一种基于SDN架构的识别与防护DDoS攻击的系统及方法技术方案

本发明专利技术涉及一种基于SDN架构的识别与防护DDoS攻击的系统及方法，本系统包括：欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在欺骗、异常、攻击行为时，则将该报文转入威胁处理模块；威胁处理模块适于丢弃报文，并屏蔽发送该报文的程序和/或主机。本发明专利技术的处理架构采用可扩展的模块化设计，实现了对DDoS威胁的高效检测和灵活处理；并且细致分割各处理，提升了模块的高内聚特性。

【技术实现步骤摘要】

本专利技术涉及网络安全领域，特别是涉及一种基于SDN架构的识别与防护DDoS攻击的方法及系统。
技术介绍
近年来，高速广泛连接的网络给大家带来方便的同时，也为DDoS攻击创造了极为有利的条件。分布式拒绝服务攻击已成为黑客经常采用而难以防范的攻击手段，成为网络安全的最大威胁之一，它使用互联网必要的有效协议,无偏差地从任何源头传送数据包到任意目的地，占用过多的服务资源，从而使合法用户无法得到服务响应，给各类互联网用户和服务提供商造成严重经济损失。目前防御DDoS攻击的方法通常采用包过滤或限制速率的措施，不仅慢，消耗大，而且同时也阻断有效业务，均不能提供完善的防御，如IDS入侵监测、防火墙保护、黑洞技术、路由器过滤等。并且,现有技术中没有涉及攻击检测功能，具体包括：伪装报文的过滤、破坏报文的过滤和异常报文的过滤等。因此，需要设计一种基于SDN架构的全面而有效的DDoS防护系统，以提高DDoS威胁的识别和防护能力，解决现有网络中大量存在的DDos攻击问题。
技术实现思路
本专利技术的目的是提供一种基于SDN架构的DDoS威胁识别与防护系统，本防护系统有效地解决了现有网络中大量DDos攻击所造成的网络安全问题，以实现快速、高效、全面地识别与防御DDoS攻击。为了解决上述技术问题，本专利技术提供了一种基于SDN架构的识别与防护DDoS攻击的方法及系统，其包括：所述欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；所述破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；所述异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入威胁处理模块；所述威胁处理模块适于丢弃所述报文，并屏蔽发送该报文的程序和/或主机。进一步，为了更好的实现对欺骗报文的检测，在所述欺骗报文检测模块中构建网络设备信息绑定表，并在所述威胁处理模块中构建单位时间内的适于对报文欺骗行为进行计数的第一哈希表，以及设定该第一哈希表中的第一阀值；所述欺骗报文检测模块，将封装在Packet-In消息中的报文的类型进行解析，以获得相应的源、目的IP地址、MAC地址以及上传Packet-In消息的交换机DPID号和端口号信息，并将各信息分别与网络设备信息绑定表中的相应信息进行比对；若报文中的上述信息匹配，则将报文转入破坏报文检测模块；若报文中的上述信息不匹配，则转入所述威胁处理模块，对报文进行丢弃；同时对欺骗行为进行计数，当该计数值超过第一阀值时，屏蔽发送该报文的程序和/或主机。进一步，为了更好的实现对破坏报文的检测，在所述威胁处理模块中构建单位时间内的适于对报文的标志位设置异常行为进行计数的第二哈希表，以及设定该第二哈希表中的第二阀值；所述破坏报文检测模块对报文的各标志位进行检测，以判断各标志位是否符合TCP/IP协议规范；若报文的各标志位符合，则将报文转入异常报文检测模块；若报文的各标志位不符合，则转入所述威胁处理模块，对报文进行丢弃；同时对标志位设置异常行为进行计数，当该计数值超过第二阀值时，屏蔽发送该报文的程序和/或主机。进一步，为了更好的实现对异常报文检测，在所述异常报文检测模块构建用于识别泛洪式攻击报文的哈希表，在所述威胁处理模块中构建单位时间内的适于对泛洪式攻击行为进行计数的第三哈希表，以及设定该第三哈希表中的第三阀值；所述异常报文检测模块，适于根据所述哈希表中设定的阀值判断所述报文是否具有攻击行为；若无攻击行为，则将数据下发；若具有攻击行为，则转入所述威胁处理模块，对报文进行丢弃；同时对攻击行为进行计数，当计数值超过第三阀值时，屏蔽发送该报文的程序和/或主机。又一方面，本专利技术为了解决上述同样的技术问题，还提供了一种基于SDN架构的DDoS攻击识别与防护方法，其包括：依次对链路层和网际层地址的欺骗行为，网际层和传输层标志位设置异常行为，以及应用层和传输层的泛洪式攻击行为进行检测；若上述过程中任一检测步骤判断出报文存在相应行为时，则将该报文转入威胁处理模块，以丢弃所述报文，并屏蔽发送报文的程序和/或主机。进一步，为了更好的实现对链路层和网际层地址的欺骗行为进行检测，对链路层和网际层地址的欺骗行为进行检测的方法包括：通过欺骗报文检测模块对欺骗行为进行检测，即首先，在欺骗报文检测模块中构建网络设备信息绑定表；其次，通过欺骗报文检测模块将封装在Packet-In消息中报文的类型进行解析，以获得相应的源、目的IP地址、MAC地址以及上传此Packet-In消息的交换机DPID号和端口号，并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对；若报文中的上述信息匹配，则将报文转入下一检测步骤；若报文中的上述信息不匹配，则将报文转入威胁处理模块。进一步，为了更好的实现对网际层和传输层标志位设置的异常行为进行检测，网际层和传输层标志位设置异常行为进行检测的方法包括：通过破坏报文检测模块对标志位设置异常行为进行检测，即对报文的各标志位进行检测，以判断各标志位是否符合TCP/IP协议规范；若报文的各标志位符合，则将报文转入下一检测步骤；若报文的各标志位不符合，则将报文转入威胁处理模块。进一步，为了更好的实现对应用层和传输层的泛洪式攻击行为进行检测，应用层和传输层的泛洪式攻击行为进行检测的方法包括：通过异常报文检测模块对泛洪式攻击行为进行检测，即在异常报文检测模块构建用于识别泛洪式攻击报文的哈希表，且根据该哈希表中设定的阀值判断报文是否具有泛洪式攻击行为；若无攻击行为，则将数据正常下发；若具有攻击行为，则将攻击报文转入威胁处理模块。进一步，所述威胁处理模块屏蔽发送报文的程序和/或主机的方法包括：首先，构建计数用的相应哈希表及设定相应阈值，即单位时间内，所述威胁处理模块中构建对欺骗行为进行计数的第一哈希表，标志位设置异常行为进行计数的第二哈希表，以及对泛洪式攻击行为进行计数的第三哈希表；同时设定第一、第二、第三哈希表中的第一、第二、第三阀值；其次，屏蔽发送该报文的程序和/或主机，即针对转入威胁处理模块的报文的行为，利用相应哈希表进行计数，当计数值超过相应阀值时，屏蔽发送该报文的程序和/或主机。本专利技术的有益效果：(1)本专利技术的处理架构采用可扩展的模块化设计，实现了对DDoS威胁的高效检测和灵活处理；(2)各模块获取数据包信息采用独立的接口设计，降低了模块间的耦合关联性；(3)本文档来自技高网...

