CN106534133A - 一种sdn中基于深度学习的ddos防御装置及方法 - Google Patents

Abstract

本发明公开了一种SDN中基于深度学习的DDOS防御装置及方法，本发明装置包括特征提取模块、深度学习DDoS检测模块、模型更新模块(Model Updater)、信息统计模块及流表产生模块；本发明利用了特征提取模块提取***中输入数据包的特征，构建特征矩阵，然后将处理后的特征输入到深度学习DDOS检测模块，深度学习DDOS检测模块利用学习好的模型判断当前***中输入的数据包是否为攻击包。本发明利用了深度学习对进入***的数据包检测，相比于传统的DDOS攻击入侵检测方法，在检测效率，准确率上有很大提升。

Description

一种SDN中基于深度学习的DDOS防御装置及方法

技术领域

本发明涉及网络通信技术领域，具体涉及一种SDN中基于深度学习的DDOS防御装置及方法。

背景技术

伴随着全球信息化进程的飞速发展，网络中的攻击者利用网络的***架构以及网络中的服务器***存在的安全漏洞，或窃取网络用户的个人信息，或破坏正常网络环境，或阻止目标主机的正常交互通信，网络环境正遭遇日益严重的安全问题挑战。随着近年来互联网用户数目呈现的***式的增长，新型的网络应用，诸如社交网络、高清在线视频，以及创新性的服务模式，例如云计算、大数据的出现，都对传统网络提出了新的需求，传统的网络体系架构在网络的可控性、可扩展性以及安全性等方面的发展也逐渐出现瓶颈，一些新型的网络体系架构在此背景下相继被提出。

2006年，美国斯坦福大学Clean Slate课题组提出了软件定义网络(SoftwareDefined Network，SDN)的概念。软件定义网络(Software Defined Networking，SDN)作为一种新型的网络体系架构，具有控制平面与数据平面分离、集中控制以及软件可编程的特征，为解决当前传统网络面临的瓶颈，研发网络新型应用以及未来互联网新技术提供了一种创新性的解决方案。SDN新型网络体系架构，其设计思想，决定了其具备数据与控制分离和集中控制两个主要特点，其中，集中控制主要是使用软件控制器对网络数据转发规则进行集中化管理，因此，在SDN网络体系架构中，由于集中化的控制管理，让计算机网络数据转发更加快捷高效，控制器与转发设备之间通过安全通道的连接，某种程度也增强了SDN网络架构的安全性。然而，从另一个角度说，正是由于SDN网络体系架构集中控制和转发分离的特点，因而让攻击者的攻击目标更加明确，某种程度也让SDN网络体系架构变得更加脆弱。

OpenFlow技术的概念最早是由来自斯坦福大学的Nick McKeown教授提出的，进过多年的发展，随着OpenFlow协议标准化的制定与推广，OpenFlow协议目前已成为SDN网络体系架构的主流的南向接口协议之一。然而，SDN在带来网络体系架构方面革新的同时，也在安全防御体系方面带来了新的挑战。

分布式拒绝服务攻击(Distributed Denial of Service，DDoS)则是基于拒绝服务攻击(Denial of Service，DoS)的基础上产生的一种特殊形式的拒绝服务攻击方式，它采用的是一种分布式、协作式的大规模网络攻击方式，主要的攻击目标瞄准为比较大的站点，例如商业公司，搜索引擎或者是政府部门的站点。由于DDoS不同于DoS攻击只需要一个电脑终端和一个调制解调器就可以实现，DDoS的攻击则是利用一批已经受控的机器向一个固定站点同时发起攻击，这样的攻击来势凶猛，令人难以防备，具有更强的破坏性。在SDN新型网络架构中，针对SDN网络体系架构数据控制分离、集中控制的特点，SDN网络体系架构对DDoS攻击的防御也是一个需要考虑的问题。

2006年，机器学习领域的学界泰斗、加拿大多伦多大学的教授Geoffrey Hinton与他的学生Ruslan Salakhutdinov在世界顶级学术刊物《科学》上发表了一篇文章，开启了深度学习在学术界和工业界的浪潮。深度学习技术可通过学习一种深层的非线性的网络结构，来实现对复杂函数逼近，用以表征输入数据分布式表示，并且展现出了强大的从少数样本集中学习数据集本质特征的能力。深度学习技术的本质，是通过构建一种具有大量隐藏层的机器学习模型，以及通过海量的训练数据，来学习客体更有用的特征，从而达到最终能提升分类或预测准确性的目的。深度学习技术这种具有大量隐藏层的好处，是可以通过用较少的参数来表示出复杂的函数客体。由于深度学习的这些特点，近年来，深度学习技术的运用领域越来越广泛。

