CN108123931A - 一种软件定义网络中的DDoS攻击防御装置及方法 - Google Patents

Abstract

本发明公开了一种软件定义网络中的DDoS攻击防御装置及方法，该装置包括流表统计信息收集模块、统计信息格式转换模块、特征提取模块、攻击检测模块和攻击防御策略产生模块：流表统计信息收集模块收集每个流表项的统计信息；特征提取模块从经过格式转换后的数据信息中，提取或构建合适的流表特征，并进行维度重构；攻击检测模块将特征提取模块所获得的特征做为深度学习模型的输入，判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息；攻击防御策略产生模块从数据库中提取标记为攻击类型的特征信息，将其格式进行还原，生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量的清洗。本发明检测方法提高了检测精度，实现了攻击防御。

Description

一种软件定义网络中的DDoS攻击防御装置及方法

技术领域

本发明涉及网络通信技术领域，具体涉及一种软件定义网络中的DDoS攻击防御装置及方法。

背景技术

软件定义网络(SDN)是一种将传统网络交换设备进行数据转发与控制的抽象分离的新的网络架构，尽管中央控制是SDN的主要优势，但它也受到分布式拒绝服务(DDoS)攻击的威胁。因此，我们需要对SDN的中央控制层进行DDoS攻击检测，并作出一系列防御措施。

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击基于拒绝服务攻击(Denial of Service，DoS)的基础之上。DoS攻击的原理是通过在短时间内致使被攻击服务器填充大量急需处理的无效报文消息，急剧消耗被攻击目标资源有限的***资源，最终导致被攻击端超负荷工作乃至瘫痪。而分布式拒绝服务攻击则是在拒绝服务攻击的基础上引入分布式的思想后，是一种分布式行动，大范围协同作战的危害性更强的网络攻击方式，这样的攻击具有更强的破坏性。

现今，国内外针对DDoS攻击安全防御问题的研究，主要方法是实时的网络监控，当DDoS攻击发生时，启动攻击流量清洗设备屏蔽DDoS攻击源，从而避免网络遭受DDoS攻击的侵害，达到安全防御的目的。主要包括：在交换机，路由器等网络转发设备中进行源IP地址的合法性确认，建立黑/白名单；基于统计学方法，根据网络流密度变化情况，对网络流量实时监控，对DDoS攻击行为进行确认；在路由转发设备中建立源地址和转发设备对应的入端口的映射表，通过对比数据流量源IP地址与相应入端口地址确定当前网络是否有DDoS攻击行为。

深度学习的概念源于人工神经网络的研究。深度学习通过组合低层特征形成更加抽象的高层表示属性类别或特征，以发现数据的分布式特征表示。深度学习是机器学习中一种基于对数据进行表征学习的方法，其概念由Hinton等人于2006年提出。深度学习是机器学习研究中的一个新的领域，其动机在于建立、模拟人脑进行分析学习的神经网络，它模仿人脑的机制来解释数据。

软件定义网络(SDN)是一种新的用于设计、构建和管理网络的方法。与传统路由网络相比，SDN支持可编程和动态的网络。虽然它拥有更灵活的网络管理，但我们应该了解当前和即将到来的安全威胁以及其部署。从分布式拒绝服务攻击(DDoS)的角度分析伴随OpenFlow协议的SDN并防御DDoS攻击是SDN网络安全方面的重要研究内容。本发明将SDN与深度学习结合，提出了一种软件定义网络中的DDoS攻击防御装置及方法。

发明内容

本发明的目的是克服现有技术的不足，提供一种软件定义网络中的DDoS攻击防御装置及方法。

本发明解决其技术问题所采用的技术方案如下：一种软件定义网络中的DDoS攻击防御装置，包括：流表统计信息收集模块、统计信息格式转换模块、特征提取模块、攻击检测模块和攻击防御策略产生模块：

流表统计信息收集模块：对所有OpenFlow交换机周期性收集每个流表项的统计信息；

统计信息格式转换模块：将流表统计信息收集模块收集到的流表项的统计信息进行格式转换处理，将布尔类型的数据(如TCP、UDP端口号等)转换为16bit的二进制序列存储，将IP地址转换为32bit的二进制序列存储，将文本类型通过词汇假设(Bag Of Word)方法转换；

