本技術(shù)涉及一種sdn流量異常精準(zhǔn)快捷監(jiān)測(cè)方法，特別涉及一種低網(wǎng)絡(luò)開銷的sdn流量異常精準(zhǔn)快捷監(jiān)測(cè)方法，屬于網(wǎng)絡(luò)流量異常監(jiān)測(cè)。

背景技術(shù)：

1、隨著虛擬現(xiàn)實(shí)、智能家居、自動(dòng)駕駛等智能信息技術(shù)的興起，當(dāng)前云計(jì)算、物聯(lián)網(wǎng)等技術(shù)的逐漸普及，使得互聯(lián)網(wǎng)業(yè)務(wù)類型和網(wǎng)絡(luò)流量發(fā)生井噴式增長(zhǎng)。服務(wù)提供商需要投入巨大的資金和人力來(lái)滿足數(shù)以億計(jì)的用戶需求。在不斷增長(zhǎng)的業(yè)務(wù)規(guī)模需求下，如何加速產(chǎn)品推出、提高服務(wù)質(zhì)量以及保障網(wǎng)絡(luò)安全已成為當(dāng)前各企業(yè)和組織不斷研究和發(fā)展的焦點(diǎn)問(wèn)題。

2、以tcp/ip協(xié)議簇為代表的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)為互聯(lián)網(wǎng)的發(fā)展做出了巨大貢獻(xiàn)，但數(shù)據(jù)中心合并、服務(wù)器虛擬化、新的應(yīng)用架構(gòu)和云計(jì)算的發(fā)展，早已不堪重負(fù)的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)壓力巨大。網(wǎng)絡(luò)管理員需要耗費(fèi)大量的時(shí)間進(jìn)行網(wǎng)絡(luò)維護(hù)和設(shè)備升級(jí)，導(dǎo)致業(yè)務(wù)部署效率降低，無(wú)形之中增加了企業(yè)運(yùn)營(yíng)成本。因此在新的形勢(shì)下，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)已逐漸開始阻礙網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展。

3、為了適應(yīng)不斷增長(zhǎng)的網(wǎng)絡(luò)業(yè)務(wù)需求，軟件定義網(wǎng)絡(luò)(sdn)作為一種有別于傳統(tǒng)網(wǎng)絡(luò)的新型網(wǎng)絡(luò)架構(gòu)被提出。sdn最本質(zhì)的特點(diǎn)就是控制面跟轉(zhuǎn)發(fā)面分離，實(shí)現(xiàn)了網(wǎng)絡(luò)可編程性和網(wǎng)絡(luò)集中控制，但這些特點(diǎn)在為網(wǎng)絡(luò)帶來(lái)便利的同時(shí)也暗暴露了一些新的安全威脅。因此，探尋有效的解決辦法，使得sdn在最大程度發(fā)揮自身優(yōu)勢(shì)的同時(shí)，保障網(wǎng)絡(luò)本身的安全和穩(wěn)定運(yùn)行，對(duì)于推動(dòng)sdn的長(zhǎng)遠(yuǎn)發(fā)展有著十分重要的意義和作用。

4、現(xiàn)有技術(shù)的sdn流量異常監(jiān)測(cè)需要解決的問(wèn)題和本技術(shù)關(guān)鍵技術(shù)難點(diǎn)包括：

5、(1)目前的網(wǎng)絡(luò)架構(gòu)維持了大量配置繁瑣的專有設(shè)備，復(fù)雜的內(nèi)置協(xié)議使得維護(hù)和升級(jí)工作愈發(fā)困難。sdn使網(wǎng)絡(luò)具備集中控制能力和可編程性，軟件程序可以靈活有效地管理和操作網(wǎng)絡(luò)，但這些特點(diǎn)也暴露了一些新的安全威脅，其中由網(wǎng)絡(luò)攻擊產(chǎn)生的流量異常問(wèn)題尤為嚴(yán)重。在現(xiàn)有的流量異常監(jiān)測(cè)方法中，無(wú)法將網(wǎng)絡(luò)的機(jī)器學(xué)習(xí)方法應(yīng)用于sdn網(wǎng)絡(luò)，無(wú)法充分利用其對(duì)網(wǎng)絡(luò)的細(xì)粒度控制能力，不能夠及時(shí)精準(zhǔn)識(shí)別網(wǎng)絡(luò)中存在的未知安全隱患?，F(xiàn)有技術(shù)基于距離度量的k近鄰算法雖然具備無(wú)需樣本學(xué)習(xí)、估計(jì)參數(shù)少的優(yōu)點(diǎn)，但對(duì)于復(fù)雜多變的網(wǎng)絡(luò)流量來(lái)說(shuō)，算法本身忽視了不同特征的重要程度也有較大差別的特點(diǎn)，致使分類效果通常都不理想。另外，現(xiàn)有的監(jiān)測(cè)方法采用周期性發(fā)起監(jiān)測(cè)的方式，雖然能夠有效識(shí)別大部分流量異常問(wèn)題，但方法執(zhí)行過(guò)程中存在響應(yīng)時(shí)間慢、系統(tǒng)和網(wǎng)絡(luò)開銷大的問(wèn)題，缺少針對(duì)流量異常監(jiān)測(cè)問(wèn)題在分類算法和監(jiān)測(cè)觸發(fā)機(jī)制上的優(yōu)化，無(wú)法在提高監(jiān)測(cè)準(zhǔn)確率的同時(shí)，減小網(wǎng)絡(luò)和系統(tǒng)的負(fù)載。

