一种工业SDN网络DDoS攻击检测与缓解方法技术

本发明专利技术涉及一种工业SDN网络DDoS攻击检测与缓解方法，属于网络安全领域。该方法利用工业回程网络中SDN控制器的东西向接口与工业接入网络的系统管理器的协同作用，结合工业回程网络及工业接入网络数据包特征，扩展OpenFlow交换机流表项匹配域，设定流表0为“缓解DDoS攻击专用流表”及时抵御攻击数据流。利用工业回程网络的SDN控制器及DDoS攻击检测与缓解系统，识别出攻击数据流并发现DDoS攻击源，通过调度工业接入网络系统管理器实施缓解DDoS攻击的策略。本发明专利技术保证了工业回程网和工业接入网络的正常流量，克服了DDoS攻击对工业网络安全造成的威胁。

A DDoS attack detection and mitigation method in industrial SDN network

The invention relates to an industrial SDN network DDoS attack detection and mitigation method, which belongs to the field of network security. The method uses the synergy of the SDN controller in the industrial return network and the system manager of the industrial access network, combines the industrial return network and the data packet characteristics of the industrial access network, extends the matching domain of the flow table item of the OpenFlow switch, and sets the flow table 0 to resist the attack in time for \alleviating the DDoS attack special flow table\ in time. Data flow. Using the SDN controller of the industrial return network and the DDoS attack detection and mitigation system, the attack data flow is identified and the DDoS attack source is found, and the strategy of alleviating the DDoS attack is implemented by dispatching the industrial access network system manager. The invention ensures the normal flow of the industrial backhaul network and the industrial access network, and overcomes the threat caused by the DDoS attack to the industrial network security.

