软件定义网络中节省控制带宽的LDoS攻击流精准定位方法

软件定义网络中节省控制带宽的ldos攻击流精准定位方法
技术领域
1.本技术涉及网络安全技术领域，特别涉及一种软件定义网络中节省控制带宽的ldos攻击流精准定位方法。


背景技术：

2.软件定义网络(software-defined networking，sdn)是一种集中控制的网络架构，sdn分离数据平面和控制平面，并将控制逻辑放在中心控制器上，sdn的交换机依靠流表规则实现对数据包处理，流表规则可以实现将数据包从指定端口转发或引导数据包匹配交换机中的其他流表规则。sdn控制流使用tcp(transmission control protocol，传输控制协议)协议传输数据，ldos(low-rate denial of service，低速率拒绝服务)攻击利用tcp的超时重传机制，发送周期性的高速突发攻击流，极大的降低正常用户tcp流的吞吐量，在实现拒绝服务攻击效果的同时，ldos攻击的平均速率低，需要的资源少，隐蔽性强。ldos攻击不仅可以对普通用户的数据流造成威胁，甚至还可能对sdn控制流造成损害。
3.相关技术中，通过在sdn中对所有流的吞吐量序列作周期性分析来定位攻击流的方案，需要上传所有数据流的流量信息给控制器分析，然而，sdn控制信道的带宽有限，当数据平面数据流非常多时，这种检测方法将消耗大量的控制带宽，在极端情况下甚至会间接造成控制通道拒绝服务。还有方案在交换机端口处检查是否存在流量突发用以检测ldos攻击，然而，这种方案只能检测ldos攻击存在，但无法从海量数据流中精准定位出ldos攻击流。
4.综上所述，相关技术存在无法在sdn中精准定位ldos攻击流同时节约控制带宽的问题，亟需解决。


技术实现要素：

5.有鉴于此，本技术旨在提出一种软件定义网络中节省控制带宽的ldos攻击流精准定位方法、装置、设备及介质，以解决在软件定义网络中定位ldos攻击流比较困难的问题，能够从大量的数据流中精准定位ldos攻击流且节省控制宽带，使网路防御更加安全有效。
6.本技术第一方面实施例提供一种软件定义网络中节省控制带宽的ldos攻击流精准定位方法，包括以下步骤：
7.获取数据流集合，并将所述数据流集合划分为多个数据流子集，且匹配每个数据流子集对应的定位规则；
8.基于所述每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据所述目标吞吐量序列计算每个定位规则的指标值；以及
9.筛选出指标值高于预设阈值的至少一个目标定位规则，并将所述至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至所述新的数据流集合内的数据流数量为1个，得到ldos攻击流。
10.进一步地，在一些实施例中，所述根据所述目标吞吐量序列计算每个定位规则的
指标值，包括：
11.基于预设的流量强度标准化公式，根据所述目标吞吐量序列计算每个定位规则的指标值，其中，所述预设的流量强度标准化公式为：
[0012][0013]
其中，α(t)为在t时刻的数据流的流量强度，其中，α(t)为在t时刻的数据流的流量强度，n为整数，x为流量序列。
[0014]
进一步地，在一些实施例中，所述将所述至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至所述新的数据流集合内的数据流数量为1个，得到ldos攻击流，包括：
[0015]
将每个目标定位规则对应的数据流子集均作为一个新的数据流集合，直至任一新的数据流集合内的数据流数量为1个时，将所述任一新的数据流集合内的数据流作为所述ldos攻击流。
[0016]
进一步地，在一些实施例中，所述多个数据流子集内的数据流误差小于预设阈值。
[0017]
本技术第二方面实施例提供一种软件定义网络中节省控制带宽的ldos攻击流精准定位装置，包括：
[0018]
获取模块，用于获取数据流集合，并将所述数据流集合划分为多个数据流子集，且匹配每个数据流子集对应的定位规则；
[0019]
计算模块，用于基于所述每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据所述目标吞吐量序列计算每个定位规则的指标值；以及
[0020]
定位模块，用于筛选出指标值高于预设阈值的至少一个目标定位规则，并将所述至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至所述新的数据流集合内的数据流数量为1个，得到ldos攻击流。
[0021]
进一步地，在一些实施例中，所述计算模块，包括：
[0022]
计算单元，用于基于预设的流量强度标准化公式，根据所述目标吞吐量序列计算每个定位规则的指标值，其中，所述预设的流量强度标准化公式为：
[0023][0024]
