基于软件定义网络的DDoS攻击跨层协同防御方法技术

本发明专利技术公开了一种基于软件定义网络的DDoS攻击跨层协同防御方法，目的是解决南向接口与控制层面通信压力太大及SDN控制器计算压力太大的问题。技术方案是先构建由数据层面和控制层面构成的基于SDN的DDoS攻击跨层协同防御架构，数据层面对数据流进行粗粒度检测得到DDoS攻击异常流量数据，控制层面对DDoS攻击异常流量数据进行细粒度检测，得到最接近僵尸网络的交换机。控制层面的SDN控制器在最接近僵尸网络的交换机上部署DDoS防御策略，数据层面的SDN交换机采用DDoS防御策略进行DDoS防御。本发明专利技术通过数据层面与控制层面协同合作，充分利用了SDN可协同防御的优势，解决了SDN南向接口压力大、SDN控制器负担过大的问题，使得交换机能智能地自动进行防御。

【技术实现步骤摘要】
基于软件定义网络的DDoS攻击跨层协同防御方法
本专利技术属于计算机网络安全领域，特别涉及一种基于SDN(SoftwareDefinedNetwork,软件定义网络)的DDoS(DistributedDenialofService，分布式拒绝服务)攻击跨层协同防御方法。
技术介绍
随着计算机网络技术的快速发展，网络攻击破坏行为也日益频繁，计算机网络安全形势日益严峻。其中，DDoS攻击是目前计算机网络中最受关注的安全问题之一。DDoS攻击通常是利用僵尸网络对受害者发送大量的服务请求，造成受害者资源大量消耗，从而无法及时响应合法用户的请求，甚至完全瘫痪。僵尸网络是指受到攻击者集中控制，用来发起DDoS攻击的计算机群。随着网络技术的发展，DDoS攻击流量也在不断增大，使其越来越难以防御。SDN(SoftDefinedNetwork)即软件定义网络，是一种新型的网络架构。如图1所示，SDN架构由数据层面和控制层面构成，控制层面通过南向接口与数据层面进行通信。数据层面由多个网络设备(SDN交换机、路由器)组成，网络设备负责数据的传输；控制层面包括SDN控制器，控制层面负责对数据层面中网络设备的本文档来自技高网...

【技术保护点】
一种基于SDN的DDoS攻击跨层协同防御方法，其特征在于包括以下步骤：第一步，构建基于SDN的DDoS攻击跨层协同防御架构，方法是：基于SDN的DDoS攻击跨层协同防御架构由数据层面和控制层面构成，控制层面通过南向接口与数据层面进行通信；数据层面由交换机构成，负责数据的传输；控制层面由SDN控制器构成，负责对数据层面中交换机的管理；数据层面的SDN交换机上除装有交换机代理，并有数据通路外，还装有DDoS攻击感知模块、特征提取模块、DDoS防御执行模块，交换机中的硬件计数器对所有经过交换机数据通路的数据包和比特数进行计数；控制层面的SDN控制器除装有控制器代理外，还装有事件管理器、DDoS攻击分...