6、(2)在流量分類算法上，現(xiàn)有技術(shù)缺少改進(jìn)k近鄰算法，不能分析sdn網(wǎng)絡(luò)流量的不同特征對(duì)類型判別的影響差異，缺少優(yōu)化relief算法求解衡量特征貢獻(xiàn)程度的權(quán)值向量，缺少將特征權(quán)值向量引入k近鄰算法距離計(jì)算，無(wú)法通過(guò)距離投票權(quán)值累加實(shí)現(xiàn)流量類型劃分。而在監(jiān)測(cè)觸發(fā)機(jī)制上，無(wú)法通過(guò)分析異常狀況控制器內(nèi)部消息特點(diǎn)，缺少以packet_in消息數(shù)量作為判斷監(jiān)測(cè)觸發(fā)的依據(jù)，無(wú)法采用基于距離的數(shù)據(jù)流異常監(jiān)測(cè)算法來(lái)監(jiān)控packet_in消息數(shù)量異常實(shí)現(xiàn)對(duì)監(jiān)測(cè)機(jī)制的觸發(fā)。以監(jiān)測(cè)率和誤報(bào)率為評(píng)價(jià)標(biāo)準(zhǔn)在不同檢測(cè)樣本下檢驗(yàn)，現(xiàn)有技術(shù)的方法具備分類效果不佳，由于缺少對(duì)比周期監(jiān)測(cè)方式，觸發(fā)機(jī)制的引入，現(xiàn)有技術(shù)方法響應(yīng)時(shí)間長(zhǎng)且硬件網(wǎng)絡(luò)開銷大。

7、(3)sdn實(shí)現(xiàn)了網(wǎng)絡(luò)可編程性和網(wǎng)絡(luò)集中控制，但這些特點(diǎn)在為網(wǎng)絡(luò)帶來(lái)便利的同時(shí)也暗暴露了一些新的安全威脅。流量異常監(jiān)測(cè)問(wèn)題是sdn安全問(wèn)題中非常重要，現(xiàn)有技術(shù)在采集流表信息都是采用定時(shí)收集的方式，使得監(jiān)測(cè)系統(tǒng)具有較長(zhǎng)的響應(yīng)時(shí)間和較高的網(wǎng)絡(luò)負(fù)載，現(xiàn)有技術(shù)缺少對(duì)knn算法的優(yōu)化，缺少relief算法對(duì)原始knn算法進(jìn)行特征加權(quán)和距離加權(quán)，不能很好的體現(xiàn)出不同的特征在分類決策時(shí)擁有不同的貢獻(xiàn)程度，在進(jìn)行分類決策時(shí)，采用傳統(tǒng)的計(jì)算投票的方式，樣本分布不均容易造成的誤差影響。現(xiàn)有技術(shù)缺少流量異常監(jiān)測(cè)機(jī)制的優(yōu)化，缺少基于packet_in消息異常的監(jiān)測(cè)觸發(fā)機(jī)制，缺少數(shù)據(jù)流異常監(jiān)測(cè)算法判斷一定時(shí)間內(nèi)packet_in消息數(shù)量是否存在異常，缺少觸發(fā)流表信息收集機(jī)制，在監(jiān)測(cè)響應(yīng)時(shí)間、系統(tǒng)負(fù)載和網(wǎng)絡(luò)帶寬占用上都無(wú)法滿足應(yīng)用需求，sdn流量異常監(jiān)測(cè)準(zhǔn)確率低、速度慢，且網(wǎng)絡(luò)開銷大。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)通過(guò)分析和總結(jié)現(xiàn)有的監(jiān)測(cè)方法的缺點(diǎn)和不足，從sdn的特性和流量異常特點(diǎn)出發(fā)，設(shè)計(jì)了一套基于sdn的流量異常監(jiān)測(cè)方案。深入分析了sdn網(wǎng)絡(luò)架構(gòu)特點(diǎn)和openflow標(biāo)準(zhǔn)，總結(jié)了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下存在的流量異常威脅和監(jiān)測(cè)方法，通過(guò)解析sdn的特性帶來(lái)的安全機(jī)遇和面臨的安全威脅，建立了一種在sdn網(wǎng)絡(luò)中因遭受攻擊出現(xiàn)流量異常的監(jiān)測(cè)方案，該方案利用sdn網(wǎng)絡(luò)流量的特點(diǎn)，采用數(shù)據(jù)流異常監(jiān)測(cè)方法監(jiān)測(cè)packet_in數(shù)據(jù)包異常來(lái)觸發(fā)流表信息收集機(jī)制，然后通過(guò)提取流表特征五元組，采用knn算法辨別網(wǎng)絡(luò)流量是否異常。提出了基于特征和距離加權(quán)的改進(jìn)knn算法，優(yōu)化relief算法計(jì)算出樣本每個(gè)特征的權(quán)值，在knn算法計(jì)算距離中加入權(quán)重考量，使其克服了knn算法的缺點(diǎn)，提高了分類精確度。構(gòu)建了sdn流量異常精準(zhǔn)快捷監(jiān)測(cè)網(wǎng)絡(luò)環(huán)境平臺(tái)，以監(jiān)測(cè)率和誤報(bào)率為評(píng)價(jià)標(biāo)準(zhǔn)，通過(guò)與其它方法進(jìn)行比較，檢驗(yàn)了本技術(shù)方法具備更佳的識(shí)別效果，sdn流量異常監(jiān)測(cè)精準(zhǔn)快捷。