特征提取模块，从经过统计信息格式转换模块格式转换后的数据信息中，将部分流表统计信息直接做为深度学习的部分输入特征{M}，同时依据流表统计信息手动构建部分输入特征{N}，并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构，构成新的深度学习输入特征{M，N}；

攻击检测模块，将特征提取模块所获得的特征做为深度学习模型的输入，判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息；

攻击防御策略产生模块，从数据库中提取标记为攻击类型的特征信息，将其格式进行还原，并进行记录，周期性查看记录，生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量的清洗。

进一步地，所述特征提取模块中的输入特征{M}包括：持续时间，每条流中数据包数量，每条流中数据包比特数，匹配的以太网类型，匹配的以太网目的地址，匹配的以太网源地址，匹配的入端口，优先级，匹配的源IP，匹配的目的IP，匹配的UDP目的端口，匹配的UDP源端口，匹配的TCP目的端口，匹配的TCP源端口，空闲超时，匹配的IP协议，Cookie，表ID，严格超时，动作；输入特征{N}包括：单流增长速率Grsf，不同端口增长速率Grdp，流表平均数据包量Appf，流表平均比特数Apbf，流量平均持续时间Adpf；

单流增长速率：

其中flow_nums_T为在时间周期T内采集的流表数量，T为采集周期，nums_single_flows为每个周期T内采集到的流表中，单流的数量；

不同端口增长速率：

其中flow_nums_T为在时间周期T内采集的流表数量，T为采集周期，nums_different_ports为每个周期T内采集到的流表中，有不同端口号的流表数量；

流表平均数据包量：

其中flow_nums_k为采集的所有流表中，第k种流表的数量，pcount_i为每条流表中的数据包数量；

流表平均比特数：

其中flow_nums_k为采集的所有流表中，第k种流表的数量，bcount_i为每条流表中的数据包比特大小；

流量平均持续时间:

其中flow_nums_k为采集的所有流表中，第k种流表的数量，durations_i为每条流表的持续时间。

进一步地，所述攻击检测模块包括卷积神经网络模型检测模块和堆栈自编码模型检测模块；

卷积神经网络模型检测模块：对输入的特征进行学习和分类，判断是否为攻击类型特征；若是，则将该类型的特征标记为攻击类型；如果将输入特征判断为正常类型特征，由于卷积神经网络模型检测模块能力的局限性，这些正常的特征中可能混杂着攻击特征，将这些特征信息送入堆栈自编码模型检测模块中再进一步的分析；

堆栈自编码模型检测模块：对经过卷积神经网络模型检测模块判断为正常类型的特征进行检测；若判断结果为正常类型，则将该类型的特征标记为正常类型；否则，标记为攻击类型。

进一步地，所述卷积神经网络模型检测模块中，已训练的卷积神经网络模型包含三个卷积层Convolution Layer和两个池化层Max Pooling Layer及两个全连接层FullyConnected Layer；输入的流表特征向量，经过第一层卷积层Convolution之后，提取出更加抽象的高维度特征，然后对这些特征进行批标准化处理，让模型学习到数据的分布特征，再经过第二层最大池化层Max Pooling后，依次再经过第三层卷积层，再将第三层卷积层抽象后的特征进行批标准化处理，再经过第四层最大池化层、第五层卷积层之后，得到能够准确表示流表特征的更高维度的特征向量，将这些高维特征向量输入到全连接层。

进一步地，所述堆栈自编码模型检测模块中，堆栈自编码模型具体为：流表特征向量经过第一个自编码模型的学习后，在其隐藏层中得到压缩后的抽象化特征，将第一个自编码模型的隐藏层作为第二个自编码模型的输入层，经过第二个自编码模型的学习后，在其隐藏层中得到进一步压缩后的更加抽象化特征，再将第二个自编码模型的隐藏层作为第三个自编码模型的输入层，第三个自编码模型的隐藏层作为第四个自编码模型的输入。

进一步地，所述攻击防御策略产生模块包括：特征格式还原模块、数据库和流表产生模块；

特征格式还原模块：对攻击类型流表特征进行格式转化，对其进行逆操作，转为其原格式；例如将32bit的二进制序列存储的IP地址转为原格式；

数据库：用于记录经过特征格式还原模块处理之后的攻击类型流表信息；

流表产生模块：周期性查看数据库记录，并生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量清洗。

一种软件定义网络中的DDoS攻击防御方法，包括如下步骤：

步骤1：流表统计信息收集模块周期性地收集所有OpenFlow交换机内的所有流表项的统计信息，并将收集到的信息交由统计信息格式转换模块进行处理；

步骤2：统计信息格式转换模块对收集到的流表项的统计信息进行格式转换处理，将布尔类型的数据转换为16bit的二进制序列存储，将IP地址转换为32bit的二进制序列存储，将文本类型通过词汇假设方法转换，将格式转换后的数据信息交给特征提取模块；

