申请/专利权人：中山大学

申请日：2015-09-24

公开（公告）日：2016-02-17

公开（公告）号：CN105337957A

主分类号：H04L29/06(2006.01)I

分类号：H04L29/06(2006.01)I

优先权：

专利状态码：有效-授权

法律状态：2019.04.23#授权;2016.03.16#实质审查的生效;2016.02.17#公开

摘要：本发明涉及一种SDN网络DDoS和DLDoS分布式时空检测系统，包括设置在各个SDN交换机内部的检测节点，其中检测节点包括数据采集模块、时空异常检测模块和输出模块；其中数据采集模块用于采集经过SDN交换机的网络流量；时空异常检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确定是否存在可疑流量，并基于空间域的检测结果，再从时间域上确认是否存在着DDoS或DLDoS；输出模块用于将检测结果按照既定格式进行数据及存储。本发明提供的检测系统针对DDoS、DLDoS的特征，从网络流量空间域和时间域来检测、辨别DDoS、DLDoS，运用分布式的虚拟ANN覆盖网实现异常检测时的全局视觉。

主权项：一种SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：包括设置在各个SDN交换机内部的检测节点，其中检测节点包括数据采集模块、时空异常检测模块和输出模块；其中数据采集模块用于采集经过SDN交换机的网络流量；时空异常检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确定是否存在可疑流量，并基于空间域的检测结果，再从时间域上确认是否存在着DDoS或DLDoS；输出模块用于将检测结果按照既定格式进行数据及存储。

