本发明专利技术公开了一种SDN控制器基于统计值的防攻击方法,该方法包含S1,SDN控制器接收OF消息并解析;S2,SDN控制器检查OF消息的合法性;S2.1,若OF消息不合法,OF消息将被丢弃;S2.2,若OF消息合法,则OF消息的报文数目加1;S3,SDN控制器在抑制周期内记录合法的OF消息的报文数目,并根据报文数目处理合法的OF消息。本发明专利技术根据合法的OF消息的入端口,OF消息类型和源Mac地址动态识别恶意攻击的黑客,并抑制其攻击行为而不影响其他正常的OF消息的交互,同时Controller也产生对应的告警和日志,记录此黑客的行为。
【技术实现步骤摘要】
本专利技术涉及通信领域的防攻击算法,特别涉及一种SDN控制器基于统计值的防攻击方法。
技术介绍
SDN(Software Defined Network)的集中控制方式及开发性使得控制器的安全性成为潜在风险,需要建立一整套隔离、防护和备份机制来确保其安全稳定运行。控制器负责整个SDN网络的集中化控制,一旦控制器受到黑客恶意攻击,随之而来的是全网的服务能力的降级甚至是瘫痪。为了提高控制器的可靠性,控制器的防攻击技术研究迫在眉睫。目前,用于控制器的防攻击算法还没定义标准。如果黑客(Hacker)发送足够多的OF消息,很容易使控制器达到超载状态,影响合法的OF消息交互。目前控制器的防攻击算法还没有统一的标准,如果检测Hacker的粒度过大(例如,只是检测入端口报文数量),当发生攻击的时候,此端口收到的合法的OF消息也会被过滤。
技术实现思路
本专利技术的目的是提供一种SDN控制器基于统计值的防攻击方法,根据OF消息的入端口,OF消息类型和源Mac地址动态识别恶意攻击的黑客,并抑制其攻击行为而不影响其他正常的OF消息的交互,同时Controller也产生对应的告警和日志,记录此黑客的行为。为了实现以上目的,本专利技术是通过以下技术方案实现的:一种SDN控制器基于统计值的防攻击方法,其特点是,该方法包含如下步骤:S1,SDN控制器接收OF消息并解析; S2,SDN控制器检查所述OF消息的合法性;S2.1,若所述OF消息不合法,丢弃所述OF消息;S2.2,若所述OF消息合法,所述O F消息的报文数目加1;S3,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,并根据报文数目处理合法的所述OF消息。进一步地,所述的步骤S1中 SDN控制器接收的OF消息并解析后还包含:获得OF消息的入端口、消息类型和源MAC地址的信息。进一步地,所述的步骤S1之前还包含:S0,SDN控制器预先为根据不同消息类型分别设置所述OF消息的预设的阈值,其中所述预设的阈值包括缺省的阈值和/或用户配置的阈值。进一步地,所述的步骤S3包含:S3.1,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,判断合法的所述OF消息的报文数目是否大于或等于所述预设的阈值,若是则执行Out-Profile动作,若否,则执行步骤S3.2;S3.2,SDN控制器执行In-Profile动作。进一步地,所述的步骤S3中,若抑制周期到期,将合法的所述OF消息的报文数目清零。进一步地,所述的步骤S3中,当所述抑制周期重新设置,等待当前所述抑制周期到期后,更新所述抑制周期。进一步地,统计所述合格OF消息的OF统计表采用Hash表的组织方式。进一步地,若抑制周期到期时,在所述Hash表中将所述合法的所述OF消息的报文数目清零。进一步地,根据CPU利用率和/或报文转发速率,调整所述的抑制周期大小。本专利技术与现有技术相比,具有以下优点:1、本专利技术提供更细的检测黑客的粒度,从而识别恶意攻击的黑客,处理正常的OF消息。2、本专利技术在设定的抑制周期内可以抑制黑客的攻击,从而保护控制器。3、本专利技术OF消息统计表采用Hash表的组织方式,大大提高表的检索性能。附图说明图1为本专利技术一种SDN控制器基于统计值的防攻击方法的流程图。具体实施方式以下结合附图,通过详细说明一个较佳的具体实施例,对本专利技术做进一步阐述。如图1所示,一种SDN控制器基于统计值的防攻击方法,该方法包含如下步骤:S1,SDN控制器接收OF消息并解析; S2,SDN控制器检查OF消息的合法性;S2.1,若OF消息不合法,OF消息将被丢弃;S2.2,若OF消息合法,则O F消息的报文数目加1;S3,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,并根据报文数目处理合法的所述OF消息。