一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDoS過(guò)濾方法
【專利摘要】本發(fā)明公開(kāi)了一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDoS過(guò)濾方法,本基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過(guò)濾方法包括:步驟S100,網(wǎng)絡(luò)初始化;步驟S200,分布式DDoS威脅監(jiān)測(cè)和/或收集SDN鏈路狀態(tài)信息;以及步驟S300,威脅處理和/或確定數(shù)據(jù)下發(fā)路徑。本發(fā)明可使網(wǎng)絡(luò)在遭受大規(guī)模DDoS威脅時(shí),能夠根據(jù)鏈路的實(shí)時(shí)狀況實(shí)現(xiàn)路由優(yōu)化的流量轉(zhuǎn)發(fā),同時(shí)迅速準(zhǔn)確的進(jìn)行DDoS威脅識(shí)別和處理響應(yīng),全面保障網(wǎng)絡(luò)通信質(zhì)量。
【專利說(shuō)明】
-種基于SDN網(wǎng)絡(luò)架構(gòu)的DDoS過(guò)濾方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別是涉及一種基于SDN網(wǎng)絡(luò)架構(gòu)的孤oS過(guò)濾方法。
【背景技術(shù)】
[0002] 當(dāng)前,高速?gòu)V泛連接的網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代社會(huì)的重要基礎(chǔ)設(shè)施。然而,隨著互聯(lián)網(wǎng) 規(guī)模的膨脹,傳統(tǒng)規(guī)范體系的缺陷也日益呈現(xiàn)出來(lái)。
[0003] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中必(CNCERT/CC)最新發(fā)布的報(bào)告表明:黑客 活動(dòng)日趨頻繁,網(wǎng)站后Π 、網(wǎng)絡(luò)釣魚(yú)、Web惡意掛馬等攻擊事件呈大幅增長(zhǎng)趨勢(shì),其中,分布 式拒絕服務(wù)攻擊值istributed Denial of Service, DDo巧仍然是影響互聯(lián)網(wǎng)運(yùn)行安全最 主要的威脅之一。在過(guò)去的幾年里,DDoS攻擊的數(shù)目、大小、類型都大幅上漲。
[0004] 如何通過(guò)SDN架構(gòu)實(shí)現(xiàn)對(duì)DDoS攻擊的有效防御是本領(lǐng)域的技術(shù)難題。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的是提供一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過(guò)濾方法,W解決現(xiàn)有網(wǎng)絡(luò)中 大量DDoS攻擊所造成的網(wǎng)絡(luò)安全問(wèn)題,W實(shí)現(xiàn)快速、高效、全面地識(shí)別與防御DDoS攻擊, 并且將威脅處理后與鏈路發(fā)生故障后的網(wǎng)絡(luò)拓?fù)渥兓M(jìn)行區(qū)別,W提供相應(yīng)的報(bào)文發(fā)送路 徑。
[0006] 為了解決上述技術(shù)問(wèn)題,本發(fā)明提供了一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過(guò)濾方法。 所述基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過(guò)濾方法,包括如下步驟:
[0007] 步驟S100,網(wǎng)絡(luò)初始化;步驟S200,分布式孤oS威脅監(jiān)測(cè)和/或收集SDN鏈路狀 態(tài)信息;W及步驟S300,威脅處理和/或確定數(shù)據(jù)下發(fā)路徑。
[0008] 優(yōu)選的,為了更好的實(shí)現(xiàn)網(wǎng)絡(luò)配置,所述步驟S100中網(wǎng)絡(luò)初始化所涉及的裝置包 括;SDN控制器、IDS決策服務(wù)器和IDS設(shè)備;
[0009] 網(wǎng)絡(luò)初始化的步驟如下:
[0010] 步驟S101,所述IDS決策服務(wù)器與IDS設(shè)備建立專用的S化信道;步驟S102,所述 SDN控制器構(gòu)建網(wǎng)絡(luò)設(shè)備信息綁定表,并且將網(wǎng)絡(luò)設(shè)備信息綁定表實(shí)時(shí)更新到IDS設(shè)備中; 步驟S104,所述SDN控制器下發(fā)鏡像策略的流表,即將OF交換機(jī)所有拖載有主機(jī)的端口流 量鏡像轉(zhuǎn)發(fā)給所述IDS設(shè)備;W及步驟S105,所述SDN控制器下發(fā)DDoS威脅識(shí)別規(guī)則給每 個(gè)網(wǎng)域中對(duì)應(yīng)的IDS設(shè)備。
[0011] 優(yōu)選的,所述步驟S200中分布式DDoS威脅監(jiān)測(cè)的方法包括;依次對(duì)鏈路層和網(wǎng)際 層地址的欺騙行為,網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為,W及應(yīng)用層和傳輸層的泛洪式 攻擊行為進(jìn)行檢測(cè);若上述過(guò)程中檢測(cè)判斷出報(bào)文存在相應(yīng)行為時(shí),則將該報(bào)文轉(zhuǎn)入步驟 S300 ;對(duì)鏈路層和網(wǎng)際層地址的欺騙行為進(jìn)行檢測(cè)的方法包括:通過(guò)欺騙報(bào)文檢測(cè)模塊對(duì) 欺騙行為進(jìn)行檢測(cè),即首先,通過(guò)欺騙報(bào)文檢測(cè)模塊調(diào)用網(wǎng)絡(luò)設(shè)備信息綁定表;其次,通過(guò) 欺騙報(bào)文檢測(cè)模塊將封裝在化cket-In消息中報(bào)文的類型進(jìn)行解析,W獲得相應(yīng)的源、目 的IP地址、MAC地址W及上傳此Packet-In消息的OF交換機(jī)DPID號(hào)和端口號(hào),并將上述 各信息分別與網(wǎng)絡(luò)設(shè)備信息綁定表中的相應(yīng)信息進(jìn)行比對(duì);若報(bào)文中的上述信息匹配,貝u 將報(bào)文進(jìn)行下一檢測(cè);若報(bào)文中的上述信息不匹配,則將報(bào)文轉(zhuǎn)入步驟S300 ;所述網(wǎng)際層 和傳輸層標(biāo)志位設(shè)置異常行為進(jìn)行檢測(cè)的方法包括:通過(guò)破壞報(bào)文檢測(cè)模塊對(duì)標(biāo)志位設(shè)置 異常行為進(jìn)行檢測(cè),即對(duì)報(bào)文的各標(biāo)志位進(jìn)行檢測(cè),W判斷各標(biāo)志位是否符合TCP/IP協(xié)議 規(guī)范;若報(bào)文的各標(biāo)志位符合,則將報(bào)文轉(zhuǎn)入進(jìn)行下一檢測(cè);若報(bào)文的各標(biāo)志位不符合,貝U 將報(bào)文轉(zhuǎn)入步驟S300 ;所述應(yīng)用層和傳輸層的泛洪式攻擊行為進(jìn)行檢測(cè)的方法包括;通過(guò) 異常報(bào)文檢測(cè)模塊對(duì)泛洪式攻擊行為進(jìn)行檢測(cè),即在異常報(bào)文檢測(cè)模塊構(gòu)建用于識(shí)別泛洪 式攻擊報(bào)文的哈希表,并根據(jù)該哈希表中設(shè)定的閥值判斷報(bào)文是否具有泛洪式攻擊行為, 且將判斷結(jié)果轉(zhuǎn)入步驟S300 ; W及收集SDN鏈路狀態(tài)信息的方法包括;根據(jù)SDN網(wǎng)絡(luò)拓?fù)?和各鏈路開(kāi)銷計(jì)算主路徑的備份路徑;為各備份路徑分配用于標(biāo)記備份路徑的標(biāo)志位;根 據(jù)備份路徑和對(duì)應(yīng)標(biāo)志位向該備份路徑上各OF交換機(jī)下發(fā)流表項(xiàng)。
