国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于SDN控制器閾值的DDoS攻擊預(yù)警方法及其系統(tǒng)的制作方法

      文檔序號(hào):9527640閱讀:931來(lái)源:國(guó)知局
      基于SDN控制器閾值的DDoS攻擊預(yù)警方法及其系統(tǒng)的制作方法
      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明屬于通信領(lǐng)域,尤其涉及一種基于SDN控制器閾值的DDoS攻擊預(yù)警方法及其系統(tǒng)。
      【背景技術(shù)】
      [0002]隨著互聯(lián)網(wǎng)科技的飛速發(fā)展,人類已步入信息時(shí)代,信息技術(shù)極大地推進(jìn)了社會(huì)變革以及人類生活方式轉(zhuǎn)變的速度,促進(jìn)了人類信息的高效共享。然而,現(xiàn)有互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)相對(duì)僵化,其控制邏輯和數(shù)據(jù)層面垂直耦合的特征,導(dǎo)致高效的網(wǎng)絡(luò)或服務(wù)管理成為現(xiàn)有互聯(lián)網(wǎng)的一大難題。隨著未來(lái)網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步,軟件定義網(wǎng)絡(luò)(Software-DefinedNetwork, SDN)技術(shù)成為解決上述難題的主流選擇方案。SDN網(wǎng)絡(luò)技術(shù)通過(guò)將網(wǎng)絡(luò)的數(shù)據(jù)平面和控制層面解耦合,即通過(guò)將網(wǎng)絡(luò)的控制邏輯從路由器或交換機(jī)中剝離出來(lái),達(dá)到對(duì)網(wǎng)絡(luò)或服務(wù)高效管理和動(dòng)態(tài)配置的目的,極大地推動(dòng)了信息網(wǎng)絡(luò)技術(shù)的進(jìn)展,但其仍不能完全避免遭受分布式拒絕服務(wù)攻擊(Distributed Denial of Service, DDoS)的侵害。
      [0003]DDoS攻擊作為主流的網(wǎng)絡(luò)攻擊類型,危害巨大。盡管大量投資進(jìn)入了互聯(lián)網(wǎng)系統(tǒng)和服務(wù)領(lǐng)域,無(wú)數(shù)機(jī)構(gòu)每年仍經(jīng)常因?yàn)镈DoS攻擊而面臨災(zāi)難性的停運(yùn)事件。例如,2013年8月25日,我國(guó)頂級(jí)域名CN的解析服務(wù)器遭受DDoS攻擊,造成大量以CN為后綴的網(wǎng)站完全無(wú)法訪問(wèn),經(jīng)濟(jì)損失和社會(huì)影響難以估計(jì)。
      [0004]DDoS攻擊通常針對(duì)某一或幾個(gè)特定目標(biāo),由僵尸網(wǎng)絡(luò)發(fā)起大量的惡意流量導(dǎo)致目標(biāo)資源無(wú)法被正常訪問(wèn),并通過(guò)偽造流量源地址信息,進(jìn)行攻擊危害的同時(shí),利于躲避追查?;谠吹刂穫卧鞕C(jī)制的DDoS攻擊中,數(shù)量及其巨大的惡意數(shù)據(jù)包所攜帶的源地址信息均為偽造的,加之現(xiàn)有網(wǎng)絡(luò)架構(gòu)中路由器只按照目的地址對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),而不過(guò)問(wèn)數(shù)據(jù)包的來(lái)源,使得上述DDoS攻擊難以被及時(shí)預(yù)警。除非被攻擊目標(biāo)出現(xiàn)服務(wù)中斷或網(wǎng)絡(luò)鏈路癱瘓等重大停運(yùn)事件,上述攻擊才可被預(yù)警,但通常為時(shí)已晚。
