本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，更為具體地講，涉及一種基于sdn技術(shù)面向5g網(wǎng)絡(luò)切片的ddos攻擊檢測(cè)與攻擊防御方法及系統(tǒng)。
背景技術(shù)：
：在移動(dòng)通信領(lǐng)域，從最初的2g、3g、到現(xiàn)在普遍使用的4g網(wǎng)絡(luò)，移動(dòng)網(wǎng)絡(luò)主要服務(wù)移動(dòng)手機(jī)，一般來說只為手機(jī)做一些優(yōu)化。進(jìn)入5g之后通信場(chǎng)景將變得多元化和復(fù)雜化，物與物之間的通信將迅猛發(fā)展，大大超越人與人之間的通信需求。傳統(tǒng)的蜂窩網(wǎng)絡(luò)和“一刀切”的模式已經(jīng)不能滿足5g時(shí)代各行各業(yè)對(duì)網(wǎng)絡(luò)的不同需求。在未來的5g系統(tǒng)中，網(wǎng)絡(luò)將通過sdn/nfv技術(shù)被進(jìn)一步抽象為“網(wǎng)絡(luò)切片”，從而支持成千上萬(wàn)個(gè)用例、眾多用戶類型和各種應(yīng)用的使用。而無論基于sdn技術(shù)的5g網(wǎng)絡(luò)或者是傳統(tǒng)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全始終是一個(gè)不可忽略的問題。尤其是隨著移動(dòng)終端設(shè)備的計(jì)算能力越來越強(qiáng)，移動(dòng)設(shè)備作為僵尸節(jié)點(diǎn)來組建僵尸網(wǎng)絡(luò)正逐漸成為現(xiàn)實(shí)。分布式拒絕服務(wù)攻擊(ddos)是目前黑客經(jīng)常采用而難以防范的攻擊手段?；趕dn技術(shù)的5g網(wǎng)絡(luò)中，控制層面和轉(zhuǎn)發(fā)層面之間存在著持續(xù)的流，用于傳輸控制信息和上報(bào)狀態(tài)信息，這種通信通道在傳統(tǒng)網(wǎng)絡(luò)中是沒有的，而這種通信通道在sdn中傳輸著重要信息，地位十分重要。針對(duì)ddos攻擊，若不加防范，5g網(wǎng)絡(luò)相比傳統(tǒng)網(wǎng)絡(luò)，后果可能更加嚴(yán)重。5g中sdn技術(shù)的大量應(yīng)用,將會(huì)加速sdn技術(shù)的普及以滿足不同行業(yè)網(wǎng)絡(luò)需求，一方面將會(huì)導(dǎo)致sdn技術(shù)的大量普及以滿足大量的智能設(shè)備需要；另一方面，其一旦受到攻擊，后果不堪設(shè)想。比如無人駕駛的智能交通，一旦網(wǎng)絡(luò)受到攻擊，將造成交通系統(tǒng)癱瘓。由于ddos攻擊造成的流表被非法轉(zhuǎn)發(fā)規(guī)則填充或是網(wǎng)絡(luò)造成擁塞產(chǎn)生的拒絕服務(wù)危害可導(dǎo)致基于sdn的5g網(wǎng)絡(luò)切片嚴(yán)重影響，同時(shí)基于sdn技術(shù)的5g網(wǎng)絡(luò)切片可以借其sdn中openflow流表來對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行檢測(cè)并將檢測(cè)到的異常流進(jìn)行丟棄以此來免受攻擊。現(xiàn)有技術(shù)主要包括防火墻防攻擊、流量清洗兩種；防火墻攻擊存在長(zhǎng)時(shí)間開啟導(dǎo)致防火墻轉(zhuǎn)發(fā)包的處理速度減慢；而流量清洗通常是在網(wǎng)絡(luò)匯聚節(jié)點(diǎn)部署清洗設(shè)備，但是這樣無法有針對(duì)性的進(jìn)行清洗，導(dǎo)致清洗設(shè)備的工作效率低。