当前位置: 首页 > 专利查询>李忠专利>正文

DDoS威胁过滤与链路重配的SDN架构及工作方法技术

技术编号:11214416 阅读:140 留言:0更新日期:2015-03-27 01:16
本发明专利技术公开了一种DDoS威胁过滤与链路重配的SDN架构及工作方法,本SDN架构,包括:控制器、IDS决策服务器和分布式的IDS设备;当任一IDS设备检测到具有DDoS攻击特征的报文时,即上报至IDS决策服务器,通过该IDS决策服务器制定出与所述报文对应的处理策略,并将处理策略下发至控制器以进行威胁处理,以及所述控制器在威胁处理后重新规划路由路径;本发明专利技术将DDoS威胁过滤与链路重配进行融合,在进行监测、屏蔽DDOS攻击后,重新规划链路路径,避免造成数据的拥堵,并且通过将监测和威胁处理分开,有效的减轻了控制层面的负担,保证了网络更安全、高效的运行。

【技术实现步骤摘要】

本专利技术涉及网络安全领域,特别是涉及一种DDoS威胁过滤与链路重配的SDN架构 及工作方法。
技术介绍
当前,高速广泛连接的网络已经成为现代社会的重要基础设施。然而,随着互联网 规模的膨胀,传统规范体系的缺陷也日益呈现出来。 国家计算机网络应急技术处理协调中心(CNCERT/CC)最新发布的报告表明:黑客 活动日趋频繁,网站后门、网络钓鱼、Web恶意挂马等攻击事件呈大幅增长趋势,国家、企业 的网络安全性面临着严峻挑战。 其中,分布式拒绝服务攻击(Distributed Denial of Service,DDoS)仍然是影响 互联网运行安全最主要的威胁之一。在过去的几年里,DDoS攻击的数目、大小、类型都大幅 上涨。 软件定义网络(Software Defined Network,SDN)具有可实时更新路由策略与规 贝1J、支持深层次的数据包分析等特性,因而可针对复杂网络环境中的DDoS威胁提供更迅速 准确的网络监控及防御功能。
技术实现思路
本专利技术的目的是提供一种SDN架构及其工作方法,以解决现有网络中大量DDoS 攻击所造成的网络安全问题,并且将检测与决策分离,有效的减轻了控制器的负担;同时, 在威胁处理后重新规划路由路径,以实现对链路带宽的充分利用,均衡各OF交换机的数据 量。 为了解决上述技术问题,本专利技术提供了一种SDN架构,包括:控制器、IDS决策服 务器和分布式的IDS设备;当任一 IDS设备检测到具有DDoS攻击特征的报文时,即上报至 IDS决策服务器,通过该IDS决策服务器制定出与所述报文对应的处理策略,并将处理策略 下发至控制器以进行威胁处理,以及所述控制器在威胁处理后重新规划路由路径。 优选的,为了在IDS设备中实现DDoS检测,所述IDS设备内包括:欺骗报文检测模 块,对链路层和网际层地址的欺骗行为进行检测;破坏报文检测模块,对网际层和传输层标 志位设置的异常行为进行检测;异常报文检测模块,对应用层和传输层泛洪式攻击行为进 行检测;通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进 行检测;且若任一检测模块检测出报文存在上述相应行为时,则将该报文转入IDS决策服 务器。 优选的,所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在OpenFlow 域中,则通过控制器屏蔽攻击主机;或当攻击威胁不在OpenFlow域中,则通过控制器将该 报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;所述IDS决策服务 器还适于当报文具有异常行为,则通过控制器对攻击程序或攻击主机的流量进行屏蔽;以 及当报文具有泛洪式攻击行为,则所述IDS决策服务器适于通过控制器将该报文所对应的 OF交换机接入端口流量重定向至流量清洗中心进行过滤。 优选的,所述控制器内设一屏蔽计时模块,所述屏蔽计时模块内设有步进时间,该 步进时间适于限定屏蔽攻击主机时间,且跟随主机屏蔽次数而递增。 