【技术特征摘要】
1.一种基于SDN的DDoS攻击跨层协同防御方法，其特征在于包括以下步骤：第一步，构建基于SDN的DDoS攻击跨层协同防御架构，方法是：基于SDN的DDoS攻击跨层协同防御架构由数据层面和控制层面构成，控制层面通过南向接口与数据层面进行通信；数据层面由交换机构成，负责数据的传输；控制层面由SDN控制器构成，负责对数据层面中交换机的管理；数据层面的SDN交换机上除装有交换机代理，并有数据通路外，还装有DDoS攻击感知模块、特征提取模块、DDoS防御执行模块，交换机中的硬件计数器对所有经过交换机数据通路的数据包和比特数进行计数；控制层面的SDN控制器除装有控制器代理外，还装有事件管理器、DDoS攻击分类模块、僵尸网络溯源模块、DDoS防御策略库模块；DDoS攻击感知模块与交换机代理、硬件计数器相连，DDoS攻击感知模块检测简称异常流的DDoS攻击异常流，将异常流ID发送给交换机代理；特征提取模块与交换机代理、数据缓存相连，特征提取模块从数据缓存获得异常流量数据包样本，从异常流量数据包样本中提取异常流量特征，将提取的异常流量特征发送给交换机代理；交换机代理与DDoS攻击感知模块、特征提取模块、数据缓存、DDoS防御执行模块、控制层面的控制器代理相连；交换机代理从DDoS攻击感知模块接收异常流ID，向数据通路发送异常流ID；数据通路将符合异常流ID的数据包作为异常流量数据包样本复制到数据缓存；交换机代理还从特征提取模块接收异常流量特征，从数据缓存获得异常流量数据包样本；交换机代理将异常流量数据包样本、异常流量特征、异常流ID、交换机ID打包成DDoS攻击异常流量数据，发送至控制层面的控制器代理；此外，交换机代理还从控制器代理接收DDoS防御执行器源代码，将DDoS防御执行器源代码存储在数据缓存中，然后将DDoS防御执行器源代码在交换机的操作系统中编译为可执行DDoS防御执行器，交换机代理为可执行DDoS防御执行器分配一个DDoS防御执行器ID，同时将可执行DDoS防御执行器加入到DDoS防御执行模块中，且交换机代理从可执行DDoS防御执行器接收该可执行DDoS防御执行器处理的数据包类型，将此数据包类型发送到数据通路，数据通路根据收到的数据包类型将该类型数据包发送到DDoS防御执行模块；DDoS防御执行模块是一个DDoS防御执行器链，DDoS防御执行器链由N个DDoS防御执行器组成，N为正整数，交换机代理在交换机启动时初始化一个空的防御执行器链，将编译后得到的可执行DDoS防御执行器按时间顺序依次添加到防御执行器链的尾端，组成DDoS防御执行器链；DDoS防御执行模块从数据通路接收待处理的DDoS攻击数据包，对待处理的DDoS攻击数据包进行处理，向数据通路发送已处理的DDoS攻击数据包；控制器代理与交换机代理、事件管理器、DDoS防御策略库模块相连，控制器代理从交换机代理接收DDoS攻击异常流量数据，将DDoS攻击异常流量数据发送给事件管理器；控制器代理还从DDoS防御策略库模块接收DDoS防御执行器源代码、最接近僵尸网络的交换机集合C，C中元素为最接近僵尸网络的交换机ID，C中有U个元素，U为正整数，找到与最接近僵尸网络的交换机ID匹配的交换机，命名为J1,...Jh,...,JU，1≤h≤U；控制器代理为每个与之相连的交换机分别维持一个DDoS防御执行器源代码发送记录表；DDoS防御执行器源代码发送记录表的每个表项只有一个域，为DDoS防御执行器源代码号，若表中有DDoS防御执行器源代码号，则表明该DDoS防御执行器源代码号所对应的DDoS防御执行器源代码已经被控制器代理发送过；控制器代理通过查询DDoS防御执行器源代码发送记录表判断是否向交换机J1,...Jh,...,JU中的交换机代理发送过DDoS防御执行器源代码，若未发送过，则向交换机J1,...Jh,...,JU中的交换机代理发送DDoS防御执行器源代码；事件管理器与控制器代理、DDoS攻击分类模块、僵尸网络溯源模块、DDoS防御策略库模块相连，事件管理器从控制器代理接收DDoS攻击异常流量数据，将DDoS攻击异常流量数据中的异常流量特征转发给DDoS攻击分类模块，将异常流量数据包样本、异常流ID、交换机ID转发给僵尸网络溯源模块；事件管理器还从DDoS攻击分类模块接收DDoS攻击类型，从僵尸网络溯源器模块接收最接近僵尸网络的交换机集合C，将DDoS攻击