技術(shù)實(shí)現(xiàn)要素：本發(fā)明的目的在于：針對(duì)現(xiàn)有技術(shù)無法有針對(duì)性對(duì)節(jié)點(diǎn)下的受ddos攻擊的子設(shè)備進(jìn)行判斷而造成后期防御ddos攻擊的效率低的問題，本發(fā)明提供一種基于sdn技術(shù)面向5g網(wǎng)絡(luò)切片的ddos攻擊檢測(cè)與攻擊防御方法及系統(tǒng)。本發(fā)明采用的技術(shù)方案如下：本申請(qǐng)?zhí)峁┝艘环N面向5g網(wǎng)絡(luò)切片的ddos攻擊檢測(cè)防御系統(tǒng),包括網(wǎng)絡(luò)數(shù)據(jù)采集模塊、數(shù)據(jù)預(yù)處理模塊、訓(xùn)練模塊、異常檢測(cè)模塊和反饋抑制攻擊模塊；網(wǎng)絡(luò)數(shù)據(jù)采集模塊：用于獲取sdn網(wǎng)絡(luò)切片中的流表信息及網(wǎng)絡(luò)切片標(biāo)識(shí)信息，流表信息包括正常流表信息和受ddos攻擊異常流表信息；數(shù)據(jù)預(yù)處理模塊：接收網(wǎng)絡(luò)數(shù)據(jù)采集模塊發(fā)送的流表信息和網(wǎng)絡(luò)切片標(biāo)識(shí)信息，并對(duì)流表信息進(jìn)行特征提取得到平均包數(shù)、平均字節(jié)數(shù)、平均持續(xù)時(shí)間、對(duì)流比、源/目ip地址的熵值、源/目端口號(hào)的熵值并構(gòu)成流量檢測(cè)數(shù)據(jù)組；訓(xùn)練模塊：接收數(shù)據(jù)預(yù)處理模塊發(fā)送的流量檢測(cè)數(shù)據(jù)組并形成特征矩陣，并對(duì)特征矩陣進(jìn)行訓(xùn)練得訓(xùn)練模型，并根據(jù)訓(xùn)練模型計(jì)算得到最優(yōu)超平面，根據(jù)舊樣本集中kkt條件對(duì)新樣本集進(jìn)行判斷，是否存在違反原樣本集kkt條件的情況，如有則更新訓(xùn)練模型；其中應(yīng)當(dāng)說明的是特征矩陣?yán)锩娴臄?shù)據(jù)既包括正常流表信息中提取的特征數(shù)據(jù)，也包括受ddos攻擊異常流表中的特征數(shù)據(jù)。異常檢測(cè)模塊：計(jì)算待測(cè)數(shù)據(jù)流特征與分類最優(yōu)超平面的距離并根據(jù)距離判斷待測(cè)數(shù)據(jù)流是否異常；反饋抑制攻擊模塊：接收異常檢測(cè)模塊反饋的異常待測(cè)數(shù)據(jù)流并建立用于記錄對(duì)應(yīng)設(shè)備的異常流次數(shù)的哈希表，對(duì)超過設(shè)定值的異常數(shù)據(jù)流進(jìn)行丟棄處理。本申請(qǐng)同時(shí)提供了一種面向5g網(wǎng)絡(luò)切片的ddos攻擊檢測(cè)防御方法，包括以下步驟：步驟1、獲取sdn網(wǎng)絡(luò)切片中的流表信息及網(wǎng)絡(luò)切片標(biāo)識(shí)信息，流表包括正常流表和受ddos攻擊異常流表；步驟2、對(duì)步驟1獲得的流表信息進(jìn)行特征提取得到平均包數(shù)、平均字節(jié)數(shù)、平均持續(xù)時(shí)間、對(duì)流比、源/目ip地址的熵值、源/目端口號(hào)的熵值并構(gòu)成流量檢測(cè)數(shù)據(jù)組；步驟3、利用步驟2得到的流量檢測