[0012] 所述步驟S300中威脅處理和/或確定數(shù)據(jù)下發(fā)路徑的方法包括;若報(bào)文具有欺 騙行為,且攻擊威脅在化enFlow域中,則所述IDS決策服務(wù)器適于通過(guò)SDN控制器屏蔽主 機(jī);W及當(dāng)攻擊威脅不在化enFlow域中,則通過(guò)SDN控制器將該報(bào)文所對(duì)應(yīng)的OF交換機(jī)接 入端口流量重定向至流量清洗中必進(jìn)行過(guò)濾;若報(bào)文具有異常行為,則所述IDS決策服務(wù) 器通過(guò)SDN控制器對(duì)攻擊程序或攻擊主機(jī)的流量進(jìn)行屏蔽;若報(bào)文具有泛洪式攻擊行為, 則所述IDS決策服務(wù)器通過(guò)SDN控制器將該報(bào)文所對(duì)應(yīng)的OF交換機(jī)接入端口流量重定向 至流量清洗中必進(jìn)行過(guò)濾;W及在屏蔽攻擊主機(jī)后,設(shè)定屏蔽時(shí)間和屏蔽闊值,該屏蔽時(shí)間 適于限定屏蔽攻擊主機(jī)時(shí)間;W及當(dāng)攻擊主機(jī)屏蔽次數(shù)超過(guò)所述屏蔽闊值時(shí),永久屏蔽該 攻擊主機(jī);和/或根據(jù)鏈路負(fù)載系數(shù)計(jì)算出優(yōu)化路徑,即檢測(cè)兩相鄰節(jié)點(diǎn)的鏈路剩余帶寬, 獲得該鏈路的負(fù)載系數(shù),在根據(jù)該負(fù)載系數(shù)和初始化的網(wǎng)絡(luò)拓?fù)鋱D獲得任意兩點(diǎn)的最優(yōu)路 徑,所述SDN控制器根據(jù)該最優(yōu)路徑得出對(duì)應(yīng)的轉(zhuǎn)發(fā)流表并下發(fā)各OF交換機(jī)。
[0013] 優(yōu)選的,所述IDS決策服務(wù)器屏蔽發(fā)送報(bào)文的程序和/或主機(jī)的方法包括;首先, 構(gòu)建計(jì)數(shù)用的相應(yīng)哈希表及設(shè)定相應(yīng)闊值,即單位時(shí)間內(nèi),所述IDS決策服務(wù)器中構(gòu)建對(duì) 欺騙行為進(jìn)行計(jì)數(shù)的第一哈希表,標(biāo)志位設(shè)置異常行為進(jìn)行計(jì)數(shù)的第二哈希表,W及對(duì)泛 洪式攻擊行為進(jìn)行計(jì)數(shù)的第Η哈希表;同時(shí)設(shè)定第一、第二、第Η哈希表中的第一、第二、第 Η閥值;其次,屏蔽發(fā)送該報(bào)文的程序和/或主機(jī),即針對(duì)轉(zhuǎn)入IDS決策服務(wù)器的報(bào)文的行 為,利用相應(yīng)哈希表進(jìn)行計(jì)數(shù),當(dāng)計(jì)數(shù)值超過(guò)相應(yīng)閥值時(shí),屏蔽發(fā)送該報(bào)文的程序和/或主 機(jī)。
[0014] 進(jìn)一步,所述步驟S300中確定數(shù)據(jù)下發(fā)路徑的方法還包括:根據(jù)SDN網(wǎng)絡(luò)拓?fù)涓?變的原因,確認(rèn)報(bào)文下發(fā)路徑;即,當(dāng)SDN控制器威脅處理后,將報(bào)文通過(guò)最優(yōu)路徑下發(fā)報(bào) 文,或判斷主路徑發(fā)生故障后,報(bào)文匹配所述流表項(xiàng)通過(guò)備份路徑進(jìn)行轉(zhuǎn)發(fā)。
[0015] 本發(fā)明的有益效果;(1)本發(fā)明將DDoS威脅過(guò)濾技術(shù)與路由優(yōu)化技術(shù)融合,在進(jìn) 行監(jiān)測(cè)、屏蔽DD0S攻擊時(shí),并不會(huì)造成數(shù)據(jù)的擁堵,并且通過(guò)將監(jiān)測(cè)和威脅處理分開(kāi),有效 的減輕了控制層面的負(fù)擔(dān),保證了網(wǎng)絡(luò)更安全、高校的運(yùn)行;(2)本發(fā)明使得傳統(tǒng)網(wǎng)絡(luò)體系 架構(gòu)下無(wú)法對(duì)地址偽造 DDoS攻擊進(jìn)行識(shí)別與溯源的難題從根本上得到了解決;在網(wǎng)絡(luò)中 存在DDoS攻擊或正常大流量業(yè)務(wù)的情況下,SDN控制器可基于對(duì)鏈路剩余帶寬等網(wǎng)絡(luò)參數(shù) 的實(shí)時(shí)感知,實(shí)現(xiàn)對(duì)正常流量的路由優(yōu)化,大幅提升用戶的體驗(yàn);(3)本發(fā)明的處理架構(gòu)采 用可擴(kuò)展的模塊化設(shè)計(jì),實(shí)現(xiàn)了對(duì)DDoS威脅的高效檢測(cè)和靈活處理;(4)各模塊獲取數(shù)據(jù) 包信息采用獨(dú)立的接口設(shè)計(jì),降低了模塊間的禪合關(guān)聯(lián)性;(5)各模塊使用優(yōu)化的程序數(shù) 據(jù)結(jié)構(gòu),細(xì)致分割各處理子流程,提升了模塊的高內(nèi)聚特性;(6)本發(fā)明還對(duì)網(wǎng)路鏈路的改 變加 W區(qū)別對(duì)待,即,若當(dāng)SDN控制器威脅處理后,將報(bào)文通過(guò)最優(yōu)路徑下發(fā)報(bào)文,或判斷 主路徑發(fā)生故障后,報(bào)文匹配所述流表項(xiàng)通過(guò)備份路徑進(jìn)行轉(zhuǎn)發(fā),有效的避免了因交換機(jī) 故障時(shí)流量數(shù)據(jù)丟失。
【附圖說(shuō)明】
[0016] 為了使本發(fā)明的內(nèi)容更容易被清楚的理解,下面根據(jù)的具體實(shí)施例并結(jié)合附圖, 對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說(shuō)明,其中
[0017] 圖1示出了所述SDN網(wǎng)絡(luò)架構(gòu)的結(jié)構(gòu)框圖;
[0018] 圖2不出了 IDS設(shè)備的原理框圖的原理框圖;
[0019] 圖3示出了欺騙報(bào)文檢測(cè)模塊的工作流程圖;
[0020] 圖4示出了破壞報(bào)文檢測(cè)模塊的工作流程圖;
[0021] 圖5示出了 UDP Floodling的檢測(cè)流程圖;
[0022] 圖6示出了 ICMP Floodling的檢測(cè)流程圖;
[0023] 圖7示出了分布式DDoS威脅監(jiān)測(cè)的方法的流程框圖;
[0024] 圖8示出了實(shí)驗(yàn)場(chǎng)景的具體部署的拓?fù)鋱D;
[0025] 圖9 (a)示出了未使用本發(fā)明的SDN架構(gòu)的Web服務(wù)器所承受的攻擊頻率的曲線 圖;
[0026] 圖9(b)示出了使用本發(fā)明的SDN架構(gòu)的Web服務(wù)器所承受的攻擊頻率的曲線圖;
[0027] 圖10示出了平均傳輸速率對(duì)比圖。
【具體實(shí)施方式】
[0028] 為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了,下面結(jié)合【具體實(shí)施方式】并參 照附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。應(yīng)該理解,送些描述只是示例性的,而并非要限制本發(fā) 明的范圍。此外,在W下說(shuō)明中,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述,W避免不必要地混淆本 發(fā)明的概念。
[0029] 在軟件定義網(wǎng)絡(luò)(Software Defined化twork, SDN)架構(gòu)中,當(dāng)一個(gè)報(bào)文(Packet) 到達(dá)OF交換機(jī)的時(shí)候,首先對(duì)OF交換機(jī)中所帶的流表進(jìn)行匹配。如果匹配成功,就按照流 表指定的動(dòng)作執(zhí)行轉(zhuǎn)發(fā)規(guī)則。如果匹配失敗,則OF交換機(jī)將該報(bào)文封裝在化cket In消息 中,發(fā)送給SDN控制器,并且OF交換機(jī)將此報(bào)文存在本地緩存中。等待SDN控制器作出決 策,如何處理此報(bào)文。
[0030] 網(wǎng)絡(luò)中有很多主機(jī),則需要建立一張針對(duì)網(wǎng)絡(luò)中所有主機(jī)為鍵的哈希表,稱之為 "違規(guī)次數(shù)哈希表組",其包括;適于對(duì)欺騙報(bào)文進(jìn)行計(jì)數(shù)的第一哈希表,適于對(duì)破壞報(bào)文進(jìn) 行計(jì)數(shù)的第二哈希表,適于對(duì)泛洪式攻擊進(jìn)行計(jì)數(shù)的第Η哈希表。記錄對(duì)應(yīng)主機(jī)的違規(guī)次 數(shù),也就是主機(jī)的誠(chéng)信度。
[0031] 網(wǎng)絡(luò)中的數(shù)據(jù)包是實(shí)時(shí)的,所W需要建立一種單位時(shí)間內(nèi)的威脅報(bào)文計(jì)數(shù)的哈希 表,并且每個(gè)主機(jī)對(duì)應(yīng)一個(gè)哈希表中的一個(gè)鍵,對(duì)應(yīng)的鍵值是記錄的單位時(shí)間內(nèi)對(duì)應(yīng)鍵的 主機(jī)發(fā)送的威脅數(shù)據(jù)包的個(gè)數(shù)。此類哈希表在單位時(shí)間"時(shí)間片"開(kāi)始時(shí)候必須將哈希表 內(nèi)所有鍵對(duì)應(yīng)的鍵值置ο ;且每種檢測(cè)的報(bào)文都需要有送樣的一張表,就比如說(shuō)檢測(cè)了 100 種報(bào)文,就需要有100個(gè)此類的哈希表。
[0032] 而且,每個(gè)哈希表必須有一個(gè)對(duì)應(yīng)的闊值。哈希表中只要一有主機(jī)在相應(yīng)值中累 加計(jì)數(shù)。計(jì)數(shù)后檢查該值是否超過(guò)設(shè)定的闊值。如果超過(guò)相應(yīng)的闊值,則在違規(guī)次數(shù)哈希 表對(duì)應(yīng)記錄中的鍵值計(jì)數(shù)。