2、為實(shí)現(xiàn)以上技術(shù)效果，本技術(shù)所采用的技術(shù)方案以下：

3、低網(wǎng)絡(luò)開銷的sdn流量異常精準(zhǔn)快捷監(jiān)測(cè)方法，針對(duì)流量異常監(jiān)測(cè)問(wèn)題在分類算法和監(jiān)測(cè)觸發(fā)機(jī)制上分別進(jìn)行優(yōu)化；在流量分類算法上，改進(jìn)k近鄰算法并通過(guò)分析sdn網(wǎng)絡(luò)流量的不同特征對(duì)類型判別的影響差異，優(yōu)化relief算法求解衡量特征貢獻(xiàn)程度的權(quán)值向量，將特征權(quán)值向量引入k近鄰算法距離計(jì)算，通過(guò)距離投票權(quán)值累加實(shí)現(xiàn)流量類型劃分；在監(jiān)測(cè)觸發(fā)機(jī)制上，通過(guò)解析異常狀況控制器內(nèi)部消息特點(diǎn)，以packet_in消息數(shù)量作為判斷監(jiān)測(cè)觸發(fā)的依據(jù)，采用基于距離的數(shù)據(jù)流異常監(jiān)測(cè)算法來(lái)監(jiān)控packet_in消息數(shù)量異常實(shí)現(xiàn)對(duì)監(jiān)測(cè)機(jī)制的觸發(fā)，對(duì)比周期監(jiān)測(cè)方式，觸發(fā)機(jī)制的引入使得本技術(shù)方法擁有更短的響應(yīng)時(shí)間和更低的硬件網(wǎng)絡(luò)開銷；

4、1)建立一套針對(duì)sdn環(huán)境下流量異常的監(jiān)測(cè)方案，分為四個(gè)模塊：監(jiān)測(cè)觸發(fā)模塊通過(guò)判斷packet_in消息數(shù)量是否異常來(lái)決定是否啟動(dòng)流表信息收集，包括觸發(fā)規(guī)則、異常判斷和觸發(fā)過(guò)程三個(gè)方面；流表信息收集模塊采用控制器查詢消息向交換機(jī)收集流表狀態(tài)信息；流量特征提取模塊計(jì)算流表狀態(tài)信息，計(jì)算流數(shù)據(jù)包中位數(shù)mpf、對(duì)流比ppf、端口增速gdp、流字節(jié)中位數(shù)mbf、源ip生成速度gds的值來(lái)組成五維流量特征向量；流量監(jiān)測(cè)分類模塊采用基于特征和距離加權(quán)的改進(jìn)knn算法對(duì)流量進(jìn)行類型判斷，最終識(shí)別出網(wǎng)絡(luò)流量是否出現(xiàn)異常；

5、2)構(gòu)建改進(jìn)knn的sdn環(huán)境下流量異常監(jiān)測(cè)平臺(tái)，改進(jìn)原始knn算法，提出加入特征權(quán)重和距離投票權(quán)重的改進(jìn)knn算法，優(yōu)化relief算法計(jì)算每個(gè)特征的權(quán)重，在進(jìn)行分類計(jì)算時(shí)，采用距離關(guān)聯(lián)因子來(lái)表示投票權(quán)重，采用改進(jìn)的knn算法來(lái)執(zhí)行分類過(guò)程，建立sdn流量異常精準(zhǔn)快捷監(jiān)測(cè)平臺(tái)。

6、優(yōu)選地，改進(jìn)knn的sdn環(huán)境下流量異常監(jiān)測(cè)：首先優(yōu)化relief算法計(jì)算每個(gè)特征的權(quán)重，在進(jìn)行分類計(jì)算時(shí)，采用距離關(guān)聯(lián)因子來(lái)表示投票權(quán)重，最終采用改進(jìn)的knn算法來(lái)執(zhí)行分類過(guò)程，分類具體方法如下：