防御DDOS攻击是SDN架构下保证网络安全的一个重要前提，因此本发明将SDN与深度学习结合，提出了一种SDN中基于深度学习的DDOS防御方法。该方法利用深度学习检测进入***中的数据包是否为攻击包同时做出响应。深度DDoS防御模块独立于OpenFlow，所以该模块还在一定程度上减轻了OpenFlow交换机的运行负载。

发明内容

现有的SDN网络中拒绝服务攻击主要是基于OpenFlow协议的特点来进行实施的。网络攻击检测是一种非常重要的防护网络安全技术，是防御网络攻击的前提。网络攻击检测首先在网络中部署数据采集器，之后对采集到的数据包进行解析，寻找攻击特征进行匹配，匹配成功后认为是不合法行为，对这个行为进行响应。在入侵检测***中，捕获网络中的数据包，通过分析、匹配其中是否具有某种攻击的特征，需要花费更多的时间和***资源，检测效率低，漏报率误报率高

本发明克服了以上不足，提出了一种SDN中基于深度学习的DDOS防御装置及方法。本发明利用了特征提取模块提取***中输入数据包的特征，构建特征矩阵，然后将处理后的特征输入到深度学习DDOS检测模块，深度学习DDOS检测模块利用学习好的模型判断当前***中输入的数据包是否为攻击包。本发明利用了深度学习对进入***的数据包检测，相比于传统的DDOS攻击入侵检测方法，在检测效率，准确率上有很大提升。

本发明一种SDN中基于深度学习的DDOS防御装置，包括特征提取模块(FeaturesExtraction)、深度学习DDoS检测模块(Deep Learning DDoS Detector)、模型更新模块(Model Updater)、信息统计模块(Information Statistics)及流表产生模块(Flow TableGenerator)，其中：

1)特征提取模块(Features Extraction)：对进入OpenFlow交换机的所有数据包进行特征提取，构建满足深度学习DDoS检测模块(Deep Learning DDoS Detector)输入要求的特征矩阵；

2)深度学习DDoS检测模块(Deep Learning DDoS Detector)：使用已训练好的深度学习模型对特征提取模块(Features Extraction)处理后的特征进行学习，检测当前OpenFlow交换机中输入的数据包是否为攻击包；

3)信息统计模块(Information Statistics)：对检测到的攻击包的特征进行提取，并对这些特征出现的频次进行统计；

4)流表产生模块(Flow Table Generator)：根据信息统计模块(InformationStatistics)特征统计的结果，确定可以对各类攻击包进行丢弃处理的流表项及其优先级，并将他们下发到OpenFlow交换机；

5)模型更新模块(Model Updater)：对深度学习DDoS检测模块(Deep LearningDDoS Detector)的深度学习模型进行更新。

本发明一种SDN中基于深度学习的DDOS防御方法，包含如下步骤：

1)根据深度学习DDoS检测模块(Deep Learning DDoS Detector)的输入要求，特征提取模块(Features Extraction)对OpenFlow交换机的所有输入数据包进行特征提取，构建特征矩阵，并输出到深度学习DDoS检测模块(Deep Learning DDoS Detector)；

2)深度学习DDoS检测模块(Deep Learning DDoS Detector)根据特征提取模块(Features Extraction)处理后的特征，使用已训练好的深度学习模型，检测当前OpenFlow交换机中输入的数据包是否为攻击包，若是，则将攻击包转交给信息统计模块(Information Statistics)，否则不做处理；

3)信息统计模块(Information Statistics)在管理者设定的时间间隔周期T内对所有攻击包进行特征统计，根据所有特征在攻击包中出现的频率确定特征的权值{W}，并将相关特征信息及权值转交给流表产生模块(Flow Table Generator)；

4)流表产生模块(Flow Table Generator)根据信息统计模块(InformationStatistics)统计的相应特征的权值{W}结果，产生可以对具有该类特征的数据包进行丢弃操作的流表项，及这些流表项的优先级；