进一步,实现链路带宽的重新调整,所述控制器适于在屏蔽攻击主机后,重新规划 路由路径;即检测两相邻节点的链路剩余带宽,获得该链路的负载系数,再根据该负载系数 调整路由路径,并将该路由路径得出对应的转发流表并下发各OF交换机。 另一方面,本专利技术还提供了一种SDN架构的工作方法,以解决对DDoS攻击的分布 式监测,在制定相应威胁处理策略的技术问题。 为了解决上述技术问题,本专利技术还提供了一种SDN架构的工作方法,包括如下步 骤: 步骤S100,网络初始化;步骤S200,分布式DDoS威胁监测;步骤S300,威胁处理; 步骤S400,重新规划路由路径。 优选的,为了更好的实现网络配置,所述SDN架构包括:控制器、IDS决策服务器和 分布式的IDS设备;网络初始化的步骤如下:步骤S101,所述IDS决策服务器与各IDS设备 建立专用的SSL通信信道;步骤S102,所述控制器构建网络设备信息绑定表,并且将网络设 备信息绑定表实时更新到各IDS设备中;步骤S104,所述控制器下发镜像策略的流表,即将 OF交换机所有拖载有主机的端口流量镜像转发给网域内对应的IDS设备;以及步骤S105, 所述控制器下发DDoS威胁识别规则给IDS设备。 优选的,所述步骤S200中分布式DDoS威胁监测的方法包括:依次对链路层和网际 层地址的欺骗行为,网际层和传输层标志位设置异常行为,以及应用层和传输层的泛洪式 攻击行为进行检测;若上述过程中任一检测判断出报文存在相应行为时,则将该报文转入 步骤S300。 优选的,对链路层和网际层地址的欺骗行为进行检测的方法包括:通过欺骗报文 检测模块对欺骗行为进行检测,即首先,通过欺骗报文检测模块调用网络设备信息绑定表; 其次,通过欺骗报文检测模块将封装在Packet-In消息中报文的类型进行解析,以获得相 应的源、目的IP地址、MAC地址以及上传此Packet-In消息的OF交换机DPID号和端口号, 并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对;若报文中的上述信息 匹配,则将报文进行下一检测;若报文中的上述信息不匹配,则将报文转入步骤S300 ;所述 网际层和传输层标志位设置异常行为进行检测的方法包括:通过破坏报文检测模块对标志 位设置异常行为进行检测,即对报文的各标志位进行检测,以判断各标志位是否符合TCP/ IP协议规范;若报文的各标志位符合,则将报文转入进行下一检测;若报文的各标志位不 符合,则将报文转入步骤S300 ;所述应用层和传输层的泛洪式攻击行为进行检测的方法包 括:通过异常报文检测模块对泛洪式攻击行为进行检测,即在异常报文检测模块构建用于 识别泛洪式攻击报文的哈希表,并根据该哈希表中设定的阀值判断报文是否具有泛洪式攻 击行为,且将判断结果转入步骤S300。 优选的,所述步骤S300中威胁处理的方法包括:若报文具有欺骗行为,且攻击威 胁在OpenFlow域中,则所述IDS决策服务器适于通过控制器屏蔽攻击主机;以及当攻击威 胁不在OpenFlow域中,贝通过控制器将该报文所对应的OF交换机接入端口流量重定向至 流量清洗中心进行过滤;若报文具有异常行为,则所述IDS决策服务器通过控制器对攻击 程序或攻击主机的流量进行屏蔽;若报文具有泛洪式攻击行为,则所述IDS决策服务器通 过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;以 及设定一步进时间,该步进时间适于限定屏蔽攻击主机时间,且跟随主机屏蔽次数而递增; 所述IDS决策服务器屏蔽发送报文的程序和/或攻击主机的方法包括:首先,构建计数用 的相应哈希表及设定相应阈值,即单位时间内,所述IDS决策服务器中构建对欺骗行为进 行计数的第一哈希表,标志位设置异常行为进行计数的第二哈希表,以及对泛洪式攻击行 为进行计数的第三哈希表;同时设定第一、第二、第三哈希表中的第一、第二、第三阀值;其 次,屏蔽发送该报文的程序和/或攻击主机,即针对转入IDS决策服务器的报文的行为,利 用相应哈希表进行计数,当计数值超过相应阀值时,屏蔽发送该报文的程序和/或攻击主 机。 优选的,对在屏蔽攻击主机后,对链路进本文档来自技高网...

