[发明专利]一种基于软件定义网络的攻击检测溯源方法

摘要

本发明公开了一种基于软件定义网络的攻击检测溯源方法，首先通过对可疑主机进行抓包以获取数据流，并从数据流中筛选出数据包，并将数据包读取到内存中，提取得到数据包的packet_count值；然后对packet_count值进行判断，将所有非零的packet_count值保存至同一txt文档中，并对txt文档中的所有packet_count值按照时间顺序建模，再将得到的数据划分为A组长度为h的相邻子区间，并基于子区间计算得到自相似检测指数，根据网络流量随机过程的相似性特征，将自相似检测指数与设定的阈值比较来判断是否存在攻击流量，如果检测到攻击，则对交换机中数据包对应流表项和网络拓扑建立有向图，最后对有向图采用逆向拓扑溯源，从而找到攻击源；本发明可以准确找到网络攻击源，有利于网络安全性的提升。

主权项

1.一种基于软件定义网络的攻击检测溯源方法，其特征在于，所述方法包括步骤：S1、对可疑主机抓包得到由数据包组成的数据流，并从所述数据流中筛选具有可疑攻击流量的数据包；S2、读取筛选得到的所述数据包并保存到对应的本地主机中，在本地主机中提取筛选对应所述数据包的packet_count值；S3、判断所述packet_count值是否为0，若为0则直接丢弃，否则将所述packet_count值保存至一新建txt文档中；S4、对所述txt文档中的所有所述packet_count值建模得到连续的n个值Xi，其中，i＝1,2,...,n，并将n个值按照指定长度h划分为预设数目的A个相邻子区间；S5、分别计算A个所述子区间的均值、标准差以及均值的累积横距和A个所述子区间的组内极差，并基于A个所述子区间的均值、标准差、均值的累积横距和A个子区间的组内极差的计算结果计算所述数据包相互之间的自相似检测指数；S6、设定一上限阈值a和一下限阈值b，根据所述自相似检测指数与所述上限阈值a和下限阈值b的大小关系判断与所述packet_count值对应的所述数据包是否存在攻击流量，若所述自相似检测指数大于所述上限阈值a或小于所述下限阈值b，则所述packet_count值对应的所述数据包存在攻击流量，并进入步骤S7，否则，重复步骤S2～S6；S7、获取所述可疑主机对应的交换机节点和交换机中与所述数据包对应的流表项，并对所述流表项和网络拓扑结构建立对应的有向图G(V,E)，其中，V表示主机或者交换机，E表示所述流表项中的匹配域；S8、基于所述packet_count值求得的自相似指数判断出被攻击的主机，对所述有向图G(V,E)求取逆拓扑排序，对所述攻击流量逆向追踪，找到攻击源。