(cè)數(shù)據(jù)組形成特征矩陣，通過對(duì)特征矩陣進(jìn)行訓(xùn)練得訓(xùn)練模型，并根據(jù)訓(xùn)練模型計(jì)算得到最優(yōu)超平面，根據(jù)舊樣本集中kkt條件對(duì)新樣本集進(jìn)行判斷，是否存在違反原樣本集kkt條件的情況，如有則更新訓(xùn)練模型；步驟4：計(jì)算待測(cè)數(shù)據(jù)流特征與步驟3得到的最優(yōu)超平面的距離并根據(jù)距離判斷待測(cè)數(shù)據(jù)流是否異常；步驟5：接收異步驟4判斷出的異常待測(cè)數(shù)據(jù)流并建立用于記錄對(duì)應(yīng)設(shè)備的異常流次數(shù)的哈希表，對(duì)超過設(shè)定值的異常數(shù)據(jù)流進(jìn)行丟棄處理。優(yōu)選地，正常流表和異常流表的比例為1:1。具體地，所述步驟2中：所述平均包數(shù)anpf為：其中packetscount是第k條流表在特定時(shí)間間隔t內(nèi)所包含的數(shù)據(jù)包數(shù)，flownum為時(shí)間間隔t內(nèi)所有流表數(shù)量；所述平均字節(jié)數(shù)anbf為：其中bytescount是第k條流表在特定時(shí)間間隔t內(nèi)所包含的比特?cái)?shù)，flownum為時(shí)間間隔t內(nèi)所有流表數(shù)量；所述對(duì)流比ppf為：ppf＝2×pairflownum/flownum其中，pairflownum是交互流的對(duì)數(shù)，flownum是流表的總數(shù)；正常流的源/目ip地址的熵值h(ipsrc)為：設(shè)時(shí)間間隔t內(nèi)，流表項(xiàng)集合中，不同的源ip地址集合為{srcipn|n＝1,2,…,n}，對(duì)應(yīng)權(quán)重為{wsrcn|n＝1,2,…,n}，通過信息熵計(jì)算公式h(x)可計(jì)算得到h(ipsrc)：同理得到受ddos攻擊異常流的源/目ip地址的熵值h(ipdst)為：所述平均持續(xù)時(shí)間asdf為：其中durationseconds為每條流在交換機(jī)中的持續(xù)時(shí)間；正常流的源/目端口號(hào)的熵值h(portsrc)為：受ddos攻擊異常流的源/目端口號(hào)的熵值h(portdst)為：其中不同目的ip地址集合為{dstipn|n＝1,2,…,n}，對(duì)應(yīng)權(quán)重為{wdstn|n＝1,2,…,n}；上述預(yù)處理后數(shù)據(jù)構(gòu)成流量檢測(cè)數(shù)據(jù)組h為：h＝[anpf,anbf,ppf,h(ipsrc),h(ipdst),asdf,h(portdst),h(portdst)]所述特征矩陣為：其中特征矩陣為fm。具體地，所述步驟3具體為：步驟3.1：輸入訓(xùn)練集t＝{(x1,y1),…(xl,yl)}xi∈fm,yi∈{-1,1}i＝1,2…l，用于建立一個(gè)最優(yōu)超平面，使得該平面兩側(cè)距離平面最近的兩類樣本間的距離最大化；步驟3.2：構(gòu)建用于分類的超平面wtx+b＝0，x為輸入向量，w為權(quán)值向量，b為偏置項(xiàng)；步驟3.3：構(gòu)建樣本空間任一點(diǎn)到最優(yōu)超平面的距離為得到x到最優(yōu)平面距離的度量函數(shù)將判別函數(shù)歸一化，使得所有函數(shù)都滿足下式：p表示超平面與最近樣本點(diǎn)之間的間隔稱為分割邊緣，支持向量目標(biāo)就是找到一個(gè)分割邊緣最大的超平面，即最