全文数据：一种SDN网络DDoS和DLDoS分布式时空检测系统技术领域本发明涉及网络入侵检测领域，更具体地，涉及一种SDN网络DDoS和DLDoS分布式时空检测系统。背景技术传统的DDoS和DLDoS在新兴的SDN网络下，也出现了新的攻击方式：1针对SDN控制器的DDoS。SDN交换机对于无法在流表中找到匹配项的数据包，会形成包含这些数据包的packet-in信息到SDN控制器。攻击者通过对多个交换机持续不断地发送精心设计的数据包，如数据包的源IP地址、目的IP地址、源端口、目的端口随机生成，造成交换机收到大量无法在流表匹配的数据包。多个交换机同时向单个控制器发送packet-in信息，容易导致控制器或控制器的对外链路过载，导致控制器无法响应正常数据包的packet-in消息。2针对SDN交换机的DLDoS。SDN里，每个数据包都属于一个流flow，每个流的组成粒度可粗可细，如IPA到IPB可以使一个流，IPA的TCP到IPB的TCP可以是一个流。对于某个流，SDN交换机在流表里有一个流表项与之对应，用于告诉交换机对这个流的数据包如何转发处理。SDN交换机对于无法在流表中找到匹配项的数据包，会形成包含这些数据包的packet-in信息到SDN控制器，依据返回的流信息，在流表中插入新的流表项，用以转发这个数据包及这个流的后续数据包。当多个攻击者对一台SDN交换机发送精心设计的数据包，如数据包的源IP地址、目的IP地址、源端口、目的端口随机生成，造成交换机收到大量无法在流表匹配的数据包，之后交换机会依据返回的信息建立大量的新流表项。流表项需要在一定时间之后才会过期，而交换机的流表大小有限，在这段时间内，交换机的流表被大量无用的项占据，正常网络流无法建立或只有部分能新流表项，从而流经交换机的网络通信被阻塞。DDoS中的攻击针对的是SDN控制器，控制器一般是性能较好的服务器，攻击需要持续不断的进行，达到的效果是控制器无法响应正常的packet-in消息，类似DDoS攻倒服务器的效果。DLDoS中的攻击针对的是SDN交换机，达到的效果是交换机无法为正常流建立新流表项。由于流表项有过期时间，攻击只需周期性进行，相较于DDoS，DLDoS在时间平均数是低速率的，这类似于DLDoS攻倒使用TCP的服务器的效果。针对DDoS、DLDoS，传统的检测方法效果不佳。DDoS和DLDoS在传统网络中为多个攻击源针对单个受害端的协同攻击，网络中出现大量目的IP相同、端口相同或协议相同的数据包，传统的检测方法大多利用这些特征进行检测。但DDoS、DLDoS随机伪造数据包字段的数值，不会出现上述特征，在传统检测方法看来，DDoS、DLDoS更类似于突发的正常的大流量。因此针对SDN下的新型DDoS和DLDoS，需要采用新的检测指标和检测方法，才能更有效发现攻击。同时，分布式协同攻击具有范围广、隐蔽性强、同步性差的特征。以往的单点IDS观测的流量有限，很难从中检测到分散、隐蔽的攻击流量。因此，需要分布式数据采集的方法来获得更多数据，从全局视觉来检测隐蔽攻击，提高检测率。发明内容本发明为解决以上现有技术的缺陷，提供了一种SDN网络DDoS和DLDoS分布式时空检测系统，该系统针对DDoS、DLDoS的特征，采用适合于SDN网络的网络特性指标，从网络流量空间域和时间域来检测、辨别DDoS、DLDoS，运用分布式的虚拟ANN覆盖网实现异常检测时的全局视觉，并避免单点失效。为实现以上发明目的，采用的技术方案是：一种SDN网络DDoS和DLDoS分布式时空检测系统，包括设置在各个SDN交换机内部的检测节点，其中检测节点包括数据采集模块、时空异常检测模块和输出模块；其中数据采集模块用于采集经过SDN交换机的网络流量；时空异常检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确定是否存在可疑流量，并基于空间域的检测结果，再从时间域上确认是否存在着DDoS或DLDoS；输出模块用于将检测结果按照既定格式进行数据及存储。优选地，所述时空异常检测模块由两个级联的ANN构成，其中第一级ANN用于从空间域对网络流量进行检测，确定是否存在着可疑攻击；第二级ANN基于第一级ANN的检测结果，从时间域对网络流量进行检测，并根据检测结果确认是否存在着DDoS或DLDoS。ANN是一张覆盖在物理网络之上的虚拟ANN网络。网络中每台SDN交换机提供少量部分的计算和存储能力，虚拟出一个或多个神经元，不同交换机间的神经元通过在物理链路上建立虚拟连接，在虚拟连接间传递ANN的内部信息，以此形成虚拟神经网络。优选地，所述第一级ANN和第二级ANN均包括有一个输入层、一个或多个隐藏层和一个输出层，第一级ANN和第二级ANN之间、输入层、隐藏层和输出层三者两两之间、同级的隐藏层与相邻隐藏层之间通过通信模块进行信息的传递，其中输入层的神经元用于接收输入并对输入的数据进行预处理，隐藏层的神经元用于接收输入层或上一层隐藏层的神经元传输来的数据后对数据进行数学运算，并将结果输送到下一个隐藏层或输出层的神经元；输出层用于对接收到的数据进行处理，并输出该级ANN的最终结果。