5)流表产生模块(Flow Table Generator)将新产生的流表项下发到OpenFlow交换机；

6)OpenFlow交换机执行流表产生模块(Flow Table Generator)下发的流表指令，丢弃当前进入OpenFlow交换机的数据包。

进一步地，所述的深度学习DDoS检测模块(Deep Learning DDoS Detector)，可由模型更新模块(Module Updater)对其深度学习模型进行动态更新。

进一步地，所述的模型更新模块(Module Updater)可通过网络接收管理者的模型更新指令，并通过网络接收新的模型信息进行更新。

进一步地，所述步骤3)具体包括以下子步骤：

3.1)将攻击包计数器置0，重新设置定时器，周期为T；

3.2)提取的数据包特征按照各自总计数器数值排序，若前后两轮排序没有改变，根据计数器数值频率，确定相应特征权值{W}，否则，跳转到步骤3.3)；

3.3)根据新的排序确定各个特征的频率，每个特征计数器数值越大，频率越大；

3.4)丢弃频率小于阈值Q的，该频率所对应的攻击包特征，确定剩余攻击包的特征数量N；

3.5)根据统计后的频率{P}，频率越大对应的特征的权值越大，根据依次确定每个特征的权值大小，(其中n＝0表示最大的特征的权值，ε为一个正数，取0,01)，确定特征的权值{W}。

进一步地，所述步骤4)具体包括以下子步骤：

4.1)提取信息统计模块中攻击包的特征项所对应的TCP源端口，TCP目的端口，UDP源端口，UDP目的端口，IP源地址，IP目的地址，确定流表项；

4.2)对每个攻击包所对应的特征项的权值求和，结果最大，所对应的流表项优先级最大。

进一步地，所述步骤5)具体包括以下子步骤：

5.1)定时器重新计时，周期为T，攻击包计数器置0；

5.2)判断该轮攻击包的特征项所对应的TCP源端口，TCP目的端口，UDP源端口，UDP目的端口，IP源地址，IP目的地址和流表项优先级与下发的流表项是否相同，若相同，不做处理，否则跳转到步骤5.3)；

5.3)根据OpenFlow流表项结构，分别将攻击包的特征项所对应的TCP源端口，TCP目的端口，UDP源端口，UDP目的端口，IP源地址，IP目的地址填充到流表项匹配域；

5.4)流表项的指令集中包含修改动作集指令，将动作集指令设置为Drop；

5.5)补齐流表项的其他字段，生成流表。

本发明的有益效果如下：

(1)本发明的处理架构采用可扩展的模块化设计，实现了对DDoS威胁的高效检测和灵活处理。

(2)各模块获取数据包信息采用独立的接口设计，降低了模块间的耦合关联性。

(3)各模块使用优化的程序数据结构，细致分割各模块处理子流程，提升了模块间的高内聚特性。

(4)可移植性，兼容目前市场中的多种主流控制器，如OpenDaylight，floodlight等。

附图说明

图1是本发明实施例的SDN中基于深度学习的DDOS防御装置***架构图。

图2是本发明实施例的SDN中基于深度学习的DDOS防御流程图。

图3是本发明实施例的信息统计模块的数据包特征统计流程图。

图4是本发明实施例的流表产生模块的流表产生流程图。

具体实施方式

目前，SDN体系架构大多使用OpenFlow协议作为控制层和数据交换层通信的接口，可以实时地更改网络资源和添加新的交换机规则。OpenFlow协议依赖的是控制器和交换机之间的安全信道，一旦安全信道发生DDOS攻击，断开连接，那么SDN体系架构就因为失去控制器而崩溃瓦解，如果交换机和控制器之间发生DDOS攻击，失去了连接，那么意味着整个网络架构失去了控制层，在这种情况下，可能导致整个网络瘫痪。综上所述，研究一种高效，准确的DDoS安全防御措施迫在眉睫。本发明提供了一种SDN中基于深度学习的DDOS防御装置及方法，主要用来解决SDN网络中如何有效防御DDOS攻击的问题。下面结合附图以及实施例，对本发明进行进一步的说明。

装置实施例

根据本发明的实施例，提供了一种SDN中基于深度学习的DDOS防御装置。图1是SDN中基于深度学习的DDOS防御装置***架构图。该检测装置主要包括以下模块：特征提取模块，深度学习DDoS检测模块、模型更新模块、信息统计模块及流表产生模块，以下对本发明实施例中的各个模块进行详细的说明。