優(yōu)超平面；步驟3.3：尋找離最優(yōu)超平面最近的特殊樣本xs滿足g(xs)＝1的支持向量點(diǎn)；步驟3.4：計(jì)算支持向量點(diǎn)到最優(yōu)超平面的代數(shù)距離為：可得到正常異常兩類數(shù)據(jù)間隔，用分割邊緣表示為步驟3.5：當(dāng)兩類間隔ρ為最大，即||w0||最小，在kkt約束條件下計(jì)算得到滿足條件使||w0||最小的最優(yōu)超平面，同時(shí)判別是否有新增特征矩陣，若有則進(jìn)行kkt條件判別，并對(duì)訓(xùn)練模型進(jìn)行更新。具體地，根據(jù)舊樣本集中kkt條件對(duì)新樣本集進(jìn)行判斷，是否存在違反原樣本集kkt條件的情況的具體步驟為：用舊樣本集中kkt條件檢驗(yàn)新樣本集是否有違反kkt條件情況，若有，則將新樣本集劃分為違反和不違反兩類集合，并訓(xùn)練新的樣本集得到新樣本集的訓(xùn)練模型得到新樣本支持向量集合；用此新訓(xùn)練模型kkt條件檢驗(yàn)原來樣本集得到舊樣本支持向量集合的情況，并同樣將舊樣本集劃分為違反和不違反兩類集合；最終將新舊樣本中違反kkt條件的集合兩個(gè)不滿足kkt條件的樣本集和新舊樣本的支持向量集合兩個(gè)支持向量類集合合并重新訓(xùn)練得到更新的訓(xùn)練模型。具體地，所述步驟4的具體步驟為：步驟4.1:將混合特征矩陣{fmmix}輸入至訓(xùn)練模塊，計(jì)算待測(cè)數(shù)據(jù)特征與最優(yōu)分類面間的距離，并與支持向量點(diǎn)到最優(yōu)分類面的距離比較判別待測(cè)數(shù)據(jù)是否異常；步驟4.2:如果發(fā)現(xiàn)待測(cè)數(shù)據(jù)異常，提取判別為異常數(shù)據(jù)對(duì)應(yīng)的流表信息中對(duì)應(yīng)設(shè)備源的ip、mac地址、交換機(jī)dpid、及目的ip地址、交換機(jī)端口號(hào)信息。具體地，所述步驟5的具體步驟為：步驟5.1：接收異常數(shù)據(jù)流的流表信息；步驟5.2：為每個(gè)網(wǎng)絡(luò)切片所有設(shè)備建立以設(shè)備為鍵的哈希表，記錄對(duì)應(yīng)設(shè)備的異常流次數(shù)；步驟5.3：為設(shè)備違規(guī)次數(shù)哈希表設(shè)置不同等級(jí)閾值(levl1、level2，其中l(wèi)evel1<level2)，若計(jì)數(shù)表中設(shè)備對(duì)應(yīng)違規(guī)次數(shù)達(dá)到level1未超過level2，則判斷該異常流可能只是偶發(fā)異常數(shù)據(jù)流，直接丟棄該數(shù)據(jù)流；步驟5.4：若計(jì)數(shù)表中主機(jī)對(duì)應(yīng)違規(guī)次數(shù)超過level2，且同時(shí)其異常率大于特定閾值則長(zhǎng)時(shí)間對(duì)其進(jìn)行屏蔽，根據(jù)異常信息所屬切片類別通過對(duì)應(yīng)網(wǎng)絡(luò)切片sdn控制器中的statciflowpusher主動(dòng)生成丟棄該流的流表，在包頭域中填寫相應(yīng)的源ip、目的ip、mac地址匹配字段，并在動(dòng)作列表中置空，同時(shí)調(diào)用設(shè)備違規(guī)次數(shù)表中各條記錄，計(jì)算屏蔽時(shí)間并下發(fā)屏蔽流表。