【技术保护点】
一种基于SDN架构的DDoS攻击识别与防护系统，其特征在于，包括：所述欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；所述破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；所述异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入威胁处理模块；所述威胁处理模块适于丢弃所述报文，并屏蔽发送报文的程序和/或主机。

【技术特征摘要】
1.一种基于SDN架构的DDoS攻击识别与防护系统，其特征在于，包括：
所述欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；
所述破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；
所述异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；
所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入威胁处理模块；
所述威胁处理模块适于丢弃所述报文，并屏蔽发送报文的程序和/或主机。
2.根据权利要求1所述的DDoS攻击识别与防护系统，其特征在于，
在所述欺骗报文检测模块中构建网络设备信息绑定表，并在所述威胁处理模块中构建单位时间内的适于对报文欺骗行为进行计数的第一哈希表，以及设定该第一哈希表中的第一阀值；
所述欺骗报文检测模块，将封装在Packet-In消息中的报文的类型进行解析，以获得相应的源、目的IP地址、MAC地址以及上传Packet-In消息的交换机DPID号和端口号信息，并将各信息分别与网络设备信息绑定表中的相应信息进行比对；
若报文中的上述信息匹配，则将报文转入破坏报文检测模块；
若报文中的上述信息不匹配，则转入所述威胁处理模块，对报文进行丢弃；同时对欺骗行为进行计数，当该计数值超过第一阀值时，屏蔽发送该报文的程序和/或主机。
3.根据权利要求2所述的DDoS攻击识别与防护系统，其特征在于，
在所述威胁处理模块中构建单位时间内的适于对报文的标志位设置异常行为进行计数的第二哈希表，以及设定该第二哈希表中的第二阀值；
所述破坏报文检测模块对报文的各标志位进行检测，以判断各标志位是否符合TCP/IP协议规范；
若报文的各标志位符合，则将报文转入异常报文检测模块；
若报文的各标志位不符合，则转入所述威胁处理模块，对报文进行丢弃；同时对标志位设置异常行为进行计数，当该计数值超过第二阀值时，屏蔽发送该报文的程序和/或主机。
4.根据权利要求3所述的DDoS攻击识别与防护系统，其特征在于，
在所述异常报文检测模块构建用于识别泛洪式攻击报文的哈希表，在所述威胁处理模块中构建单位时间内的适于对泛洪式攻击行为进行计数的第三哈希表，以及设定该第三哈希表中的第三阀值；
所述异常报文检测模块，适于根据所述哈希表中设定的阀值判断所述报文是否具有攻击行为；
若无攻击行为，则将数据下发；
若具有攻击行为，则转入所述威胁处理模块，对报文进行丢弃；同时对攻击行为进行计数，当计数值超过第三阀值时，屏蔽发送该报文的程序和/或主机。
5.一种基于SDN架构的DD...

【专利技术属性】
技术研发人员：张家华，王江平，杨种学，李滢，史煜凯，
申请(专利权)人：南京晓庄学院，
类型：发明
国别省市：江苏;32