1)特征提取模块：该模块对进入OpenFlow交换机的所有数据包进行特征提取，数据特征预处理及格式转换，构建满足深度学习DDoS检测模块输入要求的特征矩阵，其中包含packet_extract(ip_src,ip_dst,tcp_srcport,udp_srcport,tcp_dstport,udp_dstport,icmp_type)方法，该方法接口定义如下：

1.1)def packet_extract(ip_src,ip_dst,tcp_srcport,udp_srcport,tcp_dstport,udp_dstport,icmp_type):

pass

return packet_extraction

功能：提取输入数据的ip源地址，目的地址，tcp源端口，目的端口，udp源端口，目的端口，icmp类型并转化为相应的提取后的特征；

参数：ip_src，源ip地址，ip_dst，目的ip地址，tcp_srcport，源tcp端口，tcp_dstport，目的tcp端口，udp_srcport，源udp端口，udp_dst，目的udp端口，icmp_type,icmp类型；

返回：packet_extraction，提取后的特征；

1.2)def ip_to_array(ip_str):

pass

return tmp_ip_array

功能：将字符串类型的ip地址转化为临时的32比特的二进制数组；

参数：ip_str，字符串类型的ip地址；

返回：tmp_ip_array,临时的32比特的二进制数组；

1.3)def port_to_array(port_str):

pass

return tmp_port_array

功能：将字符串类型的端口地址转化为临时的16比特的二进制数组；

参数：port_str，字符串类型的端口地址；

返回：tmp_ip_array,临时的16比特的二进制数组；

1.4)def str_list_to_array(str_list)：

pass

return output_array.astype(float)

功能：将字符串类型数组转化为float类型的数组；

参数：str_list,字符串类型的数组；

返回：output_array.astype(float),float类型数组；

1.5)def normalize_array(array)：

pass

return array.astype(float)

功能：对提取后的特征归一化处理，使其满足深度学习DDOS检测模块输入要求；

参数：array,提取后的特征数组；

返回：array.astype(float)，归一化的float类型的数组；

2)深度学习DDoS检测模块(Deep Learning DDoS Detector)：使用已训练好的深度学习模型对特征提取模块(Features Extraction)处理后的特征进行学习，检测当前OpenFlow交换机中输入的数据包是否为攻击包，其中包含predictresult_processing(predict_numpy)方法，该方法接口定义如下：

def predictresult_processing(predict_numpy):

pass

return attackpacket_feature

功能：根据特征提取模块的输入，学习训练保存攻击包特征；

参数：predict_numpy,特征提取模块处理后的数组；

返回：attackpacket_feature，攻击包特征；

3)信息统计模块(Information Statistics)：对检测到的攻击包的特征进行提取，并对这些特征出现的频次进行统计，其中包含inverse_packet(numpy_packets)方法，该方法接口定义如下：

3.1)def inverse_packet(numpy_packets):

pass

return entry_feature

功能：提取当前进入OpenFlow交换机的数据包特征进行统计；

参数：numpy_packets,前进入OpenFlow交换机的数据包；

返回：entry_feature，数据包特征；

3.2)def count_feature(feature_list):

pass

return top_feature

功能：统计深度DDoS检测模块保存的特征中,权值最大的特征；

参数：feature_list,特征列表；

返回：top_feature,权值最大的特征；

3.3)def feature_statistics(attackpacket_feature):

pass

return result_feature

功能：统计攻击包的特征对应的权值；

参数：attackpacket_feature，攻击包的特征；

返回：result_feature，特征的权值；

4)流表产生模块(Flow Table Generator)：根据信息统计模块(InformationStatistics)特征统计的结果，确定可以对各类攻击包进行丢弃处理的流表项及其优先级，并将他们下发到OpenFlow交换机；

5)模模型更新模块(Model Updater)：对深度学习DDoS检测模块(Deep LearningDDoS Detector)的深度学习模型进行更新。

方法实施例

根据本发明的实施例，提供了一种SDN中基于深度学习的DDOS防御方法。图2所示是本发明实施例的SDN中基于深度学习的DDOS防御流程图，图3是本发明实施例的信息统计模块的数据包特征统计流程图，图4是本发明实施例的流表产生模块的流表产生流程图。本发明实施例中，SDN中基于深度学习的DDOS防御方法如下：

