本发明专利技术提供一种针对流量攻击的安全防御系统及方法,该系统包括:SDN交换机,转发所述用户终端发送的ICMP请求报文和ICMP回应报文,对所述ICMP请求报文和所述ICMP回应报文进行监控,发现异常则形成ICMP信息;与所述SDN交换机连接的SDN控制器,接收来自所述SDN交换机上报的所述ICMP信息,并感知对应所述ICMP信息的报文转发路径,判断得出攻击者的位置和类型,向作为入口路由功能的SDN交换机下发流表,以执行入口过滤策略对所述攻击者进行防御。本发明专利技术采用SDN架构,可准确地判断出攻击者的位置和攻击类型并执行对应的入口过滤策略,从而有效地防御ICMP Flood攻击。
【技术实现步骤摘要】
针对流量攻击的安全防御系统及方法
本专利技术涉及防御领域,特别是涉及一种针对流量攻击的安全防御系统及方法。
技术介绍
ICMPFlood的攻击属于流量型攻击方式,利用大的流量给服务器带来较大的负载,影响服务器正常运行。ICMPflood攻击分为三种方式:种方式是直接flood,直接使用自己的机器去攻击别人,这要求有足够的带宽,直接攻击会暴露自己IP地址,一般不常见。种方式是伪造IP的Flood,它随意伪造一个IP来flood,属于比较隐蔽阴险的flood攻击。第三种方式称之为“Smurf”攻击,是最为隐蔽和常见的攻击手段。攻击者向网络广播地址发送ICMPEcho请求包,并将源IP地址设置成第三方受害者,导致该网络的所有主机都对第三方受害者返回ICMPEcho应答包,最终导致第三方崩溃。现有的ICMPFlood攻击的防御技术主要可以分为三个方面:检测防御、增强容忍性和攻击源追踪。由于现有的防御技术都是基于传统的分布式网络,所以检测防御和攻击源追踪上面很难做到精准和动态。对于ICMP的Flood攻击的现有检测方法,主要通过计算单位时间内通过的ICMP数据包的数量,如果大于ICMP流量的峰值则认为是ICMP攻击。但是由于现有的检测是孤立和分布式的,所以无法准确判断是哪种ICMP的Flood攻击和准确的攻击源。原有的网络不是基于SDN架构,是分布式控制很难感知报文的转发路径和攻击者位置,所以无法精准地找到离攻击者最近的交换机或路由器做入口过滤或速率限制,也无法准确判断是哪种ICMP的Flood攻击。ICMPFlood攻击的根源在于ICMP服务的公开性、面向对象的不确定性以及服务提供方资源的有限性和可耗尽性,这些因素决定了当前还没有完善的解决方案。可见,目前对ICMPFlood攻击的防护无论在理论还是应用上都存在一些不足,主要体现在准确性不高、效率不高等方面。
技术实现思路
鉴于以上所述现有技术的缺点,本专利技术的目的在于提供一种针对流量攻击的安全防御系统及方法,用于解决现有的检测防御和攻击源追踪上准确性不高、效率不高等问题等问题。为实现上述目的及其他相关目的,本专利技术提供一种针对流量攻击的安全防御系统,包括:SDN交换机,转发所述用户终端发送的ICMP请求报文和ICMP回应报文,对所述ICMP请求报文和所述ICMP回应报文进行监控,发现异常则形成ICMP信息;与所述SDN交换机连接的SDN控制器,接收来自所述SDN交换机上报的所述ICMP信息,并感知对应所述ICMP信息的报文转发路径,判断得出攻击者的位置和类型,向作为入口路由功能的SDN交换机下发流表,以执行入口过滤策略对所述攻击者进行防御。可选地,所述SDN交换机发现所述ICMP请求报文的转发速率超出指定阈值、所述ICMP回应报文的转发速率超出指定阈值、或所述ICMP请求报文的目的IP为网络传播地址时,判断出现异常并形成所述ICMP信息。可选地,所述SDN控制器接收所述ICMP信息,在判断得出所述ICMP信息中包括所述ICMP请求报文的目的IP为网络传播地址时,进而判断所述ICMP回应报文的转发速率是否超出指定阈值,在判断得出所述ICMP回应报文超出所述指定阈值时,所述SDN控制器下发的所述流表对应的入口过滤策略为丢弃所述ICMP请求报文。可选地,所述SDN控制器接收所述ICMP信息,在判断得出所述ICMP信息中未包括所述ICMP请求报文的目的IP为网络传播地址时,进而判断所述ICMP请求报文和所述ICMP回应报文的转发速率是否超出指定阈值,若所述ICMP请求报文和所述ICMP回应报文的转发速率超出所述指定阈值时,所述SDN控制器下发的所述流表对应的入口过滤策略为限制作为入口路由功能的所述SDN交换机的报文转发速率。可选地,所述SDN交换机发送所述ICMP信息后,对所述ICMP请求报文和所述ICMP回应报文继续进行监控,发现所述ICMP请求报文和所述ICMP回应报文恢复正常时,则发送解除防御请求给所述SDN控制器,所述SDN控制器根据所述解除防御请求进行判断,得出对应的报文转发速率小于等于指定阈值则移除下发的所述流表。本专利技术针对流量攻击的安全防御方法,包括:通过与用户终端对应连接的SDN交换机,监控转发的所述用户终端发送的ICMP请求报文和ICMP回应报文,发现异常时形成ICMP信息;接收所述ICMP信息进行判断,并感知对应所述ICMP信息的报文转发路径,判断得出攻击者的位置和类型,向作为入口路由功能的SDN交换机下发流表,以执行入口过滤策略对所述攻击者进行防御。可选地,发现异常时形成ICMP信息中的异常包括:所述ICMP请求报文的转发速率超出指定阈值、所述ICMP回应报文的转发速率超出指定阈值、或所述ICMP请求报文的目的IP为网络传播地址。