具體地，所述流量檢測(cè)數(shù)據(jù)組h中的每個(gè)特征量進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化處理，數(shù)據(jù)標(biāo)準(zhǔn)化處理方法采用min-max標(biāo)準(zhǔn)化方式，具體為：其中max為樣本數(shù)據(jù)中特征量的最大值，min為樣本數(shù)據(jù)中特征量的最小值。綜上所述，由于采用了上述技術(shù)方案，本發(fā)明的有益效果是：1.本發(fā)明通過對(duì)流表信息中進(jìn)行準(zhǔn)確的特征提取，并針建立以設(shè)備為鍵的哈希表進(jìn)行設(shè)備異常數(shù)據(jù)流記錄，后期進(jìn)行丟棄屏蔽處理，從而實(shí)現(xiàn)了對(duì)節(jié)點(diǎn)下的子設(shè)備進(jìn)行了準(zhǔn)確且由針對(duì)性的ddos攻擊判斷，實(shí)現(xiàn)了高效的ddos檢測(cè)防御，提高攻擊檢測(cè)效率，同時(shí)提高攻擊檢測(cè)后攻擊緩解效率，為大量存在sdn技術(shù)的5g網(wǎng)絡(luò)切片提供安全保障；2.本發(fā)明中引進(jìn)ktt條件判別，且結(jié)合ktt條件更新訓(xùn)練模型從而避免了新的攻擊類型出現(xiàn)現(xiàn)有的訓(xùn)練模型失效的問題，同時(shí)本申請(qǐng)中將新樣本進(jìn)行分類處理，克服了現(xiàn)有技術(shù)需要直接把新的樣本加入到已訓(xùn)練好的模型來重新訓(xùn)練嚴(yán)重增加訓(xùn)練時(shí)間、降低分類速度、影響防攻擊檢測(cè)處理效率的技術(shù)壁壘；3.本發(fā)明中通過為設(shè)備違規(guī)次數(shù)哈希表設(shè)置不同等級(jí)閾值，從而實(shí)現(xiàn)了更加準(zhǔn)確的ddos攻擊檢測(cè)判斷，避免了不準(zhǔn)確的防御而導(dǎo)致的網(wǎng)絡(luò)更加堵塞的問題；4.本申請(qǐng)通過數(shù)據(jù)化標(biāo)準(zhǔn)處理，降低了特征之間的量綱影響，防止某個(gè)特征過大或過小，從而在訓(xùn)練中起的作用不平衡的問題，對(duì)數(shù)據(jù)標(biāo)準(zhǔn)化處理，使各指標(biāo)處于同一數(shù)量級(jí)，使得采集的數(shù)據(jù)有更好的適用性和準(zhǔn)確性；5.本發(fā)明中正常數(shù)據(jù)與異常數(shù)據(jù)樣本量比例接近1:1，使得分類器具有良好的分類性及較高的檢測(cè)率和準(zhǔn)確率；附圖說明為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明的架構(gòu)示意圖；圖2是本發(fā)明的系統(tǒng)框架示意圖；圖3是本發(fā)明的方法流程示意圖具體實(shí)施方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。下面結(jié)合圖1-圖3對(duì)本發(fā)明作詳細(xì)說明。本發(fā)明實(shí)施例提供一種面向基于sdn的5g網(wǎng)絡(luò)中切片環(huán)境中從openflow流表角度來檢測(cè)并防御ddos攻擊的方法。