其中，α(t)为在t时刻的数据流的流量强度，其中，α(t)为在t时刻的数据流的流量强度，n为整数，x为流量序列。
[0025]
进一步地，在一些实施例中，所述定位模块，包括：
[0026]
定位单元，用于将每个目标定位规则对应的数据流子集均作为一个新的数据流集合，直至任一新的数据流集合内的数据流数量为1个时，将所述任一新的数据流集合内的数据流作为所述ldos攻击流。
[0027]
进一步地，在一些实施例中，所述多个数据流子集内的数据流误差小于预设阈值。
[0028]
本技术第三方面实施例提供一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如上述实施例所述的软件定义网络中节省控制带宽的ldos攻击流精准定位方法。
[0029]
本技术第四方面实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行，以用于实现如上述实施例所述的软件定义网络中节省控制带宽的ldos攻击流精准定位方法。
[0030]
由此，通过将获取到的数据流集合划分为多个数据流子集，匹配每个数据流子集对应的定位规则，基于每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据目标吞吐量序列计算每个定位规则的指标值，筛选出指标值高于预设阈值的至少一个目标定位规则，并将至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至新的数据流集合内的数据流数量为1个，得到ldos攻击流。由此，解决了在软件定义网络中定位ldos攻击流比较困难的问题，能够从大量的数据流中精准定位ldos攻击流且节省控制宽带，使网路防御更加安全有效。
[0031]
本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。
附图说明
[0032]
构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
[0033]
图1为本技术实施例的软件定义网络中节省控制带宽的ldos攻击流精准定位方法的流程图；
[0034]
图2为本技术一个实施例的定位方法的示意图；
[0035]
图3为本技术实施例的软件定义网络中节省控制带宽的ldos攻击流精准定位装置的示意图；
[0036]
图4为根据本技术实施例的电子设备的结构示意图。
具体实施方式
[0037]
需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。
[0038]
下面将参考附图并结合实施例来详细说明本技术。
[0039]
图1是根据本技术实施例的软件定义网络中节省控制带宽的ldos攻击流精准定位方法的流程图。
[0040]
如图1所示，根据本技术实施例的软件定义网络中节省控制带宽的ldos攻击流精准定位方法，包括以下步骤：
[0041]
步骤s101，获取数据流集合，并将数据流集合划分为多个数据流子集，且匹配每个数据流子集对应的定位规则。
[0042]
其中，数据流是一组有序、有起点和终点的字节的数据序列，而数据流集合是指在一段时间内，经过同一个网络的一系列具有相同属性的顺序发送的报文集合，在某个数据流集合中可能存在有一个ldos攻击流。sdn分离数据平台和控制平台，使用交换机进行数据流的转发，交换机依靠流表规则实现对数据包的处理，流表规则是通过转发表实现对数据包的匹配与转发，本技术在交换机中为流表规则设定了两个流表集合，第一类流表集合为定位表，第二类流表集合为转发表，数据流在经过定位表之后，根据转发表中的转发规则由
端口转发出交换机，定位表中设置有本技术实施例的定位规则，该定位规则用于在转发表之前匹配数据流，统计所有数据流的信息。
[0043]
可以理解的是，网络环境中数据流的数量及其多，而sdn控制信道的带宽有限，无法支撑上传所有的数据流统计信息以定位，由此，本技术在不改变sdn框架的基础上，使用分治思想，将所有的数据流看成一个集合，将这个集合分割成多个数据流子集合，后续可以对每个数据流子集合进行处理。另外，考虑到流表规则能引导数据流匹配其他流表规则，并且其可以统计匹配过的数据包，为此本技术利用sdn的流表规则的特性，建立定位流表规则以统计多条流的数据。
[0044]
具体地，sdn的控制器在定位表中通过生成定位规则去匹配每个数据流子集，举例而言，对于给定的数据流集合s，其中有一个ldos攻击流，本方法使用m个定位规则，则数据流集合s被分为数量接近的m个数据流子集，并使每个定位规则匹配一个子集。由此，本技术使用分治的思想，将网络中大量的数据流分成多个子集合，以高效且控制带宽的方式处理数据流。
[0045]