步骤3：特征提取模块从经过格式转化转换后的数据信息中，将部分流表统计信息直接做为深度学习的部分输入特征{M}，同时依据流表统计信息手动构建部分输入特征{N}，并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构，构成新的深度学习输入特征{M，N}，然后将特征{M，N}送入攻击检测模块进行检测；

步骤4：攻击检测模块将特征提取模块所获得的特征做为深度学习模型的输入，判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息，将分类结果交由攻击防御策略产生模块处理；

步骤5：攻击防御策略产生模块，从数据库中提取标记为攻击类型的特征信息，将其格式进行还原，并进行记录，周期性查看记录，生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量的清洗。

本发明的有益效果是：本发明基于两级DDoS攻击检测框架，首先通过卷积神经网络实现初步检测，然后通过堆栈自编码模型进一步严格排查，查漏补缺，这种基于两级混合深度学习架构的检测方法，提高了对攻击类型流表的检测精度，实现了攻击防御；本发明构建了新的流表特征，扩展了对DDoS攻击的识别范围；本发明的处理架构采用可扩展的模块化设计，实现了对DDoS威胁的高效检测和灵活处理；各模块获取数据包信息采用独立的接口设计，降低了模块间的耦合关联性；可移植性强，可兼容目前市场中的多种主流控制器，如OpenDaylight，floodlight等。

附图说明

图1是本发明的DDoS攻击防御架构图；

图2本发明的卷积神经网络模型结构图；

图3本发明的堆栈自编码模型结构图；

图4本发明的两级DDoS攻击检测流程。

具体实施方式

下面结合附图和具体实施例对本发明作进一步详细说明。

本发明提供的一种软件定义网络中的DDoS攻击防御装置，包括：流表统计信息收集模块、统计信息格式转换模块、特征提取模块、攻击检测模块和攻击防御策略产生模块：

流表统计信息收集模块：对所有OpenFlow交换机周期性收集每个流表项的统计信息；

统计信息格式转换模块：将流表统计信息收集模块收集到的流表项的统计信息进行格式转换处理，将布尔类型的数据(如TCP、UDP端口号等)转换为16bit的二进制序列存储，将IP地址转换为32bit的二进制序列存储，将文本类型通过词汇假设(Bag Of Word)方法转换；

特征提取模块，从经过统计信息格式转换模块格式转换后的数据信息中，将部分流表统计信息直接做为深度学习的部分输入特征{M}，同时依据流表统计信息手动构建部分输入特征{N}，并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构，构成新的深度学习输入特征{M，N}；

攻击检测模块，将特征提取模块所获得的特征做为深度学习模型的输入，判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息；

攻击防御策略产生模块，从数据库中提取标记为攻击类型的特征信息，将其格式进行还原，并进行记录，周期性查看记录，生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量的清洗。

进一步地，所述特征提取模块中的输入特征{M}包括：持续时间，每条流中数据包数量，每条流中数据包比特数，匹配的以太网类型，匹配的以太网目的地址，匹配的以太网源地址，匹配的入端口，优先级，匹配的源IP，匹配的目的IP，匹配的UDP目的端口，匹配的UDP源端口，匹配的TCP目的端口，匹配的TCP源端口，空闲超时，匹配的IP协议，Cookie，表ID，严格超时，动作；输入特征{N}包括：单流增长速率Grsf，不同端口增长速率Grdp，流表平均数据包量Appf，流表平均比特数Apbf，流量平均持续时间Adpf；

单流增长速率：

其中flow_nums_T为在时间周期T内采集的流表数量，T为采集周期，nums_single_flows为每个周期T内采集到的流表中，单流的数量；

不同端口增长速率：

其中flow_nums_T为在时间周期T内采集的流表数量，T为采集周期，nums_different_ports为每个周期T内采集到的流表中，有不同端口号的流表数量；

流表平均数据包量：

其中flow_nums_k为采集的所有流表中，第k种流表的数量，pcount_i为每条流表中的数据包数量；

流表平均比特数：

其中flow_nums_k为采集的所有流表中，第k种流表的数量，bcount_i为每条流表中的数据包比特大小；

流量平均持续时间:

