[发明专利]一种针对软件定义网络的混合型DDoS攻击检测的方法

摘要

本发明属于SDN网络安全技术领域，具体涉及一种针对软件定义网络的混合型DDoS攻击的检测方法。结合ELM对混合型DDoS的分类判定结果、交换机之间的历史信任值以及相关监控参数(带宽、时延、丢包率)，本发明设计了一个信任公式加入到控制器中；同时利用ELM算法对流表信息进行判断，并计算出控制器的信任值；最终提出一种更加有效、更具细粒度的解决方案，用于实时监控SDN网络系统的安全状态。管理员可以结合信任值的高低，调整不同转发器执行转发任务的优先级。本发明提出的信任框架，即能够解决设备之间的信任问题，又可以有效的检测出混合环境下的DDoS攻击；适用于环境相对复杂的SDN网络，以及对混合型DDoS攻击的识别粒度和检测实时性有较高要求的安全领域。

主权项

1.一种针对软件定义网络的混合型DDoS攻击检测的方法，其特征在于，包括如下步骤：步骤1：当转发器收到一个数据包时先做判断是否在转发流表信息中，如果是，则按照转发要求进行处理，如果不是，则返回给控制器做判断；步骤2：对于控制器下发packet‑out数据包做转发处理的同时，利用监控探头实时监控转发器/源设备和可信转发器设备之间的带宽、时延、丢包率，将目标转发器设置在离受保护主机上一层设备上，同时认为其对于主机和控制器为绝对可信，通过人为设定主观阈值的方式，对带宽、时延、丢包率等参数做出处理，判断转发器之间的直接信任值Tp，C；步骤3：依据极限学习机对流表信息进行二次加工和处理，得到间接信任值，用以判断是否为恶意DDoS数据流，并根据攻击进行多分类；步骤4：通过结合监控探头得到的实时直接信任值和通过ELM对判断数据流得到的间接信任值及上一个时刻的信任值，算出当前两个转发器之间信任值，依据信任的传递性，快速判断源转发器对于目标主机和控制器的可信状态，如果在相对安全的信任区间，针对该源转发器发出的数据流做转发处理，如果在相对危险的信任区间，管理员可根据极限学习机判断攻击类型进行相应的响应处理，如屏蔽该源转发器、丢弃自源转发器发出的数据包，进一步达到保护目标主机、控制器乃至整个网络的目的。