在实际执行过程中，为了节省控制带宽，定位表中的定位规则每次匹配多条流表，如表1所示，表1为本技术实施例的所需定位ldos攻击流的控制带宽表格，设置控制器的轮询间隔统一为50毫秒，经过有限次实验证明，本技术所需定位ldos攻击流的控制带宽与上述相关技术中的方案相比较，在同样的带宽下，本技术的定位ldos攻击流的方法可分析数据流数量多于直接分析所有数据流的方法，本技术方案在分析1000条数据流所需带宽远小于直接分析所有数据流方法。由此可见，本技术通过分治算法，在定位ldos攻击流的过程中可以使用少量带宽，避免了相关技术中因消耗大量的控制带宽，可能导致控制通道拒绝服务的情况。
[0046]
表1
[0047] 10mbps带宽可分析数据流数量分析1000条流所需带宽直接分析所有数据流方法60017mbps本技术方法100001mbps
[0048]
步骤s102，基于每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据目标吞吐量序列计算每个定位规则的指标值。
[0049]
其中，吞吐量是指在不丢包的情况下单位时间内通过的数据包数量，对于普通流量的吞吐量较为稳定，而ldos攻击存在周期性的高速流量，因此，根据ldos攻击具有高速突发的特性，本技术定义了定位规则的指标值，以表示标准化流量强度的最大变化量，并且ldos攻击流的指标值远高于正常流量的指标值。
[0050]
具体而言，sdn网络的控制器通过定期查询定位规则，获取至少一个数据流子集的吞吐量序列，并根据吞吐量序列计算出每个定位规则的指标值，就可以得到每个数据流子集的指标值。
[0051]
进一步地，在一些实施例中，根据目标吞吐量序列计算每个定位规则的指标值，包括：
[0052]
基于预设的流量强度标准化公式，根据目标吞吐量序列计算每个定位规则的指标值，其中，预设的流量强度标准化公式为：
[0053][0054]
其中，α(t)为在t时刻的数据流的流量强度，当流量序列为x时，
[0055]
步骤s103，筛选出指标值高于预设阈值的至少一个目标定位规则，并将至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至新的数据流集合内的数据流数量为1个，得到ldos攻击流。
[0056]
其中，本技术实施例预设有一个预设阈值，在对目标数据流子集的流量强度进行标准化之后，将计算出的目标定位规则的指标值与预设阈值作比较，若目标定位规则的指标值超过了预设阈值，则判断该目标定位规则对应的数据流子集中含有ldos攻击流，也就是说，只要定位规则匹配到包含ldos攻击流的数据流子集，对应的指标值会比正常流集合的指标值更高，由此，本技术可以精准定位到ldos攻击流。另外，本技术实施例的预设阈值的设置方式有很多种，预设阈值可以是本领域技术人员预先设定的阈值，可以是通过有限次实验获取到的阈值，也可以是通过有限次计算机仿真得到的阈值，在此不做具体限定。
[0057]
可选地，在一些实施例中，将至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至新的数据流集合内的数据流数量为1个，得到ldos攻击流，包括：
[0058]
将每个目标定位规则对应的数据流子集均作为一个新的数据流集合，直至任一新的数据流集合内的数据流数量为1个时，将任一新的数据流集合内的数据流作为ldos攻击流。
[0059]
具体而言，本技术提供sdn中ldos攻击流定位算法，使用分治迭代的方式从大量的数据流中定位ldos攻击流，由于被筛选出的目标定义规则所对应的数据流子集中可能包含ldos攻击流，本技术接下来可以修改定位规则的匹配域并将这个子集分割为多个规模更小的子集，也就是说，将目标定位规则对应的数据流子集作为新的数据流集合，进而重复s102的步骤，计算出此时新的数据流集合的每个定位规则的指标值，将该指标值与预设阈值作比较，进而得到又一个新的数据流集合，重复以上步骤，直至某个数据流子集的数据流数量为1，则判断该子集中的流为ldos攻击流。
[0060]
在实际的执行过程中，本技术对识别ldos攻击流的方法的召回率与准确率进行信息检索，得出如表2所示的指标，其中，表2为本技术实施例的识别ldos攻击流的召回率与准确率的表格，在设置控制器的轮询间隔统一为50毫秒的情况下，经过有限次实验证明，本技术识别ldos攻击流的召回率为94.57％，而准确率高达99.58％。由此，本技术通过分治迭代算法，可以实现在sdn环境下，使用少量带宽的同时，能精准定位ldos攻击流。
[0061]
表2
[0062] 召回率准确率本技术方法94.57％99.58％
[0063]
下面结合图2，示意性说明本技术实施例的ldos攻击流精准定位方法在sdn环境下对数据流集合分治迭代的过程。如图2所示，有256个数据流通过交换机，将这256个数据流看成一个数据流集合，且它们的源ip地址属于子网12.12.11.0/24，其中源ip地址为12.12.11.193的为ldos攻击流，设置使用四个定位规则迭代定位ldos攻击流，具体实施方
