一种sdn网络下dos攻击防控方法及装置与流程

1.本技术涉及网络攻击防御技术领域，具体涉及一种sdn网络下dos攻击防控方法以及sdn网络下dos攻击防控装置。


背景技术：

2.dos攻击(denial of service,拒绝服务攻击)通过消耗计算机的某种资源,例如计算资源、网络连接等,造成资源耗尽,导致服务端无法为合法用户提供服务或只能提供降级服务。在sdn网络的集中式架构中,控制器是天然的网络中心,负责整个网络的管理和控制工作,很容易成为dos攻击的目标，攻击者可以攻击普通交换机，而这些被攻击的交换机会向控制器发送大量的包，从而阻塞控制器和交换机中间的链路，致使整个大网瘫痪，现有dos检测方案相对固化，没有考虑到攻击者流量特征的变化。
3.因此，希望有一种技术方案来克服或至少减轻现有技术的至少一个上述缺陷。


技术实现要素：

4.本发明的目的在于提供一种sdn网络下dos攻击防控方法来克服或至少减轻现有技术的至少一个上述缺陷。
5.本发明的一个方面，提供一种sdn网络下dos攻击防控方法，所述sdn 网络下dos攻击防控方法包括：
6.获取sdn网络中流量值大于预设阈值的异常流量；
7.获取分流用神经网络；
8.根据分流用神经网络对所述异常流量进行分流；
9.获取异常流量判断模型；
10.根据所述异常流量判断模型对所述异常流量进行判断，判断所述异常流量是否为攻击流量，若是，则
11.生成封堵指令。
12.可选地，所述sdn网络下dos攻击防控方法进一步包括：
13.对所述异常流量判断模型进行训练。
14.可选地，在获取sdn网络中流量值大于预设阈值的异常流量之前，所述 sdn网络下dos攻击防控方法进一步包括：
15.在sdn大环境中对网络进行初始化，初始控制器和交换机的状态。
16.可选地，所述获取分流用神经网络包括：
17.构建三层的分流用策略神经网络；
18.构建三层的分流用判别神经网络；
19.构建特征提取的六层卷积神经网络；
20.将整个sdn网络的拓扑结构输入到卷积神经网络中；
21.卷积神经网络输出抽象后的sdn网络特征；
22.将sdn网络特征输入到策略神经网络中；
23.策略神经网络输入分流方案；
24.将分流方案输入到判别网络中；
25.判别网络输出该方案的分值；
26.sdn网络按照分流方案进行分流；
27.计算本次分流为sdn网络造成的qos的变化值；
28.将所述qos的变化值与所述分值的差值最小化为目标函数，训练所述分流用判别神经网络和所述分流用策略神经网络。
29.可选地，所述根据所述异常流量判断模型对所述异常流量进行判断，判断所述异常流量是否为攻击流量包括：
30.将异常流量作为输入传入异常流量判断模型；
31.获取异常流量判断模型的输出结果作为判定结果；
32.将判定结果的误差反向传递，更新网络参数。
33.可选地，所述对所述异常流量判断模型进行训练包括：
34.根据历史数据生成对抗样本；
35.通过所述对抗样本攻击所述sdn网络；
36.通过所述异常流量判断模型对各个所述对抗样本进行判断。
37.本技术还提供了一种sdn网络下dos攻击防控装置，所述sdn网络下 dos攻击防控装置包括：
38.异常流量获取模块，所述异常流量获取模块用于获取sdn网络中流量值大于预设阈值的异常流量；
39.分流用神经网络获取模块，所述分流用神经网络获取模块用于获取分流用神经网络；
40.分流模块，所述分流模块用于根据分流用神经网络对所述异常流量进行分流；
41.判断模型获取模块，所述判断模型获取模块用于获取异常流量判断模型；
42.判断模块，所述判断模块用于根据所述异常流量判断模型对所述异常流量进行判断，判断所述异常流量是否为攻击流量；
43.封堵命令生成模块，所述封堵命令生成模块用于在所述判断模块判断为是时，生成封堵指令。
44.可选地，所述sdn网络下dos攻击防控装置进一步包括：
45.训练模块，所述训练模块用于对所述异常流量判断模型进行训练，
46.本技术还提供了一种电子设备，包括存储器、处理器以及存储在所述存储器中并能够在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上所述的sdn网络下dos攻击防控方法。
47.本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时能够实现如上所述的sdn 网络下dos攻击防控方法。
48.有益效果：
49.本技术的sdn网络下dos攻击防控方法具有如下优点：
50.1、利用深度强化学习算法对根据大网情况对异常流量进行分流，传统防控方案大都采用均分分流，并没有考虑到大网不同支路的链路情况，而强化学习可以通过对历史数据进行学习，规划出最适合的优化方案。
51.2、利用深度学习对异常流量进行分析，判断其是否为攻击流量，如果是，则下达封堵指令。
52.3、为了提升模型的准确度和健壮性，本方案还设计了对抗层模块，该模块应用gan技术基于历史数据产生新的对抗攻击样本，用这些样本去攻击网络，检测模型的整体识别准确度。
附图说明
53.图1为本技术一实施例的sdn网络下dos攻击防控方法的流程示意图。
具体实施方式
54.为使本技术实施的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行更加详细的描述。在附图中，自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。所描述的实施例是本技术一部分实施例，而不是全部的实施例。下面通过参考附图描述的实施例是示例性的，旨在用于解释本技术，而不能理解为对本技术的限制。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。下面结合附图对本技术的实施例进行详细说明。