其中flow_nums_k为采集的所有流表中，第k种流表的数量，durations_i为每条流表的持续时间。

进一步地，所述攻击检测模块包括：

卷积神经网络模型检测模块：对输入的特征进行学习和分类，判断是否为攻击类型特征；若是，则将该类型的特征标记为攻击类型；如果将输入特征判断为正常类型特征，由于卷积神经网络模型检测模块能力的局限性，这些正常的特征中可能混杂着攻击特征，将这些特征信息送入堆栈自编码模型检测模块中再进一步的分析；

堆栈自编码模型检测模块：对经过卷积神经网络模型检测模块判断为正常类型的特征进行检测；若判断结果为正常类型，则将该类型的特征标记为正常类型；否则，标记为攻击类型。

进一步地，所述卷积神经网络模型检测模块中，已训练的卷积神经网络模型包含三个卷积层Convolution Layer和两个池化层Max Pooling Layer及两个全连接层FullyConnected Layer，如图2所示；输入的流表特征向量，经过第一层卷积层Convolution之后，提取出更加抽象的高维度特征，然后对这些特征进行批标准化处理，让模型学习到数据的分布特征，再经过第二层最大池化层Max Pooling后，依次再经过第三层卷积层，再将第三层卷积层抽象后的特征进行批标准化处理，再经过第四层最大池化层、第五层卷积层之后，得到能够准确表示流表特征的更高维度的特征向量，将这些高维特征向量输入到全连接层。

进一步地，所述堆栈自编码模型检测模块中，堆栈自编码模型如图3所示，具体为：流表特征向量经过第一个自编码模型的学习后，在其隐藏层中得到压缩后的抽象化特征，将第一个自编码模型的隐藏层作为第二个自编码模型的输入层，经过第二个自编码模型的学习后，在其隐藏层中得到进一步压缩后的更加抽象化特征，再将第二个自编码模型的隐藏层作为第三个自编码模型的输入层，第三个自编码模型的隐藏层作为第四个自编码模型的输入。

进一步地，所述攻击防御策略产生模块包括：特征格式还原模块、数据库和流表产生模块；

特征格式还原模块：对攻击类型流表特征进行格式转化，对其进行逆操作，转为其原格式；例如将32bit的二进制序列存储的IP地址转为原格式；

数据库：用于记录经过特征格式还原模块处理之后的攻击类型流表信息；

流表产生模块：周期性查看数据库记录，并生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量清洗。

如图4所示，本发明提供的一种软件定义网络中的DDoS攻击防御方法，包括如下步骤：

步骤1：流表统计信息收集模块周期性地收集所有OpenFlow交换机内的所有流表项的统计信息，并将收集到的信息交由统计信息格式转换模块进行处理；

步骤2：统计信息格式转换模块对收集到的流表项的统计信息进行格式转换处理，将布尔类型的数据转换为16bit的二进制序列存储，将IP地址转换为32bit的二进制序列存储，将文本类型通过词汇假设方法转换，将格式转换后的数据信息交给特征提取模块；

步骤3：特征提取模块从经过格式转化转换后的数据信息中，将部分流表统计信息直接做为深度学习的部分输入特征{M}，同时依据流表统计信息手动构建部分输入特征{N}，并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构，构成新的深度学习输入特征{M，N}，然后将特征{M，N}送入攻击检测模块进行检测；

步骤4：攻击检测模块将特征提取模块所获得的特征做为深度学习模型的输入，判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息，将分类结果交由攻击防御策略产生模块处理；

步骤5：攻击防御策略产生模块中的特征格式还原模块提取标记为攻击类型的特征信息，将其格式进行还原，并进行数据库记录；

步骤6：攻击防御策略产生模块中的流表产生模块对其中的数据库进行周期性访问，以提取DDoS攻击类型的关键特征，并生成drop类型流表项下发到OpenFlow交换机，实现对攻击流量清洗。

实施例

本发明所述的软件定义网络中的DDoS攻击防御典型结构如图1所示，***包含控制层和数据层。本发明DDoS攻击防御装置部署在SDN控制层，其中包括：流表统计信息收集模块、统计信息格式转换模型、特征提取模块、攻击检测模块、攻击防御策略产生模块。以下对本发明实施例中的各个模块进行详细的说明。