优选地，第二级AAN的输入层接收第一级AAN输出层输出的数据后，采用自相关函数对接收的数据进行预处理。优选地，所述自相关函数表示如下：Rxxm表示自相关函数的值，xx为进行相关运算的两序列的标号，N为检测时时间序列的长度，m为运算的两列序列错开的时间间隔，xn表示某个时间段内第一级ANN的输出，xn+m表示与xn时间间隔为m的某个时间段内第一级ANN的输出，xn+m、xn的取值为0～1。数值越大，表示对应时段越可能存在攻击流量。对于不同的流量和攻击，自相关函数值有不同的特性：1正常平缓的网络流量，xn为0，对于所有m值，自相关函数值为0。2正常的突发流量具有随机性，多余多个m值，其自相关函数值较小。3DDoS攻击具有持续性，对于多个m值，其自相关函数值较大。4DLDoS攻击具有周期性，对于某些特定m值，其自相关函数较大。每个输入层神经元采用一个不同的m值，从而，这一级ANN能从时间域对网络流量进行检测，以更好地辨别攻击是否为存在及攻击类型。优选地，所述通信模块内包含有ANN的拓扑信息，拓扑信息存储在通信模块内部的神经网络转发表中。收到神经元发来的信息时，通信模块判断目的神经元是否为本机的神经元，是则调用对应神经元来处理信息，否则根据神经网络转发表将信息转发到其他交换机上。发送神经元信息时，通信模块对信息进行封装，根据神经网络转发表将信息发送出去。优选地，所述神经网络转发表包含有若干个条目，每个条目由目的端交换机的DPID和本机的端口port组成，具体表示为{DPIP：port}。SDN控制器具有整个网络的拓扑信息，SDN控制器协助构建虚拟ANN，具有ANN的拓扑信息。SDN控制器形成神经网络转发表并下发到交换机的通信模块上。优选地，所述数据采集模块采集经过SDN交换机的网络流量，并根据网络流量的特征更新网络特性指标，然后将更新的网络特性指标发送至时空异常检测模块，时空异常检测模块根据网络特性指标对DDoS和DLDoS进行空间域、时间域上的检测。优选地，所述网络特征指标包括：1SDN交换机流表项的hitrate：h为流表项的hitrate，当第i条流表项在周期内到达的数据包数大于等于1时pi＝1，否则，pi＝0；L是流表总项数；2SDN交换机的Packet-In速率：v为Packet-In速率，mpacketIn表示检测周期内交换机上报的packetIn数据包总数，表示每个检测周期内packet-in的数目；v表示每个检测周期内packet-in的数目。当SDN交换机查询流表后仍不知如何转发数据包时，交换机向SDN控制器发送一条包含当前数据包信息的packet-in消息，请求控制器对数据包进行处理并返回处理结果。当流表满时，DLDoS会暂时停止攻击，等到大部分流表项快过期时，再开始攻击。而DDoS由于有一定的持续时间，这段时间内仍然会生成很多packet-in消息。3流表的饱和度：ρ为饱和度，L是流表总项数，Lmax是switch允许的最大流表项数目。优选地，数据采集模块更新网络特性指标后，对网络特性指标进行归一化处理，再将归一化处理后的网络特性指标发送至时空异常检测模块；其中进行归一化处理的具体过程如下：x是归一化后的数值结果，x0是归一化前的数值结果，xmax是对应指标历史上的最大值，xmin是对应指标历史上的最小值。与现有技术相比，本发明的有益效果是：本发明提供的检测系统针对DDoS、DLDoS的特征，采用适合于SDN网络的网络特性指标，从网络流量空间域和时间域来检测、辨别DDoS、DLDoS，运用分布式的虚拟ANN覆盖网实现异常检测时的全局视觉，并避免单点失效。本发明提供的检测系统可以应用于中大规模网络和高速网络的安全检测。附图说明图1为检测系统的总体结构示意图。图2为虚拟ANN结构的示意图。图3为时空异常检测模块的结构示意图。图4为通信模块根据神经网络转发表的条目进行信息发送、接收的实施过程示意图。具体实施方式附图仅用于示例性说明，不能理解为对本专利的限制；以下结合附图和实施例对本发明做进一步的阐述。实施例1本发明的系统结构示意图如附图1-4所示，其中附图1为本发明的系统总体结构示意图，附图2为本发明的虚拟ANN结构的示意图，附图3为分布式的时空异常检测模块的结构示意图，附图4为通信模块根据神经网络转发表的条目进行信息发送、接收的实施过程示意图。本发明的最佳实施例如下：1、总体系统构成如附图1所示，它其特征在于包括数据采集模块、通信模块、分布式的时空异常检测模块、输出模块。2、具体模块的详细介绍1数据采集模块在每个采样周期结束前，数据采集模块采集经过SDN交换机的网络流量，并根据网络流量的特征更新网络特性指标，然后对网络特性指标进行归一化处理，再将归一化处理后的网络特性指标发送至时空异常检测模块，时空异常检测模块根据归一化后的网络特性指标对DDoS和DLDoS进行空间域、时间域上的检测。