該方法主要包括：(1)網(wǎng)絡(luò)數(shù)據(jù)采集模塊通過restapi接口采集網(wǎng)絡(luò)切片中存在的流表信息，并存儲(chǔ)至流表集合中；(2)數(shù)據(jù)預(yù)處理模塊按照本發(fā)明中采用的8元特征組對(duì)采集得到的流表信息進(jìn)行特征提取，并對(duì)數(shù)據(jù)做標(biāo)準(zhǔn)化處理，為訓(xùn)練集中每條特征添加正常/異常標(biāo)簽(+1/-1)；(3)訓(xùn)練模塊采用svm算法根據(jù)輸入樣本為依據(jù)，計(jì)算支持向量點(diǎn)，得到最優(yōu)分類超平面；(4)檢測(cè)模塊根據(jù)訓(xùn)練階段生成的分類超平面對(duì)待檢測(cè)數(shù)據(jù)進(jìn)行分類判決，輸出分類值；(5)反饋抑制攻擊模塊依據(jù)檢測(cè)模塊分類值為網(wǎng)絡(luò)中每個(gè)設(shè)備維護(hù)違規(guī)次數(shù)計(jì)數(shù)表，并依據(jù)此計(jì)數(shù)表來決策生成相應(yīng)的抑制流表阻止異常流傳輸，以達(dá)到對(duì)檢測(cè)到的異常流進(jìn)行攔截丟棄目的。本發(fā)明提供的面向5g網(wǎng)絡(luò)切片的ddos攻擊檢測(cè)與防御系統(tǒng)架構(gòu)、ddos攻擊檢測(cè)與防御系統(tǒng)構(gòu)成及系統(tǒng)流程圖如圖1、2、3所示，包括：步驟1：首先通過網(wǎng)絡(luò)數(shù)據(jù)采集模塊通過restapi接口采集5g網(wǎng)絡(luò)轉(zhuǎn)發(fā)層交換機(jī)上對(duì)應(yīng)網(wǎng)絡(luò)切片中流表、及切片標(biāo)識(shí)信息，作為模型訓(xùn)練數(shù)據(jù)，網(wǎng)絡(luò)正常運(yùn)行時(shí)，訪問網(wǎng)站服務(wù)器及發(fā)起ddos攻擊，采集到的網(wǎng)絡(luò)數(shù)據(jù)作為檢測(cè)部分所用數(shù)據(jù)；具體來說，設(shè)初始時(shí)刻t＝0時(shí)，在網(wǎng)絡(luò)切片中運(yùn)行dit-g分布式流量生成工具，模擬正常用戶訪問網(wǎng)絡(luò)產(chǎn)生數(shù)據(jù)包交互，包含tcp、udp、icmp協(xié)議數(shù)據(jù)包。通過scayp開源軟件編寫ddos攻擊腳本attack.py，在時(shí)間點(diǎn)tattack1時(shí)刻停止注入正常流量并運(yùn)行ddos攻擊腳本，網(wǎng)絡(luò)中存在大量流表。網(wǎng)絡(luò)數(shù)據(jù)采集模塊通過restapi接口向交換機(jī)發(fā)送請(qǐng)求以獲取流表信息。可采集到openflow流表中所包含的有效信息包括包裹數(shù)量(packetcount)、字節(jié)數(shù)(bytecount)、持續(xù)時(shí)間(durationseconds)、源ip地址(ipv4_src)、目的ip地址(ipv4_dst)、源端口號(hào)(port_src)、目的端口號(hào)(port_dst)等信息。將此流表信息作為正常網(wǎng)絡(luò)流量以用于異常檢測(cè)中的背景流量。并將所獲取的每條流表信息存儲(chǔ)至流表項(xiàng)集合中，其中結(jié)構(gòu)如下表所示：獲取ddos攻擊情況下流表信息并存處至流表項(xiàng)集合中，結(jié)構(gòu)同上表中結(jié)構(gòu)。將得到的正常流表信息集合和ddos攻擊流表信息集合分別作為輸入信息輸入至數(shù)據(jù)預(yù)處理模塊對(duì)流表信息進(jìn)行特征提取。步驟2：數(shù)據(jù)預(yù)處理模塊對(duì)采集模塊所輸入的流表信息進(jìn)行特征提取。