[0033] 在上述發(fā)明原理的基礎(chǔ)上,本實(shí)施例的具體實(shí)施過(guò)程如下。
[0034] 實(shí)施例1
[0035] 圖1示出了本發(fā)明的SDN網(wǎng)絡(luò)架構(gòu)的結(jié)構(gòu)框圖。
[003引如圖1所示,本發(fā)明的SDN網(wǎng)絡(luò)架構(gòu),包括;SDN控制器、IDS決策服務(wù)器、IDS設(shè) 備(即入侵檢測(cè)設(shè)備)和流量清洗中必;當(dāng)IDS設(shè)備檢測(cè)到具有DDoS攻擊特征的報(bào)文時(shí), 即通過(guò)S化信道上報(bào)至IDS決策服務(wù)器;所述IDS決策服務(wù)器根據(jù)上報(bào)信息,制定出與具有 DDoS攻擊特征的報(bào)文對(duì)應(yīng)的處理策略,然后將該報(bào)文通過(guò)SDN控制器屏蔽或者將該報(bào)文所 對(duì)應(yīng)的OF交換機(jī)接入端口流量重定向到流量清洗中必進(jìn)行過(guò)濾;同時(shí),通過(guò)SDN控制器收 集當(dāng)前SDN鏈路狀態(tài)信息,W提供相應(yīng)的報(bào)文發(fā)送路徑。
[0037] 其中,DDoS攻擊特征定義為;對(duì)鏈路層和網(wǎng)際層地址的欺騙行為、對(duì)網(wǎng)際層和傳 輸層標(biāo)志位設(shè)置的異常行為,W及對(duì)應(yīng)用層和傳輸層泛洪式攻擊行為。
[0038] 圖2示出了 IDS設(shè)備的原理框圖的原理框圖。
[0039] 如圖2所示,進(jìn)一步,所述IDS設(shè)備內(nèi)包括:
[0040] 欺騙報(bào)文檢測(cè)模塊,對(duì)鏈路層和網(wǎng)際層地址的欺騙行為進(jìn)行檢測(cè)。
[0041] 破壞報(bào)文檢測(cè)模塊,對(duì)網(wǎng)際層和傳輸層標(biāo)志位設(shè)置的異常行為進(jìn)行檢測(cè)。
[0042] 異常報(bào)文檢測(cè)模塊,對(duì)應(yīng)用層和傳輸層泛洪式攻擊行為進(jìn)行檢測(cè)。
[0043] 通過(guò)所述欺騙報(bào)文檢測(cè)模塊、破壞報(bào)文檢測(cè)模塊、異常報(bào)文檢測(cè)模塊依次對(duì)報(bào)文 進(jìn)行檢測(cè);且若檢測(cè)模塊檢測(cè)出報(bào)文存在上述相應(yīng)行為時(shí),則將該報(bào)文轉(zhuǎn)入IDS決策服務(wù) 器。
[0044] 進(jìn)一步,所述IDS決策服務(wù)器適于當(dāng)報(bào)文具有欺騙行為,且攻擊威脅在化enFlow 域中,則通過(guò)SDN控制器屏蔽主機(jī);或當(dāng)攻擊威脅不在化enFlow域中,則通過(guò)SDN控制器將 該報(bào)文所對(duì)應(yīng)的OF交換機(jī)接入端口流量重定向至流量清洗中必進(jìn)行過(guò)濾;所述IDS決策服 務(wù)器還適于當(dāng)報(bào)文具有異常行為,則通過(guò)SDN控制器對(duì)攻擊程序或攻擊主機(jī)的流量進(jìn)行屏 蔽;W及當(dāng)報(bào)文具有泛洪式攻擊行為,則所述IDS決策服務(wù)器適于通過(guò)SDN控制器將該報(bào)文 所對(duì)應(yīng)的OF交換機(jī)接入端口流量重定向至流量清洗中必進(jìn)行過(guò)濾。
[0045] 本發(fā)明采用從欺騙報(bào)文檢測(cè)模塊到破壞報(bào)文檢測(cè)模塊,再到異常報(bào)文檢測(cè)模塊依 次檢測(cè)的順序,其中,各模塊獲取數(shù)據(jù)包信息采用獨(dú)立的接口設(shè)計(jì),降低了模塊間的禪合關(guān) 聯(lián)性;并且各模塊使用優(yōu)化的程序數(shù)據(jù)結(jié)構(gòu),細(xì)致分割各處理子流程,提升了模塊的高內(nèi)聚 特性。送種檢巧IJ順序提高了對(duì)報(bào)文數(shù)據(jù)的檢測(cè)效率,W及降低了漏檢率。
[0046] 圖3示出了欺騙報(bào)文檢測(cè)模塊的工作流程圖。
[0047] 如圖3所示,通過(guò)所述欺騙報(bào)文檢測(cè)模塊調(diào)用網(wǎng)絡(luò)設(shè)備信息綁定表,并在所述IDS 決策服務(wù)器中構(gòu)建單位時(shí)間內(nèi)的適于對(duì)報(bào)文欺騙行為進(jìn)行計(jì)數(shù)的第一哈希表,W及設(shè)定該 第一哈希表中的第一閥值;所述欺騙報(bào)文檢測(cè)模塊,將封裝在化cket-In消息中的報(bào)文的 類型進(jìn)行解析,W獲得相應(yīng)的源、目的IP地址、MAC地址W及上傳化cket-In消息的OF交換 機(jī)DPID號(hào)和端口號(hào)信息,并將各信息分別與網(wǎng)絡(luò)設(shè)備信息綁定表中的相應(yīng)信息進(jìn)行比對(duì); 若報(bào)文中的上述信息匹配,則將報(bào)文轉(zhuǎn)入破壞報(bào)文檢測(cè)模塊;若報(bào)文中的上述信息不匹配, 則轉(zhuǎn)入所述IDS決策服務(wù)器,對(duì)報(bào)文進(jìn)行丟棄,并同時(shí)對(duì)欺騙行為進(jìn)行計(jì)數(shù),當(dāng)該計(jì)數(shù)值超 過(guò)第一閥值時(shí),屏蔽發(fā)送該報(bào)文的程序和/或主機(jī)。
[0048] 具體的,所述欺騙報(bào)文檢測(cè)模塊用于對(duì)報(bào)文進(jìn)行第一次判斷,即判斷報(bào)文是否是 IP欺騙攻擊報(bào)文、端口欺騙攻擊報(bào)文或MAC欺騙攻擊報(bào)文。
[0049] 具體步驟包括;首先在W太網(wǎng)頓中解析出源、目的MAC地址和OF交換機(jī)入口,然后 根據(jù)不同的報(bào)文類型解析出不同的報(bào)文。當(dāng)報(bào)文類型為IP、ARP、RARP時(shí),則解析出相應(yīng)的 源、目的IP地址然后將送些信息對(duì)網(wǎng)絡(luò)設(shè)備信息綁定表中的信息進(jìn)行查表匹配,如果匹配 到相應(yīng)的信息,則交給破壞報(bào)文檢測(cè)模塊處理。若不匹配,則將該報(bào)文轉(zhuǎn)入IDS決策服務(wù)器 處理;并同時(shí)對(duì)欺騙行為進(jìn)行累加計(jì)數(shù),當(dāng)該計(jì)數(shù)值超過(guò)第一閥值時(shí),屏蔽發(fā)送該報(bào)文的程 序和/或主機(jī)。
[0050] Floodli曲t中有一個(gè)設(shè)備管理器模塊DeviceManagerlmpl,當(dāng)一個(gè)設(shè)備在網(wǎng)絡(luò)中 移動(dòng)設(shè)備的時(shí)候跟蹤設(shè)備,并且根據(jù)新流定義設(shè)備。
[0051] 設(shè)備管理器從化cketin請(qǐng)求中得知設(shè)備,并從化cketin報(bào)文中獲取設(shè)備網(wǎng)絡(luò)參 數(shù)信息(源、目的IP、MAC、VLAN等信息),通過(guò)實(shí)體分類器將設(shè)備進(jìn)行區(qū)分為OF交換機(jī)或 主機(jī)。默認(rèn)情況下實(shí)體分類器使用MAC地址和/或VLAN表示一個(gè)設(shè)備,送兩個(gè)屬性可W唯 一的標(biāo)識(shí)一個(gè)設(shè)備。另外一個(gè)重要的信息是設(shè)備的安裝點(diǎn)(OF交換機(jī)的DPID號(hào)和端口號(hào)) (,在一個(gè)openf low區(qū)域中,一個(gè)設(shè)備只能有一個(gè)安裝點(diǎn),在送里openf low區(qū)域指的是和同 一個(gè)Floodli曲t實(shí)例相連的多個(gè)OF交換機(jī)的集合。設(shè)備管理器也為IP地址、安裝點(diǎn)、設(shè) 備設(shè)置了過(guò)期時(shí)間,最后一次時(shí)間戳作為判斷它們是否過(guò)期的依據(jù)。)
[0052] 故網(wǎng)絡(luò)設(shè)備信息綁定表模塊里面只需調(diào)用DeviceManagerlmpl模塊提供的 IDeviceService即可,同時(shí)向該服務(wù)添加 IDeviceListener的監(jiān)聽(tīng)接口即可。
[0053] 其中IDeviceListener提供的監(jiān)聽(tīng)接口有:
[0054]
[00巧]服務(wù)提供者;IFloodli曲 1:P;roviderSe;rvice,IDeviceService
[0056] 依賴接口;IFloodli曲tModule, IDeviceListener
[0057]