55.需要说明的是，在本发明的描述中，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。
56.图1为本技术一实施例的sdn网络下dos攻击防控方法的流程示意图。
57.如图1所示的sdn网络下dos攻击防控方法包括：
58.步骤1：获取sdn网络中流量值大于预设阈值的异常流量；可以理解的是，预设阈值可以根据自身需要自行设定。
59.步骤2：获取分流用神经网络；
60.步骤3：根据分流用神经网络对异常流量进行分流；
61.步骤4：获取异常流量判断模型；
62.步骤5：根据所述异常流量判断模型对异常流量进行判断，判断异常流量是否为攻击流量，若是，则
63.步骤6：生成封堵指令。
64.本技术的sdn网络下dos攻击防控方法具有如下优点：
65.1、利用深度强化学习算法对根据大网情况对异常流量进行分流，传统防控方案大都采用均分分流，并没有考虑到大网不同支路的链路情况，而强化学习可以通过对历史数据进行学习，规划出最适合的优化方案。
66.2、利用深度学习对异常流量进行分析，判断其是否为攻击流量，如果是，则下达封堵指令。
67.3、为了提升模型的准确度和健壮性，本方案还设计了对抗层模块，该模块应用gan
技术基于历史数据产生新的对抗攻击样本，用这些样本去攻击网络，检测模型的整体识别准确度。
68.在本实施例中，sdn网络下dos攻击防控方法进一步包括：
69.对所述异常流量判断模型进行训练。
70.在本实施例中，在获取sdn网络中流量值大于预设阈值的异常流量之前，所述sdn网络下dos攻击防控方法进一步包括：
71.在sdn大环境中对网络进行初始化，初始控制器和交换机的状态。
72.在本实施例中，所述获取分流用神经网络包括：
73.构建三层的分流用策略神经网络；
74.构建三层的分流用判别神经网络；
75.构建特征提取的六层卷积神经网络；
76.将整个sdn网络的拓扑结构输入到卷积神经网络中；
77.卷积神经网络输出抽象后的sdn网络特征；
78.将sdn网络特征输入到策略神经网络中；
79.策略神经网络输入分流方案；
80.将分流方案输入到判别网络中；
81.判别网络输出该方案的分值；
82.sdn网络按照分流方案进行分流；
83.计算本次分流为sdn网络造成的qos的变化值；
84.将所述qos的变化值与所述分值的差值最小化为目标函数，训练所述分流用判别神经网络和所述分流用策略神经网络。
85.在本实施例中，异常流量判断模型具体为：根据流量特征构建三层神经网络，分别为输入层、隐藏层和输出层。
86.在本实施例中，所述根据所述异常流量判断模型对所述异常流量进行判断，判断所述异常流量是否为攻击流量包括：
87.将异常流量作为输入传入异常流量判断模型；
88.获取异常流量判断模型的输出结果作为判定结果；
89.将判定结果的误差反向传递，更新网络参数。
90.在本实施例中，所述对所述异常流量判断模型进行训练包括：
91.根据历史数据生成对抗样本；
92.通过所述对抗样本攻击所述sdn网络；
93.通过所述异常流量判断模型对各个所述对抗样本进行判断。
94.在本实施例中，为了提升模型的准确度和健壮性，本方案还设计了对抗层模块，该模块应用gan技术基于历史数据产生新的对抗攻击样本，用这些样本去攻击网络，检测模型的整体识别准确度。具体流程如下：
95.初始化一个四层的判别网络；
96.初始化一个五层的生成网络；
97.初始化一个三层的卷积网络；
98.以时间作为维度，将某一时间网络中支路的流量抽象为长和宽均为节点数的二维
数组；
99.将二维数组输入卷积网络，得到某一时刻的流量特征；
100.将该特征输入生成网络，生成流量矩阵；
101.将流量矩阵输入到判别网络，得到本次生成数据的分数
102.以判别网络分数为损失函数，更新判别网络和生成网络，直到生成网络可以产生较高的流量矩阵为止。
103.下面以举例的方式对本技术进行进一步详细的阐述，可以理解的是，该举例并不构成对本技术的任何限制。
104.首先，在sdn大环境中使用initsdnenv()函数对网络进行初始化，初始基本的控制器和交换机的状态。
105.通过函数searchabnormalflow()搜集网络中的流量信息，查找出异常流量。
106.通过函数divideflow()，使用强化学习算法对异常流量进行分流，确保在判断异常流量是否为dos攻击之前先保证整体大网的正常工作。
107.通过函数judgeflow()，使用深度学习算法对异常流量进行判断，从而判断其是否为dos攻击流量，如果是，则通过函数stopflow()下达封堵指令。
108.在全网没有异常流量的时候，系统调用generateflow()利用gan产生对抗样本，模拟攻击网络，提高检测模型的准确度。
109.本技术还提供了一种sdn网络下dos攻击防控装置，所述sdn网络下 dos攻击防控装置包括异常流量获取模块、分流用神经网络获取模块、分流模块、判断模型获取模块、判断模块以及封堵命令生成模块，异常流量获取模块用于获取sdn网络中流量值大于预设阈值的异常流量；分流用神经网络获取模块用于获取分流用神经网络；分流模块用于根据分流用神经网络对所述异常流量进行分流；判断模型获取模块用于获取异常流量判断模型；判断模块用于根据异常流量判断模型对所述异常流量进行判断，判断异常流量是否为攻击流量；封堵命令生成模块用于在所述判断模块判断为是时，生成封堵指令。
