CN106357622A - 基于软件定义网络的网络异常流量检测防御系统 - Google Patents

Abstract

基于软件定义网络的网络异常流量检测防御系统，软件定义网络与传统网络对异常流量的检测方法大有不同，使得传统的检测方法不再适用，通过运用网络控制平面和数据平面分离的思想,软件定义网络为研发网络新应用和处理网络安全问题提供了新的解决方案。本发明利用软件定义网络架构的集中控制等特点，在攻击的源头实现流量实时监控，使用源IP防伪，接入层异常检测，链路流量异常检测形成多重防御体系，逐渐过滤异常流量，实现网络层DDoS攻击在源端的检测和防御。

Description

基于软件定义网络的网络异常流量检测防御系统

技术领域

本发明主要涉及网络异常流量的检测与防御，尤其涉及DoS/DDoS攻击的检测与防御。

背景技术

针对传统网络架构，研究者截止目前已经提出了大量的DDoS攻击检测方法，而基于OpenFlow的SDN技术主要是基于流规则进行数据转发，目前已有部分基于流的攻击检测方法。

肖佩瑶,毕军.基于OpenFlow架构的域内源地址验证方法[J].小型微型计算机系统,2013,34(9):1999-2003提出基于路由的检测算法，但当随机流发出时，控制器为每个流做出转发路径分析，下发流表项，影响了控制器的性能。

刘勇,香丽芸.基于网络异常流量判断DoS/DDoS攻击的检测算法[J].吉林大学学报(信息科学版),2008,03:313-319.通过对攻击发生时网络流量变化特性进行分析，提出基于流量波动的检测算法。但在传统网络构架下，分散而封闭的控制平面并不能实时阻断异常流量。

左青云,陈鸣,王秀磊,刘波.一种基于SDN的在线流量异常检测方法[J].西安电子科技大学学报,2015,01:155-160.对LakhinaA,CrovellaM,DiotC.Diagnosing Network-wide Traffic Anomalies[C]Proceedings ofthe ACMSIGCOMM.NewYork:ACM,2004:219-230.进行了改进，在主成分分析法分析时加入了异常流量特征熵，大幅降低了误报率。但目前没有控制器提供IP对的查询API，所以要大量查询流表项，在检验算法中进行统计。IP数量非常多时，算法用时将不可容忍。

发明内容

本发明的目的在于针对软件定义网络下检测与防御办法不实用，无法产品化做出改进。

为实现上述目的，本发明采用的技术方案为基于软件定义网络的网络异常流量检测防御系统，该系统在控制器中内建源IP地址防伪模块，通过源IP防伪模块与DHCP模块的实时交互实现IP地址的动态绑定，实现源IP防伪。利用控制器提供的API编写接入层异常检测与链路流量异常检测，两个算法通过对正常流量的学习建立正常模型。接入层异常检测会通过算法判断用户是否发起泛洪攻击，对异常交换机端口进行限制，阻断异常流量。链路流量异常检测主要在网络的中间节点对网络整体信息进行算法检测，对出大范围的分布式攻击又良好的检测效果。三方面整体实现异常流量的检测与防御。

在传统网络中DDoS攻击已经成为主要威胁之一，攻击技术不断发展，致使DDoS攻击的防御难度日益加大，国外商用防御产品价格昂贵，且不是自主可控的。软件定义网络(software-definednetworking,SDN)体系架构的出现为DDoS攻击的检测和防御方法提供了新的方向。SDN在减轻DDoS攻击方面有巨大潜力，然而，SDN本身也存在安全问题。其本身也可能是DDoS攻击的目标。

因此本系统利用SDN架构的集中统一控制等特点，实现流量实时监控，采用定义差分方差为测度在接入层检测异常流量，以及采用统计学多元统计分析算法在链路中发现接入层漏检的异常流量，通过控制器和DHCP服务器实时通信，下发策略到SDN交换机端口进行限速和阻止伪造源IP地址，实现了网络层DDoS攻击的检测和防御。具体内容如下：