其中网络特征指标包括：1SDN交换机流表项的hitrate：h为流表项的hitrate，当第i条流表项在周期内到达的数据包数大于等于1时pi＝1，否则，pi＝0；L是流表总项数；2SDN交换机的Packet-In速率：v为Packet-In速率，mpacketIn表示检测周期内交换机上报的packetIn数据包总数，表示每个检测周期内packet-in的数目；v表示每个检测周期内packet-in的数目。当SDN交换机查询流表后仍不知如何转发数据包时，交换机向SDN控制器发送一条包含当前数据包信息的packet-in消息，请求控制器对数据包进行处理并返回处理结果。当流表满时，DLDoS会暂时停止攻击，等到大部分流表项快过期时，再开始攻击。而DDoS由于有一定的持续时间，这段时间内仍然会生成很多packet-in消息。3流表的饱和度：ρ为饱和度，L是流表总项数，Lmax是switch允许的最大流表项数目。本实施例中，进行归一化处理的具体过程如下：x是归一化后的数值结果，x0是归一化前的数值结果，xmax是对应指标历史上的最大值，xmin是对应指标历史上的最小值。2分布式的时空异常检测模块如附图1所示，本模块由两级ANN级联而成，第一级ANN负责从空间域对网络流量进行检测，发现网络中是否有可疑攻击。第二级ANN基于第一级的检测结果，从时间域对网络流量进行检测，以更好地辨别攻击是否存在、攻击类型。其中第一级ANN和第二级ANN均包括有一个输入层、一个或多个隐藏层和一个输出层，第一级ANN和第二级ANN之间、输入层、隐藏层和输出层三者两两之间、同级的隐藏层与相邻隐藏层之间通过通信模块进行信息的传递，其中输入层的神经元用于接收输入并对输入的数据进行预处理，隐藏层的神经元用于接收输入层或上一层隐藏层的神经元传输来的数据后对数据进行数学运算，并将结果输送到下一个隐藏层或输出层的神经元；输出层用于对接收到的数据进行处理，并输出该级ANN的最终结果。附图2所示为虚拟ANN结构的示意图，为一个三层ANN的例子。网络中每台SDN交换机提供少量部分的计算和存储能力，虚拟出一个或多个神经元，不同交换机间的神经元通过在物理链路上建立虚拟连接，在虚拟连接间传递ANN的内部信息，以此形成虚拟神经网络。SDN控制器协助建立和维护ANN覆盖网。在建立ANN时，控制器依据网络中各个交换机的负载、链路时延等情况，挑选出部分交换机，为这些交换机委派神经元功能。在维护ANN时，控制器定时轮询搭载有神经元的交换机，发现神经元失效时，让交换机重启对应神经元功能，发现交换机失效时，挑选出其他交换机接管失效交换机的神经元功能。附图3所示为分布式的时空异常检测模块示意图，以两个级联的三层结构ANN为例。第一级ANN中，h·是预处理函数本系统的预处理已经于数据采集与预处理模块实现，Σ是求和函数，f·、g·分别是隐藏层和输出层的激活函数，为一一对应的数学映射，不同类型的ANN的激活函数一般不同。wij为前一层第i个神经元到下一层第j个神经元的连接权值，权值越大，神经元i的结果对神经元j的影响越大。每一层的神经元将上一层所有神经元发来的信号进行加权求和，再通过激活函数进行映射，并将结果发送到下一层神经元。输出层神经元的结果发送到第二级ANN的输入层神经元。第二级ANN中，Rxx是自相关函数，Σ是求和函数，f·、g·分别是隐藏层和输出层的激活函数。输入层每个神经元用不同的时间间隔来计算输入序列的自相关值，输出层神经元的计算结果发送到输出模块。3通信模块每个交换机上都有通信模块，通信模块有ANN的拓扑信息，存储于神经网络转发表中。收到神经元发来的信息时，通信模块判断目的神经元是否为本机的神经元，是则调用对应神经元来处理信息，否则根据神经网络转发表将信息转发到其他交换机上。发送神经元信息时，通信模块对信息进行封装，根据神经网络转发表将信息发送出去。SDN控制器协助建立和维护ANN覆盖网，具有ANN的拓扑信息。在建立ANN时，控制器形成神经网络转发表并下发到交换机上。在维护ANN时，若发现交换机失效时，挑选出其他交换机接管失效交换机的神经元功能，并将神经网络转发的更新信息发送给各交换机的通信模块。附图4为神经网络转发表的一个例子，神经网络转发表类似路由表，表里每个条目由目的端交换机的DPIDDPID是SDN交换机的全局唯一标识码和本机的端口组成，为{DPIP：port}，表示信息要发送到编号为DPID的交换机神经元所在的交换机时，从本交换机的port端口发出。4输出模块给用户提供输入界面，将分布式的时空异常检测模块的检测结果存储并按照既定格式输出到用户界面。输出格式可以定制，包括是否有异常、攻击类型、异常时间等，可以设定在发现攻击时发出警报。本发明提供的检测系统针对DDoS、DLDoS的特征，采用适合于SDN网络的网络特性指标，从网络流量空间域和时间域来检测、辨别DDoS、DLDoS，运用分布式的虚拟ANN覆盖网实现异常检测时的全局视觉，并避免单点失效。本发明提供的检测系统可以应用于中大规模网络和高速网络的安全检测。显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