1)根据深度学习DDoS检测模块(Deep Learning DDoS Detector)的输入要求，特征提取模块(Features Extraction)对OpenFlow交换机的所有输入数据包进行特征提取，构建特征矩阵，并输出到深度学习DDoS检测模块(Deep Learning DDoS Detector)；

2)深度学习DDoS检测模块(Deep Learning DDoS Detector)根据特征提取模块(Features Extraction)处理后的特征，使用已训练好的深度学习模型，检测当前OpenFlow交换机中输入的数据包是否为攻击包，若是，则将攻击包转交给信息统计模块(Information Statistics)，否则，不做处理；

3)管理者通过模型更新模块(Model Updater)判断当前模型检测的准确率是否低于阈值P(P＝0.97),若是，则对模型进行更新调整，否则，不做处理；

4)信息统计模块(Information Statistics)在管理者设定的时间间隔周期T内对所有攻击包进行特征统计，根据所有特征在攻击包中出现的频率确定特征的权值{W}，并将相关特征信息及权值转交给流表产生模块(Flow Table Generator)；

4.1)将攻击包计数器置0，重新设置定时器，周期为T；

4.2)提取的数据包特征按照各自总计数器数值排序，若前后两轮排序没有改变，根据计数器数值频率，确定相应特征权值{W}，否则，跳转到步骤4.3)；

4.3)根据新的排序确定各个特征的频率，每个特征计数器数值越大，频率越大；

4.4)丢弃频率小于阈值Q(Q＝0.04)的，该频率所对应的攻击包特征，确定剩余攻击包的特征数量N；

4.5)根据统计后的频率{P}，频率越大对应的特征的权值越大，根据依次确定每个特征的权值大小，(其中n＝0表示最大的特征的权值，ε为一个正数，取0,01)，确定特征的权值{W}；

5)流表产生模块(Flow Table Generator)根据信息统计模块(InformationStatistics)统计的相应特征的权值{W}结果，产生可以对具有该类特征的数据包进行丢弃操作的流表项，及这些流表项的优先级；

5.1)提取信息统计模块中攻击包的特征项所对应的TCP源端口，TCP目的端口，UDP源端口，UDP目的端口，IP源地址，IP目的地址，确定流表项；

5.2)对每个攻击包所对应的特征项的权值求和，结果最大，所对应的流表项优先级最大；

6)流表产生模块(Flow Table Generator)将新产生的流表项下发到OpenFlow交换机；

6.1)定时器重新计时，周期为T，攻击包计数器置0；

6.2)判断该轮攻击包的特征项所对应的TCP源端口，TCP目的端口，UDP源端口，UDP目的端口，IP源地址，IP目的地址和流表项优先级与下发的流表项是否相同，若相同，不做处理，否则跳转到步骤6.3)；

6.3)根据OpenFlow流表项结构，分别将攻击包的特征项所对应的TCP源端口，TCP目的端口，UDP源端口，UDP目的端口，IP源地址，IP目的地址填充到流表项匹配域；

6.4)流表项的指令集中包含修改动作集指令，将动作集指令设置为Drop；

6.5)补齐流表项的其他字段，生成流表；

7)OpenFlow交换机执行流表产生模块(Flow Table Generator)下发的流表指令，丢弃当前进入OpenFlow交换机的数据包。

Claims (7)

1.一种SDN中基于深度学习的DDOS防御装置，其特征在于，包括特征提取模块(Features Extraction)、深度学习DDoS检测模块(Deep Learning DDoS Detector)、模型更新模块(Model Updater)、信息统计模块(Information Statistics)及流表产生模块(Flow Table Generator)，其中：

1)特征提取模块(Features Extraction)：对进入OpenFlow交换机的所有数据包进行特征提取，构建满足深度学习DDoS检测模块(Deep Learning DDoS Detector)输入要求的特征矩阵；

2)深度学习DDoS检测模块(Deep Learning DDoS Detector)：使用已训练好的深度学习模型对特征提取模块(Features Extraction)处理后的特征进行学习，检测当前OpenFlow交换机中输入的数据包是否为攻击包；

3)信息统计模块(Information Statistics)：对检测到的攻击包的特征进行提取，并对这些特征出现的频次进行统计；

4)流表产生模块(Flow Table Generator)：根据信息统计模块(InformationStatistics)特征统计的结果，确定可以对各类攻击包进行丢弃处理的流表项及其优先级，并将他们下发到OpenFlow交换机；