本發(fā)明中所選取的特征為流表平均包數(shù)、流表平均字節(jié)數(shù)、成對(duì)流比例、源/目ip地址的信息熵值、流表平均持續(xù)時(shí)間、源/目的端口信息熵值；具體來說，分析網(wǎng)絡(luò)數(shù)據(jù)采集模塊發(fā)送來的和流表信息中正常通信狀況下流表中包含的信息，以及發(fā)生ddos攻擊時(shí)流表中相關(guān)屬性值的變化。選取每條流的平均包數(shù)(apf)、每條流的平均字節(jié)數(shù)(abf)、每條流的平均持續(xù)時(shí)間(adf)、對(duì)流比(pcf)、源/目ip地址的熵值(srcip/dstip)、源/目端口號(hào)的熵值(srtprt/dstprt)。構(gòu)成異常流量檢測(cè)的八元組h。h＝[anpf,anbf,ppf,h(ipsrc),h(ipdst),asdf,h(portdst),h(portdst)]按上述分析處理收集到的數(shù)據(jù)得到用于sdn網(wǎng)絡(luò)中攻擊檢測(cè)過程中模型訓(xùn)練所需要的8維數(shù)據(jù)特征。構(gòu)成如下svm訓(xùn)練特征矩陣。在訓(xùn)練開始前需要為特征值添加對(duì)應(yīng)的標(biāo)簽，本發(fā)明中，訓(xùn)練數(shù)據(jù)對(duì)應(yīng)為正常的添加為+1標(biāo)簽，對(duì)應(yīng)為異常數(shù)據(jù)添加為-1標(biāo)簽。本發(fā)明中采用min-max標(biāo)準(zhǔn)化方式對(duì)特征值進(jìn)行便準(zhǔn)化處理，將結(jié)果值映射到[0-1]之間，以解決數(shù)據(jù)特征之間的可比性，各指標(biāo)處于同一數(shù)量級(jí)。轉(zhuǎn)換函數(shù)如下所示。其中max為樣本數(shù)據(jù)中的最大值，min為樣本數(shù)據(jù)中的最小值。步驟3：在訓(xùn)練與檢測(cè)模塊，本發(fā)明使用支持向量機(jī)(svm)算法根據(jù)所輸入特征信息尋找支持向量點(diǎn)，構(gòu)成最優(yōu)分類面。之后由此最優(yōu)分類面對(duì)待測(cè)數(shù)據(jù)進(jìn)行分隔，判別待檢測(cè)數(shù)據(jù)是正常或者異常數(shù)據(jù)。具體來說，對(duì)于輸入訓(xùn)練集t＝{(x1,y1),…(xl,yl)}xi∈fm,yi∈{-1,1}i＝1,2…l，建立一個(gè)最優(yōu)決策超平面，使得該平面兩側(cè)距離平面最近的兩類樣本間的距離最大化，從而對(duì)分類問題提供良好的泛化能力。構(gòu)建用于分類的超平面wtx+b＝0，式中x為輸入向量，w為權(quán)值向量，b為偏置項(xiàng)。用p表示超平面與最近樣本點(diǎn)之間的間隔稱為分割邊緣，支持向量目標(biāo)就是找到一個(gè)分割邊緣最大的超平面，即最優(yōu)超平面。構(gòu)建樣本空間任一點(diǎn)到最優(yōu)超平面的距離為得到x到最優(yōu)平面距離的度量函數(shù)將判別函數(shù)歸一化，使得所有函數(shù)都滿足下式：尋找離最優(yōu)超平面最近的特殊樣本xs滿足g(xs)＝1的支持向量點(diǎn)。支持向量點(diǎn)最靠近分類決策面，是最難分類的數(shù)據(jù)點(diǎn)，這些點(diǎn)在支持向量機(jī)的運(yùn)行中起著主導(dǎo)作用。計(jì)算支持向量點(diǎn)到最優(yōu)平面的代數(shù)距離為：可得到正常異常兩類數(shù)據(jù)間隔，用分割邊緣表示為其中，最優(yōu)決策超平面和最優(yōu)超平面和最優(yōu)平面均屬于統(tǒng)一概念。