一种SDN网络DDoS和DLDoS分布式时空检测系统的利记博彩app

一种SDN网络DDoS和DLDoS分布式时空检测系统的利记博彩app
【技术领域】
[0001] 本发明设及网络入侵检测领域，更具体地，设及一种SDN网络孤OS和DLDoS分布 式时空检测系统。
【背景技术】
[0002] 传统的孤OS和DLDoS在新兴的SDN网络下，也出现了新的攻击方式：
[0003] (1)针对SDN控制器的孤oS。SDN交换机对于无法在流表中找到匹配项的数据包， 会形成包含运些数据包的packet-in信息到SDN控制器。攻击者通过对多个交换机持续不 断地发送精屯、设计的数据包，如数据包的源IP地址、目的IP地址、源端口、目的端口随机 生成，造成交换机收到大量无法在流表匹配的数据包。多个交换机同时向单个控制器发送 packet-in信息，容易导致控制器或控制器的对外链路过载，导致控制器无法响应正常数据 包的packet-in消息。
[0004] (2)针对SDN交换机的DLDoS。SDN里，每个数据包都属于一个流（flow)，每个流 的组成/粒度可粗可细，如IPA到IPB可W使一个流，IPA的TCP到IPB的TCP可W是 一个流。对于某个流，SDN交换机在流表里有一个流表项与之对应，用于告诉交换机对运个 流的数据包如何转发/处理。SDN交换机对于无法在流表中找到匹配项的数据包，会形成包 含运些数据包的packet-in信息到SDN控制器，依据返回的流信息，在流表中插入新的流表 项，用W转发运个数据包及运个流的后续数据包。当多个攻击者对一台SDN交换机发送精 屯、设计的数据包，如数据包的源IP地址、目的IP地址、源端口、目的端口随机生成，造成交 换机收到大量无法在流表匹配的数据包，之后交换机会依据返回的信息建立大量的新流表 项。流表项需要在一定时间之后才会过期，而交换机的流表大小有限，在运段时间内，交换 机的流表被大量无用的项占据，正常网络流无法建立或只有部分能新流表项，从而流经交 换机的网络通信被阻塞。
[00化]DDoS中的攻击针对的是SDN控制器，控制器一般是性能较好的服务器，攻击需要 持续不断的进行，达到的效果是控制器无法响应正常的packet-in消息，类似DDoS攻倒服 务器的效果。DLDoS中的攻击针对的是SDN交换机，达到的效果是交换机无法为正常流建立 新流表项。由于流表项有过期时间，攻击只需周期性进行，相较于DDoS,DLDoS在时间平均 数是低速率的，运类似于DLDoS攻倒使用TCP的服务器的效果。
[0006] 针对孤oS、DLDoS，传统的检测方法效果不佳。孤OS和DLDoS在传统网络中为多个 攻击源针对单个受害端的协同攻击，网络中出现大量目的IP相同、端口相同或协议相同的 数据包，传统的检测方法大多利用运些特征进行检测。但DDoS、DLDoS随机伪造数据包字段 的数值，不会出现上述特征，在传统检测方法看来，孤〇S、DLDoS更类似于突发的正常的大流 量。因此针对SDN下的新型DDoS和DLDoS,需要采用新的检测指标和检测方法，才能更有效 发现攻击。同时，分布式协同攻击具有范围广、隐蔽性强、同步性差的特征。W往的单点IDS 观测的流量有限，很难从中检测到分散、隐蔽的攻击流量。因此，需要分布式数据采集的方 法来获得更多数据，从全局视觉来检测隐蔽攻击，提高检测率。