      [0005]DDoS攻擊危害的嚴(yán)重性已被工業(yè)界和學(xué)術(shù)界廣泛共識(shí),可嚴(yán)重制約SDN等未來(lái)網(wǎng)絡(luò)技術(shù)的發(fā)展、推廣、部署和應(yīng)用。因此,有必要研究SDN網(wǎng)絡(luò)中DDoS攻擊的預(yù)警技術(shù),提高未來(lái)網(wǎng)絡(luò)架構(gòu)的安全性,推動(dòng)信息安全技術(shù)的發(fā)展和未來(lái)網(wǎng)絡(luò)技術(shù)的進(jìn)步。
      [0006]現(xiàn)有的DDoS威脅過(guò)濾和鏈路重配的SDN結(jié)構(gòu)及工作方法為:通過(guò)在傳統(tǒng)SDN網(wǎng)絡(luò)中添加一定數(shù)量的IDS決策服務(wù)器,通過(guò)上述IDS決策服務(wù)器對(duì)數(shù)據(jù)包鏈路層、網(wǎng)際層、傳輸層、應(yīng)用層標(biāo)志位進(jìn)行異常檢測(cè),并制定出相應(yīng)的異常處理策略,并通告SDN控制器,使其重新規(guī)劃路由路徑,達(dá)到減輕DDoS危害的目的。
      [0007]DDoS威脅過(guò)濾和鏈路重配的SDN結(jié)構(gòu)及工作方法專門引入了 IDS決策服務(wù)器,以達(dá)到減輕SDN網(wǎng)絡(luò)中DDoS攻擊危害的效果。上述IDS決策服務(wù)器及其與SDN控制器協(xié)議交互機(jī)制的引入,增加了 SDN網(wǎng)絡(luò)配置和協(xié)議交互的負(fù)擔(dān),增大了 SDN網(wǎng)絡(luò)應(yīng)用的復(fù)雜度,在提升安全性的同時(shí)付出了較沉重的代價(jià)。

      【發(fā)明內(nèi)容】

      [0008]為了解決現(xiàn)有技術(shù)的缺點(diǎn),本發(fā)明提供一種基于SDN控制器閾值的DDoS攻擊預(yù)警方法及其系統(tǒng)。該方法未引入任何額外的網(wǎng)絡(luò)中間件設(shè)備,完全利用SDN網(wǎng)絡(luò)中固有的SDN控制器與交換機(jī)的配合以預(yù)警DDoS攻擊,在提升SDN網(wǎng)絡(luò)安全性的同時(shí),未引入任何網(wǎng)絡(luò)配置負(fù)擔(dān),亦未導(dǎo)致網(wǎng)絡(luò)復(fù)雜度的提高。
      [0009]為實(shí)現(xiàn)上述目的,本發(fā)明采用以下技術(shù)方案:
      [0010]一種基于SDN控制器閾值的DDoS攻擊預(yù)警方法,包括:
      [0011]將SDN交換機(jī)接收到的數(shù)據(jù)包按照其目的地址進(jìn)行統(tǒng)計(jì)一定時(shí)間段內(nèi)的訪問(wèn)總量,并與目的地址訪問(wèn)數(shù)據(jù)包總數(shù)量閾值進(jìn)行對(duì)比,查找出被攻擊的地址以及獲取發(fā)往被攻擊地址的數(shù)據(jù)包源地址信息;
      [0012]SDN交換機(jī)將發(fā)往被攻擊地址的數(shù)據(jù)包源地址信息進(jìn)行隨機(jī)抽樣,匹配被攻擊地址和抽樣后的源地址并配置為威脅預(yù)警消息,發(fā)往相應(yīng)的SDN控制器;
      [0013]SDN控制器接收到威脅預(yù)警消息后,逐一檢驗(yàn)威脅預(yù)警消息中目的地址對(duì)應(yīng)源地址的可達(dá)性比例,并與源地址可達(dá)性比例閾值相比較,進(jìn)行配置發(fā)往SDN交換機(jī)的威脅預(yù)警應(yīng)答消息;
      [0014]SDN交換機(jī)按照接收到的威脅預(yù)警應(yīng)答消息進(jìn)行轉(zhuǎn)發(fā)相應(yīng)的數(shù)據(jù)包。
      [0015]所述查找被攻擊的地址的過(guò)程為:
      [0016]目的地址的在一定時(shí)間段內(nèi)的統(tǒng)計(jì)訪問(wèn)總量與訪問(wèn)數(shù)據(jù)包總數(shù)量閾值進(jìn)行對(duì)比:若未超過(guò)上述閾值,則數(shù)據(jù)包按照標(biāo)準(zhǔn)SDN網(wǎng)絡(luò)處理流程正常轉(zhuǎn)發(fā);若超過(guò)上述閾值,則定位該目的地址為被攻擊地址。
      [0017]所述威脅預(yù)警應(yīng)答消息至少包含針對(duì)被攻擊地址的安全策略。
      [0018]威脅預(yù)警消息中目的地址對(duì)應(yīng)源地址的可達(dá)性比例與源地址可達(dá)性比例閾值相比較,若前者低于后者,則所述威脅預(yù)警消息中目的地址正遭受DDoS攻擊。
      [0019]所述配置發(fā)往SDN交換機(jī)的威脅預(yù)警應(yīng)答消息的過(guò)程為:
      [0020]威脅預(yù)警消息中目的地址對(duì)應(yīng)源地址的可達(dá)性比例與源地址可達(dá)性比例閾值相比較,若前者低于后者,則發(fā)往SDN交換機(jī)的威脅預(yù)警應(yīng)答消息攜帶的安全策略為:限制發(fā)往被攻擊目的地址的流量帶寬,并鏡像流量到網(wǎng)絡(luò)流量清洗設(shè)備;
      [0021]若超過(guò)上述閾值,則發(fā)往SDN交換機(jī)的威脅預(yù)警應(yīng)答消息攜帶的安全策略為:發(fā)往被攻擊目的地址的流量帶寬不限制。
      [0022]一種基于SDN控制器閾值的DDoS攻擊預(yù)警方法的預(yù)警系統(tǒng),包括:
      [0023]數(shù)據(jù)包目的地址統(tǒng)計(jì)模塊,其用于將SDN交換機(jī)接收到的數(shù)據(jù)包按照其目的地址進(jìn)行統(tǒng)計(jì)一定時(shí)間段內(nèi)的訪問(wèn)總量,并與目的地址訪問(wèn)數(shù)據(jù)包總數(shù)量閾值進(jìn)行對(duì)比,查找出被攻擊的地址以及獲取發(fā)往被攻擊地址的數(shù)據(jù)包源地址信息;
      [0024]SDN交換機(jī),其用于將發(fā)往被攻擊地址的數(shù)據(jù)包源地址信息進(jìn)行隨機(jī)抽樣,匹配被攻擊地址和抽樣后的源地址并配置為威脅預(yù)警消息,發(fā)往相應(yīng)的SDN控制器;
      [0025]SDN控制器,其用于接收到威脅預(yù)警消息;
      [0026]數(shù)據(jù)包源地址可達(dá)性統(tǒng)計(jì)模塊,其用于逐一檢驗(yàn)威脅預(yù)警消息中目的地址對(duì)應(yīng)源地址的可達(dá)性比例,并與源地址可達(dá)性比例閾值相比較,進(jìn)行配置發(fā)往SDN交換機(jī)的威脅預(yù)警應(yīng)答消息;
      [0027]SDN交換機(jī),還用于按照接收到的威脅預(yù)警應(yīng)答消息中的安全策略進(jìn)行轉(zhuǎn)發(fā)相應(yīng)的數(shù)據(jù)包。
      [0028]所述數(shù)據(jù)包目的地址統(tǒng)計(jì)模塊中查找被攻擊的地址的過(guò)程為:
      [0029]目的地址的在一定時(shí)間段內(nèi)的統(tǒng)計(jì)訪問(wèn)總量與訪問(wèn)數(shù)據(jù)包總數(shù)量閾值進(jìn)行對(duì)比:若未超過(guò)上述閾值,則數(shù)據(jù)包按照標(biāo)準(zhǔn)SDN網(wǎng)絡(luò)處理流程正常轉(zhuǎn)發(fā);若超過(guò)上述閾值,則定位該目的地址為被攻擊地址。
      [0030]所述威脅預(yù)警應(yīng)答消息至少包含針對(duì)被攻擊地址的安全策略。
      [0031]所述數(shù)據(jù)包源地址可達(dá)性統(tǒng)計(jì)模塊中配置發(fā)往SDN交換機(jī)的威脅預(yù)警應(yīng)答消息的過(guò)程為:
      [0032]威脅預(yù)警消息中目的地址對(duì)應(yīng)源地址的可達(dá)性比例與源地址可達(dá)性比例閾值相比較,若前者低于后者,則發(fā)往SDN交換機(jī)的威脅預(yù)警應(yīng)答消息攜帶的安全策略為:限制發(fā)往被攻擊目的地址的流量帶寬,并鏡像流量到網(wǎng)絡(luò)流量清洗設(shè)備;
      [0033]若超過(guò)上述閾值,則發(fā)往SDN交換機(jī)的威脅預(yù)警應(yīng)答消息攜帶的安全策略為:發(fā)往被攻擊目的地址的流量帶寬不限制。
      [0034]本發(fā)明的有益效果為:
      [0035](1)本發(fā)明提出一種基于SDN控制器閾值的DDoS攻擊預(yù)警方法未引入任何額外的網(wǎng)絡(luò)中間件設(shè)備,完全利用SDN網(wǎng)絡(luò)中固有的SDN控制器與交換機(jī)的配合以預(yù)警DDoS攻擊,在提升SDN網(wǎng)絡(luò)安全性的同時(shí),未引入任何網(wǎng)絡(luò)配置負(fù)擔(dān),亦未導(dǎo)致網(wǎng)絡(luò)復(fù)雜度的提尚ο
      [0036](2)本發(fā)明提出的基于SDN控制器閾值的DDoS攻擊預(yù)警方法可通過(guò)軟件升級(jí)的方式集成到SDN網(wǎng)絡(luò)中,無(wú)需購(gòu)置額外的硬件設(shè)備,降低SDN安全性提升帶來(lái)的設(shè)備選購(gòu)費(fèi)用。
      【附圖說(shuō)明】
      [0037]圖1是本發(fā)明的基于SDN控制器閾值的DDoS攻擊預(yù)警系統(tǒng)的功能模塊結(jié)構(gòu)示意圖;
      [0038]圖2是本發(fā)明的基于SDN控制器閾值的DDoS攻擊預(yù)警方法的流程圖。
      【具體實(shí)施方式】
      [0039]下面結(jié)合附圖與實(shí)施例對(duì)本發(fā)明做進(jìn)一步說(shuō)明:
      [0040]由于分布式拒絕服務(wù)攻擊(Distributed Denial of Service, DDoS)已成為威脅互聯(lián)網(wǎng)安全的眾多網(wǎng)絡(luò)惡意攻擊中的焦點(diǎn),被稱為網(wǎng)絡(luò)領(lǐng)域的“破壞之王”?;贠penFlow協(xié)議的軟件定義網(wǎng)絡(luò)(Software-Defined Network, SDN)技術(shù)作為未來(lái)互聯(lián)網(wǎng)的主流技術(shù)之一被廣泛認(rèn)可,其中SDN控制器在上述網(wǎng)絡(luò)架構(gòu)中發(fā)揮著策略控制等核心的作用,但尚未出現(xiàn)完全基于SDN控制器統(tǒng)計(jì)信息進(jìn)行DDoS攻擊預(yù)防和對(duì)抗的研究成果文獻(xiàn)。本發(fā)明的該方法采用了基于SDN控制器進(jìn)行數(shù)據(jù)包總量統(tǒng)計(jì)分析進(jìn)而識(shí)別威脅的DDoS攻擊預(yù)警方法,充分利用未來(lái)網(wǎng)絡(luò)SDN架構(gòu)的內(nèi)在特點(diǎn),提高網(wǎng)絡(luò)安全性。
      [0041]此外,現(xiàn)有主流DDoS攻擊的數(shù)據(jù)包多采用偽造的源地址,使得攻擊源頭追溯以及攻擊的預(yù)警十分困難。本發(fā)明提出的方法利用DDoS攻擊中數(shù)據(jù)包攜帶偽造源地址的特征,基于SDN控制器收到的查詢無(wú)效地址的數(shù)據(jù)包的分布規(guī)律,判別DDoS攻擊的存在性。
      [0042]下面采用圖2進(jìn)行說(shuō)明本發(fā)明的基于SDN控制器閾值的DDoS攻擊預(yù)警方法,從圖2可看出,其中的標(biāo)號(hào)1、2、3和4,指的是數(shù)據(jù)流的先后
      當(dāng)前第1頁(yè)1 2 
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1