一种SDN控制器集群的网络攻击应对方法技术

本发明专利技术实施例提供的一种SDN控制器集群的网络攻击应对方法，应用于所述SDN控制器集群中的管理装置，接收SDN控制器上报的该SDN控制器的异常信息；任一SDN控制器的异常信息为该SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息，且在监测到所述异常信息时，所述SDN控制器停止与所述异常信息对应的交换设备之间的消息交互，将所述异常信息对应的交换设备作为异常交换设备，从该SDN控制器的负载中迁出，并停止对所述异常交换设备的路由请求的响应。本方案可以实现提高SDN控制器集群安全性的效果。

【技术实现步骤摘要】
一种SDN控制器集群的网络攻击应对方法
本专利技术涉及软件定义网络
，特别是涉及一种SDN控制器集群的网络攻击应对方法。
技术介绍
SDN(SoftwareDefinedNetwork，软件定义网络)实现了软件化、可编程的新型网络架构。在以SDN为基础架构的网络体系中，SDN控制器是核心模块，负责承担上层应用的业务需求，其南向接口会与其所连接的交换机及其他交换设备之间交换大量的控制以及请求消息，达到控制底层网络拓扑的数据转发的目的。SDN控制器一旦发生故障或受到攻击，将导致网络的控制平面瘫痪，最终引起网络服务中断、网络资源消耗等问题，这也使得SDN控制器集群容易成为网络攻击的主要目标。目前，许多主流的SDN控制器的解决方案，例如OpenDaylight(控制器平台，可以作为SDN管理平面)、FloodLight(基于Java开发的SDN控制器)以及ONOS(面向服务提供商和企业骨干网的SDN控制器)等均已支持SDN控制器以集群的形式共存，集群化可以在一定程度上减少单个SDN控制器出现单点故障所造成的网络系统故障，提高网络系统的可靠性与安全性。但是，集群化的SDN控制器的部署方式，无法应对由大规模异常交换设备引起的大网络攻击，如：攻击者可控制异常交换设备，针对单个控制器发动大规模攻击，导致该控制器瘫痪，甚至直接消耗整个控制器集群的网络资源。因此，如何提高SDN控制器集群的安全性，是亟待解决的问题。
技术实现思路
本专利技术实施例的目的在于提供一种SDN控制器集群的网络攻击应对方法，以实现提高SDN控制器集群安全性的效果。具体技术方案如下：第一方面，本专利技术实施例提供了一种SDN控制器集群的网络攻击应对方法，应用于所述SDN控制器集群中的管理装置，所述SDN控制器集群还包括：多个SDN控制器、以及针对每个SDN控制器，作为该SDN控制器负载的交换设备，所述方法包括：接收所述SDN控制器上报的该SDN控制器的异常信息；其中，任一SDN控制器的异常信息为所述SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息，且在监测到所述异常信息时，所述SDN控制器停止与所述异常信息对应的交换设备之间的消息交互；将所述异常信息对应的交换设备作为异常交换设备，从所述异常信息对应的SDN控制器的负载中迁出，并停止对所述异常交换设备的路由请求的响应。第二方面，本专利技术实施例提供了一种电子设备，该设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行上述存储器上所存放的计算机程序时，实现上述第一方面提供的一种SDN控制器集群的网络攻击应对方法。本专利技术提供的方案中，SDN控制器集群包括：管理装置、多个SDN控制器、以及针对每个SDN控制器，作为该SDN控制器负载的交换设备，管理装置接收SDN控制器上报的该SDN控制器的异常信息。其中，任一SDN控制器的异常信息为该SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息，并且，流量异常通常表明遭受网络攻击。因此，将异常信息对应的交换设备作为异常交换设备，从异常信息对应的SDN控制器的负载中迁出；并停止对异常交换设备的路由请求的响应，可以减少异常流量所表明的网络攻击对整个SDN控制器集群的安全威胁，提高SDN控制器集群的安全性。可见，本方案可以实现提高SDN控制器集群安全性的效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。图1为本专利技术一实施例提供的SDN控制器集群的网络攻击应对方法中，SDN控制器集群的一种结构示意图；图2为本专利技术一实施例提供的SDN控制器集群的网络攻击应对方法的流程示意图；图3为本专利技术一实施例提供的SDN控制器集群的网络攻击应对方法中，SDN控制器集群的另一种结构示意图；图4为本专利技术一实施例提供的SDN控制器集群的网络攻击应对方法中，SDN控制器获取异常信息的流程示意图；图5为本专利技术一实施例提供的SDN控制器集群的网络攻击应对方法中，关于负载均衡处理的流程示例图；图6为本专利技术一实施例提供的电子设备的结构示意图。具体实施方式为了使本领域技术人员更好地理解本专利技术中的技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。下面首先对本专利技术一实施例的SDN控制器集群的网络攻击应对方法进行介绍。本专利技术实施例提供的SDN控制器集群的网络攻击应对方法，可以应用于本专利技术图1所示的SDN控制器集群的管理装置。如图1所示，本专利技术一实施例的SDN控制器集群的网络攻击应对方法中，SDN控制器集群的一种结构，该集群可以包括：管理装置101、多个SDN控制器102、以及针对每个SDN控制器102，作为该SDN控制器102的负载的交换设备103。其中，SDN控制器的软件化、可编程的特点，可以保证SDN控制器以软件形式存在，相应的，SDN控制器集群具体可以是多样的。示例性的，可以将多个SDN控制器102部署在一个电子设备上。或者，示例性的，可以将多个SDN控制器102分别部署在不同的电子设备上。其中，管理装置101可以是硬件控制装置，或者，管理装置101可以是软件模块，例如，管理装置101可以是控制权限在控制器集群之上的超级控制器，或者，SDN控制器应用层中的管理应用。在具体应用中，上述SDN控制器集群具体可以是云计算、云数据存储系统、全IP骨干网络系统、ISP网络以及支持控制器集群部署的控制器平台等等。举例而言，支持控制器集群部署的控制器平台具体可以为OpenDaylight以及FloodLight、ONOS等等平台。另外，上述指定数量可以是零个，一个或者多个。对于交换设备数量为零的SDN控制器，可以通过后续负载均衡处理为该SDN控制器迁移交换设备。每个SDN控制器内部可以部署监测模块，以利用监测模块对该SDN控制器与相应的交换设备之间的流量进行实时监测。其中，监测模块可以采用软件接口的形式部署在SDN控制器的南向接口处，或者，监测模块可以采用应用的形式部署在SDN控制器的应用层等等。如图2所示，本专利技术一实施例的SDN控制器集群的网络攻击应对方法的流程，该方法可以包括：S201，接收SDN控制器上报的该SDN控制器的异常信息。其中，任一SDN控制器的异常信息为该SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息，且在监测到异常信息时，该SDN控制器停止与异常信息对应的交换设备之间的消息交互。在具体应用中本文档来自技高网...