【发明内容】

[0007] 本发明为解决W上现有技术的缺陷，提供了一种SDN网络DDoS和DLDoS分布式时 空检测系统，该系统针对DDoS、DLDoS的特征，采用适合于SDN网络的网络特性指标，从网络 流量空间域和时间域来检测、辨别DDoS、DLDoS,运用分布式的虚拟Ar^N覆盖网实现异常检 测时的全局视觉，并避免单点失效。
[000引为实现W上发明目的，采用的技术方案是：
[0009] 一种SDN网络孤OS和DLDoS分布式时空检测系统，包括设置在各个SDN交换机内 部的检测节点，其中检测节点包括数据采集模块、时空异常检测模块和输出模块；
[0010] 其中数据采集模块用于采集经过SDN交换机的网络流量；
[0011] 时空异常检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确 定是否存在可疑流量，并基于空间域的检测结果，再从时间域上确认是否存在着DDoS或 DLDoS;
[0012] 输出模块用于将检测结果按照既定格式进行数据及存储。
[0013] 优选地，所述时空异常检测模块由两个级联的Ar^N构成，其中第一级Ar^N用于从空 间域对网络流量进行检测，确定是否存在着可疑攻击；第二级ANN基于第一级ANN的检测结 果，从时间域对网络流量进行检测，并根据检测结果确认是否存在着DDoS或DLDoS。ANN是 一张覆盖在物理网络之上的虚拟MN网络。网络中每台SDN交换机提供少量部分的计算和 存储能力，虚拟出一个或多个神经元，不同交换机间的神经元通过在物理链路上建立虚拟 连接，在虚拟连接间传递Ar^N的内部信息，W此形成虚拟神经网络。
[0014] 优选地，所述第一级Ar^N和第二级Ar^N均包括有一个输入层、一个或多个隐藏层和 一个输出层，第一级Ar^N和第二级Ar^N之间、输入层、隐藏层和输出层=者两两之间、同级的 隐藏层与相邻隐藏层之间通过通信模块进行信息的传递，其中输入层的神经元用于接收输 入并对输入的数据进行预处理，隐藏层的神经元用于接收输入层或上一层隐藏层的神经元 传输来的数据后对数据进行数学运算，并将结果输送到下一个隐藏层或输出层的神经元； 输出层用于对接收到的数据进行处理，并输出该级Ar^N的最终结果。
[0015] 优选地，第二级AAN的输入层接收第一级AAN输出层输出的数据后，采用自相关函 数对接收的数据进行预处理。
[0016] 优选地，所述自相关函数表示如下：
[001引Ru(Hi)表示自相关函数的值，XX为进行相关运算的两序列的标号，N为检测时时间 序列的长度，m为运算的两列序列错开的时间间隔，x(n)表示某个时间段内第一级ANN的输 出，X(n+m)表示与X(n)时间间隔为m的某个时间段内第一级ANN的输出，X(n+m)、X(n)的 取值为0~1。数值越大，表示对应时段越可能存在攻击流量。对于不同的流量和攻击，自 相关函数值有不同的特性：
[0019] (1)正常平缓的网络流量，x(n)为0,对于所有m值，自相关函数值为0。
[0020] 似正常的突发流量具有随机性，多余多个m值，其自相关函数值较小。
[0021] (3)DDoS攻击具有持续性，对于多个m值，其自相关函数值较大。
[0022] (4)DLDoS攻击具有周期性，对于某些特定m值，其自相关函数较大。
[0023] 每个输入层神经元采用一个不同的m值，从而，运一级MN能从时间域对网络流量 进行检测，W更好地辨别攻击是否为存在及攻击类型。
[0024] 优选地，所述通信模块内包含有Ar^N的拓扑信息，拓扑信息存储在通信模块内部 的神经网络转发表中。收到神经元发来的信息时，通信模块判断目的神经元是否为本机的 神经元，是则调用对应神经元来处理信息，否则根据神经网络转发表将信息转发到其他交 换机上。发送神经元信息时，通信模块对信息进行封装，根据神经网络转发表将信息发送出 去。
[00巧]优选地，所述神经网络转发表包含有若干个条目，每个条目由目的端交换机的DPID和本机的端口POd组成，具体表示为化PIP:port}。SDN控制器具有整个网络的拓扑 信息，SDN控制器协助构建虚拟ANN，具有MN的拓扑信息。SDN控制器形成神经网络转发 表并下发到交换机的通信模块上。
[00%