式如下：
[0064]
在第一轮中，本技术将数据流集合分成四个数据流子集，即划分为四个子网，分别是12.12.11.0/26、12.12.11.64/26、12.12.11.128/26和12.12.11.192/26。四个定位规则用于收集每个数据流子集的聚合统计信息，控制器在定位表中通过生成定位规则去匹配每个子集，控制器获取每个数据流子集的吞吐量序列，并计算这四个定位规则的指标值，比较这四个定位规则的指标值并发现子网12.12.11.192/26对应的定位规则的指标值高于预设阈值，则判断ldos攻击流属于子网12.12.11.192/26。
[0065]
在第二轮中，定位规则被修改为匹配12.12.11.192/26的四个子网，计算这四个定位规则的指标值，将这四个定位规则的指标值与预设阈值比较，并确认子网12.12.11.192/28对应的定位规则的指标值高于预设阈值，则判断子网12.12.11.192/28包含ldos攻击流。
[0066]
在第三轮中，定位规则来匹配12.12.11.192/28的四个子网，此时确认包含ldos攻击流的子网为12.12.11.192/30。
[0067]
最后，在第四轮中确认ldos攻击流的源ip地址为子网12.12.11.192/30中的12.12.11.193。
[0068]
由此，本技术利用sdn的流表规则的特性，建立定位流表规则以统计多条流的数据，在每次的迭代中，该申请将一个数据流集合中所有数据流分成多个数据流子集合，并且使用特制流表统计每个数据流子集合的吞吐量并计算指标值，然后选择指标高于预设阈值的数据流子集合用于下一轮迭代，在多次迭代之后，当某一个流集合之中只有一条数据流时，该流即为ldos攻击流。
[0069]
可选地，在一些实施例中，多个数据流子集内的数据流误差小于预设阈值。
[0070]
可以理解的是，本技术在将数据流集合划分为多个数据流子集时，由于网络数据流量的不平衡，会造成数据流子集内的数据流之间产生一定的误差，由此，本技术预设有数据流误差的预设阈值，该阈值的设定方式有很多种，在此不做具体限定，阈值可以是本领域技术人员预先设定的阈值，可以是经过有限次实验获取到的阈值，也可以是通过有限次计算及仿真得到的阈值。
[0071]
根据本技术实施例的软件定义网络中节省控制带宽的ldos攻击流精准定位方法，通过将获取到的数据流集合划分为多个数据流子集，匹配每个数据流子集对应的定位规则，基于每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据目标吞吐量序列计算每个定位规则的指标值，筛选出指标值高于预设阈值的至少一个目标定位规则，并将至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至新的数据流集合内的数据流数量为1个，得到ldos攻击流。由此，解决了在软件定义网络中定位ldos攻击流比较困难的问题，能够从大量的数据流中精准定位ldos攻击流且节省控制宽带，使网路防御更加安全有效。
[0072]
其次参照附图描述根据本技术实施例提出的软件定义网络中节省控制带宽的ldos攻击流精准定位装置。
[0073]
图3是本技术实施例的软件定义网络中节省控制带宽的ldos攻击流精准定位装置的示意图。
[0074]
如图3所示，该软件定义网络中节省控制带宽的ldos攻击流精准定位装置10包括：获取模块100、计算模块200和定位模块300。
[0075]
其中，获取模块100，用于获取数据流集合，并将数据流集合划分为多个数据流子集，且匹配每个数据流子集对应的定位规则；计算模块200，用于基于每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据目标吞吐量序列计算每个定位规则的指标值；定位模块300，用于筛选出指标值高于预设阈值的至少一个目标定位规则，并将至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至新的数据流集合内的数据流数量为1个，得到ldos攻击流。
[0076]
进一步地，在一些实施例中，计算模块200，包括：
[0077]
计算单元，用于基于预设的流量强度标准化公式，根据目标吞吐量序列计算每个定位规则的指标值，其中，预设的流量强度标准化公式为：
[0078][0079]
其中，α(t)为在t时刻的数据流的流量强度，其中，α(t)为在t时刻的数据流的流量强度，n为整数，x为流量序列。
[0080]
进一步地，在一些实施例中，定位模块300，包括：
[0081]
定位单元，用于将每个目标定位规则对应的数据流子集均作为一个新的数据流集合，直至任一新的数据流集合内的数据流数量为1个时，将任一新的数据流集合内的数据流作为ldos攻击流。