类型、最接近僵尸网络的交换机集合C发送给DDoS防御策略库模块；DDoS攻击分类模块与事件管理器相连，该模块从事件管理器获得异常流量特征，利用机器学习方法进行DDoS攻击分类，得到DDoS攻击类型，将DDoS攻击类型发送给事件管理器；僵尸网络溯源模块与事件管理器相连，该模块从事件管理器获得异常流量数据包样本、异常数据流ID、交换机ID，进行僵尸网络溯源，得到最接近僵尸网络的交换机集合C，僵尸网络溯源模块将集合C发送给事件管理器；DDoS防御策略库模块与事件管理器、控制器代理相连，DDoS防御策略库模块中有DDoS防御执行器源代码库，该模块从事件管理器接收DDoS攻击类型，根据DDoS攻击类型在DDoS防御执行器源代码库中选择与DDoS攻击类型匹配的DDoS防御执行器源代码，将与DDoS攻击类型匹配的DDoS防御执行器源代码发送给控制器代理；同时，DDoS防御策略库模块从事件管理器接收最接近僵尸网络的交换机集合C，向控制器代理发送最接近僵尸网络的交换机集合C；第二步，数据层面对所有通过交换机的数据流进行粗粒度检测，方法为：2.1SDN数据层面的DDoS攻击感知模块检测DDoS攻击异常流，简称异常流，得到异常流ID；2.2攻击感知模块将异常流ID发送给交换机代理；2.3交换机代理从DDoS攻击感知模块接收异常流ID，向数据通路发送异常流ID；2.4数据通路将符合异常流ID的数据包作为异常流量数据包样本复制到交换机的数据缓存；2.5特征提取模块从数据缓存获得异常流量数据包样本，从中提取异常流量特征；2.6特征提取模块并向交换机代理发送异常流量特征；2.7交换机代理从数据缓存读取异常流量数据包样本，并从特征提取模块接收异常数据流量特征；2.8交换机代理将异常流量数据包样本、异常数据流量特征、异常流ID、交换机ID打包为DDoS攻击异常流量数据，将DDoS攻击异常流量数据发送给控制层面上的控制器代理；2.9数据层面和控制层面并行进行以下工作：数据层面转2.1.8继续进行粗粒度检测，并在得到控制层面下发的DDoS防御执行器源代码后并行进行DDoS防御；控制层面执行第三步；第三步，控制层面对DDoS攻击异常流量数据进行细粒度检测，方法是：3.1控制器代理将接收到的DDoS攻击异常流量数据发送给事件管理器；3.2事件管理器从控制器代理接收DDoS攻击异常流量数据，将DDoS攻击异常流量特征发送给DDoS攻击分类模块，将异常流量数据包样本、异常数据流ID、交换机ID发送给僵尸网络溯源模块；3.3DDoS攻击分类模块从事件管理器接收异常数据流量特征，进行DDoS攻击分类，得到DDoS攻击类型；3.4僵尸网络溯源模块从事件管理器接收异常流量数据包样本、异常流ID、交换机ID，进行僵尸网络溯源，具体方法如下：3.4.1定义集合A为所有检测到DDoS攻击的交换机，A＝{a1,a2,...aj,...,aq}，q为数据层面所有检测到DDoS攻击的交换机的个数，为正整数，aj表示一个检测到DDoS攻击的交换机的ID，j为正整数，j≤q；3.4.2定义集合S为SDN控制器控制的所有SDN交换机，S＝{s1,s2,...sk,...,sp},p为SDN控制器控制的所有SDN交换机的个数，为正整数，sk表示一个SDN控制器所控制的SDN交换机的ID，k为正整数，k≤p；3.4.3定义集合C为最接接近僵尸网络的交换机集合，初始化C为空集。3.4.4判定A是否为空，若A为空，转步骤3.4.5；若A不为空，从A中取一个元素aj，找到aj的上一跳交换机sk，若sk∈A，则从集合A中去掉aj，返回步骤3.4.4；若则aj是所寻找的目标交换机，将aj加入集合C，返回步骤3.4.4；3.4.5得到A的一个子集C，集合C中所有交换机的上一跳均不在A中，并且C中交换机为最接近僵尸网络的交换机即到达僵尸网络的跳数最少的交换机，C中元素为最接近僵尸网络的交换机ID；第四步，控制层面的SDN控制器在最接近僵尸网络的交换机上部署DDoS防御策略，方法是：4.1控制器代理将集合S中所有SDN交换机的DDoS防御执行器源代码发送记录表初始化为空，即将s1,s2,......

【专利技术属性】
技术研发人员：韩彪，王汉文，杨翔瑞，孙志刚，王宝生，赵宝康，赵锋，虞万荣，原玉磊，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：湖南,43