可选地,当判断得出所述ICMP信息中包括所述ICMP请求报文的目的IP为网络传播地址时,进而判断所述ICMP回应报文的转发速率是否超出指定阈值,当判断所述ICMP回应报文的转发速率超出所述指定阈值时,下发流表对应的入口过滤策略为丢弃所述ICMP请求报文。可选地,当判断得出所述ICMP信息中未包括所述ICMP请求报文的目的IP为网络传播地址时,进而判断所述ICMP请求报文和所述ICMP回应报文的转发速率是否超出指定阈值,当判断所述ICMP请求报文和所述ICMP回应报文的转发速率超出指定阈值时,下发流表对应的所述入口过滤策略为限制作为入口路由功能的所述SDN交换机的报文转发速率。可选地,当所述SDN交换机发现异常形成ICMP信息后,对异常继续进行监控,当所述异常恢复正常后请求解除所述入口过滤策略的防御,对所述请求进行判断,得出对应的报文转发速率小于等于指定阈值时移除下发的所述流表。如上所述,本专利技术的针对流量攻击的安全防御系统及方法,具有以下有益效果:本专利采用了SDN架构,SDN交换机会动态地上报ICMP信息,控制器根据这些信息可以知道ICMP异常信息是发生在哪个位置(入口路由器还是出口路由器),最后根据产生条件,准确地判断出攻击者的位置和攻击类型并执行对应的入口过滤策略,从而有效地防御ICMPFlood攻击。一旦攻击者停止攻击,SDN控制器也会根据交换机上报的ICMP信息,解除对ICMPFlood的防御,从而释放流表资源,最大化地有效地管理整个SDN网络。附图说明图1显示为本专利技术针对流量攻击的安全防御系统的拓扑图。图2显示为本专利技术针对流量攻击的安全防御方法的流程图。图3显示为本专利技术中SDN交换机的工作流程图。图4显示为本专利技术中SDN控制器的工作流程图。元件标号说明10SDN控制器21SDN交换机22SDN交换机23SDN交换机31用户终端32用户终端S101~S106步骤S201~S206步骤S301~S311步骤具体实施方式以下通过特定的具体实例说明本专利技术的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本专利技术的其他优点与功效。本专利技术还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本专利技术的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本专利技术的基本构想本文档来自技高网...
【技术保护点】
一种针对流量攻击的安全防御系统,其特征在于,包括:SDN交换机,转发所述用户终端发送的ICMP请求报文和ICMP回应报文,对所述ICMP请求报文和所述ICMP回应报文进行监控,发现异常则形成ICMP信息;与所述SDN交换机连接的SDN控制器,接收来自所述SDN交换机上报的所述ICMP信息,并感知对应所述ICMP信息的报文转发路径,判断得出攻击者的位置和类型,向作为入口路由功能的SDN交换机下发流表,以执行入口过滤策略对所述攻击者进行防御。
【技术特征摘要】
1.一种针对流量攻击的安全防御系统,其特征在于,包括:SDN交换机,转发用户终端发送的ICMP请求报文和ICMP回应报文,对所述ICMP请求报文和所述ICMP回应报文进行监控,发现异常则形成ICMP信息;与所述SDN交换机连接的SDN控制器,接收来自所述SDN交换机上报的所述ICMP信息,并感知对应所述ICMP信息的报文转发路径,判断得出攻击者的位置和类型,向作为入口路由功能的SDN交换机下发流表,以执行入口过滤策略对所述攻击者进行防御;所述SDN交换机发现所述ICMP请求报文的转发速率超出指定阈值、所述ICMP回应报文的转发速率超出指定阈值、或所述ICMP请求报文的目的IP为网络传播地址时,判断出现异常并形成所述ICMP信息。2.根据权利要求1所述的针对流量攻击的安全防御系统,其特征在于:所述SDN控制器接收所述ICMP信息,在判断得出所述ICMP信息中包括所述ICMP请求报文的目的IP为网络传播地址时,进而判断所述ICMP回应报文的转发速率是否超出指定阈值,在判断得出所述ICMP回应报文超出所述指定阈值时,所述SDN控制器下发的所述流表对应的入口过滤策略为丢弃所述ICMP请求报文。3.根据权利要求1所述的针对流量攻击的安全防御系统,其特征在于:所述SDN控制器接收所述ICMP信息,在判断得出所述ICMP信息中未包括所述ICMP请求报文的目的IP为网络传播地址时,进而判断所述ICMP请求报文和所述ICMP回应报文的转发速率是否超出指定阈值,若所述ICMP请求报文和所述ICMP回应报文的转发速率超出所述指定阈值时,所述SDN控制器下发的所述流表对应的入口过滤策略为限制作为入口路由功能的所述SDN交换机的报文转发速率。4.根据权利要求1所述的针对流量攻击的安全防御系统,其特征在于:所述SDN交换机发送所述ICMP信息后,对所述ICMP请求报文和所述ICMP回应报文继续进行监控,发现所述ICMP请求报文和所述ICMP回应报文恢...
【专利技术属性】
技术研发人员:翟跃,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。