流表统计信息收集模块：对所有OpenFlow交换机周期性收集每个流表项的统计信息；包含如下函数接口：

switch_flows_collect(switch_id，table_id，app_id，timeout)

其内部实现了以下方法，其中，get_connection()方法用于控制层向数据层的交换机下发请求连接，获取连接信息；get_flow_information()方法用于获取交换机中的流表信息；get_cyclical_flows()用于周期性的触发get_flow_information()方法，从OpenFlow交换机中获取流表信息。

统计信息格式转换模型：将收集到的流表统计信息进行格式转换处理；包含如下函数接口：

flow_format_conversion(switch_id，table_id，flow_info)

其内部实现了以下方法，其中，port_to_binarray()方法用于将流表信息中的端口号等字段转为二进制list格式；ip_to_binarray()方法用于将流表信息中的IP字段转为二进制list格式；text_to_array()方法用于将流表信息中的文本类型字段转为array类型。

特征提取模块：从经过格式转化转换后的数据信息中，提取或构建合适的流表特征，并进行维度重构；包含如下函数接口：

flow_features_extract(switch_id，table_id，convert_info)

其内部实现了以下方法，其中，direct_extraction_features()方法用于提取流表信息中的某些特征字段作为特征；manual_extraction_features()方法用于提取流表信息的计算结果，将其作为特征。

攻击检测模块：将特征提取模块所获得的特征做为深度学习模型的输入，判断出所对应的信息是否为攻击包对应流表项的信息；

攻击防御策略产生模块：提取标记为攻击类型的特征信息，将其格式进行还原，并进行记录，周期性查看记录，并生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量清洗。包含如下函数接口：

get_attack_features(switch_id，table_id，feature_info，result)

其内部实现了以下方法，其中，get_attack_info()方法用于收集卷积神经网络和堆栈自编码网络分类为攻击类型的特征，并将其转为二进制list格式；label_attack_info()方法用于对攻击类型的特征进行标记，在list后面追加一个分类标志位1。

extract_key_features(switch_id，table_id，feature_info，feature_id)

其内部实现了以下方法，其中，extrat_key_info()方法用于提取攻击类型的部分关键特征；inverse_key_info()方法用于对关键特征的格式进行逆操作，转为原格式。

manage_operate_database(feature_info，sql)

其内部实现了以下方法，其中，query_database()方法用于查询数据库中是否存在源IP地址(match.ipv4_src)特征对应的IP字段及其相关联的信息；insert_database()方法用于将关键特征信息***特征信息数据库中。

flow_operate_database(feature_info，sql)

其内部实现了以下方法，其中，query_database()方法用于查询数据库中是否存在攻击类型的特征；delete_database()方法用于定时清除对数据库中的特征。

generate_flows(feature_info)

该方法内部实现了generate_flows_with_action()方法用于将生成的drop类型的流表项下发到OpenFlow交换机。

Claims (7)

1.一种软件定义网络中的DDoS攻击防御装置，其特征在于，包括：流表统计信息收集模块、统计信息格式转换模块、特征提取模块、攻击检测模块和攻击防御策略产生模块：

流表统计信息收集模块：对所有OpenFlow交换机周期性收集每个流表项的统计信息；

统计信息格式转换模块：将流表统计信息收集模块收集到的流表项的统计信息进行格式转换处理，将布尔类型的数据(如TCP、UDP端口号等)转换为16bit的二进制序列存储，将IP地址转换为32bit的二进制序列存储，将文本类型通过词汇假设(Bag Of Word)方法转换；

特征提取模块，从经过统计信息格式转换模块格式转换后的数据信息中，将部分流表统计信息直接做为深度学习的部分输入特征{M}，同时依据流表统计信息手动构建部分输入特征{N}，并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构，构成新的深度学习输入特征{M，N}；

攻击检测模块，将特征提取模块所获得的特征做为深度学习模型的输入，判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息；

攻击防御策略产生模块，从数据库中提取标记为攻击类型的特征信息，将其格式进行还原，并进行记录，周期性查看记录，生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量的清洗。