[0059] 表內(nèi)的記錄根據(jù)OF交換機(jī)的高低電平觸發(fā)機(jī)制(網(wǎng)線拔出觸發(fā)化d Down的低 電平,網(wǎng)線拔入觸發(fā)化d化的高電平)可W實(shí)時(shí)刷新綁定表中的記錄。
[0060] 傳統(tǒng)的孤oS攻擊無(wú)法觸及、修改Switch DPID和Switch化的的信息,利用此優(yōu) 勢(shì),可W更加靈活的檢測(cè)欺騙攻擊。
[0061] 圖4示出了破壞報(bào)文檢測(cè)模塊的工作流程圖。
[0062] 如圖4所示,在所述IDS決策服務(wù)器中構(gòu)建單位時(shí)間內(nèi)的適于對(duì)報(bào)文的標(biāo)志位設(shè) 置異常行為進(jìn)行計(jì)數(shù)的第二哈希表,W及設(shè)定該第二哈希表中的第二閥值;所述破壞報(bào)文 檢測(cè)模塊對(duì)報(bào)文的各標(biāo)志位進(jìn)行檢測(cè),W判斷各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范;若報(bào)文 的各標(biāo)志位符合,則將報(bào)文轉(zhuǎn)入異常報(bào)文檢測(cè)模塊;若報(bào)文的各標(biāo)志位不符合,則轉(zhuǎn)入所述 IDS決策服務(wù)器,對(duì)報(bào)文進(jìn)行丟棄,并同時(shí)對(duì)標(biāo)志位設(shè)置異常行為進(jìn)行計(jì)數(shù),當(dāng)該計(jì)數(shù)值超 過(guò)第二閥值時(shí),屏蔽發(fā)送該報(bào)文的程序和/或主機(jī)。
[0063] 具體的,所述破壞報(bào)文檢測(cè)模塊,用于對(duì)報(bào)文進(jìn)行第二次判斷,即判斷報(bào)文是否為 具有惡意標(biāo)志位特征的攻擊報(bào)文。其中,具有惡意標(biāo)志位特征的攻擊報(bào)文包括但不限于IP 攻擊報(bào)文、TCP攻擊報(bào)文。實(shí)施步驟包括:對(duì)IP攻擊報(bào)文及其中的TCP/UDP攻擊報(bào)文實(shí)現(xiàn) 各個(gè)報(bào)文的標(biāo)志位的檢測(cè),即識(shí)別各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范。如果符合的話,就 直接交由異常數(shù)報(bào)文檢測(cè)模塊處理。若不符合,則判斷為攻擊報(bào)文,轉(zhuǎn)入IDS決策服務(wù)器處 理。
[0064] W Tear化op等典型攻擊為列,在IP包頭中有一個(gè)偏移字段和一個(gè)分片標(biāo)志 (MF),若攻擊者把偏移字段設(shè)置成不正確的值,IP分片報(bào)文就會(huì)出現(xiàn)重合或斷開(kāi)的情況,目 標(biāo)機(jī)系統(tǒng)就會(huì)崩潰。
[006引在IP報(bào)文頭中,有一協(xié)議字段,該字段指明了該IP報(bào)文承載了何種協(xié)議。該字段 的值是小于100的,如果攻擊者向目標(biāo)機(jī)發(fā)送大量的帶大于100的協(xié)議字段的IP報(bào)文,目 標(biāo)機(jī)系統(tǒng)中的協(xié)議找就會(huì)受到破壞,形成攻擊。
[0066] 故在破壞報(bào)文檢測(cè)模塊中,首先提取出報(bào)文的各標(biāo)志位,然后檢查是否正常。
[0067] 如果正常,則交給后續(xù)模塊處理。
[0068] 如果不正常,則丟棄該數(shù)據(jù)包,并對(duì)相應(yīng)哈希表計(jì)數(shù)器計(jì)數(shù)。如果單位時(shí)間內(nèi)計(jì)數(shù) 器超過(guò)設(shè)定的所述第二閥值時(shí),則調(diào)用IDS決策服務(wù)器對(duì)相應(yīng)的程序進(jìn)行屏蔽和/或直接 屏蔽相應(yīng)的主機(jī)。
[0069] 通過(guò)欺騙報(bào)文檢測(cè)模塊的數(shù)據(jù)包濾除之后,后續(xù)的破壞報(bào)文檢測(cè)模塊所處理的數(shù) 據(jù)包中的地址都是真實(shí)的。送樣,有效的避免了目標(biāo)機(jī)收到了破壞報(bào)文,可能直接導(dǎo)致目標(biāo) 機(jī)的協(xié)議找崩潰,甚至目標(biāo)機(jī)直接崩潰。
[0070] 破壞報(bào)文檢測(cè)模塊的處理功能與欺騙報(bào)文檢測(cè)處理流程大致相似,區(qū)別在于破壞 報(bào)文檢測(cè)模塊解析出的是各個(gè)報(bào)文的標(biāo)志位,然后檢測(cè)各個(gè)標(biāo)志位是否正常。
[0071] 如果正常的話,就直接給后續(xù)的異常報(bào)文檢測(cè)模塊處理。
[0072] 如果不正常,則丟棄該數(shù)據(jù)包,并且對(duì)主機(jī)應(yīng)用征信機(jī)制相應(yīng)的哈希表內(nèi)計(jì)數(shù)器 計(jì)數(shù)。如果超過(guò)設(shè)定的閥值,則屏蔽相應(yīng)的攻擊程序或者直接屏蔽攻擊主機(jī)。
[0073] 在所述異常報(bào)文檢測(cè)模塊構(gòu)建用于識(shí)別泛洪式攻擊報(bào)文的哈希表,在所述IDS決 策服務(wù)器中構(gòu)建單位時(shí)間內(nèi)的適于對(duì)泛洪式攻擊行為進(jìn)行計(jì)數(shù)的第Η哈希表,W及設(shè)定該 第Η哈希表中的第Η閥值;所述異常報(bào)文檢測(cè)模塊,適于根據(jù)所述哈希表中設(shè)定的閥值判 斷所述報(bào)文是否具有攻擊行為;若無(wú)攻擊行為,則將數(shù)據(jù)下發(fā);若具有攻擊行為,則轉(zhuǎn)入所 述IDS決策服務(wù)器,對(duì)報(bào)文進(jìn)行丟棄,并同時(shí)對(duì)攻擊行為進(jìn)行計(jì)數(shù),當(dāng)計(jì)數(shù)值超過(guò)第Η閥值 時(shí),屏蔽發(fā)送該報(bào)文的程序和/或主機(jī)。
[0074] 具體的,所述異常報(bào)文檢測(cè)模塊,用于對(duì)報(bào)文進(jìn)行第Η次判斷,即判斷報(bào)文是否是 泛洪式攻擊報(bào)文。
[00巧]具體步驟包括:利用對(duì)構(gòu)建的識(shí)別泛洪式攻擊報(bào)文的對(duì)哈希表內(nèi)的相應(yīng)記錄進(jìn)行 累加,并檢測(cè)是否超過(guò)闊值,W判斷是否是泛洪式攻擊報(bào)文。
[0076] 經(jīng)過(guò)上述欺騙報(bào)文檢測(cè)模塊、破壞報(bào)文檢測(cè)模塊兩個(gè)模塊的濾除,后續(xù)模塊處理 的數(shù)據(jù)包基本屬于正常情況下的數(shù)據(jù)包。然而,正常情況下,也會(huì)有DDoS攻擊產(chǎn)生,在現(xiàn)有 技術(shù)中,一般僅進(jìn)行欺騙報(bào)文檢測(cè)模塊、破壞報(bào)文檢測(cè)模塊,而在本技術(shù)方案中,能盡可能 的避免DDoS攻擊。
[0077] W下實(shí)施例為針對(duì)在進(jìn)行欺騙報(bào)文檢測(cè)模塊、破壞報(bào)文檢測(cè)模塊過(guò)濾后,再通過(guò) 異常報(bào)文檢測(cè)模塊屏蔽DDoS攻擊的【具體實(shí)施方式】。該實(shí)施方式W UDP Flooding和ICMP Flooding 為例。
[0078] 圖5示出了 UDP Floodling的檢測(cè)流程圖。
[0079] 關(guān)于UDP Floodling,如圖5所示,利用UDP協(xié)議無(wú)需建立連接的機(jī)制,向目標(biāo)機(jī)發(fā) 送大量UDP報(bào)文。目標(biāo)機(jī)會(huì)花費(fèi)大量的時(shí)間處理UDP報(bào)文,送些UDP攻擊報(bào)文不但會(huì)使存 放UDP報(bào)文的緩存溢出,而且也會(huì)占用大量的網(wǎng)絡(luò)帶寬,目標(biāo)機(jī)無(wú)法(或很少)接收到合法 的UDP報(bào)文。
[0080] 由于不同的主機(jī)向單一主機(jī)發(fā)送大量UDP數(shù)據(jù)包,所W肯定會(huì)有UDP端口占用的 情況,所W本技術(shù)方案可W接收到一個(gè)ICMP的端口不可達(dá)包。
[0081] 所W本技術(shù)方案可W對(duì)所有主機(jī)建立一個(gè)哈希表,??谟脕?lái)存放單位時(shí)間內(nèi)收到 ICMP端口不可達(dá)數(shù)據(jù)包的次數(shù)。如果超過(guò)設(shè)定的閥值,則直接屏蔽相應(yīng)的攻擊程序。
[0082] 圖6示出了 ICMP Floodling的檢測(cè)流程圖。
[008引 關(guān)于ICMP Floodling,如圖6所示,對(duì)于ICMP Flooding直接進(jìn)行單位時(shí)間內(nèi)計(jì) 數(shù)。如果超過(guò)相應(yīng)的閥值,則直接對(duì)相應(yīng)主機(jī)進(jìn)行相應(yīng)屏蔽,該方法雖然簡(jiǎn)單,但是直接有 效。
