融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法技术方案

技术编号:11346207 阅读:84 留言:0更新日期:2015-04-24 02:42
本发明专利技术公开了一种融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法,本SDN网络架构,包括:应用平面、数据平面和控制平面;其中数据平面,当位于数据平面中任一IDS设备检测到攻击威胁时,通知应用平面进入到攻击类型分析流程;应用平面,用于对攻击类型进行分析,并根据攻击类型定制相应的攻击威胁处理策略;控制平面,为应用平面提供攻击威胁处理接口,并为数据平面提供最优路径计算和/或攻击威胁识别接口。本发明专利技术可使网络在遭受大规模DDoS威胁时,能够根据链路的实时状况实现路由优化的流量转发,同时迅速准确的进行DDoS威胁识别和处理响应,全面保障网络通信质量。

【技术实现步骤摘要】

本专利技术涉及网络安全领域,特别是涉及一种基于SDN架构的识别与防护DDoS攻击 的方法及系统。
技术介绍
当前,高速广泛连接的网络已经成为现代社会的重要基础设施。然而,随着互联网 规模的膨胀,传统规范体系的缺陷也日益呈现出来。 国家计算机网络应急技术处理协调中心(CNCERT/CC)最新发布的报告表明:黑客 活动日趋频繁,网站后门、网络钓鱼、Web恶意挂马等攻击事件呈大幅增长趋势,国家、企业 的网络安全性面临着严峻挑战。 其中,分布式拒绝服务攻击(DistributedDenialofService,DDoS)仍然是影响 互联网运行安全最主要的威胁之一。在过去的几年里,DDoS攻击的数目、大小、类型都大幅 上涨。软件定义网络(SoftwareDefinedNetwork,SDN)具有可实时更新路由策略与规 贝1J、支持深层次的数据包分析等特性,因而可针对复杂网络环环境中的DDoS威胁提供更迅 速准确的网络监控及防御功能。
技术实现思路
本专利技术的目的是提供一种SDN网络架构,以解决现有网络中大量DDoS攻击所造 成的网络安全问题,以实现快速、高效、全面地识别与防御DDoS攻击。 为了解决上述技术问题,本专利技术提供了一种SDN网络架构,包括:应用平面、数据 平面和控制平面;其中 数据平面,当位于数据平面中任一IDS设备检测到攻击威胁时,通知应用平面进入到 攻击类型分析流程; 应用平面,用于对攻击类型进行分析,并根据攻击类型定制相应的攻击威胁处理策 略; 控制平面,为应用平面提供攻击威胁处理接口,并为数据平面提供最优路径计算和/ 或攻击威胁识别接口。 本专利技术的有益效果:本专利技术将DDoS威胁监测、威胁防护、路由优化等业务功能模 块分别部署于数据平面、控制平面和应用平面。可使网络在遭受大规模DDoS威胁时,能够 根据链路的实时状况实现路由优化的流量转发,同时迅速准确的进行DDoS威胁识别和处 理响应,全面保障网络通信质量。 又一方面,本专利技术还提供了一种SDN系统,以解决防御DDoS攻击的技术问题。 为了解决上述技术问题,本专利技术提供了一种SDN系统,包括:控制器、IDS决策服务 器、分布式的IDS设备和流量清洗中心;当任一IDS设备检测到具有DDoS攻击特征的报文 时,即通过SSL通信信道上报至IDS决策服务器;所述IDS决策服务器根据上报信息,制定 出与具有DDoS攻击特征的报文对应的处理策略,然后将该报文通过控制器屏蔽或者将该 报文所对应的交换机接入端口流量重定向到流量清洗中心进行过滤。 优选的,为了在IDS设备中实现DDoS检测,所述IDS设备内包括:欺骗报文检测模 块,对链路层和网际层地址的欺骗行为进行检测;破坏报文检测模块,对网际层和传输层标 志位设置的异常行为进行检测;异常报文检测模块,对应用层和传输层泛洪式攻击行为进 行检测;通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进 行检测;且若任一检测模块检测出报文存在上述相应行为时,则将该报文转入IDS决策服 务器。 优选的,所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在OpenFlow 域中,则通过控制器屏蔽主机;或当攻击威胁不在OpenFlow域中,则通过控制器将该报文 所对应的交换机接入端口流量重定向至流量清洗中心进行过滤;所述IDS决策服务器还适 于当报文具有异常行为,则通过控制器对攻击程序或攻击主机的流量进行屏蔽;以及当报 文具有泛洪式攻击行为,则所述IDS决策服务器适于通过控制器将该报文所对应的交换机 接入端口流量重定向至流量清洗中心进行过滤。 