【技术保护点】
一种SDN架构,其特征在于,包括:控制器、IDS决策服务器和分布式的IDS设备;当任一IDS设备检测到具有DDoS攻击特征的报文时,即上报至IDS决策服务器,通过该IDS决策服务器制定出与所述报文对应的处理策略,并将处理策略下发至控制器以进行威胁处理,以及所述控制器在威胁处理后重新规划路由路径。

【技术特征摘要】
1. 一种SDN架构,其特征在于,包括:控制器、IDS决策服务器和分布式的IDS设备; 当任一 IDS设备检测到具有DDoS攻击特征的报文时,即上报至IDS决策服务器,通过 该IDS决策服务器制定出与所述报文对应的处理策略,并将处理策略下发至控制器W进行 威胁处理,W及所述控制器在威胁处理后重新规划路由路径。2. 根据权利要求1所述的SDN架构,其特征在于,所述IDS设备内包括: 欺骗报文检测模块,对链路层和网际层地址的欺骗行为进行检测; 破坏报文检测模块,对网际层和传输层标志位设置的异常行为进行检测; 异常报文检测模块,对应用层和传输层泛洪式攻击行为进行检测; 通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行 检测;且若任一检测模块检测出报文存在上述相应行为时,则将该报文转入IDS决策服务 器。3. 根据权利要求2所述的SDN架构,其特征在于, 所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在化enFlow域中,则通过 控制器屏蔽攻击主机;或当攻击威胁不在化enFlow域中,则通过控制器将该报文所对应的 OF交换机接入端口流量重定向至流量清洗中屯、进行过滤; 所述IDS决策服务器还适于当报文具有异常行为,则通过控制器对攻击程序或攻击主 机的流量进行屏蔽;W及 当报文具有泛洪式攻击行为,则所述IDS决策服务器适于通过控制器将该报文所对应 的OF交换机接入端口流量重定向至流量清洗中屯、进行过滤; 所述控制器内设一屏蔽计时模块,所述屏蔽计时模块内设有步进时间,该步进时间适 于限定屏蔽攻击主机时间,且跟随主机屏蔽次数而递增。4. 根据权利要求3所述的SDN架构,其特征在于,所述控制器适于在屏蔽攻击主机后, 重新规划路由路径;即检测两相邻节点的链路剩余带宽,获得该链路的负载系数,再根据该 负载系数调整路由路径,并将该路由路径得出对应的转发流表并下发各OF交换机。5. -种SDN架构的工作方法,包括如下步骤; 步骤S100,网络初始化; 步骤S200,分布式孤oS威胁监测; 步骤S300,威胁处理; 步骤S400,重新规划路由路径。6. 根据权利要求5所述的SDN架构的工作方法,其特征在于,所述SDN架构包括;控制 器、IDS决策服务器和分布式的IDS设备; 网络初始化的步骤如下: 步骤S101,所述IDS决策服务器与各IDS设备建立专用的S化通信信道; 步骤S102,所述控制器构建网络设备信息绑定表,并且将网络设备信息绑定表实时更 新到各IDS设备中; 步骤S104,所述控制器下发镜像策略的流表,即将OF交换机所有拖载有主机的端口流 量镜像转发给网域内对应的IDS设备;W及 步骤S105,所述控制器下发DDoS威胁识别规则给IDS设备。7. 根据权利要求6所述的SDN架构的工作方法,其特征在于,所述步骤S200中分布式 DDoS威胁监测的方法包括: 依次对链路层和网际层地址的欺骗行为,网际层和传输层标志位设置异常行为,W及 应用层和传输层的泛洪式攻击行为进行检测; 若上述过程中任一检测判断出报文存在相应行为时,...

【专利技术属性】
技术研发人员:李忠
申请(专利权)人:李忠
类型:发明
国别省市:江苏;32

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1