[0084] 因此,異常報(bào)文檢測(cè)模塊,如果檢測(cè)到的報(bào)文類型是異常報(bào)文檢測(cè)類型,則進(jìn)行相 應(yīng)的計(jì)數(shù)器檢測(cè)是否超過(guò)闊值,如果沒(méi)有超過(guò)闊值,也可對(duì)該數(shù)據(jù)包通過(guò)最優(yōu)的路由策略 下發(fā)。如果超過(guò)了闊值,則屏蔽相應(yīng)的攻擊程序,或直接對(duì)相應(yīng)主機(jī)進(jìn)行相應(yīng)屏蔽。
[0085] 所述欺騙報(bào)文檢測(cè)模塊、破壞報(bào)文檢測(cè)模塊和異常報(bào)文檢測(cè)模塊中模塊判斷所述 報(bào)文為上述攻擊報(bào)文時(shí),則將該攻擊報(bào)文轉(zhuǎn)入IDS決策服務(wù)器,即,丟棄所述報(bào)文,并屏蔽 發(fā)送該報(bào)文的程序和/或主機(jī)。
[0086] 當(dāng)"欺騙報(bào)文檢測(cè)模塊"、"破壞報(bào)文檢測(cè)模塊"和"異常報(bào)文檢測(cè)模塊"需要丟棄數(shù) 據(jù)包或者需要屏蔽威脅主機(jī)的時(shí)候。直接調(diào)用IDS決策服務(wù)器進(jìn)行相應(yīng)的威脅處理操作。
[0087] 所述IDS決策服務(wù)器的具體的實(shí)施步驟包括:
[0088] 丟棄所述報(bào)文,即丟棄數(shù)據(jù)包的步驟包括如下:
[0089] OF交換機(jī)(OF交換機(jī))在未匹配到相應(yīng)的流表情況下,會(huì)將該數(shù)據(jù)包封裝在 Packet In消息中,同時(shí)OF交換機(jī)會(huì)將此數(shù)據(jù)包存在本地的緩存中,數(shù)據(jù)包存放在緩存中, 有一個(gè)緩存區(qū)ID號(hào),送個(gè)ID號(hào)也會(huì)封裝在化cket In消息的buffe;r_id中,通過(guò)化cket out的形式,同時(shí)化cket out消息內(nèi)的buffe;r_id填寫(xiě)要丟棄的數(shù)據(jù)包的緩存區(qū)ID (對(duì)應(yīng) 的化cket In消息中的buffe;r_id)。
[0090] 屏蔽主機(jī)的步驟包括如下:
[0091] 化enFlow協(xié)議流表結(jié)構(gòu)如下:
[0092]
[0093] 其中包頭域的結(jié)構(gòu)為:
[0094]
[0095] IDS決策服務(wù)器中包括對(duì)應(yīng)用程序進(jìn)行屏蔽的步驟包括如下:
[0096] 在流表的包頭域中填寫(xiě)相應(yīng)匹配字段,并且通過(guò)設(shè)置Wildcards屏蔽字段,來(lái)獲 取屏蔽攻擊程序或主機(jī)信息。其中,如需屏蔽攻擊程序,則在流表包頭域中填寫(xiě)下列匹配字 段;IP、MC、VLAN、SwtichDPID、SwtichPort、協(xié)議類型及其端口號(hào)等。如需屏蔽主機(jī),貝リ 在流表包頭域中填寫(xiě);IP、MAC、VLAN、Swtich DPID、Swtich化的等匹配字段。將流表動(dòng)作 列表置空,實(shí)現(xiàn)攻擊程序/主機(jī)的數(shù)據(jù)包丟棄。調(diào)用各哈希表中的記錄值,計(jì)算出流表超時(shí) 自動(dòng)刪除時(shí)間。下發(fā)流表屏蔽程序或主機(jī)。
[0097] 優(yōu)選的,所述SDN控制器內(nèi)設(shè)一屏蔽計(jì)時(shí)模塊和屏蔽計(jì)數(shù)器;所述屏蔽計(jì)時(shí)模塊 內(nèi)設(shè)有屏蔽時(shí)間,該屏蔽時(shí)間適于限定屏蔽攻擊主機(jī)時(shí)間;所述屏蔽計(jì)數(shù)器設(shè)有一屏蔽闊 值,適于當(dāng)攻擊主機(jī)屏蔽次數(shù)超過(guò)該屏蔽闊值時(shí),永久屏蔽該攻擊主機(jī)。
[0098] 可選的,正常報(bào)文也可W通過(guò)實(shí)時(shí)最優(yōu)路由策略的下發(fā)。
[0099] 最優(yōu)路由策略的步驟如下:
[0100] 首先進(jìn)入向SDN控制器的拓?fù)浣涌冢ˋPI)提交獲取請(qǐng)求,w獲取全網(wǎng)拓?fù)?,再通過(guò) 獲取的全網(wǎng)鏈路狀態(tài)計(jì)算出全網(wǎng)鏈路剩余帶寬。
[0101] 所述實(shí)時(shí)最優(yōu)路徑的計(jì)算,算法采用經(jīng)典的Di Astra算法,算法的權(quán)值改為上一 步獲取的全網(wǎng)鏈路剩余帶寬的倒數(shù),W保證計(jì)算出的路徑是最通暢,傳輸時(shí)延最小的路徑。 關(guān)于最優(yōu)路徑的具體實(shí)施步驟在實(shí)施例2中進(jìn)行了詳細(xì)論述。
[0102] 最后,將計(jì)算出的最優(yōu)路徑轉(zhuǎn)換成由流表組成的實(shí)時(shí)最優(yōu)路徑策略,下發(fā)。
[0103] 步驟S1,使用的是拓?fù)浣涌?,所述SDN控制器自帶的API接口,使用LLDP(鏈路層 發(fā)現(xiàn)協(xié)議)和廣播包發(fā)現(xiàn)鏈路,然后SDN控制器自動(dòng)計(jì)算出網(wǎng)絡(luò)拓?fù)洹?br>[0104] 步驟S2, SDN控制器的拓?fù)浣涌谙?實(shí)時(shí)最優(yōu)路徑計(jì)算模塊"的"全網(wǎng)拓?fù)浍@取模 塊"拓?fù)浍@取請(qǐng)求的反饋。
[0105] 步驟S3中,"全網(wǎng)鏈路狀態(tài)獲取模塊"向"OF交換機(jī)查詢接口模塊"提出請(qǐng)求,獲 取全網(wǎng)鏈路狀態(tài)。其中,"OF交換機(jī)查詢接口模塊"是在SDN控制器自帶的"OF交換機(jī)特性 查詢模塊"和"OF交換機(jī)狀態(tài)查詢模塊"基礎(chǔ)上拓展而來(lái),實(shí)現(xiàn)了鏈路剩余帶寬的計(jì)算及查 詢功能。
[0106] 然后,"OF交換機(jī)查詢模塊"通過(guò)步驟S4向網(wǎng)絡(luò)中所有OF交換機(jī)發(fā)送OF交換機(jī) 特性請(qǐng)求的廣播包。再通過(guò)步驟S5來(lái)接收來(lái)自網(wǎng)絡(luò)中OF交換機(jī)特性反饋的報(bào)文,解析出 報(bào)文里面的curr字段,得到每個(gè)OF交換機(jī)端口當(dāng)前帶寬B。
[0107] 接下來(lái),該模塊通過(guò)步驟S6向網(wǎng)絡(luò)中所有OF交換機(jī)發(fā)送OF交換機(jī)狀態(tài)請(qǐng)求的廣 播包,包括端口發(fā)送包數(shù)、端口發(fā)送字節(jié)數(shù)、端口接收字節(jié)數(shù)、端口接收包數(shù)等報(bào)文狀態(tài)。接 著,該模塊通過(guò)步驟S7接收來(lái)自網(wǎng)絡(luò)中OF交換機(jī)狀態(tài)反饋的報(bào)文,解析出tx_bytes字段, 得到發(fā)送字節(jié)數(shù)N1,獲取當(dāng)前時(shí)間tl。
[0108] 接下來(lái),該模塊通過(guò)步驟S8向網(wǎng)絡(luò)中所有OF交換機(jī)發(fā)送OF交換機(jī)狀態(tài)請(qǐng)求的廣 播包,接著,該模塊通過(guò)S9接收來(lái)自網(wǎng)絡(luò)中OF交換機(jī)狀態(tài)反饋的報(bào)文,計(jì)時(shí)停止,獲取當(dāng)前 時(shí)間t2。解析出tx_bytes字段,得到發(fā)送字節(jié)數(shù)N2。
[0109] 則可W計(jì)算出當(dāng)前端口剩余帶寬為;B-(N2-Nl)/(t2-tl)。
[0110] 然后,再利用獲取的網(wǎng)絡(luò)拓?fù)溥M(jìn)行每條鏈路的剩余帶寬計(jì)算:
[0111] 若是OF交換機(jī)與OF交換機(jī)之間的連接,則獲取該條鏈路兩端的OF交換機(jī)端口的 剩余帶寬,該鏈路的剩余帶寬為兩個(gè)端口剩余帶寬中的較小者。
[0112] 如果是主機(jī)與OF交換機(jī)之間的連接,則獲取連接主機(jī)的OF交換機(jī)端口的剩余帶 寬,該條鏈路剩余帶寬即為連接該主機(jī)的OF交換機(jī)端口剩余帶寬。
[0113] 步驟S4,SDN控制器W廣播的形式向全網(wǎng)所有OF交換機(jī)發(fā)送化ature Request消 息。
[0114] 步驟S5, SDN控制器接收來(lái)自網(wǎng)絡(luò)中OF交換機(jī)反饋給SDN控制器的化ature Iteply消息。
[0115] 步驟S6,SDN控制器W廣播的形式向全網(wǎng)所有OF交換機(jī)發(fā)送Stats Request消 息。
[0116] 步驟S7, SDN控制器接收來(lái)自網(wǎng)絡(luò)中OF交換機(jī)反饋給SDN控制器的Stats R巧ly 消息。