2.根据权利要求1所述的一种软件定义网络中的DDoS攻击防御装置，其特征在于，所述特征提取模块中的输入特征{M}包括：持续时间，每条流中数据包数量，每条流中数据包比特数，匹配的以太网类型，匹配的以太网目的地址，匹配的以太网源地址，匹配的入端口，优先级，匹配的源IP，匹配的目的IP，匹配的UDP目的端口，匹配的UDP源端口，匹配的TCP目的端口，匹配的TCP源端口，空闲超时，匹配的IP协议，Cookie，表ID，严格超时，动作；输入特征{N}包括：单流增长速率Grsf，不同端口增长速率Grdp，流表平均数据包量Appf，流表平均比特数Apbf，流量平均持续时间Adpf；

单流增长速率：

<mrow> <mi>G</mi> <mi>r</mi> <mi>s</mi> <mi>f</mi> <mo>=</mo> <mfrac> <mrow> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <mi>f</mi> <mi>l</mi> <mi>o</mi> <mi>w</mi> <mo>_</mo> <msub> <mi>nums</mi> <mi>T</mi> </msub> </mrow> </msubsup> <mi>n</mi> <mi>u</mi> <mi>m</mi> <mi>s</mi> <mo>_</mo> <mi>sin</mi> <mi>g</mi> <mi>l</mi> <mi>e</mi> <mo>_</mo> <mi>f</mi> <mi>l</mi> <mi>o</mi> <mi>w</mi> <mi>s</mi> </mrow> <mi>T</mi> </mfrac> </mrow>

其中flow_nums_T为在时间周期T内采集的流表数量，T为采集周期，nums_single_flows为每个周期T内采集到的流表中，单流的数量；

不同端口增长速率：

<mrow> <mi>G</mi> <mi>r</mi> <mi>d</mi> <mi>p</mi> <mo>=</mo> <mfrac> <mrow> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <msub> <mi>flow</mi> <mrow> <msub> <mi>nums</mi> <mi>T</mi> </msub> </mrow> </msub> </mrow> </msubsup> <msub> <mi>nums</mi> <mrow> <msub> <mi>different</mi> <mrow> <mi>p</mi> <mi>o</mi> <mi>r</mi> <mi>t</mi> <mi>s</mi> </mrow> </msub> </mrow> </msub> </mrow> <mi>T</mi> </mfrac> </mrow>

其中flow_nums_T为在时间周期T内采集的流表数量，T为采集周期，nums_different_ports为每个周期T内采集到的流表中，有不同端口号的流表数量；

流表平均数据包量：

<mrow> <mi>A</mi> <mi>p</mi> <mi>p</mi> <mi>f</mi> <mo>=</mo> <mfrac> <mrow> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <mi>f</mi> <mi>l</mi> <mi>o</mi> <mi>w</mi> <mo>_</mo> <msub> <mi>nums</mi> <mi>k</mi> </msub> </mrow> </msubsup> <msub> <mi>pcount</mi> <mi>i</mi> </msub> </mrow> <mrow> <mi>f</mi> <mi>l</mi> <mi>o</mi> <mi>w</mi> <mo>_</mo> <msub> <mi>nums</mi> <mi>k</mi> </msub> </mrow> </mfrac> </mrow>

其中flow_nums_k为采集的所有流表中，第k种流表的数量，pcount_i为每条流表中的数据包数量；

流表平均比特数：

<mrow> <mi>A</mi> <mi>p</mi> <mi>b</mi> <mi>f</mi> <mo>=</mo> <mfrac> <mrow> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <mi>f</mi> <mi>l</mi> <mi>o</mi> <mi>w</mi> <mo>_</mo> <msub> <mi>nums</mi> <mi>k</mi> </msub> </mrow> </msubsup> <msub> <mi>bcount</mi> <mi>i</mi> </msub> </mrow> <mrow> <mi>f</mi> <mi>l</mi> <mi>o</mi> <mi>w</mi> <mo>_</mo> <msub> <mi>nums</mi> <mi>k</mi> </msub> </mrow> </mfrac> </mrow>

其中flow_nums_k为采集的所有流表中，第k种流表的数量，bcount_i为每条流表中的数据包比特大小；

流量平均持续时间:

<mrow> <mi>A</mi> <mi>d</mi> <mi>p</mi> <mi>f</mi> <mo>=</mo> <mfrac> <mrow> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <mi>f</mi> <mi>l</mi> <mi>o</mi> <mi>w</mi> <mo>_</mo> <msub> <mi>nums</mi> <mi>k</mi> </msub> </mrow> </msubsup> <msub> <mi>durations</mi> <mi>i</mi> </msub> </mrow> <mrow> <mi>f</mi> <mi>l</mi> <mi>o</mi> <mi>w</mi> <mo>_</mo> <msub> <mi>nums</mi> <mi>k</mi> </msub> </mrow> </mfrac> </mrow>