[0082]
进一步地，在一些实施例中，多个数据流子集内的数据流误差小于预设阈值。
[0083]
需要说明的是，前述对软件定义网络中节省控制带宽的ldos攻击流精准定位方法实施例的解释说明也适用于该实施例的软件定义网络中节省控制带宽的ldos攻击流精准定位装置，此处不再赘述。
[0084]
根据本技术实施例的软件定义网络中节省控制带宽的ldos攻击流精准定位方法，通过将获取到的数据流集合划分为多个数据流子集，匹配每个数据流子集对应的定位规则，基于每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据目标吞吐量序列计算每个定位规则的指标值，筛选出指标值高于预设阈值的至少一个目标定位规则，并将至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至新的数据流集合内的数据流数量为1个，得到ldos攻击流。由此，解决了在软件定义网络中定位ldos攻击流比较困难的问题，能够从大量的数据流中精准定位ldos攻击流且节省控制宽带，使网路防御更加安全有效。
[0085]
图4为本技术实施例提供的电子设备的结构示意图。该电子设备可以包括：
[0086]
存储器401、处理器402及存储在存储器401上并可在处理器402上运行的计算机程序。
[0087]
处理器402执行程序时实现上述实施例中提供的软件定义网络中节省控制带宽的ldos攻击流精准定位方法。
[0088]
进一步地，电子设备还包括：
[0089]
通信接口403，用于存储器401和处理器402之间的通信。
[0090]
存储器401，用于存放可在处理器402上运行的计算机程序。
[0091]
存储器401可能包含高速ram(random access memory，随机存取存储器)存储器，也可能还包括非易失性存储器，例如至少一个磁盘存储器。
[0092]
如果存储器401、处理器402和通信接口403独立实现，则通信接口403、存储器401和处理器402可以通过总线相互连接并完成相互间的通信。总线可以是isa(industry standard architecture，工业标准体系结构)总线、pci(peripheral component，外部设备互连)总线或eisa(extended industry standard architecture，扩展工业标准体系结构)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
[0093]
可选的，在具体实现上，如果存储器401、处理器402及通信接口403，集成在一块芯片上实现，则存储器401、处理器402及通信接口403可以通过内部接口完成相互间的通信。
[0094]
处理器402可能是一个cpu(central processing unit，中央处理器)，或者是asic(application specific integrated circuit，特定集成电路)，或者是被配置成实施本技术实施例的一个或多个集成电路。
[0095]
本技术实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上的软件定义网络中节省控制带宽的ldos攻击流精准定位方法。
[0096]
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不是必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或n个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
[0097]
此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本技术的描述中，“n个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
[0098]
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更n个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本技术的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本技术的实施例所属技术领域的技术人员所理解。
[0099]
应当理解，本技术的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，n个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列，现场可编程门阵列等。
[0100]