[0117] 步驟S8,SDN控制器W廣播的形式向全網(wǎng)所有OF交換機(jī)發(fā)送Stats Request消 息。
[0118] 步驟S9, SDN控制器接收來(lái)自網(wǎng)絡(luò)中OF交換機(jī)反饋給SDN控制器的Stats R巧ly 消息。
[0119] 步驟S10, OF交換機(jī)查詢接口將計(jì)算出的鏈路剩余帶寬信息反饋給"全網(wǎng)鏈路狀 態(tài)獲取模塊"。
[0120] 步驟S11,路由策略下發(fā)模塊計(jì)算出的實(shí)時(shí)最優(yōu)路由策略,將計(jì)算出的流表通過(guò)步 驟S12來(lái)下發(fā)給相關(guān)的OF交換機(jī)。
[012。 步驟S12,該接口是SDN控制器自帶的API接口,用于下發(fā)計(jì)算出的最優(yōu)路由策略。
[0122] 過(guò)所述最優(yōu)路徑策略是在防御DD0S攻擊的同時(shí),網(wǎng)絡(luò)的平均傳輸延時(shí)并沒(méi)有激 增。
[0123] 所述SDN控制器包括;路徑備份單元,用于根據(jù)SDN網(wǎng)絡(luò)拓?fù)浜透麈溌烽_(kāi)銷計(jì)算 主路徑的備份路徑;標(biāo)志位分配單元,用于為各備份路徑分配用于標(biāo)記備份路徑的標(biāo)志位; 流表下發(fā)單元,用于根據(jù)備份路徑和對(duì)應(yīng)標(biāo)志位向該備份路徑上各OF交換機(jī)下發(fā)流表項(xiàng); 所述SDN控制器適于在SDN網(wǎng)絡(luò)拓?fù)涓淖兒?,根?jù)SDN網(wǎng)絡(luò)拓?fù)涓淖兊脑颍_認(rèn)報(bào)文下 發(fā)路徑;即,當(dāng)SDN控制器DDoS威脅處理后,將報(bào)文通過(guò)最優(yōu)路徑下發(fā)報(bào)文,或判斷主路徑 發(fā)生故障后,報(bào)文匹配所述流表項(xiàng)通過(guò)備份路徑進(jìn)行轉(zhuǎn)發(fā)。具體的,可W在SDN控制器的 化enFlow域中獲取端口是否出現(xiàn)問(wèn)題,進(jìn)而實(shí)現(xiàn)判斷SDN網(wǎng)絡(luò)拓?fù)涓淖兊脑颉?br>[0124] 實(shí)施例2
[01巧]在實(shí)施例1基礎(chǔ)上的一種基于SDN網(wǎng)絡(luò)架構(gòu)的孤0S過(guò)濾方法,W通過(guò)檢測(cè)和集中 式的處理,有效的減輕了 SDN控制器的工作負(fù)擔(dān),提高了檢測(cè)效率和數(shù)據(jù)傳輸率,并且通過(guò) 收集SDN鏈路狀態(tài)信息W避免鏈路發(fā)生故障時(shí),流量丟失。
[0126] 本發(fā)明的基于SDN網(wǎng)絡(luò)架構(gòu)的孤0S過(guò)濾方法,包括如下步驟;步驟S100,網(wǎng)絡(luò)初 始化;步驟S200,分布式DDoS威脅監(jiān)測(cè)和/或收集SDN鏈路狀態(tài)信息;W及步驟S300,威脅 處理和/或確定數(shù)據(jù)下發(fā)路徑。
[0127] 進(jìn)一步,所述步驟S100中網(wǎng)絡(luò)初始化所涉及的裝置包括;SDN控制器、IDS決策服 務(wù)器和IDS設(shè)備;網(wǎng)絡(luò)初始化的步驟如下;步驟S101,所述IDS決策服務(wù)器與IDS設(shè)備建立 專用的S化信道;步驟S102,所述SDN控制器構(gòu)建網(wǎng)絡(luò)設(shè)備信息綁定表,并且將網(wǎng)絡(luò)設(shè)備信 息綁定表實(shí)時(shí)更新到IDS設(shè)備中;步驟S104,所述SDN控制器下發(fā)鏡像策略的流表,即將OF 交換機(jī)所有拖載有主機(jī)的端口流量鏡像轉(zhuǎn)發(fā)給所述IDS設(shè)備;W及步驟S105,所述SDN控 制器下發(fā)DDoS威脅識(shí)別規(guī)則給每個(gè)網(wǎng)域中對(duì)應(yīng)的IDS設(shè)備。
[012引所述步驟S200中分布式孤oS威脅監(jiān)測(cè)的方法包括;依次對(duì)鏈路層和網(wǎng)際層地址 的欺騙行為,網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為,W及應(yīng)用層和傳輸層的泛洪式攻擊行 為進(jìn)行檢測(cè);若上述過(guò)程中檢測(cè)判斷出報(bào)文存在相應(yīng)行為時(shí),則將該報(bào)文轉(zhuǎn)入步驟S300。
[0129] 圖9示出了分布式DDoS威脅監(jiān)測(cè)的方法的流程框圖。
[0130] 如圖9所示,具體的實(shí)施步驟包括:
[0131] 步驟S210,對(duì)鏈路層和網(wǎng)際層地址的欺騙行為進(jìn)行檢測(cè)。
[0132] 步驟S220,對(duì)網(wǎng)際層和傳輸層標(biāo)志位設(shè)置的異常行為進(jìn)行檢測(cè)。
[0133] 步驟S230,對(duì)應(yīng)用層和傳輸層的泛洪式攻擊行為進(jìn)行檢測(cè)。
[0134] 步驟S240,若將報(bào)文依次通過(guò)所述步驟S210、步驟S220、步驟S230后,步驟判斷出 報(bào)文存在欺騙、異常、攻擊行為時(shí),則將所述報(bào)文轉(zhuǎn)入步驟S300。
[0135] 所述步驟S210中對(duì)鏈路層和網(wǎng)際層地址的欺騙行為進(jìn)行檢測(cè)的方法包括如下步 驟;步驟S211,通過(guò)欺騙報(bào)文檢測(cè)模塊調(diào)用網(wǎng)絡(luò)設(shè)備信息綁定表;步驟S212,通過(guò)欺騙報(bào)文 檢測(cè)模塊將封裝在化cket-In消息中報(bào)文的類型進(jìn)行解析,W獲得相應(yīng)的源、目的IP地址、 MAC地址W及上傳此化cket-In消息的OF交換機(jī)的DPID號(hào)和端口號(hào),并將上述各信息分別 與網(wǎng)絡(luò)設(shè)備信息綁定表中的相應(yīng)信息進(jìn)行比對(duì);若報(bào)文中的上述信息匹配,則將報(bào)文轉(zhuǎn)入 步驟S220 ;若報(bào)文中的上述信息不匹配,則將報(bào)文轉(zhuǎn)入步驟S300。
[0136] 所述步驟S220中對(duì)網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為進(jìn)行檢測(cè)的方法包括: 對(duì)報(bào)文的各標(biāo)志位進(jìn)行檢測(cè),W判斷各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范;若報(bào)文的各標(biāo)志 位符合,則將報(bào)文轉(zhuǎn)入S230 ;若報(bào)文的各標(biāo)志位不符合,則將報(bào)文轉(zhuǎn)入步驟S300。
[0137] 所述步驟S230中對(duì)應(yīng)用層和傳輸層的泛洪式攻擊行為進(jìn)行檢測(cè)的方法包括如下 步驟;步驟S231,在異常報(bào)文檢測(cè)模塊構(gòu)建用于識(shí)別泛洪式攻擊報(bào)文的哈希表;步驟S232, 通過(guò)異常報(bào)文檢測(cè)模塊根據(jù)所述哈希表中設(shè)定的閥值判斷所述報(bào)文是否為泛洪式攻擊報(bào) 文,且將判斷結(jié)果轉(zhuǎn)入步驟S300,即若無(wú)攻擊行為,則將數(shù)據(jù)正常下發(fā)或通過(guò)上述最優(yōu)路徑 策略下發(fā);若具有攻擊行為,則采取相應(yīng)的屏蔽措施。
[013引其中,收集SDN鏈路狀態(tài)信息的方法包括;用于根據(jù)SDN網(wǎng)絡(luò)拓?fù)浜透麈溌烽_(kāi)銷計(jì) 算主路徑的備份路徑;用于為各備份路徑分配用于標(biāo)記備份路徑的標(biāo)志位;用于根據(jù)備份 路徑和對(duì)應(yīng)標(biāo)志位向該備份路徑上各OF交換機(jī)下發(fā)流表項(xiàng)。
[0139] 所述步驟S300中威脅處理和/或確定數(shù)據(jù)下發(fā)路徑的方法包括:
[0140] 若報(bào)文具有欺騙行為,且攻擊威脅在化enFlow域中,則所述IDS決策服務(wù)器適于 通過(guò)SDN控制器屏蔽主機(jī);W及當(dāng)攻擊威脅不在化enFlow域中,則通過(guò)SDN控制器將該報(bào) 文所對(duì)應(yīng)的OF交換機(jī)接入端口流量重定向至流量清洗中必進(jìn)行過(guò)濾;若報(bào)文具有異常行 為,則所述IDS決策服務(wù)器通過(guò)SDN控制器對(duì)攻擊程序或攻擊主機(jī)的流量進(jìn)行屏蔽;具體的 實(shí)施步驟包括:針對(duì)破壞報(bào)文攻擊,由于IDS設(shè)備當(dāng)前處理的報(bào)文通過(guò)了欺騙報(bào)文檢測(cè),所 W該報(bào)文地址是真實(shí)的。IDS決策服務(wù)器只需通過(guò)SDN控制器的北向接口下發(fā)動(dòng)作為化op 的流表將攻擊程序或攻擊主機(jī)的流量屏蔽。但送都只是粗粒度的決策,只適用于攻擊包少 量的破壞報(bào)文攻擊。