其中flow_nums_k为采集的所有流表中，第k种流表的数量，durations_i为每条流表的持续时间。

3.根据权利要求1所述的一种软件定义网络中的DDoS攻击防御装置，其特征在于，所述攻击检测模块包括：

卷积神经网络模型检测模块：对输入的特征进行学习和分类，判断是否为攻击类型特征；若是，则将该类型的特征标记为攻击类型；如果将输入特征判断为正常类型特征，由于卷积神经网络模型检测模块能力的局限性，这些正常的特征中可能混杂着攻击特征，将这些特征信息送入堆栈自编码模型检测模块中再进一步的分析；

堆栈自编码模型检测模块：对经过卷积神经网络模型检测模块判断为正常类型的特征进行检测；若判断结果为正常类型，则将该类型的特征标记为正常类型；否则，标记为攻击类型。

4.根据权利要求3所述的一种软件定义网络中的DDoS攻击防御装置，其特征在于，所述卷积神经网络模型检测模块中，已训练的卷积神经网络模型包含三个卷积层ConvolutionLayer和两个池化层Max Pooling Layer及两个全连接层Fully Connected Layer；输入的流表特征向量，经过第一层卷积层Convolution之后，提取出更加抽象的高维度特征，然后对这些特征进行批标准化处理，让模型学习到数据的分布特征，再经过第二层最大池化层Max Pooling后，依次再经过第三层卷积层，再将第三层卷积层抽象后的特征进行批标准化处理，再经过第四层最大池化层、第五层卷积层之后，得到能够准确表示流表特征的更高维度的特征向量，将这些高维特征向量输入到全连接层。

5.根据权利要求3所述一种软件定义网络中的DDoS攻击防御装置，其特征在于，所述堆栈自编码模型检测模块中，堆栈自编码模型具体为：流表特征向量经过第一个自编码模型的学习后，在其隐藏层中得到压缩后的抽象化特征，将第一个自编码模型的隐藏层作为第二个自编码模型的输入层，经过第二个自编码模型的学习后，在其隐藏层中得到进一步压缩后的更加抽象化特征，再将第二个自编码模型的隐藏层作为第三个自编码模型的输入层，第三个自编码模型的隐藏层作为第四个自编码模型的输入。

6.根据权利要求1所述的一种软件定义网络中的DDoS攻击防御装置，其特征在于，所述攻击防御策略产生模块包括：特征格式还原模块、数据库和流表产生模块；

特征格式还原模块：对攻击类型流表特征进行格式转化，对其进行逆操作，转为其原格式；例如将32bit的二进制序列存储的IP地址转为原格式；

数据库：用于记录经过特征格式还原模块处理之后的攻击类型流表信息；

流表产生模块：周期性查看数据库记录，并生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量清洗。

7.一种软件定义网络中的DDoS攻击防御方法，其特征在于，包括如下步骤：

步骤1：流表统计信息收集模块周期性地收集所有OpenFlow交换机内的所有流表项的统计信息，并将收集到的信息交由统计信息格式转换模块进行处理；

步骤2：统计信息格式转换模块对收集到的流表项的统计信息进行格式转换处理，将布尔类型的数据转换为16bit的二进制序列存储，将IP地址转换为32bit的二进制序列存储，将文本类型通过词汇假设方法转换，将格式转换后的数据信息交给特征提取模块；

步骤3：特征提取模块从经过格式转化转换后的数据信息中，将部分流表统计信息直接做为深度学习的部分输入特征{M}，同时依据流表统计信息手动构建部分输入特征{N}，并将直接获取的输入特征和手动构建的输入特征进行合并及维度重构，构成新的深度学习输入特征{M，N}，然后将特征{M，N}送入攻击检测模块进行检测；

步骤4：攻击检测模块将特征提取模块所获得的特征做为深度学习模型的输入，判断出经过模型检测所对应的信息是否为攻击包对应流表项的信息，将分类结果交由攻击防御策略产生模块处理；

步骤5：攻击防御策略产生模块，从数据库中提取标记为攻击类型的特征信息，将其格式进行还原，并进行记录，周期性查看记录，生成drop类型的流表项下发到OpenFlow交换机，实现对攻击流量的清洗。