【技术实现步骤摘要】
一种链路洪泛攻击的SDN分段路由防御方法
本专利技术属于网络信息安全
,特别涉及一种链路洪泛攻击的SDN(软件定义网络)分段路由防御方法。
技术介绍
链路洪泛攻击(LinkFloodingAttack,LFA)是一种新型的DDoS攻击(分布式拒绝服务攻击),最近受到学术界和工业界的极大关注。其中Coremelt攻击和Crossfire攻击被视为最具威胁性的LFA。Coremelt攻击分三步启动:①选择核心网络中的目标链接;②选择可以产生遍历目标链路流量的僵尸机;③产生流量并洪泛目标链路。Crossfire是Coremelt的演变,具有流密度和滚动攻击的新概念。Crossfire攻击通常通过四个步骤启动:①构建链接图;②计算流密度并选择目标链接;③协调僵尸网络;④启动滚动攻击。LFA具有几个显著特征,使得LFA不同于传统的DDoS攻击,并且难以检测和防御。LFA攻击者通常会组织一个大规模的僵尸网络来生成低速率数据流,以洪泛关键网络链路,而不是将大量流量直接发送到目标服务器。传统的DDoS防御系统通常会尝试过滤由DDoS攻击者流动的僵尸机发送的非法流量,但是由于LFA中的僵尸机可以使用合法的流量,因此这种防御方式很难产生效果。对比之下,SDN是下一代互联网的革命性架构技术,可以通过操作流表灵活地细化网络设备的流转发功能。与此同时,分段路由(SegmentRerouting,SR)是一种创新的路由范例。如果利用SDN分段路由防御链路洪泛攻击,在灵活性,可扩展性和适用性方面将具有很大优势。但目前针对链路洪泛攻击 ...
【技术保护点】
1.一种链路洪泛攻击的SDN分段路由防御方法,其特征在于:所述的链路洪泛攻击的SDN分段路由防御方法包括按顺序进行的下列步骤:/n1)对于一个给定的网络拓扑,将其构建为基于有向图的网络模型,获得链路的实体流量集合、容量和流量负载;/n2)利用基于SDN的系统防御模型对步骤1)中构建的网络模型进行监测,并判断网络模型是否被LFA攻击且链路出现严重拥塞,若判断结果为“是”,则利用SDN控制器和上述链路的实体流量集合、容量和流量负载对网络拓扑进行分段路由;否则继续进行监控。/n
【技术特征摘要】
1.一种链路洪泛攻击的SDN分段路由防御方法,其特征在于:所述的链路洪泛攻击的SDN分段路由防御方法包括按顺序进行的下列步骤:
1)对于一个给定的网络拓扑,将其构建为基于有向图的网络模型,获得链路的实体流量集合、容量和流量负载;
2)利用基于SDN的系统防御模型对步骤1)中构建的网络模型进行监测,并判断网络模型是否被LFA攻击且链路出现严重拥塞,若判断结果为“是”,则利用SDN控制器和上述链路的实体流量集合、容量和流量负载对网络拓扑进行分段路由;否则继续进行监控。
2.根据权利要求1所述的链路洪泛攻击的SDN分段路由防御方法,其特征在于:在步骤1)中,所述的构建基于有向图的网络模型,获得链路的实体流量集合、容量和流量负载的方法如下:
1-1)获取给定的网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息;
1-2)根据上述信息计算出基于G,l分别表示网络中路由器和交换机的网络路径;其中,链路r定义如下:
r={vs,vs+1,…vd|d>=s+1}
每条链路从源节点vs开始,以目标节点vd结束,至少经过两个节点;
1-3)获取起点为源节点vs,终点为目标节点vd的链路r的实体流量集合,并将其定义如下:
As,d={α|source(α)=vs∩destination(α)=vd};
1-4)计算交换机G或者路由器l的节点与链路的容量矩阵C(p+q)×(p+q),用来表示链路的容量信息;若容量矩阵C(p+q)×(p+q)中的元素cij等于0,则表示节点vi和节点vj之间不存在直连链路;否则,cij表示节点vi和节点vj之间直连链路的容量;
1-5)计算交换机G或者路由器l的节点与链路的容量矩阵D(p+q)×(p+q),用来表示链路的流量信息;若流量矩阵D(p+q)×(p+q)中的元素dij等于0,则表示节点vi和节点vj之间不存在直连链路;否则,dij表示节点vi和节点vj之间直连链路的流量负载。
3.根据权利要求1所述的链路洪泛攻击的SDN分段路由防御方法,其特征在于:在步骤2)中,所述的利用SDN控制器和上述链路的实体流量集合、容量和流量负载对网络拓扑进行分段路由的方法如下:
2-1)当基于SDN的系统防御模型中的拥塞监控组件检测到某链路出现严重阻塞时,SDN控制器通知路由调整模块来缓解拥塞;将以vs作为源节点,vd为作目标节点的出现严重拥塞的链路表示为r={source(α)=vs∩destination(α)=vd}或r={vs,vs+1,vs+2,…vs+n,vd};
2-2)使用分段路由算法和上述链路的实体流量集合、容量和流量负载对出现严重拥塞的链路r={vs,vs+1,vs+2,…vs+n,vd}进行分段路由;分段路由的方法在于找到中间节点v’,使链路r={source(α)=vs∩destination(α)=v’}和r={source(α)=v’∩destination(α)=vs+1}分别按照SDN控制器自带的具有最短路径计算功能的Dijkstra算法局部重新路由;
2-3)待出现严重阻塞的链路的拥塞得到缓解后,将分段路由路径上的一部分流量重新移动到上述出现严重拥塞的链路,由此共同分担流量负载。
4.根据权利要求3所述的链路洪泛攻击的SDN分段路由防御方法,其特征在于:在步骤2-2)中,所述的使用分段路由算法和上述链路的实体流量集合、容量和流量负载对出现严重拥塞的链路r={vs,vs+1,vs+2,…vs+n,vd}进行分段路由的方法是根据出现严重拥塞的链路r={vs,vs+1,vs+2,…vs+n,vd}中源节点vs和目标节点vd是否直连分为以下情况进行处理:
Ⅰ)如果n=0即d=s+1,这意味着源节点vs和目标节点vd直连,假设As,d={α|source(α)=vs∩destination(α)=vd}是在出现严重拥塞前的链路r={vs,vd}中经过的实体流量集合,实体流量集合As,d经过该链路的流量带宽为Ds,d;将V0定义为所有与源节点vs直连的节点集合,显然vd∈V0;任取一个源节点vs的上游节点并将它表示为vs-1,然后根据节点集合V0中的元素可以分为以下两种情况:
①如果即节点集合V0中仅包括上游节点vs-1和目标节点vd,意味着源节点vs仅与目标节点vd和一个上游节点vs-1相连,这说明该链路r={vs,vd}的容量cs,d不足,因此分段路由时应直接跳过该链路,将经过链路r={vs,vd}的流量重新路由到链路r={vs-1,vd}上,并且删除链路r={vs,vd}...
【专利技术属性】
技术研发人员:谢丽霞,丁颖,杨宏宇,
申请(专利权)人:中国民航大学,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。