其中,所述的步骤S1中 ,SDN控制器会接收不同消息类型的OF消息,故SDN控制器接收到OF消息是需要进行解析的,其中,解析获取:OF消息的入端口、消息类型和源MAC地址的信息。在具体实施例中,所述的步骤S1之前还包含:SDN控制器预先为根据不同消息类型分别设置所述OF消息的预设的阈值,其中所述预设的阈值包括缺省的阈值和/或用户配置的阈值。其中,缺省的阈值为系统自带的阈值,用户配置的阈值为用户根据自身要求设置的阈值。预设的阈值可以为都为缺省的阈值,也可以为都为用户配置的阈值,也可以以缺省的阈值与用户配置的阈值相结合作为预设的阈值。以下为一实施例中的具体的OF消息阈值表: 管理员可以根据实际的网络情况更新上述阈值,从而达到理想的网络状态。所述的S2中检测OF消息的合法性为检测入端口、消息类型和源MAC地址的信息一致。在具体实施例中,所述的步骤S3包含:S3.1,SDN控制器在抑制周期内记录合法性的OF消息的报文数目,判断所述合法的OF消息的报文数目是否大于或等于预设的阈值,若是则执行Out-Profile动作,该Out-Profile动作的缺省动作类型可以设为丢弃消息并产生日志和警告或者直接丢弃消息,若否,则执行步骤S3.2;S3.2,SDN控制器执行In-Profile动作,该In-Profile动作的缺省动作类型可以设为正常处理或正常处理且产生日志。为了提高OF消息的检索性能,所述的OF消息统计表采用Hash表的组织方式。Hash表是要利用Hash算法和Hash值进行直接寻址定位的数据结构。Hash值是由入端口,消息类型和源Mac地址采用以下公式异或获得。其值域从0到1023。同时为了防止黑客变化源MAC地址攻击SDN控制器,导致SDN控制器内存被消耗殆尽。最大的深度为32个条目数。深度值也是可以被用户配置。在具体实施例中,所述的步骤S3中,若抑制周期到期,将合法的所述OF消息的报文数目清零。对OF消息的报文数目清零,以便后续统计时,无需做叠加计算,加速运算速度,避免不必要的统计错误。进一步地,当统计所述合格OF消息的OF统计表采用Hash表的组织方式时,若抑制周期到期时,在所述Hash表中将所述合法的所述OF消息的报文数目清零。进一步地,当所述抑制周期重新设置,等待当前所述抑制周期到期后,更新所述抑制周期。例如,当抑制周期被重新设置为30秒/次,当前的抑制周期为20秒/次,系统将到等待当前的抑制周期到期后,才更新抑制周期,将抑制周期更新为30秒/次,避免抑制周期的紊乱。进一步地,当控制器侦测黑客在进行攻击时,在抑制周期内,次黑客报文将会被抑制,直到抑制周期超时,管理员额可以根据实际网路情况,调整所述的抑制周期大小,其中,实际的网络情况为发送速率的大小,当OF消息发送速率很大时,可以减小抑本文档来自技高网...
【技术保护点】
一种SDN控制器基于统计值的防攻击方法,其特征在于,该方法包含如下步骤:S1,SDN控制器接收OF消息并解析; S2,SDN控制器检查所述OF消息的合法性;S2.1,若所述OF消息不合法,丢弃所述OF消息;S2.2,若所述OF消息合法,所述O F消息的报文数目加1;S3,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,并根据报文数目处理合法的所述OF消息。
【技术特征摘要】
1.一种SDN控制器基于统计值的防攻击方法,其特征在于,该方法包含如下步骤:
S1,SDN控制器接收OF消息并解析;
S2,SDN控制器检查所述OF消息的合法性;
S2.1,若所述OF消息不合法,丢弃所述OF消息;
S2.2,若所述OF消息合法,所述O F消息的报文数目加1;
S3,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,并根据报文数目处理合法的所述OF消息。
2.如权利要求1所述的SDN控制器基于统计值的防攻击方法,其特征在于,所述的步骤S1中 SDN控制器收到所述OF消息并解析,所述解析获取:所述OF消息的入端口、消息类型和源MAC地址的信息。
3.如权利要求1所述的SDN控制器基于统计值的防攻击方法,其特征在于,所述的步骤S1之前还包含:
S0,SDN控制器预先为根据不同消息类型分别设置所述OF消息的预设的阈值,其中所述预设的阈值包括缺省的阈值和/或用户配置的阈值。
4.如权利要求2所述的SDN控制器基于统计值的防攻击方法,其特征在于,所述的S2中检测所述OF消息的合法性为检测入端口、消息类型和源MAC地址的信息一致。
5.如权利要求3所述的SDN控制器基于统计值的防...
【专利技术属性】
技术研发人员:翟跃,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。