[014。 若報(bào)文具有泛洪式攻擊行為,則所述IDS決策服務(wù)器通過(guò)SDN控制器將該報(bào)文所 對(duì)應(yīng)的OF交換機(jī)接入端口流量重定向至流量清洗中必進(jìn)行過(guò)濾;可選的,流量清洗中必的 安全設(shè)備也可W將防護(hù)的結(jié)果反饋給SDN控制器,調(diào)整網(wǎng)絡(luò)策略,實(shí)現(xiàn)SDN網(wǎng)絡(luò)W及混合有 傳統(tǒng)網(wǎng)絡(luò)情況下的多維防護(hù);在屏蔽攻擊主機(jī)后,設(shè)定屏蔽時(shí)間和屏蔽闊值,該屏蔽時(shí)間適 于限定屏蔽攻擊主機(jī)時(shí)間;W及當(dāng)攻擊主機(jī)屏蔽次數(shù)超過(guò)所述屏蔽闊值時(shí),永久屏蔽該攻 擊主機(jī)。進(jìn)一步,根據(jù)鏈路負(fù)載系數(shù)計(jì)算出優(yōu)化路徑,即檢測(cè)兩相鄰節(jié)點(diǎn)的鏈路剩余帶寬, 獲得該鏈路的負(fù)載系數(shù),在根據(jù)該負(fù)載系數(shù)和初始化的網(wǎng)絡(luò)拓?fù)鋱D獲得任意兩點(diǎn)的最優(yōu)路 徑,所述SDN控制器根據(jù)該最優(yōu)路徑得出對(duì)應(yīng)的轉(zhuǎn)發(fā)流表并下發(fā)各OF交換機(jī)。
[0142] 優(yōu)化路徑的具體算法流程如下:
[014引設(shè)r。, h+u為兩相鄰節(jié)點(diǎn)的鏈路剩余帶寬,則其鏈路負(fù)載系數(shù)為:
[0144]
由SDN控制器計(jì)算出鏈路負(fù)載系數(shù)* /
[0145] U(a,b)為任意兩點(diǎn)間的負(fù)載系數(shù)和:
[0146]
[0147] 設(shè)初始網(wǎng)絡(luò)拓?fù)鋱D為護(hù),計(jì)算任意兩點(diǎn)間的最優(yōu)路徑,
[014 引
[0149] 所述IDS決策服務(wù)器屏蔽發(fā)送報(bào)文的程序和/或主機(jī)的方法包括:
[0150] 首先,構(gòu)建計(jì)數(shù)用的相應(yīng)哈希表及設(shè)定相應(yīng)闊值,即單位時(shí)間內(nèi),所述IDS決策服 務(wù)器中構(gòu)建對(duì)欺騙行為進(jìn)行計(jì)數(shù)的第一哈希表,標(biāo)志位設(shè)置異常行為進(jìn)行計(jì)數(shù)的第二哈希 表,W及對(duì)泛洪式攻擊行為進(jìn)行計(jì)數(shù)的第Η哈希表;同時(shí)設(shè)定第一、第二、第Η哈希表中的 第一、第二、第Η閥值;其次,屏蔽發(fā)送該報(bào)文的程序和/或主機(jī),即針對(duì)轉(zhuǎn)入IDS決策服務(wù) 器的報(bào)文的行為,利用相應(yīng)哈希表進(jìn)行計(jì)數(shù),當(dāng)計(jì)數(shù)值超過(guò)相應(yīng)閥值時(shí),屏蔽發(fā)送該報(bào)文的 程序和/或主機(jī)。
[0151] 所述步驟S300中確定數(shù)據(jù)下發(fā)路徑的方法還包括:根據(jù)SDN網(wǎng)絡(luò)拓?fù)涓淖兊脑?因,確認(rèn)報(bào)文下發(fā)路徑;即,當(dāng)SDN控制器威脅處理后,將報(bào)文通過(guò)最優(yōu)路徑下發(fā)報(bào)文,或判 斷主路徑發(fā)生故障后,報(bào)文匹配所述流表項(xiàng)通過(guò)備份路徑進(jìn)行轉(zhuǎn)發(fā)。
[0152] 實(shí)施例3
[015引 本發(fā)明的 SDN 架構(gòu)可 W 定義 SDNQA(SDN Communication 如ality Assurance Strategy)即SDN通信質(zhì)量保障策略。
[0154] 本發(fā)明的SDN架構(gòu)的測(cè)試環(huán)境和測(cè)試內(nèi)容如下:
[01巧]基于化enFlow 1. 3協(xié)議,測(cè)試裝有DDoS威脅過(guò)濾與通信質(zhì)量保障組件的 Floodli曲tSDN控制器、OF交換機(jī)、IDS設(shè)備W及IDS決策服務(wù)器之間的通信。
[0156] 測(cè)試IDS設(shè)備是否能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的異常攻擊流量,并且通過(guò)S化信道上報(bào) IDS決策服務(wù)器。
[0157] 測(cè)試IDS決策服務(wù)器是否能夠根據(jù)IDS設(shè)備上報(bào)的信息,制定出處理對(duì)應(yīng)攻擊威 脅的策略,并通過(guò)SDN控制器的北向接口下發(fā)。
[015引測(cè)試SDN控制器是否能夠根據(jù)網(wǎng)絡(luò)實(shí)時(shí)狀況,生成并下發(fā)實(shí)時(shí)優(yōu)化的轉(zhuǎn)發(fā)路徑。
[0159] 圖8示出了實(shí)驗(yàn)場(chǎng)景的具體部署的拓?fù)鋱D。
[0160] 實(shí)驗(yàn)場(chǎng)景的具體部署如圖8所示。中間為基礎(chǔ)網(wǎng)絡(luò)區(qū)域,有兩個(gè)虛網(wǎng)。其中虛網(wǎng)A 部署了本SDNQA系統(tǒng),而虛網(wǎng)B尚未部署,并且各虛網(wǎng)中都存在若干DDoS攻擊愧佩機(jī)。右側(cè) 為實(shí)驗(yàn)效果對(duì)比區(qū)域,包括一臺(tái)Web服務(wù)器和兩臺(tái)用戶主機(jī),其中Web服務(wù)器上運(yùn)行Tomcat 對(duì)外提供Web服務(wù),用戶主機(jī)A、B分別是接入虛網(wǎng)A、B的主機(jī)。左側(cè)為攻擊模擬區(qū)域,有一 臺(tái)DDoS攻擊機(jī),攻擊機(jī)將作為主控機(jī)控制虛網(wǎng)A和虛網(wǎng)B中的愧佩機(jī)對(duì)Web服務(wù)器發(fā)起混 合式的DDoS攻擊。
[0161] 基于上述實(shí)驗(yàn)環(huán)境,從兩方面對(duì)SDNQA架構(gòu)的性能進(jìn)行驗(yàn)證;(1)對(duì)比混合式的 DDoS攻擊下Web服務(wù)器端所承受的攻擊頻率;(2)對(duì)比泛洪式攻擊所造成的網(wǎng)絡(luò)平均傳輸 延遲。
[0162] 實(shí)驗(yàn)結(jié)果及分析如圖9(a)和圖9(b)所示。
[016引圖9(a)為未使用本發(fā)明的SDN架構(gòu)的Web服務(wù)器所承受的攻擊頻率的曲線圖。
[0164] 圖9(b)為使用本發(fā)明的SDN架構(gòu)的Web服務(wù)器所承受的攻擊頻率的曲線圖。
[0165] 首先,對(duì)Web服務(wù)器端流量流入情況進(jìn)行分析。攻擊機(jī)控制各虛網(wǎng)中的愧佩機(jī)同 時(shí)對(duì)Web服務(wù)器發(fā)起混合式的DDoS攻擊,其最高頻率為55化,攻擊時(shí)長(zhǎng)為100砂。截取Web 服務(wù)器所有的數(shù)據(jù)包序列,并分離出各虛網(wǎng)的請(qǐng)求序列,分別得出虛網(wǎng)A和虛網(wǎng)B所流入服 務(wù)器的請(qǐng)求序列,Web服務(wù)器所承受的攻擊頻率對(duì)比如圖9(a)和圖9(b)所示。
[0166] 圖10為平均傳輸速率對(duì)比圖。
[0167] 從圖10可W看出,本發(fā)明的SDN架構(gòu)在Os~5s時(shí)間段內(nèi)快速識(shí)別了典型的孤oS 攻擊,并在Os~40s的時(shí)間段內(nèi)采取了過(guò)濾防護(hù)措施。在40s之后,網(wǎng)絡(luò)流量趨于正常,測(cè) 試用戶主機(jī)A-直可正常得到網(wǎng)頁(yè)請(qǐng)求響應(yīng)。而未部署SDNQA系統(tǒng)的虛網(wǎng)B中一直有大量 的攻擊流量流入,測(cè)試用戶主機(jī)B無(wú)法得到網(wǎng)頁(yè)請(qǐng)求響應(yīng)。
[0168] 其次,從之前截取的數(shù)據(jù)包序列中提取出測(cè)試用戶主機(jī)A和測(cè)試用戶主機(jī)B的請(qǐng) 求序列,從各請(qǐng)求序列中統(tǒng)計(jì)數(shù)據(jù)包的平均傳輸?shù)难舆t時(shí)間,得出兩個(gè)虛網(wǎng)的平均傳輸延 時(shí)對(duì)比如圖9(a)和圖9(b)所示。
[0169] 從圖10中可W看出,經(jīng)過(guò)路由優(yōu)化,虛網(wǎng)A的平均傳輸延遲沒(méi)有隨著數(shù)據(jù)量的增 大而激增。由此可見(jiàn),SDNQA架構(gòu)能夠基于對(duì)網(wǎng)絡(luò)實(shí)時(shí)狀況的感知,對(duì)流轉(zhuǎn)發(fā)路徑進(jìn)行優(yōu)化, 從而在網(wǎng)絡(luò)中存在DDoS攻擊或正常大流量業(yè)務(wù)的情況下保證網(wǎng)絡(luò)數(shù)據(jù)傳輸。