7、(1)設(shè)已正確分類的樣本集合為trained_set＝{y1，y2，…，ym}，其中yi＝{yi1，yi2，…，yip，c｝，特征集為{r1，r2，…，rp｝，c表示樣本所屬類別，同樣設(shè)置檢測(cè)集為test_set＝{x1，x2，…，xn}；

8、(2)對(duì)檢測(cè)樣本中的特征向量按照式1進(jìn)行歸一化處理，防止小數(shù)據(jù)被大數(shù)據(jù)湮沒(méi)，其中rmax和rmin分別表示特征i在訓(xùn)練集中的最大值和最小值，rmax表示關(guān)于i在所有樣本中的最大值，rmin表示i在所有樣本中的最小值：

9、

10、(3)采用relief算法對(duì)歸一化后的特征采用式2進(jìn)行權(quán)值計(jì)算，得到特征權(quán)值向量{λ1，λ2，…，λp}，采用特征權(quán)值計(jì)算樣本間距離，待測(cè)樣本xi和訓(xùn)練樣本yi距離計(jì)算法方法如下：

11、

12、(4)計(jì)算待測(cè)樣本xi與trained_set中全部樣本的距離值，選擇其中k個(gè)與xi最接近的值，依次記為di1，di2，…，dik，當(dāng)需要進(jìn)行計(jì)數(shù)投票時(shí)不再均等劃分投票值，而是采用投票權(quán)重作為類型判別依據(jù)，第m個(gè)訓(xùn)練樣本的投票權(quán)重為：

13、

14、(5)計(jì)算k個(gè)近鄰樣本中兩個(gè)類別所占有的投票權(quán)重ωim的和，將xi劃分為投票權(quán)重較大的那一類。

15、優(yōu)選地，異常流量監(jiān)測(cè)技術(shù)路線：對(duì)于控制器遭受流量攻擊時(shí)進(jìn)行監(jiān)測(cè)，實(shí)例化為運(yùn)行在sdn控制器上的應(yīng)用，通過(guò)控制器的集中管理，收集網(wǎng)絡(luò)關(guān)聯(lián)數(shù)據(jù)進(jìn)行流量異常監(jiān)測(cè)；

16、共分為四個(gè)模塊，分別是：監(jiān)測(cè)觸發(fā)模塊，流表信息收集模塊，流量特征提取模塊和流量監(jiān)測(cè)分類模塊，監(jiān)測(cè)觸發(fā)模塊觸發(fā)流量監(jiān)測(cè)，通過(guò)計(jì)算一段時(shí)間內(nèi)packet_in消息的數(shù)量是否異常來(lái)判斷系統(tǒng)是否需要進(jìn)行流量異常監(jiān)測(cè)，只有在packet_in消息數(shù)量異常后才開始進(jìn)行流表信息收集和監(jiān)測(cè)；流表信息收集模塊向網(wǎng)絡(luò)中所有交換機(jī)發(fā)出查詢請(qǐng)求消息，交換機(jī)在接收到該請(qǐng)求后響應(yīng)查詢應(yīng)答消息；流量特征提取模塊根據(jù)交換機(jī)返回的流表狀態(tài)信息計(jì)算出關(guān)聯(lián)的流量特征值，并根據(jù)正常流量和異常流量組建訓(xùn)練樣本集；流量監(jiān)測(cè)分類模塊根據(jù)訓(xùn)練樣本集，采用本技術(shù)基于特征和距離加權(quán)的改進(jìn)knn分類算法對(duì)網(wǎng)絡(luò)流量進(jìn)行分類，監(jiān)測(cè)流量是否存在異常，當(dāng)存在流量異常時(shí)，系統(tǒng)發(fā)出警報(bào)，控制器采取進(jìn)一步的措施來(lái)防范攻擊的擴(kuò)散。

17、優(yōu)選地，觸發(fā)規(guī)則：當(dāng)交換機(jī)在接收到一個(gè)報(bào)文后會(huì)去查詢流表匹配流表項(xiàng)，如果不存在匹配的流表項(xiàng)，該數(shù)據(jù)包將被封裝成packet_in消息的形式由交換機(jī)經(jīng)安全信道發(fā)送給sdn控制器，packet_in消息結(jié)構(gòu)如下，控制器在收到消息后是決定將該數(shù)據(jù)包丟棄還是返回響應(yīng)消息為該數(shù)據(jù)包建立新的流表項(xiàng)，如果控制器一直沒(méi)有處理這類報(bào)文，交換機(jī)將頻繁的將報(bào)文移交給控制器進(jìn)行處理；