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
[0101]
尽管上面已经示出和描述了本技术的实施例，可以理解的是，上述实施例是示例
性的，不能理解为对本技术的限制，本领域的普通技术人员在本技术的范围内可以对上述实施例进行变化、修改、替换和变型。

技术特征：
1.一种软件定义网络中节省控制带宽的ldos攻击流精准定位方法，其特征在于，包括以下步骤：获取数据流集合，并将所述数据流集合划分为多个数据流子集，且匹配每个数据流子集对应的定位规则；基于所述每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据所述目标吞吐量序列计算每个定位规则的指标值；以及筛选出指标值高于预设阈值的至少一个目标定位规则，并将所述至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至所述新的数据流集合内的数据流数量为1个，得到ldos攻击流。2.根据权利要求1所述的方法，其特征在于，所述根据所述目标吞吐量序列计算每个定位规则的指标值，包括：基于预设的流量强度标准化公式，根据所述目标吞吐量序列计算每个定位规则的指标值，其中，所述预设的流量强度标准化公式为：其中，α(t)为在t时刻的数据流的流量强度，其中，α(t)为在t时刻的数据流的流量强度，n为整数，x为流量序列。3.根据权利要求1所述的方法，其特征在于，所述将所述至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至所述新的数据流集合内的数据流数量为1个，得到ldos攻击流，包括：将每个目标定位规则对应的数据流子集均作为一个新的数据流集合，直至任一新的数据流集合内的数据流数量为1个时，将所述任一新的数据流集合内的数据流作为所述ldos攻击流。4.根据权利要求1所述的方法，其特征在于，所述多个数据流子集内的数据流误差小于预设阈值。5.一种软件定义网络中节省控制带宽的ldos攻击流精准定位装置，其特征在于，包括：获取模块，用于获取数据流集合，并将所述数据流集合划分为多个数据流子集，且匹配每个数据流子集对应的定位规则；计算模块，用于基于所述每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据所述目标吞吐量序列计算每个定位规则的指标值；以及定位模块，用于筛选出指标值高于预设阈值的至少一个目标定位规则，并将所述至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至所述新的数据流集合内的数据流数量为1个，得到ldos攻击流。6.根据权利要求5所述的装置，其特征在于，所述计算模块，包括：计算单元，用于基于预设的流量强度标准化公式，根据所述目标吞吐量序列计算每个定位规则的指标值，其中，所述预设的流量强度标准化公式为：
其中，α(t)为在t时刻的数据流的流量强度，其中，α(t)为在t时刻的数据流的流量强度，n为整数，x为流量序列。7.根据权利要求5所述的装置，其特征在于，所述定位模块，包括：定位单元，用于将每个目标定位规则对应的数据流子集均作为一个新的数据流集合，直至任一新的数据流集合内的数据流数量为1个时，将所述任一新的数据流集合内的数据流作为所述ldos攻击流。8.根据权利要求6所述的装置，其特征在于，所述多个数据流子集内的数据流误差小于预设阈值。9.一种电子设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如权利要求1-4任一项所述的软件定义网络中节省控制带宽的ldos攻击流精准定位方法。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行，以用于实现如权利要求1-4任一项所述的软件定义网络中节省控制带宽的ldos攻击流精准定位方法。

技术总结
本申请涉及网路安全技术领域，特别涉及一种软件定义网络中节省控制带宽的LDoS攻击流精准定位方法，方法包括：获取数据流集合，并将数据流集合划分为多个数据流子集，且匹配每个数据流子集对应的定位规则；基于每个数据流子集对应的定位规则，获取目标吞吐量序列，并根据目标吞吐量序列计算每个定位规则的指标值；筛选出指标值高于预设阈值的至少一个目标定位规则，并将至少一个目标定位规则对应的数据流子集作为新的数据流集合，直至新的数据流集合内的数据流数量为1个，得到LDoS攻击流。由此，解决了在软件定义网络中定位LDoS攻击流比较困难的问题，能够从大量的数据流中精准定位LDoS攻击流且节省控制宽带，使网路防御更加安全有效。全有效。全有效。


技术研发人员：谢仁杰 曹家浩 徐明伟 李琦 杨芫
受保护的技术使用者：清华大学
技术研发日：2023.03.13
技术公布日：2023/7/12