的所述判断次数超过判断次数阈值时，判定当前SDN网络发生中间人攻击。

9.一种SDN网络攻击检测设备，其特征在于，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的SDN网络攻击检测方法。

10.一种SDN网络攻击检测系统，其特征在于，包括SDN控制器和至少两台加入SDN网络的主机；其中，所述SDN控制器执行上述权利要求1至7中任一项所述的SDN网络攻击检测方法。