【技术保护点】
1.一种SDN控制器集群的网络攻击应对方法，其特征在于，应用于所述SDN控制器集群中的管理装置，所述SDN控制器集群还包括：多个SDN控制器、以及针对每个SDN控制器，作为该SDN控制器负载的交换设备，所述方法包括：/n接收所述SDN控制器上报的该SDN控制器的异常信息；其中，任一SDN控制器的异常信息为该SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息，且在监测到所述异常信息时，所述SDN控制器停止与所述异常信息对应的交换设备之间的消息交互；/n将所述异常信息对应的交换设备作为异常交换设备，从所述异常信息对应的SDN控制器的负载中迁出，并停止对所述异常交换设备的路由请求的响应。/n

【技术特征摘要】
1.一种SDN控制器集群的网络攻击应对方法，其特征在于，应用于所述SDN控制器集群中的管理装置，所述SDN控制器集群还包括：多个SDN控制器、以及针对每个SDN控制器，作为该SDN控制器负载的交换设备，所述方法包括：
接收所述SDN控制器上报的该SDN控制器的异常信息；其中，任一SDN控制器的异常信息为该SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息，且在监测到所述异常信息时，所述SDN控制器停止与所述异常信息对应的交换设备之间的消息交互；
将所述异常信息对应的交换设备作为异常交换设备，从所述异常信息对应的SDN控制器的负载中迁出，并停止对所述异常交换设备的路由请求的响应。


2.根据权利要求1所述的方法，其特征在于，所述SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测，包括：
记录该SDN控制器与该SDN控制器对应的交换设备之间的流入消息的时间间隔以及流出消息的时间间隔；
分别将所述流入消息的时间间隔以及所述流出消息的时间间隔，输入预设的评分公式，得到该交换设备的流入评分和流出评分；其中，所述评分公式为能够计算任一消息的交互频率的公式；
如果所述流入评分和所述流出评分中的任一个大于或者等于预设评分阈值，确定监测到异常信息，并将所述流入评分、所述流出评分以及相应的交换设备的设备信息作为异常信息。


3.根据权利要求1-2任一项所述的方法，其特征在于，所述预设的评分公式，包括：
score＝persistent+transistent·e-λΔt，
其中，所述score为评分，所述persistent，所述transistent，所述λ均为常数，所述Δt为关于消息的交互时间间隔的参数，包括所述流入消息的时间间隔ΔtI、或者所述流出消息的时间间隔Δto。


4.根据权利要求1-2任一项所述的方法，其特征在于，在所述将所述异常信息对应的交换设备作为异常交换设备，从所述异常信息对应的SDN控制器的负载中迁出，并停止对所述异常交换设备的路由请求的响应之后，所述方法还包括：
输出所述异常交换设备的异常信息。


5.根据权利要求4所述的方法，其特征在于，在所述输出所述异常交换设备的异常信息之后，所述方法还包括：
接收关于所述异常信息对应的网络异常已解除的通知；
将所述异常交换设备迁移至监测到所述异常信息时，所述异常设备对应的SDN控制器的负载中，并针对所述SDN控制器集群中的所有交换设备，进行负载均衡处理。


6.根据权利要求1-2任一项所述的方法，其特征在于，在所述将所述异常信息对应的交换设备作为异常交换设备，从所述异常信息对应的SDN控制器的负载中迁出，并停止对所述异常交换设备的路由请求的响应之后，所述方法还包括：
针对所述SDN控制器集群中除所述异常交换设备以外的交换设备，进行负载均衡处理。


7.根据权利要求6所述的方法，其特征在于，所述针对所述SDN控制器集群中除所述异常交换设备以外的交换设备，进行负载均衡处理，包括：
接收所述SDN控制器上传的负载评估结果；其中，任一SDN控制器的负载评估结果为该SDN控制器基于按预设周期监测得到的该SDN控制器中的消息缓存队列，获取的评估结果；
计算所接收的各负载评估结果的均值，并按照所述负载评估结果的大小，对所述多个SDN控制器进行排序；
如果所述均值大于预设均值上阈值，为所述SDN控制器集群添加一个零负载的SDN控制器；
按照所述多个SDN控制器的排序结果，从负载最高的SDN控制器对应的交换设备中...

【专利技术属性】
技术研发人员：崔琪楣，顾晓阳，张雪菲，李娜，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11