18、當(dāng)sdn網(wǎng)絡(luò)流量因?yàn)樵馐芫W(wǎng)絡(luò)攻擊而出現(xiàn)異常時(shí)，網(wǎng)絡(luò)中大量偽造ip的攻擊數(shù)據(jù)包無(wú)法匹配流表項(xiàng)，控制器不斷接收到交換機(jī)發(fā)來(lái)的packet_in消息，此時(shí)控制器中該消息的數(shù)量將出現(xiàn)明顯的異常，但此類異常并不足以說(shuō)明網(wǎng)絡(luò)遭受流量攻擊，當(dāng)sdn網(wǎng)絡(luò)中擁有多個(gè)交換機(jī)時(shí)，其中單個(gè)交換機(jī)無(wú)法維護(hù)網(wǎng)絡(luò)中所有的流表項(xiàng)，使得有些正常數(shù)據(jù)包無(wú)法在該交換機(jī)內(nèi)被匹配，因此也會(huì)出現(xiàn)該交換機(jī)產(chǎn)生大量packet_in消息的情況，這種情況就需要進(jìn)行后續(xù)的監(jiān)測(cè)步驟來(lái)進(jìn)一步確定網(wǎng)絡(luò)是否出現(xiàn)異常。

19、優(yōu)選地，異常判斷：以packet_in消息數(shù)量異常作為判斷觸發(fā)監(jiān)測(cè)系統(tǒng)的依據(jù)，利用滑動(dòng)窗口模型，通過(guò)判斷某時(shí)刻窗口內(nèi)的待監(jiān)測(cè)對(duì)象和其它對(duì)象的距離來(lái)判斷該對(duì)象是否異常，計(jì)算固定時(shí)間內(nèi)的packet_in消息數(shù)量作為待監(jiān)測(cè)對(duì)象，即可產(chǎn)生一條消息數(shù)量數(shù)據(jù)流，利用該算法進(jìn)行異常監(jiān)測(cè)，即可判斷網(wǎng)絡(luò)中packet_in消息是否出現(xiàn)異常；

20、設(shè)s為有n個(gè)對(duì)象的集合，s＝{obj1，obj2，…，objn}，obji為s中的一個(gè)具體對(duì)象，設(shè)正整數(shù)k和正實(shí)數(shù)r，對(duì)于一個(gè)對(duì)象obji，當(dāng)集合中少于k個(gè)對(duì)象和它距離小于r時(shí)，即判斷該對(duì)象obji為異常，基于距離來(lái)判斷異常值，在一個(gè)數(shù)據(jù)流中，將流數(shù)據(jù)作為s中的對(duì)象，流中不斷有新的數(shù)據(jù)加入，對(duì)象集合的規(guī)模也因此擴(kuò)大，方法的計(jì)算復(fù)雜度和空間復(fù)雜度隨著集合線性增加，加入滑動(dòng)窗口每次只計(jì)算該窗口內(nèi)的異常值，在當(dāng)前窗口內(nèi)的合法對(duì)象至少有k個(gè)與它相鄰的對(duì)象(距離小于r)，在當(dāng)前窗口內(nèi)的鄰近對(duì)象中，設(shè)有ai個(gè)出現(xiàn)在待監(jiān)測(cè)對(duì)象obji之前和bi個(gè)出現(xiàn)在其之后，當(dāng)ai+bi≥k時(shí)，待監(jiān)測(cè)對(duì)象obji為合法值，但隨窗口的滑動(dòng)，obji前面的對(duì)象不斷跳出窗口使得ai減小，導(dǎo)致某一時(shí)刻ai+bi＜k，此時(shí)obji由合法值變?yōu)楫惓Ｖ?，只有?dāng)obji存在bi≥k時(shí)，該對(duì)象為絕對(duì)安全的對(duì)象；

21、packet_in消息數(shù)量異常的判斷：采用isb隊(duì)列來(lái)表示當(dāng)前的滑動(dòng)窗口，isb是數(shù)據(jù)流中對(duì)象節(jié)點(diǎn)的集合，即isb＝{n1，n2，…，nw}，w為窗口大小，節(jié)點(diǎn)n為數(shù)據(jù)流中的一條記錄，它的屬性結(jié)構(gòu)為n＝{obj，id，count_after，nn_before}，其中每個(gè)屬性的含義為：obj表示packet_in消息數(shù)量，id表示該條記錄的序號(hào)，count_after表示窗口內(nèi)在該節(jié)點(diǎn)之后的鄰近節(jié)點(diǎn)個(gè)數(shù)，nn_before表示窗口內(nèi)在該節(jié)點(diǎn)之前的鄰近節(jié)點(diǎn)集合；

22、packet_in消息數(shù)量異常的判斷的具體流程為：

23、第一步：設(shè)距離臨界值為r，鄰近節(jié)點(diǎn)數(shù)量臨界值為k，當(dāng)前計(jì)算的packet_in消息數(shù)量為m，移除當(dāng)前窗口isb中隊(duì)首的節(jié)點(diǎn)；