(1)基于差分方差的接入层流量异常检测技术

本系统采用基于差分方差为测度在接入层针对DDoS攻击的异常流量进行检测。此算法主要利用已知的正常历史流量数据对某一时刻采集到的流量进行判断是否属于异常，这里的历史数据不是将流量数据全部都统计下来，而是通过该时刻之前的有限个流量数据进行判断，再者，此处提到的有限个历史数据也不同与一般的统计历史数据，这里的历史数据仅仅通过一个变量来体现，这个变量即是该时刻之前有限个数据的均值，而这个均值每次都是迭代进行计算得到的，因此计算中仅仅用到一个均值变量。算法采用差分方差来判断流量的变化趋势，根据当前时刻之前的流量趋势来判断当前时刻的流量是否属于异常，当在某时刻出现流量陡增时(尽管此时该流量没有达到流量上限)属于异常情况发出报警，若某时刻的流量变化趋势和该时刻之前的流量变化趋势不大则属于正常流量。

(2)基于统计学多元统计分析算法的链路流量异常检测技术

接入层流量监测有效的阻断了单端口的流量骤然突变的攻击，但是对于缓慢的平滑的增长而逐渐接近阈值的DDoS攻击方法，差分方差算法有可能会出现漏报情况，因此在链路上采用基于统计学多元统计分析算法进行异常检测，可以作为有效的补充。利用多元统计分析中的主成分分析法，设置确定的累积贡献率，将链路上的流量分成不同的子空间。累积贡献率在85％以上的前k个主成分特征向量构成正常子空间，并将真实的流量映射到正常子空间，称为正常模型流量。剩余的主成分特征向量构成异常子空间，将真实流量映射在异常子空间，称为残差流量模型。在残差流量模型中设置阈值，当残差值的变化量超过某个阈值时，认为存在流量异常。

(3)基于SDN架构的源IP地址防伪技术

源IP地址伪造会使多种DDoS攻击成为可能，并有效的隐藏了攻击者。是攻击中最常用地手段。

阻止伪造源地址：DHCP获取IP的用户与配置静态IP的用户通过控制器对接入层端口的监控，下发只允许其合法IP通过的流表项，当用户发送伪造源IP地址的数据包时，会直接被交换机所丢弃。

系统部署如下：

Controller控制器，本系统中的控制器为FloodLight控制器。

OFSwitch为支持OpenFlow协议的交换机。

OpenFlow协议：是控制器Controller和交换机OFSwitch之间进行通信的规则。

OFSwitch中存放流表项(FlowTable)，这些流表项用来实现网络中设备的通信。

本系统中应用层需要控制器Controller的帮助来实现对交换机OFSwitch信息采集，实现过程就是应用层通过Controller向上提供的API接口来操作控制器Controller告诉控制怎么做，告诉控制器对交换机进行信息采集，信息采集主要是对交换机端口数据流量的采集。

应用层采集到数据之后执行应用层的两个模块接入层检测模块和链路异常检测模块，这两个模块执行后判定网络是否出现异常。

当应用层的两个检测模块判断出现异常后，告诉控制器向交换机下发流表项阻断异常端口的通信。

应用层的两个模块通知控制器使用API完成，而控制器下发流表项到OpenFlow交换机OFSwitch也即是告诉OFSwitch把异常端口关闭不要让它通信，控制器完成这个功能使用的是控制器和OFSwitch之间的通信协议OpenFlow协议来实现。

与现有技术相比较，本发明具有如下有益效果。

采用以上方案，可以做到软件定义网络构架下异常流量的检测与防御，并有良好的使用性，不会带来可用性的问题。

附图说明

图1为本发明的设计框架图。

具体实施方式

启动控制器，此时IP防伪模块即开始工作，为通过DHCP服务与配置静态IP接入网络的用户进行IP绑定。打开接入层检测与链路异常检测模块，此时两个模块会开始进行流量学习。计算正常的流量标准与流量变化阈值。算法会每过一段时间进行数据采集计算流量的变化，用变化值与相应算法的异常判断标准做比较。显示结果，便于管理员发现，并部分阻断攻击流量。

1阻止源伪造IP地址

1设计思想

在DDoS攻击中攻击源地址有效性分为真实源地址和伪造源地址，伪造源IP地址会占用服务器不必要的连接带宽，消耗服务器的资源，在SDN构架下控制器对每台交换机统一控制，可以利用此优势，实现动态的接口与IP的绑定。

2设计描述

用户获取IP地址的途径有两种：一是使用DHCP服务，二是配置静态IP。首先在控制器启动时向交换机各端口插入一条将数据发往控制器的流表项,以保证接入网络即对其监控,然后对两种获取IP方式分别处理。

