本发明专利技术提供一种基于熵的SDN控制器DDoS攻击检测装置和方法,包括:分别与配置信息管理模块相连的网络数据包采集模块、数据包信息统计模块和熵值计算模块;具体利用上述模块之间的交互,实现了对SDN控制器DDoS攻击的有效检测。基于熵理论,从流经SDN控制器的网络流量中准确发现DDoS攻击的早期信号,从而减少对于SDN控制器DDoS攻击的响应时间,减轻DDoS攻击对于SDN控制器带来的影响。
【技术实现步骤摘要】
本专利技术涉及数据安全
,具体涉及一种基于熵的SDN控制器DDoS攻击检测装置和方法。
技术介绍
软件定义网络(SDN)为管理网络提供了一种新颖的方式。在SDN中,交换机并不处理从外界流入的数据包——它们只是简单地在转发表中寻找匹配项。如果没有匹配项,这些数据包将被送往控制器进行处理。控制器是SDN的操作系统。它对数据包进行处理,并决定是将这些数据包转发到交换机还是丢弃掉。通过采用这一过程,SDN将转发平面与处理平面相分离。如果交换机与控制器之间的连接被切断,网络的处理平面也将会瘫痪。这就意味着数据包的处理将无法在控制器中完成,整个SDN架构也将瓦解。一种可能会导致控制器无法访问的可能性就是分布式拒绝服务(DDoS)攻击。在DDoS攻击中,大量的数据包被发送到某一台或一组主机。如果流入的数据包的源地址是伪造的,交换机将无法找到一个匹配项,只能将数据包转发给控制器。这些合法的和DDoS伪造的数据包会将控制器的资源束缚住,使其不停地进行处理,直到这些资源被完全耗尽。这将使得新近抵达的合法的数据包无法被送往控制器,并可能导致控制器宕机,使得SDN架构瘫痪。尽管可能有备份控制器,也可能会面临同样的挑战。
技术实现思路
为弥补上述缺陷,本专利技术提供一种基于熵的SDN控制器DDoS攻击检测装置和方法,在早期阶段检测DDoS攻击,防止控制器被大量恶意数据包淹没之前采取措施进行缓解。实现了对SDN控制器DDoS攻击的有效检测。为了实现上述专利技术目的,本专利技术采取如下技术方案:一种基于熵的SDN控制器DDoS攻击检测装置,所述装置包括:分别与配置信息管理模块相连的网络数据包采集模块、数据包信息统计模块和熵值计算模块;所述网络数据包采集模块、数据包信息统计模块和熵值计算模块依次连接。其中,所述网络数据包采集模块,用于采集SDN中转发到控制器的数据包;所述配置信息管理模块,用于配置装置参数,管理装置运行时产生的数据;所述数据包信息统计模块,用于获取网络数据包采集模块的数据包的包头信息;所述熵值计算模块,用于计算数据包的熵值大小,并通过比较判断SDN中转发到控制器的数据包中是否存在DDoS攻击。优选的,所述数据包信息统计模块包括一个哈希表,用于获取数据包的目的IP地址。优选的,所述配置信息管理模块中所述配置过程包括:所述网络数据包采集模块根据配置信息管理模块中设定的数据包采集窗口大小采集相应数量的数据包,并将数据包发送至数据包信息统计模块。进一步地,所述数据包采集窗口大小设定为承载50个数据包。优选的,所述管理装置运行时产生的数据,即利用响应策略对DDoS攻击进行处理,包括:根据实际工况预设阈值,当采用目前窗口中的数据包计算获得的熵值大于预设阈值时,则当前网络状态正常;若小于预设阈值,则对其进行记录,如果连续5个窗口的熵值均小于阈值,则DDoS攻击正在运行,向网络管理员发出报警。一种基于熵的SDN控制器DDoS攻击检测方法,所述方法包括:(1)对数据包采集窗口进行配置;(2)采集SDN中转发至控制器的数据包;(3)获取数据包中的包头信息和目的地址;(4)将目的IP地址存放至哈希表中;(5)计算数据包的熵值;(6)根据预设阈值,判断SDN中转发到控制器的数据包中是否存在DDoS攻击;(7)若不存在,操作结束;若不存在,则利用响应策略对DDoS攻击进行处理。优选的,所述步骤(1)中对数据包采集窗口进行配置包括:根据实际需要设定数据包采集窗口,根据窗口大小获取相应数量的数据包。进一步地,所述步骤(4)具体包括:若目的IP地址未被用于存放数据包的目的IP地址的哈希表包含,则将该地址添加至哈希表,并为其添加计数为1的标识;若包含,则累计数量,更新其标识。优选的,所述步骤(5)计算数据包的熵值包括,令n为窗口中数据包的个数,pi为窗口中每个数据包出现的概率,则熵H的表达式为:其中,xi为窗口中所有数据包出现的概率;如果熵值小于预设阈值,并持续5个窗口,则认为DDoS攻击正在当前网络中运行。优选的,所述步骤(6)判断SDN中转发到控制器的数据包中是否存在DDoS攻击包括:将获取的数据包熵值与配置信息中预设阈值进行比较,若连续5个窗口的熵值均小于阈值,则认为DDoS攻击发生。优选的,所述步骤(7)中,利用响应策略对DDoS攻击进行处理包括:根据实际工况预设阈值,当采用目前窗口中的数据包获得的熵值大于预设阈值时,则当前网络状态正常;若小于该阈值,则对其进行记录,如果连续5个窗口的熵值均小于该阈值,则表示DDoS攻击正在运行,向网络管理员发出报警。与最接近的现有技术相比,本专利技术达到的有益效果是:基于熵理论,从流经SDN控制器的网络流量中准确发现DDoS攻击的早期信号,实现对SDN控制器DDoS攻击的有效检测;减少了对于SDN控制器DDoS攻击的响应时间,减轻DDoS攻击对于SDN控制器带来的影响;在一定程度上节约了经济支出和劳动成本。