【技术实现步骤摘要】
一种工业SDN网络DDoS攻击检测与缓解方法
本专利技术属于网络安全领域，涉及一种工业SDN网络DDoS攻击检测与缓解方法。
技术介绍
软件定义网络(SoftwareDefinedNetwork,SDN)技术的关注度日趋明显，越来越多的研究也逐渐地将SDN引入到工业网络环境中，SDN的特点是将网络的数据转发平面和控制平面分离，从而通过控制器中的软件平台去实现可编程化控制底层硬件，实现对网络资源灵活的按需调配。SDN控制器通过利用OpenFlow协议向OpenFlow交换机(以下简称OF交换机)主动或被动下发流表，数据包通过匹配流表得到转发。利用SDN集中控制及可编程性的优点，可使得庞大的工业网络系统流量管控更灵活，减少底层重复的人工配置等问题。工业回程网络，是广域网络(Internet网络)和接入网络(如无线WirelessHART、WIA-PA、ISA100.11a)之间的传输网络，覆盖范围为几平方公里到几十平方公里，属于中等规模网络，解决工业无线网络接入广域网“最后几公里”的传输问题。目前，针对工业接入网络和工业回程网络的资源调度问题，主要是利用SDN控制器和工业接入网络系统控制器进行合作联合调度有效实现资源的有效配置。网络安全方面，目前针对工业SDN网络的DDoS攻击主要以下两种形态存在：(1)攻击者针对工业回程网络OF交换机进行DDoS攻击：利用OF交换机产生大量无法匹配的packet-in信息对SDN控制器进行攻击，造成SDN控制器因大量packet-in信息汇入而宕机，导致正常数据包请求不能及时得到处理。(2)攻击者针对工业接入网络(工业有线网络、工业无线网络如WirelessHART、WIA-PA、ISA100.11a)路由节点等关键网络设备进行DDoS攻击，造成工业接入网络和工业回程网络汇入大量无效的数据包，影响网络正常工作。目前，对普通SDN网络DDoS攻击检测方法有很多，包括基于流量的时间特征方法、基于信息熵值方法、基于KNN算法等方法。然而，由于工业回程网络和工业控制网络自身特征，其工业网络的网络特性、实时性要求、可靠性要求等并没有被考虑，且普通SDN网络的OpenFlow协议也未针对工业网络进行特殊匹配和改进，既有研究成果很难直接应用到工业SDN网络。特别是一些在不支持IP的工业接入网络(如WIA-PA网络、WirelessHART网络等)爆发DDoS攻击，利用传统OpenFlow流表模式匹配方法、信息熵值方法等，均很难对攻击的实际发生位置进行溯源和定位。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种工业SDN网络DDoS攻击检测与缓解方法，利用工业SDN网络中的SDN控制器及工业接入网络系统管理器，扩展工业回程网络中的OF交换机流表项的匹配域，使其能够更精确的匹配来自工业接入网络的数据包，SDN控制器与DDoS攻击与检测服务器通过交互，实现对工业回程网络和工业接入网络中DDoS攻击的检测和缓解。为达到上述目的，本专利技术提供如下技术方案：一种工业SDN网络DDoS攻击检测与缓解方法，包括以下步骤：S1：建立基于SDN的联合调度架构下工业网络DDoS检测与缓解系统架构；S2：网络正常工作，工业接入网络转交工业回程网络数据报文；S3：改进并扩展OpenFlow流表项；S4：数据经过OF交换机时，进行流表匹配；S5：SDN控制器查询OF交换机的匹配情况并标记可疑流表项，并报告Packet-in消息；S6：DDoS攻击检测与缓解系统对可疑流表项进行处理或对Packet-in进行识别处理。进一步，在步骤S1中，所述基于SDN的联合调度架构下工业网络DDoS检测系统架构包括应用平面、控制平面和转发平面；所述应用平面包括SDN控制器控制软件和防DDoS攻击应用管理软件；其中，SDN控制器控制软件用于用户配置SDN控制器；防DDoS攻击应用管理软件用于支持安全人员根据网络DDoS攻击特点，制定相应的防御策略，保证网络安全运行；所述控制平面包括SDN控制器、工业接入网络系统管理器和工业SDN网络DDoS攻击检测与缓解系统；其中，SDN控制器负责工业回程网络的资源控制与调度，负责网络的链路发现拓扑管理、状态监测和策略制定并下发流表，并将监测到的信息供DDoS攻击检测与缓解系统查询；SDN控制器上运行联合调度器负责工业接入网络系统管理器进行交互，负责工业接入网络的数据传输路径和资源信息的计算和决策；工业接入网络系统管理器负责配置工业接入网网络属性、管理路由表、调度设备间的通信、监视网络性能和安全管理；负责管理网络中设备的运行以及整个无线网络的通信，包括设备入网和离网、网络故障的监控与报告和通信配置管理；工业SDN网络DDoS攻击检测与缓解系统包括检测和缓解两个模块：检测模块根据SDN控制器状态监测信息，分析工业网络发给OpenFlow交换机的实时数据并提取相应数据特征，判断是否受到DDoS攻击，并将判断结果报告给DDoS攻击缓解系统；缓解模块负责快速响应网络中的DDoS攻击情况，通过SDN控制器对工业网络中的流量进行调度；所述转发平面包括工业回程网络OF交换机和工业接入网网络设备；其中，OF交换机位于工业回程网中，依靠SDN控制器的全局视图功能，用于实现灵活、高效的配置工业回程网；工业接入网络网络设备是工业接入网络的网络传输物理实体，提供工业接入网络系统管理器进行管理和配置，从而达到工业接入网络系统管理器所需要的网络功能；包括工业接入网络边界路由器，负责将报文处理后，转发给工业回程网络。进一步，所述步骤S2具体为：当接入网络路由设备向边界路由发送数据包时，网关支持工业有线和工业无线协议转换为IPv4或IPv6协议，保留原始数据的以下特征：接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID。进一步，所述步骤S3具体为：扩展OpenFlow交换机流表项匹配域，增加扩展域实现OpenFlow交换机能够更精确的匹配来自工业接入网络的数据包；扩展域包括：接入网络类型：用于标记工业接入网络是有线网络还是无线网络；网络协议：用于标记工业接入网络的网络协议；PAN_ID：用于标记个域网的ID；工作信道：用于标记数据来自于无线接入网络时候的该数据传输所涉及的信道；无线网络源MAC地址：标记数据来源的MAC地址；无线网络目的MAC地址：标记数据目的地的MAC地址；源设备ID：标记数据来源的ID。OF交换机入网后，控制器获取链路状态，主动地向交换机下发扩展后的流表。进一步，所述步骤S4具体为：当数据流与流表中的匹配域匹配时，流表项每匹配一次则流表项中计数器计数一次；当数据流与流表中的匹配域不匹配时，OF交换机则先将其缓存在缓冲区，再提取其包头封装成packet-in消息，若缓冲区已满则直接将整个数据包封装成packet-in消息，发给SDN控制器并由SDN控制器分析及决策，然后通过下发flow-mod或packet-out消息进行处理。进一步，所述步骤S5具体为：S501：SDN控制器查询单位时间内每个流表项的匹配数据流个数M，控制器根据经验值设定单位时间内每个流表项的正常数据流匹配个数为M*，计算M-M*＝ΔM；S502：SDN控制器查询单位时间内Packet-in消息数量本文档来自技高网...

【技术保护点】
1.一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：该方法包括以下步骤：S1：建立基于SDN的联合调度架构下工业网络DDoS检测与缓解系统架构；S2：网络正常工作，工业接入网络转交工业回程网络数据报文；S3：改进并扩展OpenFlow流表项；S4：数据经过OF交换机时，进行流表匹配；S5：SDN控制器查询OF交换机的匹配情况并标记可疑流表项，并报告Packet‑in消息；S6：DDoS攻击检测与缓解系统对可疑流表项进行处理或对Packet‑in进行识别处理。