24、第二步：創(chuàng)建一個(gè)新的節(jié)點(diǎn)ncurr，其中ncurr.obj＝m，ncurr.count_after＝1，

25、ncurr.nn_before＝{}，ncurr.id＝t；

26、第三步：遍歷isb中的每一個(gè)節(jié)點(diǎn)n，，如果|n，obj-m/<r，則nu..count_after加1，并且將n，.id加入集合n……nn_before中。然后將n..加入isb；

27、第四步：對(duì)于isb中的每一個(gè)節(jié)點(diǎn)nj，設(shè)pre_neighs等于nj.nn_before集合的長(zhǎng)度，succ_neighs＝nj.count_after，如果(pre_neighs+succ_neighs)＜k，則標(biāo)記為異常值，否則標(biāo)記為合法值；

28、將某個(gè)時(shí)刻的滑動(dòng)窗口內(nèi)每個(gè)節(jié)點(diǎn)是否處于異常都標(biāo)記出來(lái)，而對(duì)于新加入的隊(duì)尾節(jié)點(diǎn)來(lái)說(shuō)，如果該節(jié)點(diǎn)為異常值，則表明當(dāng)前計(jì)算的packet_in消息數(shù)量也是異常值，則監(jiān)測(cè)系統(tǒng)被觸發(fā)啟動(dòng)進(jìn)行后續(xù)的監(jiān)測(cè)過(guò)程。

29、優(yōu)選地，觸發(fā)過(guò)程：觸發(fā)模塊在一定的時(shí)間內(nèi)計(jì)算packet_in消息數(shù)量作為異常判斷算法的輸入進(jìn)行計(jì)算，判斷其值是否異常，首先設(shè)置一個(gè)計(jì)時(shí)器和計(jì)數(shù)器，當(dāng)控制器中有新的packet_in消息時(shí)，計(jì)數(shù)器進(jìn)行累加并查看計(jì)時(shí)器是否結(jié)束，如果計(jì)時(shí)未結(jié)束，則將該消息轉(zhuǎn)交給控制器進(jìn)行處理，否則計(jì)數(shù)器停止計(jì)數(shù)，然后將計(jì)數(shù)器值作為輸入，調(diào)用異常判斷算法進(jìn)行異常值判斷，如果該值異常，則開始進(jìn)行后面的監(jiān)測(cè)模塊，否則將該消息轉(zhuǎn)交給控制器處理，然后將計(jì)數(shù)器歸零并且啟動(dòng)新一輪的計(jì)時(shí)。

30、優(yōu)選地，流表信息收集模塊：針對(duì)交換機(jī)的流表項(xiàng)進(jìn)行關(guān)聯(lián)信息計(jì)算，控制器發(fā)送ofp_stats_request消息來(lái)請(qǐng)求交換機(jī)流表狀態(tài)，交換機(jī)收到該消息后，搜集流表信息通過(guò)ofp_stats_reply消息來(lái)響應(yīng)控制器的請(qǐng)求，ofp_stats_request和ofp_stats_reply消息結(jié)構(gòu)相同；

31、將收集間隔時(shí)間設(shè)置為5秒，在獲取流表狀態(tài)信息后對(duì)其進(jìn)行數(shù)據(jù)提取，提高監(jiān)測(cè)模塊監(jiān)測(cè)的效率，在流表項(xiàng)匹配字段中設(shè)置一個(gè)12元組進(jìn)行數(shù)據(jù)包和流表項(xiàng)的匹配；

32、在十二元組中，需要基本的網(wǎng)絡(luò)五元組信息，同時(shí)還需要流表項(xiàng)中的計(jì)數(shù)器來(lái)計(jì)算關(guān)聯(lián)數(shù)據(jù)報(bào)文數(shù)和字節(jié)數(shù)，提取和重構(gòu)相關(guān)數(shù)據(jù)，發(fā)送到特征提取模塊進(jìn)行計(jì)算特征。

33、優(yōu)選地，流量特征提取模塊：采用的特征參數(shù)包括特征角度并加入源ip生成速度gds作為補(bǔ)充，五個(gè)特征從不同的角度全面反映網(wǎng)絡(luò)中流量變化的特性，具體如下：

34、(1)流數(shù)據(jù)包中位數(shù)mpf：

35、取每條流表項(xiàng)在5秒內(nèi)轉(zhuǎn)發(fā)的數(shù)據(jù)包數(shù)量的中位數(shù)作為特征向量的第一個(gè)維度，當(dāng)網(wǎng)絡(luò)遭受流量攻擊時(shí)，攻擊者會(huì)偽造數(shù)據(jù)流中的源ip地址，相比正常狀態(tài)，每道流中所含數(shù)據(jù)包會(huì)明顯減少，流數(shù)據(jù)包中位數(shù)計(jì)算公式為：

36、

37、式4中m(t)表示t時(shí)刻的流數(shù)據(jù)包中位數(shù)，xi表示t時(shí)刻將所有流表項(xiàng)根據(jù)數(shù)據(jù)包數(shù)進(jìn)行排序后第i條流表項(xiàng)中轉(zhuǎn)發(fā)的數(shù)據(jù)包數(shù)，n表示流表項(xiàng)總數(shù)，mpf的計(jì)算式為：