①DHCP：客户端通过DHCP ACK获取到IP地址记为S，删除发往控制器流表项，同时下发连接客户端的交换机接入端口仅允许S源地址通过的流表项。

②静态IP：控制器中设置了两个域，一个为端口控制域，存储已经被管控的端口，另一个是交换机连接域，存储交换机相连接的端口，不对这部分端口进行绑定，当数据包从某一接入端口发送到控制器进行解析时，分析源地址S，删除发往控制器流表项，并下发此端口仅允许S源地址通过的流表项。

当客户端发送DHCP Release或交换机端口失去连接时，删除上述防伪流表项。重新插入此端口发往控制器的流表项，恢复到初始状态。

3重要源代码分析

流表操作：

2接入层网络异常流量检测

1设计思想

当泛洪DoS/DDoS攻击发生时，攻击者发送大量连接导致拒绝正常服务，此时，到达主机的流量表现出与正常流量不同的统计特征。正常情况下，流量波动较大，且流量均值小于饱和状态；而受到DoS/DDoS攻击时，流量出现两个显著特点：流量发生增大，然后在一段时间内趋于平稳，即呈现高平台性。结合统计量描述，即流量测量值远大于流量的整体平均值，且流量的方差在异常流量后的局部范围内呈现减小的趋势。因此，可以采用差分方差为测度在接入层检测异常流量。

2算法设计

差分方差算法的计算说明：

X(i)为i时刻流量实际值，为序列X(i)的期望值，令dx为序列X的差分序列，即对任意i>1，均有d(i)＝X(i)-X(i-1)。

$\begin{array}{c}{d}_{mean}=\frac{1}{t-1}\underset{i=2}{\overset{t}{\Σ}}d\left(i\right)=\frac{1}{t-1}\underset{i=2}{\overset{t}{\Σ}}\left(X\right(i)-X(i-1\left)\right)\\ =\frac{1}{t-1}\underset{i=2}{\overset{t}{\Σ}}\[(X\left(2\right)-X\left(1\right)+X\left(3\right)-X\left(2\right)\mathrm{.....}X\left(t\right)-X\left(t-1\right)\]\\ =\frac{1}{t-1}\left(X\right(t)-X(1\left)\right)\end{array}$

t→∞,d_mean→0为简便计算dmean看作为0。

t时刻的差分方差：

$d_{\mathrm{var}}\left(t\right)=\frac{1}{t-1}\underset{i=2}{\overset{t}{\Σ}}{\left(d\right(i)-d_{mean})}^2=\frac{1}{t-1}\underset{i=2}{\overset{t}{\Σ}}d{\left(i\right)}^2=\frac{1}{t-1}\underset{i=2}{\overset{t}{\Σ}}{\left(X\right(i)-X(i-1\left)\right)}^2$

统计量说明：

由于对算法实时性的要求，各项统计量均采用递推方式完成。假设在t时刻，原始流量为C(t)，整体均值(所有i≤t时刻c(i)的均值)为c_mean(t)。则

$c_{mean}\left(t\right)=\frac{1}{t}\left(\right(t-1\left)c_{mean}\right(t-1)+C(t\left)\right)$

t时刻的差分方差：z(t)为t时刻的差分。

$d_{\mathrm{var}}\left(t\right)=\frac{1}{1-1}\left(\right(t-2\left)d_{\mathrm{var}}\right(t-1)+z{\left(t\right)}^2)$

为了衡量流量大小借鉴模糊数学中的“隶属函数”概念，u(t)来衡量t时刻流量的大小。

$u\left(t\right)=\left\{\begin{array}{cc}0& \left(C\right(t)<{\mathrm{lc}}_{mean}(t\left)\right)\\ \frac{C\left(t\right)}{(h-l)c_{mean}\left(t\right)}-\frac{l}{h-l}& \left(C\right(t)\&Element;\&lsqb;{\mathrm{lc}}_{mean}(t),{\mathrm{hc}}_{mean}(t)\&rsqb;\\ 1& (C\left(t\right)>{\mathrm{hc}}_{mean}\left(t\right)\end{array}\right.$

其中，lc_mean(t)表示流量“大”的下限，当流量小于平均流量的l倍时，流量不大，即流量隶属于“大”的程度为0，区间[lc_mean(t),hc_mean(t)]的意义是当流量C(t)属于这个区间时，认为流量“大”的程度，由函数倍时，流量很大，即流量隶属于“大”的程度为1。在应用中，参数l和h应该根据实际网络情况定义，如根据长期网络流量的采集数据而定。

3攻击判断

根据u(t)的定义，认为当u(t)＝0时没有攻击发生，如果t时刻u(t)>0，可能是攻击的开始，此时启动攻击判定过程，以确认攻击的发生。

算法描述如下，有两个预定义的变量：

(1)c代表主机能承受的流量上限，如缓冲区的大小；i表示检测周期；对检测周期中的每个时间段t，A(t)代表该时间段的攻击强度；参数a和s配合决定何时报警。

(2)令s为小于ic/C(t)的最大整数。判定过程启动后，a按下面的规则计算：

(3)如果攻击强度增加(A(t)≥A(t一1))，a自增1，否则自减1；如果a的值达到或超过s，则报警。把小于等于ic/C(t)的最大整数赋值给s，如果发生大流量的脉冲攻击或闪电拥塞，C(t)会极大(超过ic)，导致s为0，立即报警。

(4)当u(t)>0时，流量隶属于“大”，说明发生了流量突增，可能是攻击的开始，i增加1。如果it时刻差分方差相对t-1时刻变大或不变，则说明流量波动程度没有降低，有两种可能引起流量波动：流量增大时,u(t)≥u(t-1)，攻击的可能性增大，u(t)取值较大者，即u(t)；流量减小时，u(t)<u(t-1)，攻击的可能性减小，u(t)取值较小者，也为u(t)；如果差分方差变小，说明流量趋于平稳，攻击的可能性增大，因此A(t)取值较大者。如果流量不隶属于“大”，将a赋值为0，程序进入下个检测周期。

(5)当a≥s和A(t)≥A(t一1)同时发生时，说明攻击的可能性在s个周期内持续增加或保持不变，而且这种可能仍有增加趋势，所以发出报警；

(6)如果a≥s，而A(t)<A(t一1)，说明尽管攻击的可能性已经增加或维持了一段时间，并在t时刻有所下降，因此程序继续观察，等待进一步确认。

根据对统计量的递推和判断过程，t时刻需要的数据只有C(t-1)，c_mean(t-1)，d_var(t-1),u(t-1)和A(t一1)，而C(t)，c_mean(t)，d_var(t),u(t)和A(t)被存储，供下一个检测周期使用。

4重要源代码分析

核心函数设计：

1.GetFlowCookieByname(controllerIP,flowname,switchid)

//通过流表的名称获取该流表对应的cookie值，流表的名称全局唯一。

2.GetFlowPacketCountBycookie(ControllerIP,switchId,flowcookie)

//通过流表cookie值获取获取该流表匹配的数据包数量，cookie值全局唯一。

3.Init(controllerIP,switchId,port)

//初始化函数，采集初始正常流量数据，进行初始统计量的计算为后续算法做准备。

4.GetPacket(controllerIP,switchId,port)

//算法执行过程中实时采集交换机端口流量数据，将数据传递给异常检测算法。

5.FlowControl(Ct,t)

//核心函数，执行异常流量判断并报警做出相关策略的函数，策略为(下发流量阻断攻击)。

6.DrawFlowState(Ct,t)

//更加流量数据图形显示流量状态信息

核心算法实现源码：

5算法应用

上层应用程序执行异常流量检测算法，执行算法的前提是先采集各交换机端口的流量信息，采集方式是通过调用控制器提供的API接口实现实时查看和统计交换机端口的流量数据，根据数据样本执行算法，再根据算法执行结果做出决策。本次测试模拟的决策是通过调用控制器提供的API接口下发流表让交换机丢弃异常数据包不再往目标主机发送，避免目标主机遭受DDoS攻击。

(1)基于FloodLight控制器开发的接入层异常检测模块实时监控主机的通信数据流量。

(2)根据采集到的主机的实时流量数据进行判断是否出现异常。

(3)若判断出现异常则接入层异常检测模块通知FloodLight控制下发流量项进行阻断该端口通信。该端口为OpenFlow交换机和主机相连的端口。

(4)继续监视异常主机的流量数据，若主机回归正常则删除阻断通信的流表项让主机回到正常状态。

3链路异常流量检测

1设计思想

接入层流量监测有效的阻断了单端口的流量骤然突变的攻击，但是相对于一个偌大的网络，很可能存在大量的傀儡主机，由于检测算法的不完美，如果傀儡机采用发包速率缓慢的平滑的增长而逐渐接近阈值的方法来提高流量，就会让检测模块陷入沉默，因此提出一种“放大”的思想。链路放大效应：假设在一个只有100台主机的网络中，每个主机的发包速率提高10，每个端口的速率只增加10，这对于在接入层监控算法是很不敏感的，但是在连接这个网络的链路上，链路的负载增加就可能是1000。考虑到这个特点，通过流量矩阵来描述网络流量的大小，并且尽可能的涵盖多条链路或者路径，保证能够捕捉到链路流量激增的异常。

尽管从考虑单一主机到链路，数据的维度降低了很多，但是在一个中小型网络中，依然是存在这很多的节点和链路。因此考虑引入多元统计分析中常用的主成分分析法，对数据进行处理，并且设定阈值，判断是否存在异常。

2设计描述

定义：

流量矩阵，流量矩阵是指每个交换机节点之间的流量大小。即openflow交换机之间的链路流量(即SS对)。定义流量矩阵X为一个t×p维的矩阵，t是样本数(即每个采样周期)，p为SS对的数量，x_ij则表示第i个样本，第j个SS对的流量大小。

流量异常检测组件：

流量信息收集模块：由于控制器使用了相对成熟的floodlight，floodlight提供了一些可用的北向接口restAPI,由于这些API是以网址的形式给出的因此，利用python实现了一个脚本，定期自动的调用这些API采集流量信息，并且计算处理，每一个采集的时间间隔就是前面所定义的采样周期。流量收集模块将收集到的流量信息，共享给矩阵生成模块。

矩阵生成模块：对流量信息收集模块获取的数据进行处理，根据情况生成流量矩阵。为了保证在线流量异常检测方法在线处理方式的实时有效性和轻量级开销,输入流量应该分为训练阶段和检测阶段,即滑动窗口最初输入的矩阵应该为正常流量,随后将最新检测阶段的数据逐渐添加到滑动窗口中，t的大小应在保证检测结果有效和尽量减小计算开销的前提下取折中。

主成分分析法异常检测模块：

子空间构建:

对于输入的t×p维流量矩阵X应用主成分分析方法取前k个主成分特征值，使得累计贡献率在85％以上，则前k个主成分特征向量构成了p×k维子空间s，而剩余的p-k个主成分特征向量构成了p×(p-k)维子空间s'。由于矩阵X中的正常特征行为将保留在前k个主成分构成的子空间s中,因此异常行为将会映射到s'中。

在构建好s和s'后，将矩阵x向这两个子空间进行投影。将正常子空间s中的，k个特征向量组成的p×k维矩阵记为P，设x'为x在正常子空间的投影，正常模型流量。设x”为x在异常子空间的投影，残差流量模型。

$\left\{\begin{array}{c}{x}^{\&prime;}=P{P}^{T}x\\ x^{\&prime;\&prime;}=(E-P{P}^T)x\end{array}\right.$

在对某个周期获取到的数据向量x进行处理后，若这个测量周期发生了网络异常，则残差流量x”中的值与未发生网络异常的测量周期的残差流量值有所区别。这是因为残差流量主要是由各种异常行为引起的。

通过当前周期计算阈值，在下一个周期中残差值的变化量大于此阈值是，发出报警。

3分步骤描述

1、对于t×p维流量矩阵X应用主成分分析方法计算特征值与特征向量，使前k个主成分特征值和达到所有主成分特征值和的85％

2、前k个主成分特征向量构成正常子空间s，剩余的p-k个主成分特征向量则构成异常子空间s’

3、将流量矩阵X向这两个子空间进行投影。正常子空间s中的k个特征向量组成的矩阵记为P，矩阵各列的平均值组成向量记为x

4、设x在正常子空间的投影为模型流量x′＝PP^Tx

设x在异常子空间的投影为残差流量x″＝(E-PP^T)x

5、剩余的p-k个主成分特征值计算动态阈值

$Q_{\mathrm{\&alpha;}}={\mathrm{\&theta;}}_1{\&lsqb;\frac{c_{\mathrm{\&alpha;}}{\left(2{\mathrm{\&theta;}}_2{h}_0^2\right)}^{1/2}}{{\mathrm{\&theta;}}_1}+1+\frac{{\mathrm{\&theta;}}_2{h}_0(h_0-1)}{{\mathrm{\&theta;}}_1^2}\&rsqb;}^{1/h_0}$

6、残差值变化量Δd＝(||x″_t-1||-||x″_t||)

7、当Δd²＞Q_α时，报警

4重要源代码分析

Claims (2)

1.基于软件定义网络的网络异常流量检测防御系统，其特征在于：该系统在控制器中内建源IP地址防伪模块，通过源IP防伪模块与DHCP模块的实时交互实现IP地址的动态绑定，实现源IP防伪；利用控制器提供的API编写接入层异常检测与链路流量异常检测，两个算法通过对正常流量的学习建立正常模型；接入层异常检测会通过算法判断用户是否发起泛洪攻击，对异常交换机端口进行限制，阻断异常流量；链路流量异常检测主要在网络的中间节点对网络整体信息进行算法检测，对出大范围的分布式攻击又良好的检测效果；三方面整体实现异常流量的检测与防御；

采用定义差分方差为测度在接入层检测异常流量，以及采用统计学多元统计分析算法在链路中发现接入层漏检的异常流量，通过控制器和DHCP服务器实时通信，下发策略到SDN交换机端口进行限速和阻止伪造源IP地址，实现了网络层DDoS攻击的检测和防御；具体内容如下：

(1)基于差分方差的接入层流量异常检测技术

本系统采用基于差分方差为测度在接入层针对DDoS攻击的异常流量进行检测；此算法主要利用已知的正常历史流量数据对某一时刻采集到的流量进行判断是否属于异常，这里的历史数据不是将流量数据全部都统计下来，而是通过该时刻之前的有限个流量数据进行判断，再者，此处提到的有限个历史数据也不同与一般的统计历史数据，这里的历史数据仅仅通过一个变量来体现，这个变量即是该时刻之前有限个数据的均值，而这个均值每次都是迭代进行计算得到的，因此计算中仅仅用到一个均值变量；算法采用差分方差来判断流量的变化趋势，根据当前时刻之前的流量趋势来判断当前时刻的流量是否属于异常，当在某时刻出现流量陡增时属于异常情况发出报警，若某时刻的流量变化趋势和该时刻之前的流量变化趋势不大则属于正常流量；

(2)基于统计学多元统计分析算法的链路流量异常检测技术

接入层流量监测有效的阻断了单端口的流量骤然突变的攻击，但是对于缓慢的平滑的增长而逐渐接近阈值的DDoS攻击方法，差分方差算法有可能会出现漏报情况，因此在链路上采用基于统计学多元统计分析算法进行异常检测，作为有效的补充；利用多元统计分析中的主成分分析法，设置确定的累积贡献率，将链路上的流量分成不同的子空间；累积贡献率在85％以上的前k个主成分特征向量构成正常子空间，并将真实的流量映射到正常子空间，称为正常模型流量；剩余的主成分特征向量构成异常子空间，将真实流量映射在异常子空间，称为残差流量模型；在残差流量模型中设置阈值，当残差值的变化量超过某个阈值时，认为存在流量异常；

(3)基于SDN架构的源IP地址防伪技术

源IP地址伪造会使多种DDoS攻击成为可能，并有效的隐藏了攻击者；是攻击中最常用地手段；

阻止伪造源地址：DHCP获取IP的用户与配置静态IP的用户通过控制器对接入层端口的监控，下发只允许其合法IP通过的流表项，当用户发送伪造源IP地址的数据包时，会直接被交换机所丢弃。

2.根据权利要求1所述的基于软件定义网络的网络异常流量检测防御系统，其特征在于：系统部署如下：

Controller控制器，本系统中的控制器为FloodLight控制器；

OFSwitch为支持OpenFlow协议的交换机；

OpenFlow协议：是控制器Controller和交换机OFSwitch之间进行通信的规则；

OFSwitch中存放流表项，这些流表项用来实现网络中设备的通信；

本系统中应用层需要控制器Controller的帮助来实现对交换机OFSwitch信息采集，实现过程就是应用层通过Controller向上提供的API接口来操作控制器Controller告诉控制怎么做，告诉控制器对交换机进行信息采集，信息采集主要是对交换机端口数据流量的采集；

应用层采集到数据之后执行应用层的两个模块接入层检测模块和链路异常检测模块，这两个模块执行后判定网络是否出现异常；

当应用层的两个检测模块判断出现异常后，告诉控制器向交换机下发流表项阻断异常端口的通信；

应用层的两个模块通知控制器使用API完成，而控制器下发流表项到OpenFlow交换机OFSwitch也即是告诉OFSwitch把异常端口关闭不要让它通信，控制器完成这个功能使用的是控制器和OFSwitch之间的通信协议OpenFlow协议来实现。