【技术特征摘要】
1.一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：该方法包括以下步骤：S1：建立基于SDN的联合调度架构下工业网络DDoS检测与缓解系统架构；S2：网络正常工作，工业接入网络转交工业回程网络数据报文；S3：改进并扩展OpenFlow流表项；S4：数据经过OF交换机时，进行流表匹配；S5：SDN控制器查询OF交换机的匹配情况并标记可疑流表项，并报告Packet-in消息；S6：DDoS攻击检测与缓解系统对可疑流表项进行处理或对Packet-in进行识别处理。2.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：在步骤S1中，所述基于SDN的联合调度架构下工业网络DDoS检测系统架构包括应用平面、控制平面和转发平面；所述应用平面包括SDN控制器控制软件和防DDoS攻击应用管理软件；其中，SDN控制器控制软件用于用户配置SDN控制器；防DDoS攻击应用管理软件用于支持安全人员根据网络DDoS攻击特点，制定相应的防御策略，保证网络安全运行；所述控制平面包括SDN控制器、工业接入网络系统管理器和工业SDN网络DDoS攻击检测与缓解系统；其中，SDN控制器负责工业回程网络的资源控制与调度，负责网络的链路发现拓扑管理、状态监测和策略制定并下发流表，并将监测到的信息供DDoS攻击检测与缓解系统查询；SDN控制器上运行联合调度器负责工业接入网络系统管理器进行交互，负责工业接入网络的数据传输路径和资源信息的计算和决策；工业接入网络系统管理器负责配置工业接入网网络属性、管理路由表、调度设备间的通信、监视网络性能和安全管理；负责管理网络中设备的运行以及整个无线网络的通信，包括设备入网和离网、网络故障的监控与报告和通信配置管理；工业SDN网络DDoS攻击检测与缓解系统包括检测和缓解两个模块：检测模块根据SDN控制器状态监测信息，分析工业网络发给OpenFlow交换机的实时数据并提取相应数据特征，判断是否受到DDoS攻击，并将判断结果报告给DDoS攻击缓解系统；缓解模块负责快速响应网络中的DDoS攻击情况，通过SDN控制器对工业网络中的流量进行调度；所述转发平面包括工业回程网络OF交换机和工业接入网网络设备；其中，OF交换机位于工业回程网中，依靠SDN控制器的全局视图功能，用于实现灵活、高效的配置工业回程网；工业接入网络网络设备是工业接入网络的网络传输物理实体，提供工业接入网络系统管理器进行管理和配置，从而达到工业接入网络系统管理器所需要的网络功能；包括工业接入网络边界路由器，负责将报文处理后，转发给工业回程网络。3.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：所述步骤S2具体为：当接入网络路由设备向边界路由发送数据包时，网关支持工业有线和工业无线协议转换为IPv4或IPv6协议，保留原始数据的以下特征：接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID。4.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：所述步骤S3具体为：扩展OpenFlow交换机流表项匹配域，增加扩展域实现OpenFlow交换机能够更精确的匹配来自工业接入网络的数据包；扩展域包括：接入网络类型：用于标记工业接入网络是有线网络还是无线网络；网络协议：用于标记工业接入网络的网络协议；PAN_ID：用于标记个域网的ID；工作信道：用于标记数据来自于无线接入网络时候的该数据传输所涉及的信道；无线网络源MAC地址：标记数据来源的MAC地址；无线网络目的MAC地址：标记数据目的地的MAC地址；源设备ID：标记数据来源的ID；OF交换机入网后，控制器获取链路状态，主动地向交换机下发扩展后的流表。5.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：所述步骤S4具体为：当数据流与流表中的匹配域匹配时，流表项每匹配一次则流表项中计数器计数一次；当数据流与流表中的匹配域不匹配时，OF交换机则先将其缓存在缓冲区，再提取其包头封装成packet-in消息，若缓冲区已满则直接将整个数据包封装成packet-in消息，发给SDN控制器并由SDN控制器分析及决策，然后通过下发flow-mod或packet-out消息进行处理。6.根据权利要求1所述的一种工业SDN网络DDoS攻击检测与缓解方法，其特征在于：所述步骤S5具体为：S501：SDN控制器查询单位时间内每个流表项的匹配数据流个数M，控制器根据经验值设定单位时间内每个流表项的正常数据流匹配个数为M*，计算M-M*＝ΔM；S502：SDN控制器查询单位时间内Packet-in消息数量N，以及单位时间内flow-mod与packet-out消息数量之和N*，计算N-N*＝ΔN；S503：若某一流表项的ΔM超过阈值，则该流表项被SDN控制器标记为可疑流表项；S504：若当前OF交换机发给SDN控制器的ΔN超过阈值，则SDN控制器判断出现数据流异常；S505：工业回程网OF交换机流表不匹配偏差容忍度ΔM和ΔN，由用户通过防DDoS攻击应用管理软件进行设定；S506：SDN控制器将可疑流表项报告给DDoS攻击检测与缓解系统；S507：SDN控制器将携带接入网络类型、网络协议、PAN_ID、工作信道、源MAC地址、目的MAC地址和源设备ID信息的Packet-in消息报告给DDoS攻击检测与缓解系统；由D...

【专利技术属性】
技术研发人员：魏旻，杨涛，毛久超，庞巧月，王平，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆,50