38、mpf＝m(t+5)-m(t)???式5

39、中位數(shù)客觀反映網(wǎng)絡(luò)中數(shù)據(jù)流的情況；

40、(2)對(duì)流比ppf：在sdn中交互性的流表項(xiàng)成對(duì)出現(xiàn)，假設(shè)網(wǎng)絡(luò)中存在兩條數(shù)據(jù)流x和y，當(dāng)x和y滿足以下三點(diǎn)：

41、1)x的目標(biāo)ip地址和y的源p地址相同；

42、2)x的源ip地址和y的目標(biāo)ip地址相同；

43、3)x和y采用相同的通信協(xié)議；

44、此時(shí)將x和y稱為一對(duì)對(duì)流，而當(dāng)發(fā)送流量攻擊時(shí)，攻擊者會(huì)向網(wǎng)絡(luò)中發(fā)送大量偽造源ip的單向流，網(wǎng)絡(luò)中對(duì)流的比例會(huì)明顯減少，ppf定義屬于對(duì)流的流表項(xiàng)所占全部流表項(xiàng)的比例，將ppf作為特征向量的第二個(gè)維度，具體計(jì)算式如下：

45、

46、其中pairflownum表示5秒內(nèi)網(wǎng)絡(luò)中產(chǎn)生的對(duì)流對(duì)數(shù)，flownum為流表中流表項(xiàng)的總數(shù)；

47、(3)端口增速gdp

48、將端口增速作為特征參數(shù)的第三個(gè)維度，其計(jì)算式如下：

49、

50、式中numporti為5秒內(nèi)第i條流表項(xiàng)中端口增加數(shù)，n為流表中的流表項(xiàng)總數(shù)，interval表示時(shí)間間隔，本技術(shù)設(shè)置為5秒；

51、(4)流字節(jié)中位數(shù)mbf

52、將流字節(jié)中位數(shù)作為特征向量的第四個(gè)維度，將每條流表項(xiàng)按照5秒內(nèi)傳輸?shù)淖止?jié)數(shù)排序，取其中位數(shù)，公式如下：

53、

54、mbf＝m(t+5)-m(t)???式9

55、式中yi表示t時(shí)刻按字節(jié)數(shù)排序后第i條流表項(xiàng)的轉(zhuǎn)發(fā)字節(jié)數(shù)，n為流表項(xiàng)總數(shù)，m(t)表示流表中t時(shí)刻的流字節(jié)中位數(shù)。

56、優(yōu)選地，流量監(jiān)測(cè)分類模塊：在sdn中根據(jù)已采集到的流量特征，采用關(guān)聯(lián)的分類算法對(duì)流量進(jìn)行分類，判斷該時(shí)刻的流量是正常流量還是異常流量，采用的是加入特征和距離權(quán)重的改進(jìn)knn算法來(lái)完成流量分類；

57、流量監(jiān)測(cè)的具體流程是：首先控制器中的流量信息采集模塊分別在正常流量環(huán)境下和異常流量環(huán)境下每隔5秒采集交換機(jī)流表信息，流量特征提取模塊計(jì)算計(jì)算關(guān)聯(lián)特征參數(shù)組成特征向量，然后將這些特征向量分別組成正常流量訓(xùn)練樣本集和異常流量訓(xùn)練樣本集，流量監(jiān)測(cè)分類模塊優(yōu)化relief算法計(jì)算出每個(gè)特征的權(quán)重組成權(quán)重向量，完成監(jiān)測(cè)系統(tǒng)的初始化，當(dāng)網(wǎng)絡(luò)需要進(jìn)行流量異常監(jiān)測(cè)時(shí)，控制器實(shí)時(shí)采集網(wǎng)絡(luò)流量并計(jì)算特征向量，將其作為檢測(cè)樣本采用本技術(shù)改進(jìn)分類算法進(jìn)行分類，當(dāng)監(jiān)測(cè)出來(lái)網(wǎng)絡(luò)中該時(shí)刻流量異常時(shí)，控制器發(fā)出警報(bào)，采取進(jìn)一步的措施避免危險(xiǎn)的擴(kuò)散。