第三方面,本专利技术还提供了一种融合DDoS威胁过滤与路由优化的SDN系统的工作 方法,以解决对DDoS攻击的分布式监测,在制定相应威胁处理策略的技术问题。 为了解决上述技术问题,本专利技术还提供了一种融合DDoS威胁过滤与路由优化的 SDN系统的工作方法,包括如下步骤: 步骤S100,网络初始化;步骤S200,分布式DDoS威胁监测;以及步骤S300,威胁处理和 /或路由优化。 优选的,为了更好的实现网络配置,所述步骤S100中网络初始化所涉及的装置包 括:控制器、IDS决策服务器和分布式的IDS设备; 网络初始化的步骤如下: 步骤S101,所述IDS决策服务器与各IDS设备建立专用的SSL通信信道; 步骤S102,所述控制器构建网络设备信息绑定表,并且将网络设备信息绑定表实时更 新到各IDS设备中; 步骤S104,所述控制器下发镜像策略的流表,即将OF交换机所有拖载有主机的端口流 量镜像转发给网域内对应的IDS设备;以及 步骤S105,所述控制器下发DDoS威胁识别规则给每个网域中对应的各IDS设备。 优选的,所述步骤S200中分布式DDoS威胁监测的方法包括: 依次对链路层和网际层地址的欺骗行为,网际层和传输层标志位设置异常行为,以及 应用层和传输层的泛洪式攻击行为进行检测; 若上述过程中任一检测判断出报文存在相应行为时,则将该报文转入步骤S300。 优选的,对链路层和网际层地址的欺骗行为进行检测的方法包括: 通过欺骗报文检测模块对欺骗行为进行检测,即 首先,通过欺骗报文检测模块调用网络设备信息绑定表; 其次,通过欺骗报文检测模块将封装在Packet-In消息中报文的类型进行解析,以获 得相应的源、目的IP地址、MAC地址以及上传此Packet-In消息的交换机DPID号和端口号, 并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对; 若报文中的上述信息匹配,则将报文进行下一检测; 若报文中的上述信息不匹配,则将报文转入步骤S300 ; 所述网际层和传输层标志位设置异常行为进行检测的方法包括: 通过破坏报文检测模块对标志位设置异常行为进行检测,即 对报文的各标志位进行检测,以判断各标志位是否符合TCP/IP协议规范; 若报文的各标志位符合,则将报文转入进行下一检测; 若报文的各标志位不符合,则将报文转入步骤S300 ; 所述应用层和传输层的泛洪式攻击行为进行检测的方法包括: 通过异常报文检测模块对泛洪式攻击行为进行检测,即 在异常报文检测模块构建用于识别泛洪式攻击报文的哈希表,并根据该哈希表中设定 的阀值判断报文是否具有泛洪式攻击行为,且将判断结果转入步骤S300。 优选的,所述步骤S300中威胁处理和/或路由优化的方法包括: 若报文具有欺骗行为,且攻击威胁在OpenFlow域中,则所述IDS决策服务器适于通过 控制器屏蔽主机;以及当攻击威胁不在OpenFlow域中,则通过控制器将该报文所对应的交 换机接入端口流量重定向至流量清洗中心进行过滤; 若报文具有异常行为,则所述IDS决策服务器通过控制器对攻击程序或攻击主机的流 量进行屏蔽; 若报文具有泛洪式攻击行为,则所述IDS决策服务器通过控制器将该报文所对应的交 换机接入端口流量重定向至流量清洗中心进行过滤;和/或 根据链路负载系数计算出优化路径,即检测两相邻节点的链路剩余带宽,获得该链路 的负载系数,在根据该负载系数和初始化的网络拓扑图获得任意两点的最优路径,所述控 制器根据该最优路径得出对应的转发流表并下发各交换机。 优选的,所述IDS决策服务器屏蔽发送报文的程序和/或主机的方法包本文档来自技高网...
<a href="http://www.xjishu.com/zhuanli/62/CN104539594.html" title="融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法原文来自X技术">融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法</a>

【技术保护点】
一种SDN网络架构,其特征在于,包括:数据平面、应用平面和控制平面;其中数据平面,当位于数据平面中任一IDS设备检测到攻击威胁时,通知应用平面进入到攻击类型分析流程;应用平面,用于对攻击类型进行分析,并根据攻击类型定制相应的攻击威胁处理策略;控制平面,为应用平面提供攻击威胁处理接口,并为数据平面提供最优路径计算和/或攻击威胁识别接口。

【技术特征摘要】

【专利技术属性】
技术研发人员:张家华王江平李滢李朔
申请(专利权)人:南京晓庄学院
类型:发明
国别省市:江苏;32

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1