基于SDN和BGP流程规范的DDoS攻击防护系统及方法技术方案

本发明专利技术属于网络安全技术领域，特别涉及一种基于SDN和BGP流程规范的DDoS攻击防护系统及方法，包含：监测设备，实时监测路由器网络流量，并通过感知设备检测异常流量，获取攻击信息；防护设备，接收监测设备的攻击信息，并通过基于软件定义网络的网络攻击过滤平台，对异常流量进行防护，过滤平台中设置对攻击信息进行数据分析并通过边界网关协议流程规范向路由器推送路由策略的软件定义网络控制器，以实现对包含攻击信息的异常流量进行过滤。本发明专利技术区别攻击与业务，对攻击流量进行压制的同时保障业务流量的通行，流量过滤分析更精细化，避免把流向目的主机的合法和非法流量全部堵截从而导致正常的业务系统不可使用，对网络安全通信具有重要的指导意义。

DDoS attack protection system and method based on SDN and BGP process specification

【技术实现步骤摘要】
基于SDN和BGP流程规范的DDoS攻击防护系统及方法
本专利技术属于网络安全
，特别涉及一种基于SDN和BGP流程规范的DDoS攻击防护系统及方法。
技术介绍
软件定义网络(softwaredefinednetworking，简称SDN)，将传统封闭的网络体系解耦为数据平面、控制平面和应用平面，是对传统网络基础设施的重构，目前已在网络虚拟化、数据中心网络、无线局域网等领域得到应用。SDN的思想是将更多的控制权交给网络使用者，除了设计部署、配置变更，还可以进行网络软件的重构。SDN和分布式拒绝服务(DistributedDenialofService，DDoS)攻击之间存在着对立关系，SDN的功能使其易于检测和对DDoS攻击做出反应。SDN具有很多良好特性，这些特性为抵御DDoS攻击提供了很多优势。目前应对DDos攻击的常用防护手段主要有两个方式：(一)通过硬件设备对攻击流量进行监测(通过防火墙对DDoS流量进行识别)，识别后对攻击流量进行过滤。这种方法防护能力基于硬件的配置，同时硬件的配置也是整个防护体系的瓶颈。如今，DDoS攻本文档来自技高网...

【技术保护点】
1.一种基于SDN和BGP流程规范的DDoS攻击防护系统，用于网络中针对分布式拒绝服务攻击的侦测及防御，包含：/n监测设备，用于实时监测路由器网络流量，并通过感知设备检测异常流量，获取攻击信息；/n防护设备，用于接收监测设备的攻击信息，并通过部署的基于软件定义网络的网络攻击过滤平台，对异常流量进行防护，其中，过滤平台中设置用于对攻击信息进行数据分析并通过边界网关协议流程规范向路由器推送路由策略的软件定义网络控制器，以实现对包含攻击信息的异常流量进行过滤。/n

【技术特征摘要】
1.一种基于SDN和BGP流程规范的DDoS攻击防护系统，用于网络中针对分布式拒绝服务攻击的侦测及防御，包含：
监测设备，用于实时监测路由器网络流量，并通过感知设备检测异常流量，获取攻击信息；
防护设备，用于接收监测设备的攻击信息，并通过部署的基于软件定义网络的网络攻击过滤平台，对异常流量进行防护，其中，过滤平台中设置用于对攻击信息进行数据分析并通过边界网关协议流程规范向路由器推送路由策略的软件定义网络控制器，以实现对包含攻击信息的异常流量进行过滤。


2.根据权利要求1所述的基于SDN和BGP流程规范的DDoS攻击防护系统，其特征在于，所述感知设备还包含用于通知路由器恢复流量转发的响应模块；所述响应模块设置有针对异常流量通过建模训练学习的模型分类器，以通过模型分类器识别攻击信息。


3.根据权利要求2所述的基于SDN和BGP流程规范的DDoS攻击防护系统，其特征在于，所述模型分类器中设置有用于通过异常流量对模型参数进行调整的自学习模块。


4.根据权利要求1所述的基于SDN和BGP流程规范的DDoS攻击防护系统，其特征在于，针对攻击信息，基于边界网关协议流程规范，生成包含路由策略的流路由信息，该流路由信息通过边界网关多协议扩展属性传播，以实现网络中路由器接收边界网关协议流程规范的预警。


5.根据权利要求4所述的基于SDN和BGP流程规范的DDoS攻击防护系统，其特征在于，所述流路由信息包含源IP地址、源端口、目的IP地址、目的端口、传输层协议及操作属性。


6.一种基于...

【专利技术属性】
技术研发人员：卜佑军，王涵，王继，陈博，白冰，周锟，袁征，马海龙，伊鹏，沈何阳，石晨鸣，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，网络通信与安全紫金山实验室，
类型：发明
国别省市：河南;41