58、與現(xiàn)有技術(shù)相比，本技術(shù)的創(chuàng)新點(diǎn)和優(yōu)勢(shì)在于：

59、(1)本技術(shù)通過(guò)分析和總結(jié)現(xiàn)有的監(jiān)測(cè)方法的缺點(diǎn)和不足，從sdn的特性和流量異常特點(diǎn)出發(fā)，設(shè)計(jì)了一套基于sdn的流量異常監(jiān)測(cè)方案。深入分析了sdn網(wǎng)絡(luò)架構(gòu)特點(diǎn)和openflow標(biāo)準(zhǔn)，總結(jié)了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下存在的流量異常威脅和監(jiān)測(cè)方法，通過(guò)解析sdn的特性帶來(lái)的安全機(jī)遇和面臨的安全威脅，建立了一種在sdn網(wǎng)絡(luò)中因遭受攻擊出現(xiàn)流量異常的監(jiān)測(cè)方案，該方案利用sdn網(wǎng)絡(luò)流量的特點(diǎn)，采用數(shù)據(jù)流異常監(jiān)測(cè)方法監(jiān)測(cè)packet_in數(shù)據(jù)包異常來(lái)觸發(fā)流表信息收集機(jī)制，然后通過(guò)提取流表特征五元組，采用knn算法辨別網(wǎng)絡(luò)流量是否異常。提出了基于特征和距離加權(quán)的改進(jìn)knn算法，優(yōu)化relief算法計(jì)算出樣本每個(gè)特征的權(quán)值，在knn算法計(jì)算距離中加入權(quán)重考量，使其克服了knn算法的缺點(diǎn)，提高了分類精確度。構(gòu)建了sdn流量異常精準(zhǔn)快捷監(jiān)測(cè)網(wǎng)絡(luò)環(huán)境平臺(tái)，以監(jiān)測(cè)率和誤報(bào)率為評(píng)價(jià)標(biāo)準(zhǔn)，通過(guò)與其它方法進(jìn)行比較，檢驗(yàn)了本技術(shù)方法具備更佳的識(shí)別效果，sdn流量異常監(jiān)測(cè)精準(zhǔn)快捷。

60、(2)本技術(shù)設(shè)計(jì)了一套基于sdn的流量異常監(jiān)測(cè)方案，并針對(duì)其中的分類監(jiān)測(cè)算法進(jìn)行了改進(jìn)。一是對(duì)knn算法的改進(jìn)，提出優(yōu)化relief算法對(duì)原始knn算法進(jìn)行特征加權(quán)和距離加權(quán)，該改進(jìn)算法在進(jìn)行分類時(shí)，能很好的體現(xiàn)出不同的特征在分類決策時(shí)擁有不同的貢獻(xiàn)程度，同時(shí)，在進(jìn)行分類決策時(shí)，不再采用傳統(tǒng)的計(jì)算投票的方式，而是對(duì)距離進(jìn)行加權(quán)求和，有效緩解了樣本分布不均造成的誤差影響。二是流量異常監(jiān)測(cè)機(jī)制的優(yōu)化，設(shè)計(jì)了基于packet_in消息異常的監(jiān)測(cè)觸發(fā)機(jī)制，采用數(shù)據(jù)流異常監(jiān)測(cè)算法判斷一定時(shí)間內(nèi)packet_in消息數(shù)量是否存在異常，從而觸發(fā)流表信息收集機(jī)制，相比定時(shí)進(jìn)行流量異常監(jiān)測(cè)的方法，該機(jī)制在監(jiān)測(cè)響應(yīng)時(shí)間、系統(tǒng)負(fù)載和網(wǎng)絡(luò)帶寬占用上都具有明顯的優(yōu)勢(shì)。

61、(3)本技術(shù)將針對(duì)流量異常監(jiān)測(cè)問(wèn)題在分類算法和監(jiān)測(cè)觸發(fā)機(jī)制上分別進(jìn)行優(yōu)化，在進(jìn)一步提高監(jiān)測(cè)準(zhǔn)確率的同時(shí)，盡可能的減小網(wǎng)絡(luò)和系統(tǒng)的負(fù)載。在流量分類算法上，改進(jìn)的k近鄰算法通過(guò)分析sdn網(wǎng)絡(luò)流量的不同特征對(duì)類型判別的影響差異，優(yōu)化relief算法求解衡量特征貢獻(xiàn)程度的權(quán)值向量，將特征權(quán)值向量引入k近鄰算法距離計(jì)算，通過(guò)距離投票權(quán)值累加實(shí)現(xiàn)流量類型劃分。而在監(jiān)測(cè)觸發(fā)機(jī)制上，本技術(shù)通過(guò)分析異常狀況控制器內(nèi)部消息特點(diǎn)，以packet_in消息數(shù)量作為判斷監(jiān)測(cè)觸發(fā)的依據(jù)，采用基于距離的數(shù)據(jù)流異常監(jiān)測(cè)算法來(lái)監(jiān)控packet_in消息數(shù)量異常實(shí)現(xiàn)對(duì)監(jiān)測(cè)機(jī)制的觸發(fā)。通過(guò)設(shè)計(jì)sdn仿真實(shí)驗(yàn)并以監(jiān)測(cè)率和誤報(bào)率為評(píng)價(jià)標(biāo)準(zhǔn)檢驗(yàn)了本技術(shù)方法在不同檢測(cè)樣本下相較其它方法具備更佳的分類效果。對(duì)比周期監(jiān)測(cè)方式，觸發(fā)機(jī)制的引入使得本技術(shù)方法擁有更短的響應(yīng)時(shí)間和更低的硬件網(wǎng)絡(luò)開銷。