权利要求：1.一种SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：包括设置在各个SDN交换机内部的检测节点，其中检测节点包括数据采集模块、时空异常检测模块和输出模块；其中数据采集模块用于采集经过SDN交换机的网络流量；时空异常检测模块用于对数据采集模块采集的网络流量在空间域上进行检测，确定是否存在可疑流量，并基于空间域的检测结果，再从时间域上确认是否存在着DDoS或DLDoS；输出模块用于将检测结果按照既定格式进行数据及存储；所述时空异常检测模块由两个级联的ANN构成，其中第一级ANN用于从空间域对网络流量进行检测，确定是否存在着可疑攻击；第二级ANN基于第一级ANN的检测结果，从时间域对网络流量进行检测，并根据检测结果确认是否存在着DDoS或DLDoS；所述第一级ANN和第二级ANN均包括有一个输入层、一个或多个隐藏层和一个输出层，第一级ANN和第二级ANN之间、输入层、隐藏层和输出层三者两两之间、同级的隐藏层与相邻隐藏层之间通过通信模块进行信息的传递，其中输入层的神经元用于接收输入并对输入的数据进行预处理，隐藏层的神经元用于接收输入层或上一层隐藏层的神经元传输来的数据后对数据进行数学运算，并将结果输送到下一个隐藏层或输出层的神经元；输出层用于对接收到的数据进行处理，并输出该级ANN的最终结果；第二级AAN的输入层接收第一级AAN输出层输出的数据后，采用自相关函数对接收的数据进行预处理；所述自相关函数表示如下：Rxxm表示自相关函数的值，xx为进行相关运算的两序列的标号，N为检测时时间序列的长度，m为运算的两列序列错开的时间间隔，xn表示某个时间段内第一级ANN的输出，xn+m表示与xn时间间隔为m的某个时间段内第一级ANN的输出，xn+m、xn的取值为0～1。2.根据权利要求1所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：所述通信模块内包含有ANN的拓扑信息，拓扑信息存储在通信模块内部的神经网络转发表中。3.根据权利要求2所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：所述神经网络转发表包含有若干个条目，每个条目由目的端交换机的DPID和本机的端口port组成，具体表示为{DPIP：port}。4.根据权利要求1～3任一项所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：所述数据采集模块采集经过SDN交换机的网络流量，并根据网络流量的特征更新网络特性指标，然后将更新的网络特性指标发送至时空异常检测模块，时空异常检测模块根据网络特性指标对DDoS和DLDoS进行空间域、时间域上的检测。5.根据权利要求4所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：所述网络特性指标包括：1SDN交换机流表项的hitrate：h为流表项的hitrate，L是流表总项数，当第i条流表项在周期内到达的数据包数大于等于1时pi＝1，否则，pi＝0；2SDN交换机的Packet-In速率：v为Packet-In速率，mpacketIn表示检测周期内交换机上报的packetIn数据包总数，表示每个检测周期Δt内packet-in的数目；3流表的饱和度：ρ为饱和度，L为流表总项数，Lmax是switch允许的最大流表项数目。6.根据权利要求5所述的SDN网络DDoS和DLDoS分布式时空检测系统，其特征在于：数据采集模块更新网络特性指标后，对网络特性指标进行归一化处理，再将归一化处理后的网络特性指标发送至时空异常检测模块；其中进行归一化处理的具体过程如下：x是归一化后的数值结果，x0是归一化前的数值结果，xmax是对应指标历史上的最大值，xmin是对应指标历史上的最小值。

百度查询： 中山大学 一种SDN网络DDoS和DLDoS分布式时空检测系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD