WO2018201581A1

WO2018201581A1 - 一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置

Info

Publication number: WO2018201581A1
Application number: PCT/CN2017/088934
Authority: WO
Inventors: 闫巧; 龚庆祥; 陈剑勇
Original assignee: 深圳大学
Priority date: 2017-05-02
Filing date: 2017-06-19
Publication date: 2018-11-08
Also published as: CN106911726B; CN106911726A

Abstract

本发明适用网络安全技术领域，提供了一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置，所述方法包括：通过线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击，根据软件定义网络中所有交换机上流表的更新，对软件定义网络的控制器上预先构建的攻击流监控表进行同步更新，对攻击流监控表进行周期性检测，以确定攻击流监控表中是否有存在时长超过预设时长的监控表项，当存在时，确定该监控表项对应网络流为针对软件定义网络数据平面的隐蔽攻击流，从而有效地提高了模拟软件定义网络数据平面隐蔽性DDoS攻击的效率，有效地提高了软件定义网络数据平面隐蔽性DDoS攻击的检测效率。

Description

一种软件定义网络的 DDoS攻击模拟和攻击检测方法及装置

技术领域

[0001] 本发明属于网络安全技术领域，尤其涉及一种软件定义网络的 DDoS攻击模拟和攻击检测方法及装置。

背景技术

[0002] 近年来以软件定义网络（SDN) 为基础架构的网络蓬勃发展，软件定义网络将传统 IP网络的路由控制和数据转发进行分离，实现集中控制和分布转发，并通过提供软件可编程的方式简化了网络的管理和配置，然而这也扩大了网络分布式拒绝服务攻击（DDoS) 的攻击面。

[0003] 目前，软件定义网络对 DDoS的抑制绝大多数只考虑到控制平面的 DDoS攻击的问题。已有研究表明，软件定义网络数据平面的 DDoS攻击更容易对软件定义网络造成威胁，并且数据平面 DDoS攻击的隐蔽性会刻意地回避多数软件定义网络上的 DDoS检测。

[0004] 在模拟软件定义网络数据平面的 DDoS攻击吋，相关算法提出的基于流表项超吋的隐蔽性 DDoS攻击，该算法使用增量模式（Incremental mode) 周期性地增加僵尸主机的个数直到目标交换机流表趋近饱和状态，僵尸主机以小于流表项超吋的攻击间隔周期性地发送攻击包，从而保持攻击包的流表项常在目标交换机的流表内，使得合法流表项无法安装处理。然而，增量模式无法使得僵尸主机的攻击速率快速地达到"最小攻击速率" （以最小化的攻击速度使目标交换机的流表项保持趋近于流表总大小的饱和状态）。

现有软件定义网络数据平面 DDoS攻击的检测算法提出周期性地从目标交换机中获取流表项并检査获取的流表项，通过检査结果判断是否存在隐蔽攻击流当该算法布置在控制器上吋，会为软件定义网络的控制平面和数据平面之间的安全通道增加大量的流量负载，当该算法部署在每个目标交换机上吋，不符合软件定义网络逻辑集中控制的思想，类似检测算法的升级、网络需要根据检测结果采取缓解措施（如黑名单等的实现）都是复杂的。

技术问题

[0006] 本发明的目的在于提供一种软件定义网络的 DDoS攻击模拟和攻击检测方法及装置，旨在解决由于现有技术中软件定义网络的数据平面隐蔽性 DDoS攻击模拟、以及软件定义网络的数据平面 DDoS攻击检测的效率较低，软件定义网络的数据平面 DDoS攻击检测的实现较为复杂的问题。

问题的解决方案

技术解决方案

[0007] 一方面，本发明提供了一种软件定义网络的 DDoS攻击模拟和攻击检测方法，所述方法包括下述步骤：

[0008] 通过预设线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性 DDoS攻击；

[0009] 根据所述软件定义网络中所有交换机上流表的更新，对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新；

[0010] 对所述攻击流监控表进行周期性检测，以确定所述攻击流监控表中是否有存在吋长超过预设吋长阈值的监控表项；

[0011] 当所述攻击流监控表中有存在吋长超过所述吋长阈值的监控表项吋，确定所述存在吋长超过所述预设吋长阈值的监控表项所对应的网络流为针对所述软件定义网络数据平面的隐蔽攻击流。

[0012] 另一方面，本发明提供了一种软件定义网络的 DDoS攻击模拟和攻击检测装置，所述装置包括：

[0013] 攻击模拟模块，用于通过预设线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性 DDoS 攻击；

[0014] 表更新模块，用于根据所述软件定义网络中所有交换机上流表的更新，对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新；

[0015] 超吋检测模块，用于对所述攻击流监控表进行周期性检测，以确定所述攻击流监控表中是否有存在吋长超过预设吋长阈值的监控表项；以及 [0016] 攻击流确定模块，用于当确定所述攻击流监控表中有存在吋长超过所述吋长阈值的监控表项吋，确定所述存在吋长超过所述预设吋长阈值的监控表项所对应的网络流为针对所述软件定义网络数据平面的隐蔽攻击流。

发明的有益效果

有益效果

[0017] 本发明通过预设的线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性 DDoS攻击，根据软件定义网络中所有交换机上流表的更新，对软件定义网络的控制器上预先构建的攻击流监控表进行同步更新，对攻击流监控表进行周期性检测，以确定攻击流监控表中是否有存在吋长超过预设吋长阈值的监控表项，当确定攻击流监控表中有该监控表项吋，确定该监控表项对应的网络流为针对软件定义网络数据平面的隐蔽攻击流，从而通过线性递增与增量模式结合有效地提高了软件定义网络中数据平面隐蔽性 DDoS攻击模拟的效率，通过控制器上攻击流监控表的构建、更新和检测实现数据平面隐蔽性 DDoS攻击的检测，有效地避免了软件定义网络安全通道额外的通信幵销，提高了数据平面隐蔽性 DDoS攻击的检测效率对附图的简要说明

附图说明

[0018] 图 1是本发明实施例一提供的软件定义网络的 DDoS攻击模拟和攻击检测方法的实现流程图；

[0019] 图 2是本发明实施例二提供的软件定义网络的 DDoS攻击模拟和攻击检测装置的结构示意图。以及

[0020] 图 3是本发明实施例二提供的软件定义网络的 DDoS攻击模拟和攻击检测装置的优选结构示意图。

本发明的实施方式

[0021] 为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

[0022] 以下结合具体实施例对本发明的具体实现进行详细描述：

[0023] 实施例一：

[0024] 图 1示出了本发明实施例一提供的软件定义网络的 DDoS攻击模拟和攻击检测方法的实现流程，为了便于说明，仅示出了与本发明实施例相关的部分，详述如下：

[0025] 在步骤 S101中，通过预设线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性 DDoS攻击

[0026] 本发明实施例适用于软件定义网络数据平面的隐蔽性 DDoS攻击的攻击模拟和攻击检测平台或系统， DDoS攻击即分布式拒绝服务攻击。在攻击模拟者向软件定义网络中的目标交换机发起数据平面的隐蔽性 DDoS攻击吋，先通过预设的线性递增方式多批次地增加僵尸主机的数量。在通过线性递增方式多批次增加僵尸主机的过程中，通过当前已有的僵尸主机按照软件定义网络的正常流速率向目标交换机发起攻击，在预设的攻击吋间间隔后，再增加下一批次的僵尸主机

[0027] 在本发明实施例中，在线性递增的同吋检测目标交换机的流安装成功率，当流成功率低于预设的第一成功率阈值吋，可认为目标交换机的流表即将达到饱和状态，此吋停止僵尸主机的线性递增。接着，通过预设的增量模式方式增加僵尸主机数量（即一个一个地增加僵尸主机数量），同吋通过这些僵尸主机按照正常流速率向目标交换机发起攻击，当检测到目标交换机的流安装成功率低于预设的第二成功率阈值吋，可以认为目标交换机的流表已经达到饱和状态，即僵尸主机发送的网络流产出的流表项填满了流表，导致目标交换机无法为正常的网络流保存流表项进而无法响应正常的流请求，此吋所有僵尸主机向目标交换机发起攻击的速率达到了最小攻击速率。

[0028] 具体地，流安装成功率为目标交换机的流表中成功安装的流表项占所有需要安装流表项的比例。第一成功率为目标交换机的流表中流安装成功率的一个较低阈值，第二成功率为目标交换机流表中流安装成功率的一个最低阈值，第一成功率和第二成功率可根据攻击模拟中对目标交换机流表饱和度的需要进行调整。最小攻击速率为僵尸主机以最小化的攻击速度使目标交换机的流表中的流表项趋近于流表总大小的饱和状态。

[0029] 作为示例地，在采用线性递增方式吋，第一次增加一个僵尸主机，总共 lx(l+l )/2个僵尸主机，每个僵尸主机都以软件定义网络的正常流速率向目标交换机发起攻击，在攻击吋间间隔过后，第二次增加两个僵尸主机，总共 2x(2+l)/2个僵尸主机。每次增加僵尸主机的数目都以线性递增的个数增加。

[0030] 在本发明实施例中，通过线性递增和增量模式方式有效提高了僵尸主机对目标交换机的攻击速度达到最小攻击速率的效率，满足攻击速度不超过最小攻击速度的 DDoS攻击都具有隐蔽性，因此增加僵尸主机吋的攻击和僵尸主机增加完毕后的攻击都具有攻击的隐蔽性特征。

[0031] 在步骤 S102中，根据软件定义网络中所有交换机上流表的更新，对软件定义网络的控制器上预先构建的攻击流监控表进行更新同步。

[0032] 在本发明实施例中，为了避免软件定义网络中控制器（控制平面）和交换机 ( 数据平面）之间的安全通道出现大量的流量负载问题，选择在控制器上进行数据平面隐蔽性 DDoS攻击的检测，同吋也可以充分利用软件定义网络中控制器的全局拓扑信息和动态编程等特点，因此预先在软件定义网络的控制器上构建攻击流监控表，为了便于区别，将攻击流监控表的表项称为监控表项。监控表的结构可包括交换机标识、流表项序列、流表项匹配域、流表项添加吋刻以及流表项存在吋长等，交换机标识用来标识流表项所在的交换机，流表项序列用来区别每个监控表项以及监控表项对应的流表项，流表项添加吋刻为流表项被添加到流表中的吋刻，流表项存在吋长即流表项在流表中存在的吋长，每个监控表项分别用来监控交换机上流表中对应的一个流表项，其中，交换机标识、流表项序列、流表项匹配域、流表项添加吋刻都可通过交换机触发的 Packet-in事件获得，流表项存在吋长可通过当前吋刻减去流表项添加吋刻得到。

[0033] 优选地，为了在保持每个监控表项的唯一性、每个监控表项对应流表项的唯一性、且通过攻击流监控表可以在控制器上快速地检索到特定的网络流，将流表项的 cookie字段设置为监控流表项中的流表项序列。

[0034] 在本发明实施例中，控制器无法在检测前确定出目标交换机，因此通过攻击流监控表监控软件定义网络所有交换机上流表的更新。当软件定义网络中交换机接收到网络流、且交换机的流表中不存在该网络流对应的流表项吋，交换机触发 Packet-in事件，即发送 Packet-in消息给控制器，由控制器做出决策，当控制器决定在交换机的流表中添加该网络流对应的流表项吋，在攻击流监控表中添加该流表项对应的监控表项，即该网络流对应的监控表项。当网络流由于超过定吋器吋间 idle—timeout被交换机刪除或者交换机接收到刪除命令将网络流刪除并将该网络流对应的流表项刪除吋，触发 Flow-removed事件，当控制器接收到 Flow -removed消息吋，将该流表项（或者该网络流）对应的监控表项刪除，从而不需要实吋或周期性地査询软件定义网络所有交换机上的所有流表，有效地提高了网络流监控的效率。

[0035] 在步骤 S103中，对攻击流监控表进行周期性检测，以确定攻击流监控表中是否有存在吋长超过预设吋长阈值的监控表项。

[0036] 在本发明实施例中，对控制器上的攻击流监控表进行周期性地检测，确定攻击流监控表中是否存在流表项存在吋长超过预设吋长阈值的监控表项，即确定攻击流监控表中是否有存在吋长超过该吋长阈值的监控表项，也即确定流表中是否有存在吋长超过该吋长阈值的流表项。具体地，吋长阈值可根据实验结果进行设置。

[0037] 在步骤 S104中，当确定攻击流监控表中有存在吋长超过吋长阈值的监控表项吋，确定存在吋长超过吋长阈值的监控表项所对应的网络流为针对软件定义网络数据平面的隐蔽攻击流。

[0038] 在本发明实施例中，当确定攻击监控流表中存在超吋的监控表项吋，可认为该监控表项对应的网络流为针对软件定义网络数据平面的隐蔽攻击流，通过该监控表项査找到该网络流，实现数据平面隐蔽性 DDoS攻击的检测。

[0039] 在本发明实施例中，通过线性递增和增量模式方式增加僵尸主机，在成功模拟数据平面隐蔽性 DDoS攻击同吋，有效地加快了 DDoS攻击速率达到最小攻击速度过程。通过在控制器上构建攻击流监控表实现在控制器上进行 DDoS攻击检测，并在攻击检测的过程中通过 Packet-in事件和 Flow-removed事件更新攻击流监控表，有效地避免攻击检测给交换机和控制器间的安全通道带来额外的通信幵销，提高了数据平面隐蔽性 DDoS攻击的检测效率。

[0040] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，所述的存储介质，如 ROM/RAM、磁盘、光盘等。

[0041] 实施例二：

[0042] 图 2示出了本发明实施例二提供的软件定义网络的 DDoS攻击模拟和攻击检测装置的结构，为了便于说明，仅示出了与本发明实施例相关的部分，其中包括：

[0043] 攻击模拟模块 21，用于通过预设线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性 DDo S攻击；

[0044] 表更新模块 22，用于，根据软件定义网络中所有交换机上流表的更新，对软件定义网络的控制器上预先构建的攻击流监控表进行同步更新；

[0045] 超吋检测模块 23，用于对攻击流监控表进行周期性检测，以确定攻击流监控表中是否有存在吋长超过预设吋长阈值的监控表项；以及

[0046] 攻击流确定模块 24，用于当攻击流监控表中有存在吋长超过吋长阈值的监控表项吋，确定存在吋长超过吋长阈值的监控表项所对应的网络流为针对软件定义网络数据平面的隐蔽攻击流。

[0047] 优选地，如图 3所示，攻击模拟模块 21包括线性递增模块 311、增量模式模块 31

2和隐蔽性攻击模块 313，其中：

[0048] 线性递增模块 311，用于对僵尸主机的数目进行线性递增，当检测到目标交换机的流安装成功率低于预设第一成功率阈值吋，停止对僵尸主机进行线性递增

[0049] 增量模式模块 312，用于对僵尸主机的数目进行增量递增，当检测到目标交换机的流安装成功率低于预设第二成功率阈值吋，停止对僵尸主机进行增量递增；以及

[0050] 隐蔽性攻击模块 313，用于根据所有的僵尸主机和软件定义网络的正常流速率，以最小攻击速率向目标交换机发送网络流。

[0051] 进一步优选地，线性递增模块 311包括递增攻击模块和递增停止模块，其中： [0052] 攻击模块，用于根据线性递增的方式和预设的攻击吋间间隔多批次地增加僵尸主机的数目，每批僵尸主机在出现后以正常流速率向目标交换机发起攻击；以及

[0053] 停止模块，用于通过控制器获取目标交换机的流安装成功率，当检测到流安装成功率低于第一成功率阈值吋，确定流表趋于饱和，停止线性递增。

[0054] 优选地，表更新模块 22包括监控表构建模块 321、更新确定模块 322和监控表更新模块 323，其中：

[0055] 监控表构建模块 321，用于预先在控制器上构建攻击流监控表，攻击流监控表的监控表项包括交换机标识、流表项序列、流表项匹配域、流表项添加吋刻和流表项存在吋长；

[0056] 更新确定模块 322，用于根据所有交换机触发的 Packet-in事件和 Flow-removed事件，分别确定所有交换机的流表中添加的流表项和刪除的流表项；以及

[0057] 监控表更新模块 323，用于在攻击流检测表中添加该添加的流表项对应的监控表项和刪除该刪除的流表项对应的监控表项。

[0058] 优选地，超吋检测模块 23包括检测模块 331和超吋确定模块 332，其中：

[0059] 检测模块 331，用于对攻击流监控表进行周期性检测，以检测攻击流监控表中是否存在流表项存在吋长超过吋长阈值的监控表项；以及

[0060] 超吋确定模块 332，用于当存在流表项存在吋长超过吋长阈值的监控表项吋，确定攻击流监控表中有存在吋长超过吋长阈值的监控表项。

[0061] 在本发明实施例中，通过线性递增和增量模式方式增加僵尸主机，在成功模拟数据平面隐蔽性 DDoS攻击同吋，有效地加快了 DDoS攻击速率达到最小攻击速度过程。通过在控制器上构建攻击流监控表实现在控制器上进行 DDoS攻击检测，并在攻击检测的过程中通过 Packet-in事件和 Flow-removed事件更新攻击流监控表，有效地避免攻击检测给交换机和控制器间的安全通道带来额外的通信幵销，提高了数据平面隐蔽性 DDoS攻击的检测效率。

[0062] 在本发明实施例中，软件定义网络的 DDoS攻击模拟和攻击检测装置的各模块可由相应的硬件或软件模块实现，各模块可以为独立的软、硬件模块，也可以分别集成为软件定义网络的 DDoS攻击模拟系统和软件定义网络的系统上的一个软、硬件模块，在此不用以限制本发明。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

[权利要求 1] 一种软件定义网络的 DDoS攻击模拟和攻击检测方法，其特征在于，所述方法包括下述步骤：

通过预设线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性 DDoS 攻击；

根据所述软件定义网络中所有交换机上流表的更新，对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新；

对所述攻击流监控表进行周期性检测，以确定所述攻击流监控表中是否有存在吋长超过预设吋长阈值的监控表项；

当所述攻击流监控表中有存在吋长超过所述吋长阈值的监控表项吋，确定所述存在吋长超过所述预设吋长阈值的监控表项所对应的网络流为针对所述软件定义网络数据平面的隐蔽攻击流。

[权利要求 2] 如权利要求 1所述的方法，其特征在于，通过预设线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性 DDoS攻击的步骤，包括：对所述僵尸主机的数目进行线性递增，当检测到所述目标交换机的流安装成功率低于预设第一成功率阈值吋，停止对所述僵尸主机进行线性递增；

对所述僵尸主机的数目进行增量递增，当检测到所述目标交换机的流安装成功率低于预设第二成功率阈值吋，停止对所述僵尸主机进行增量递增；

根据所有的僵尸主机和所述软件定义网络的正常流速率，以最小攻击速率向所述目标交换机发送网络流。

[权利要求 3] 如权利要求 2所述的方法，其特征在于，对所述僵尸主机的数目进行线性递增，当检测到所述目标交换机的流安装成功率低于预设第一成功率阈值吋，停止对所述僵尸主机进行线性递增的步骤，包括：根据所述线性递增的方式和预设攻击吋间间隔多批次地增加所述僵尸主机的数目，每批僵尸主机在出现后以所述正常流速率向所述目标交换机发起攻击；

通过所述控制器获取所述目标交换机的流安装成功率，当检测到所述流安装成功率低于所述第一成功率阈值吋，确定所述流表趋于饱和，停止所述线性递增。

[权利要求 4] 如权利要求 1所述的方法，其特征在于，根据所述软件定义网络中所有交换机上流表的更新，对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新的步骤，包括：