5)模型更新模块(Model Updater)：对深度学习DDoS检测模块(Deep Learning DDoSDetector)的深度学习模型进行更新。

2.一种SDN中基于深度学习的DDOS防御方法，其特征在于，包含如下步骤：

1)根据深度学习DDoS检测模块(Deep Learning DDoS Detector)的输入要求，特征提取模块(Features Extraction)对OpenFlow交换机的所有输入数据包进行特征提取，构建特征矩阵，并输出到深度学习DDoS检测模块(Deep Learning DDoS Detector)；

2)深度学习DDoS检测模块(Deep Learning DDoS Detector)根据特征提取模块(Features Extraction)处理后的特征，使用已训练好的深度学习模型，检测当前OpenFlow交换机中输入的数据包是否为攻击包，若是，则将攻击包转交给信息统计模块(Information Statistics)，否则不做处理；

3)信息统计模块(Information Statistics)在管理者设定的时间间隔周期T内对所有攻击包进行特征统计，根据所有特征在攻击包中出现的频率确定特征的权值{W}，并将相关特征信息及权值转交给流表产生模块(Flow Table Generator)；

4)流表产生模块(Flow Table Generator)根据信息统计模块(InformationStatistics)统计的相应特征的权值{W}结果，产生可以对具有该类特征的数据包进行丢弃操作的流表项，及这些流表项的优先级；

5)流表产生模块(Flow Table Generator)将新产生的流表项下发到OpenFlow交换机；

6)OpenFlow交换机执行流表产生模块(Flow Table Generator)下发的流表指令，丢弃当前进入OpenFlow交换机的数据包。

3.根据权利要求2所述的一种SDN中基于深度学习的DDOS防御方法，其特征在于，所述的深度学习DDoS检测模块(Deep Learning DDoS Detector)，可由模型更新模块(ModuleUpdater)对其深度学习模型进行动态更新。

4.根据权利要求3所述的一种SDN中基于深度学习的DDOS防御方法，其特征在于，所述的模型更新模块(Module Updater)可通过网络接收管理者的模型更新指令，并通过网络接收新的模型信息进行更新。

5.根据权利要求2所述的一种SDN中基于深度学习的DDOS防御方法，其特征在于，所述步骤3)具体包括以下子步骤：

3.1)将攻击包计数器置0，重新设置定时器，周期为T；

3.2)提取的数据包特征按照各自总计数器数值排序，若前后两轮排序没有改变，根据计数器数值频率，确定相应特征权值{W}，否则，跳转到步骤3.3)；

3.3)根据新的排序确定各个特征的频率，每个特征计数器数值越大，频率越大；

3.4)丢弃频率小于阈值Q的，该频率所对应的攻击包特征，确定剩余攻击包的特征数量N；

3.5)根据统计后的频率{P}，频率越大对应的特征的权值越大，根据依次确定每个特征的权值大小，(其中n＝0表示最大的特征的权值，ε为一个正数，取0,01)，确定特征的权值{W}。

6.根据权利要求2所述的一种SDN中基于深度学习的DDOS防御方法，其特征在于，所述步骤4)具体包括以下子步骤：

4.1)提取信息统计模块中攻击包的特征项所对应的TCP源端口，TCP目的端口，UDP源端口，UDP目的端口，IP源地址，IP目的地址，确定流表项；

4.2)对每个攻击包所对应的特征项的权值求和，结果最大，所对应的流表项优先级最大。

7.根据权利要求2所述的一种SDN中基于深度学习的DDOS防御方法，其特征在于，所述步骤5)具体包括以下子步骤：

5.1)定时器重新计时，周期为T，攻击包计数器置0；

5.2)判断该轮攻击包的特征项所对应的TCP源端口，TCP目的端口，UDP源端口，UDP目的端口，IP源地址，IP目的地址和流表项优先级与下发的流表项是否相同，若相同，不做处理，否则跳转到步骤5.3)；

5.3)根据OpenFlow流表项结构，分别将攻击包的特征项所对应的TCP源端口，TCP目的端口，UDP源端口，UDP目的端口，IP源地址，IP目的地址填充到流表项匹配域；

5.4)流表项的指令集中包含修改动作集指令，将动作集指令设置为Drop；

5.5)补齐流表项的其他字段，生成流表。