要得到最優(yōu)化超平面就需要兩類間隔ρ為最大，即||w0||最小。在kkt約束條件下計(jì)算得到滿足條件且使||w0||最小的分類超平面。同時(shí)判別是否有新增樣本，若有進(jìn)行kkt條件判別，并進(jìn)行模型更新；將混合流量特征集{fmmix}輸入至訓(xùn)練模塊訓(xùn)練得到的svm分類器中，通過訓(xùn)練得到的最優(yōu)分類超平面對(duì){fmmix}進(jìn)行分割，判別每一條特征屬于超平面之上還是超平面之下，得到對(duì)應(yīng)的正常異常類別值；步驟4：反饋抑制模塊根據(jù)接收到的檢測(cè)模塊發(fā)送來的異常數(shù)據(jù)中所包含的of交換機(jī)id、異常流所包含的信息以及網(wǎng)絡(luò)切片標(biāo)識(shí)，通過設(shè)備征信機(jī)制為各網(wǎng)絡(luò)切片中設(shè)備添加異常次數(shù)記錄用于判斷設(shè)備可信程度。并生成針對(duì)攻擊流的抑制流表項(xiàng)，防止異常流在網(wǎng)絡(luò)中持續(xù)傳輸導(dǎo)致網(wǎng)絡(luò)擁塞。具體來說，檢測(cè)模塊檢測(cè)到異常流后，記錄異常流對(duì)應(yīng)設(shè)備源ip、mac地址、交換機(jī)dpid、及目的ip地址、交換機(jī)端口號(hào)信息及所屬流量信息所在切片標(biāo)識(shí)，并發(fā)送至反饋抑制攻擊模塊。反饋抑制攻擊模塊接收上述信息，并為每個(gè)網(wǎng)絡(luò)域內(nèi)所有設(shè)備建立以設(shè)備為鍵的哈希表，如下表。記錄對(duì)應(yīng)設(shè)備的異常流次數(shù)，也就是設(shè)備的可信度。單位時(shí)間設(shè)備異常流計(jì)數(shù)表host1host2host3host4host5host6host7……h(huán)ostn1221820……0為設(shè)備違規(guī)次數(shù)哈希表設(shè)置不同等級(jí)閾值(levl1、level2，其中l(wèi)evel1<level2)，若計(jì)數(shù)表中設(shè)備對(duì)應(yīng)違規(guī)次數(shù)達(dá)到level1未超過level2，則判斷該異常流可能只是偶發(fā)異常數(shù)據(jù)流，直接將此流丟棄即可。若計(jì)數(shù)表中設(shè)備對(duì)應(yīng)違規(guī)次數(shù)超過level2，且同時(shí)其異常率大于特定閾值說明該設(shè)備持續(xù)發(fā)送異常攻擊流量，需要長(zhǎng)時(shí)間對(duì)其進(jìn)行屏蔽。根據(jù)異常信息所屬切片類別通過對(duì)應(yīng)網(wǎng)絡(luò)切片sdn控制器中的staticflowpusher主動(dòng)生成丟棄該流的流表，在包頭域中填寫相應(yīng)的源ip、目的ip、mac地址等匹配字段，并在動(dòng)作列表中置空(相當(dāng)于丟棄數(shù)據(jù)包的操作)。同時(shí)調(diào)用設(shè)備違規(guī)次數(shù)表中各條記錄，計(jì)算屏蔽時(shí)間并下發(fā)屏蔽流表。最終完成基于sdn的面向5g網(wǎng)絡(luò)切片的ddos攻擊檢測(cè)與防御過程。以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何屬于本
技術(shù)領(lǐng)域：
的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。當(dāng)前第1頁(yè)12