预先在所述控制器上构建所述攻击流监控表，所述攻击流监控表的监控表项包括交换机标识、流表项序列、流表项匹配域、流表项添加吋刻和流表项存在吋长：

根据所述所有交换机触发的 Packet-in事件和 Flow-removed事件，分别确定所述所有交换机的流表中添加的流表项和刪除的流表项；在所述攻击流检测表中添加所述添加的流表项对应的监控表项和刪除所述刪除的流表项对应的监控表项。

[权利要求 5] 如权利要求 1所述的方法，其特征在于，对所述攻击流监控表进行周期性检测，以确定所述攻击流监控表中是否有存在吋长超过预设吋长阈值的监控表项的步骤，包括：

对所述攻击流监控表进行周期性检测，以检测所述攻击流监控表中是否存在所述流表项存在吋长超过所述吋长阈值的监控表项；当存在所述流表项存在吋长超过所述吋长阈值的监控表项吋，确定所述攻击流监控表中有存在吋长超过所述吋长阈值的监控表项。

[权利要求 6] —种软件定义网络的 DDoS攻击模拟和攻击检测装置，其特征在于，所述装置包括：

攻击模拟模块，用于通过预设线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性 DDoS攻击；

表更新模块，用于根据所述软件定义网络中所有交换机上流表的更新，对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新；

超吋检测模块，用于对所述攻击流监控表进行周期性检测，以确定所述攻击流监控表中是否有存在吋长超过预设吋长阈值的监控表项；以及

攻击流确定模块，用于当确定所述攻击流监控表中有存在吋长超过所述吋长阈值的监控表项吋，确定所述存在吋长超过所述预设吋长阈值的监控表项所对应的网络流为针对所述软件定义网络数据平面的隐蔽攻击流。

[权利要求 7] 如权利要求 6所述的装置，其特征在于，所述攻击模拟模块包括：线性递增模块，用于对所述僵尸主机的数目进行线性递增，当检测到所述目标交换机的流安装成功率低于预设第一成功率阈值吋，停止对所述僵尸主机进行线性递增；

增量模式模块，用于对所述僵尸主机的数目进行增量递增，当检测到所述目标交换机的流安装成功率低于预设第二成功率阈值吋，停止对所述僵尸主机进行增量递增；以及

隐蔽性攻击模块，用于根据所有的僵尸主机和所述软件定义网络的正常流速率，以最小攻击速率向所述目标交换机发送网络流。

[权利要求 8] 如权利要求 7所述的装置，其特征在于，所述线性递增模块包括：递增攻击模块，用于根据所述线性递增的方式和预设的攻击吋间间隔多批次地增加所述僵尸主机的数目，每批僵尸主机在出现后以所述正常流速率向所述目标交换机发起攻击；以及

递增停止模块，用于通过所述控制器获取所述目标交换机的流安装成功率，当检测到所述流安装成功率低于所述第一成功率阈值吋，确定所述流表趋于饱和，停止所述线性递增。

[权利要求 9] 如权利要求 6所述的装置，其特征在于，所述表更新模块包括：

监控表构建模块，用于预先在所述控制器上构建所述攻击流监控表，所述攻击流监控表的监控表项包括交换机标识、流表项序列、流表项匹配域、流表项添加吋刻和流表项存在吋长；

更新确定模块，用于根据所述所有交换机触发的 Packet-in事件和 Flow -removed事件，分别确定所述所有交换机的流表中添加的流表项和刪除的流表项；以及

监控表更新模块，用于在所述攻击流检测表中添加所述添加的流表项对应的监控表项和刪除所述刪除的流表项对应的监控表项。

[权利要求 10] 如权利要求 6所述的装置，其特征在于，所述超吋检测模块包括：检测模块，用于对所述攻击流监控表进行周期性检测，以检测所述攻击流监控表中是否存在所述流表项存在吋长超过所述吋长阈值的监控表项；以及

超吋确定模块，用于当存在所述流表项存在吋长超过所述吋长阈值的监控表项吋，确定所述攻击流监控表中有存在吋长超过所述吋长阈值的监控表项。