110.在本实施例中，本技术的sdn网络下dos攻击防控装置进一步包括训练模块，训练模块用于对异常流量判断模型进行训练。
111.上述对方法的描述同样也适用于对装置的描述。
112.电子设备包括输入设备、输入接口、中央处理器、存储器、输出接口以及输出设备。其中，输入接口、中央处理器、存储器以及输出接口通过总线相互连接，输入设备和输出设备分别通过输入接口和输出接口与总线连接，进而与电子设备的其他组件连接。具体地，输入设备501接收来自外部的输入信息，并通过输入接口将输入信息传送到中央处理器；中央处理器基于存储器中存储的计算机可执行指令对输入信息进行处理以生成输出信息，将输出信息临时或者永久地存储在存储器中，然后通过输出接口将输出信息传送到输出设备；输出设备将输出信息输出到电子设备的外部供用户使用。
113.也就是说，电子设备也可以被实现为包括：存储有计算机可执行指令的存储器；以及一个或多个处理器，该一个或多个处理器在执行计算机可执行指令时可以实现结合图1描述的sdn网络下dos攻击防控方法。
114.在一个实施例中，电子设备可以被实现为包括：存储器，被配置为存储可执行程序代码；一个或多个处理器，被配置为运行存储器中存储的可执行程序代码，以执行上述实施
例中的sdn网络下dos攻击防控方法。
115.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入 /输出接口、网络接口和内存。
116.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。
117.计算机可读介质包括永久性和非永久性、可移动和非可移动，媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存 (pram)、静态随机存取存储器(sram)、动态随机存取存储器 (dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd
‑
rom)、数据多功能光盘(dvd)或其他光学存储、磁盒式磁带、磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。
118.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
119.此外，显然“包括”一词不排除其他单元或步骤。装置权利要求中陈述的多个单元、模块或装置也可以由一个单元或总装置通过软件或硬件来实现。第一、第二等词语用来标识名称，而不标识任何特定的顺序。
120.附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，模块、程序段、或代码的一部分包括一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地标识的方框实际上可以基本并行地执行，他们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或总流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
121.在本实施例中所称处理器可以是中央处理单元(central processing unit， cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor， dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field
‑
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
122.存储器可用于存储计算机程序和/或模块，处理器通过运行或执行存储在存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现装置/终端设备的各种功能。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至
少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
123.在本实施例中，装置/终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序指令相关的硬件来完成，计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom， read
‑
only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。
124.需要说明的是，计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减。本技术虽然以较佳实施例公开如上，但其实并不是用来限定本技术，任何本领域技术人员在不脱离本技术的精神和范围内，都可以做出可能的变动和修改，因此，本技术的保护范围应当以本技术权利要求所界定的范围为准。
125.虽然，上文中已经用一般性说明及具体实施方案对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。