附图说明图1为基于熵的SDN控制器DDoS攻击检测装置结构示意图;图2为基于熵的SDN控制器DDoS攻击检测方法流程图。具体实施方式以下将结合附图,对本专利技术的具体实施方式作进一步的详细说明。如图1所示,一种基于熵的SDN控制器DDoS攻击检测装置,所述装置包括:分别与配置信息管理模块相连的网络数据包采集模块、数据包信息统计模块和熵值计算模块;网络数据包采集模块、数据包信息统计模块和熵值计算模块依次连接。其中,所述网络数据包采集模块,用于采集SDN中转发到控制器的数据包;所述配置信息管理模块,用于配置装置参数,管理装置运行时产生的数据;该数据即利用响应策略对DDoS攻击进行处理,其包括:根据实际工况预设阈值,当采用目前窗口中的数据包计算获得的熵值大于预设阈值时,则当前网络状态正常;若小于预设阈值,则对其进行记录,如果连续5个窗口的熵值均小于阈值,则DDoS攻击正在运行,向网络管理员发出报警。所述数据包信息统计模块,用于获取网络数据包采集模块的数据包的包头信息;所述熵值计算模块,用于计算数据包的熵值大小,并通过比较判断SDN中转发到控制器的数据包中是否存在DDoS攻击。数据包信息统计模块包括一个哈希表,用于获取数据包的目的IP地址。配置信息管理模块中所述配置过程包括:所述网络数据包采集模块根据配置信息管理模块中设定的数据包采集窗口大小采集相应数量的数据包,并将数据包发送至数据包信息统计模块。数据包采集窗口大小设定为承载50个数据包。如图2所示,一种基于熵的SDN控制器DDoS攻击检测方法,所述方法包括:(1)对数据包采集窗口进行配置;步骤(1)中对数据包采集窗口进行配置包括:根据实际需要设定数据包采集窗口,根据窗口大小获取相应数量的数据包。(2)采集SDN中转发至控制器的数据包;(3)获取数据包中的包头信息和目的地址;(4)将目的IP地址存放至哈希表中;若目的IP地址未被用于存放数据包的目的IP地址的哈希表包含,则将该地址添加至哈希表,并为其添加计数为1的标识;若包含,则累计数量,更新其标识。(5)计算数据包的熵值;令n为窗口中数据包的个数,pi为窗口中每个数据包出现的概率,则熵H的表达式为:其中,xi为窗口中所有数据包出现的概率;如果熵值小于预设阈值,并持续5个窗口,则认为DDoS攻击正在当前网络中运行。(6本文档来自技高网...
【技术保护点】
一种基于熵的SDN控制器DDoS攻击检测装置,其特征在于,所述装置包括:分别与配置信息管理模块相连的网络数据包采集模块、数据包信息统计模块和熵值计算模块;所述网络数据包采集模块、数据包信息统计模块和熵值计算模块依次连接;其中,所述网络数据包采集模块,用于采集SDN中转发到控制器的数据包;所述配置信息管理模块,用于配置装置参数,管理装置运行时产生的数据;所述数据包信息统计模块,用于获取网络数据包采集模块的数据包的包头信息;所述熵值计算模块,用于计算数据包的熵值大小,并通过比较判断SDN中转发到控制器的数据包中是否存在DDoS攻击。
【技术特征摘要】
1.一种基于熵的SDN控制器DDoS攻击检测装置,其特征在于,所述装置包括:分别与配置信息管理模块相连的网络数据包采集模块、数据包信息统计模块和熵值计算模块;所述网络数据包采集模块、数据包信息统计模块和熵值计算模块依次连接;其中,所述网络数据包采集模块,用于采集SDN中转发到控制器的数据包;所述配置信息管理模块,用于配置装置参数,管理装置运行时产生的数据;所述数据包信息统计模块,用于获取网络数据包采集模块的数据包的包头信息;所述熵值计算模块,用于计算数据包的熵值大小,并通过比较判断SDN中转发到控制器的数据包中是否存在DDoS攻击。2.根据权利要求1所述的装置,其特征在于,所述数据包信息统计模块包括一个哈希表,用于获取数据包的目的IP地址。3.根据权利要求1所述的装置,其特征在于,所述配置信息管理模块中所述配置过程包括:所述网络数据包采集模块根据配置信息管理模块中设定的数据包采集窗口大小采集相应数量的数据包,并将数据包发送至数据包信息统计模块。4.根据权利要求3所述的装置,其特征在于,所述数据包采集窗口大小设定为承载50个数据包。5.根据权利要求1所述的装置,其特征在于,所述管理装置运行时产生的数据,即利用响应策略对DDoS攻击进行处理,包括:根据实际工况预设阈值,当采用目前窗口中的数据包计算获得的熵值大于预设阈值时,则当前网络状态正常;若小于预设阈值,则对其进行记录,如果连续5个窗口的熵值均小于阈值,则DDoS攻击正在运行,向网络管理员发出报警。6.一种基于熵的SDN控制器DDoS攻击检测方法,其特征在于,所述方法包括:(1)对数据包采集窗口进行配置;(2)采集SDN中转发至控制器的数据包;(3)获取数据包中的包头信息和目...
【专利技术属性】
技术研发人员:刘川,黄辉,张刚,郭经红,梁云,黄在朝,张小建,喻强,虞跃,娄征,陈磊,张增华,邓辉,李春龙,沈文,
申请(专利权)人:国网智能电网研究院,国家电网公司,国网上海市电力公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。