【主權(quán)項(xiàng)】
1. 一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過(guò)濾方法,包括如下步驟: 步驟S100,網(wǎng)絡(luò)初始化; 步驟S200,分布式DDoS威脅監(jiān)測(cè)和/或收集SDN鏈路狀態(tài)信息;以及 步驟S300,威脅處理和/或確定數(shù)據(jù)下發(fā)路徑。2. 根據(jù)權(quán)利要求1所述基于SDN網(wǎng)絡(luò)架構(gòu)的DD0S過(guò)濾方法,其特征在于,所述步驟 S100中網(wǎng)絡(luò)初始化所涉及的裝置包括:SDN控制器、IDS決策服務(wù)器和IDS設(shè)備; 網(wǎng)絡(luò)初始化的步驟如下: 步驟S101,所述IDS決策服務(wù)器與IDS設(shè)備建立專用的SSL信道; 步驟S102,所述SDN控制器構(gòu)建網(wǎng)絡(luò)設(shè)備信息綁定表,并且將網(wǎng)絡(luò)設(shè)備信息綁定表實(shí) 時(shí)更新到IDS設(shè)備中; 步驟S104,所述SDN控制器下發(fā)鏡像策略的流表,即將OF交換機(jī)所有拖載有主機(jī)的端 口流量鏡像轉(zhuǎn)發(fā)給所述IDS設(shè)備;以及 步驟S105,所述SDN控制器下發(fā)DDoS威脅識(shí)別規(guī)則給每個(gè)網(wǎng)域中對(duì)應(yīng)的IDS設(shè)備。3. 根據(jù)權(quán)利要求2所述基于SDN網(wǎng)絡(luò)架構(gòu)的DD0S過(guò)濾方法,其特征在于,所述步驟 S200中分布式DDoS威脅監(jiān)測(cè)的方法包括: 依次對(duì)鏈路層和網(wǎng)際層地址的欺騙行為,網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為,以及 應(yīng)用層和傳輸層的泛洪式攻擊行為進(jìn)行檢測(cè); 若上述過(guò)程中檢測(cè)判斷出報(bào)文存在相應(yīng)行為時(shí),則將該報(bào)文轉(zhuǎn)入步驟S300 ; 所述對(duì)鏈路層和網(wǎng)際層地址的欺騙行為進(jìn)行檢測(cè)的方法包括: 通過(guò)欺騙報(bào)文檢測(cè)模塊對(duì)欺騙行為進(jìn)行檢測(cè),即 首先,通過(guò)欺騙報(bào)文檢測(cè)模塊調(diào)用網(wǎng)絡(luò)設(shè)備信息綁定表; 其次,通過(guò)欺騙報(bào)文檢測(cè)模塊將封裝在Packet-In消息中報(bào)文的類型進(jìn)行解析,以獲 得相應(yīng)的源、目的IP地址、MAC地址以及上傳此Packet-In消息的OF交換機(jī)DPID號(hào)和端 口號(hào),并將上述各信息分別與網(wǎng)絡(luò)設(shè)備信息綁定表中的相應(yīng)信息進(jìn)行比對(duì); 若報(bào)文中的上述信息匹配,則將報(bào)文進(jìn)行下一檢測(cè); 若報(bào)文中的上述信息不匹配,則將報(bào)文轉(zhuǎn)入步驟S300 ; 所述網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為進(jìn)行檢測(cè)的方法包括: 通過(guò)破壞報(bào)文檢測(cè)模塊對(duì)標(biāo)志位設(shè)置異常行為進(jìn)行檢測(cè),即 對(duì)報(bào)文的各標(biāo)志位進(jìn)行檢測(cè),以判斷各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范; 若報(bào)文的各標(biāo)志位符合,則將報(bào)文轉(zhuǎn)入進(jìn)行下一檢測(cè); 若報(bào)文的各標(biāo)志位不符合,則將報(bào)文轉(zhuǎn)入步驟S300 ; 所述應(yīng)用層和傳輸層的泛洪式攻擊行為進(jìn)行檢測(cè)的方法包括: 通過(guò)異常報(bào)文檢測(cè)模塊對(duì)泛洪式攻擊行為進(jìn)行檢測(cè),即 在異常報(bào)文檢測(cè)模塊構(gòu)建用于識(shí)別泛洪式攻擊報(bào)文的哈希表,并根據(jù)該哈希表中設(shè)定 的閥值判斷報(bào)文是否具有泛洪式攻擊行為,且將判斷結(jié)果轉(zhuǎn)入步驟S300 ;以及 收集SDN鏈路狀態(tài)信息的方法包括: 根據(jù)SDN網(wǎng)絡(luò)拓?fù)浜透麈溌烽_(kāi)銷計(jì)算主路徑的備份路徑; 為各備份路徑分配用于標(biāo)記備份路徑的標(biāo)志位;以及 根據(jù)備份路徑和對(duì)應(yīng)標(biāo)志位向該備份路徑上各OF交換機(jī)下發(fā)流表項(xiàng)。4. 根據(jù)權(quán)利要求3所述基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過(guò)濾方法,其特征在于,所述步驟 S300中威脅處理和/或確定數(shù)據(jù)下發(fā)路徑的方法包括: 若報(bào)文具有欺騙行為,且攻擊威脅在OpenFlow域中,則所述IDS決策服務(wù)器適于通過(guò) SDN控制器屏蔽主機(jī);以及當(dāng)攻擊威脅不在OpenFlow域中,則通過(guò)SDN控制器將該報(bào)文所 對(duì)應(yīng)的OF交換機(jī)接入端口流量重定向至流量清洗中心進(jìn)行過(guò)濾; 若報(bào)文具有異常行為,則所述IDS決策服務(wù)器通過(guò)SDN控制器對(duì)攻擊程序或攻擊主機(jī) 的流量進(jìn)行屏蔽; 若報(bào)文具有泛洪式攻擊行為,則所述IDS決策服務(wù)器通過(guò)SDN控制器將該報(bào)文所對(duì)應(yīng) 的OF交換機(jī)接入端口流量重定向至流量清洗中心進(jìn)行過(guò)濾;以及在屏蔽攻擊主機(jī)后,設(shè)定 屏蔽時(shí)間和屏蔽閾值,該屏蔽時(shí)間適于限定屏蔽攻擊主機(jī)時(shí)間;以及當(dāng)攻擊主機(jī)屏蔽次數(shù) 超過(guò)所述屏蔽閾值時(shí),永久屏蔽該攻擊主機(jī); 和/或,根據(jù)鏈路負(fù)載系數(shù)計(jì)算出優(yōu)化路徑,即檢測(cè)兩相鄰節(jié)點(diǎn)的鏈路剩余帶寬,獲得 該鏈路的負(fù)載系數(shù),在根據(jù)該負(fù)載系數(shù)和初始化的網(wǎng)絡(luò)拓?fù)鋱D獲得任意兩點(diǎn)的最優(yōu)路徑, 所述SDN控制器根據(jù)該最優(yōu)路徑得出對(duì)應(yīng)的轉(zhuǎn)發(fā)流表并下發(fā)各OF交換機(jī)。5. 根據(jù)權(quán)利要求4所述基于SDN網(wǎng)絡(luò)架構(gòu)的DD0S過(guò)濾方法,其特征在于,所述IDS決 策服務(wù)器屏蔽發(fā)送報(bào)文的程序和/或主機(jī)的方法包括: 首先,構(gòu)建計(jì)數(shù)用的相應(yīng)哈希表及設(shè)定相應(yīng)閾值,即 單位時(shí)間內(nèi),所述IDS決策服務(wù)器中構(gòu)建對(duì)欺騙行為進(jìn)行計(jì)數(shù)的第一哈希表,標(biāo)志位 設(shè)置異常行為進(jìn)行計(jì)數(shù)的第二哈希表,以及對(duì)泛洪式攻擊行為進(jìn)行計(jì)數(shù)的第三哈希表; 同時(shí)設(shè)定第一、第二、第三哈希表中的第一、第二、第三閥值; 其次,屏蔽發(fā)送該報(bào)文的程序和/或主機(jī),即 針對(duì)轉(zhuǎn)入IDS決策服務(wù)器的報(bào)文的行為,利用相應(yīng)哈希表進(jìn)行計(jì)數(shù),當(dāng)計(jì)數(shù)值超過(guò)相 應(yīng)閥值時(shí),屏蔽發(fā)送該報(bào)文的程序和/或主機(jī)。6. 根據(jù)權(quán)利要求5所述基于SDN網(wǎng)絡(luò)架構(gòu)的DD0S過(guò)濾方法,其特征在于,所述步驟 S300中確定數(shù)據(jù)下發(fā)路徑的方法還包括: 根據(jù)SDN網(wǎng)絡(luò)拓?fù)涓淖兊脑?,確認(rèn)報(bào)文下發(fā)路徑;即,當(dāng)SDN控制器威脅處理后,將 報(bào)文通過(guò)最優(yōu)路徑下發(fā)報(bào)文,或判斷主路徑發(fā)生故障后,報(bào)文匹配所述流表項(xiàng)通過(guò)備份路 徑進(jìn)行轉(zhuǎn)發(fā)。
【文檔編號(hào)】H04L29/06GK105871773SQ201510024434
【公開(kāi)日】2016年8月17日
【申請(qǐng)日】2015年1月18日
【發(fā)明人】吳正明, 張家華
【申請(qǐng)人】吳正明