【技术实现步骤摘要】
一种SDN控制器集群的网络攻击应对方法
本专利技术涉及软件定义网络
,特别是涉及一种SDN控制器集群的网络攻击应对方法。
技术介绍
SDN(SoftwareDefinedNetwork,软件定义网络)实现了软件化、可编程的新型网络架构。在以SDN为基础架构的网络体系中,SDN控制器是核心模块,负责承担上层应用的业务需求,其南向接口会与其所连接的交换机及其他交换设备之间交换大量的控制以及请求消息,达到控制底层网络拓扑的数据转发的目的。SDN控制器一旦发生故障或受到攻击,将导致网络的控制平面瘫痪,最终引起网络服务中断、网络资源消耗等问题,这也使得SDN控制器集群容易成为网络攻击的主要目标。目前,许多主流的SDN控制器的解决方案,例如OpenDaylight(控制器平台,可以作为SDN管理平面)、FloodLight(基于Java开发的SDN控制器)以及ONOS(面向服务提供商和企业骨干网的SDN控制器)等均已支持SDN控制器以集群的形式共存,集群化可以在一定程度上减少单个SDN控制器出现单点故障所造成的网络系统故障,提高网络系统的可靠性与安全性。但是,集群化的SDN控制器的部署方式,无法应对由大规模异常交换设备引起的大网络攻击,如:攻击者可控制异常交换设备,针对单个控制器发动大规模攻击,导致该控制器瘫痪,甚至直接消耗整个控制器集群的网络资源。因此,如何提高SDN控制器集群的安全性,是亟待解决的问题。
技术实现思路
本专利技术实施例的目的在于提供一种SDN控制器集群的网络攻击应对方 ...
【技术保护点】
1.一种SDN控制器集群的网络攻击应对方法,其特征在于,应用于所述SDN控制器集群中的管理装置,所述SDN控制器集群还包括:多个SDN控制器、以及针对每个SDN控制器,作为该SDN控制器负载的交换设备,所述方法包括:/n接收所述SDN控制器上报的该SDN控制器的异常信息;其中,任一SDN控制器的异常信息为该SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息,且在监测到所述异常信息时,所述SDN控制器停止与所述异常信息对应的交换设备之间的消息交互;/n将所述异常信息对应的交换设备作为异常交换设备,从所述异常信息对应的SDN控制器的负载中迁出,并停止对所述异常交换设备的路由请求的响应。/n
【技术特征摘要】
1.一种SDN控制器集群的网络攻击应对方法,其特征在于,应用于所述SDN控制器集群中的管理装置,所述SDN控制器集群还包括:多个SDN控制器、以及针对每个SDN控制器,作为该SDN控制器负载的交换设备,所述方法包括:
接收所述SDN控制器上报的该SDN控制器的异常信息;其中,任一SDN控制器的异常信息为该SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息,且在监测到所述异常信息时,所述SDN控制器停止与所述异常信息对应的交换设备之间的消息交互;
将所述异常信息对应的交换设备作为异常交换设备,从所述异常信息对应的SDN控制器的负载中迁出,并停止对所述异常交换设备的路由请求的响应。
2.根据权利要求1所述的方法,其特征在于,所述SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测,包括:
记录该SDN控制器与该SDN控制器对应的交换设备之间的流入消息的时间间隔以及流出消息的时间间隔;
分别将所述流入消息的时间间隔以及所述流出消息的时间间隔,输入预设的评分公式,得到该交换设备的流入评分和流出评分;其中,所述评分公式为能够计算任一消息的交互频率的公式;
如果所述流入评分和所述流出评分中的任一个大于或者等于预设评分阈值,确定监测到异常信息,并将所述流入评分、所述流出评分以及相应的交换设备的设备信息作为异常信息。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述预设的评分公式,包括:
score=persistent+transistent·e-λΔt,
其中,所述score为评分,所述persistent,所述transistent,所述λ均为常数,所述Δt为关于消息的交互时间间隔的参数,包括所述流入消息的时间间隔ΔtI、或者所述流出消息的时间间隔Δto。
4.根据权利要求1-2任一项所述的方法,其特征在于,在所述将所述异常信息对应的交换设备作为异常交换设备,从所述异常信息对应的SDN控制器的负载中迁出,并停止对所述异常交换设备的路由请求的响应之后,所述方法还包括:
输出所述异常交换设备的异常信息。
5.根据权利要求4所述的方法,其特征在于,在所述输出所述异常交换设备的异常信息之后,所述方法还包括:
接收关于所述异常信息对应的网络异常已解除的通知;
将所述异常交换设备迁移至监测到所述异常信息时,所述异常设备对应的SDN控制器的负载中,并针对所述SDN控制器集群中的所有交换设备,进行负载均衡处理。
6.根据权利要求1-2任一项所述的方法,其特征在于,在所述将所述异常信息对应的交换设备作为异常交换设备,从所述异常信息对应的SDN控制器的负载中迁出,并停止对所述异常交换设备的路由请求的响应之后,所述方法还包括:
针对所述SDN控制器集群中除所述异常交换设备以外的交换设备,进行负载均衡处理。
7.根据权利要求6所述的方法,其特征在于,所述针对所述SDN控制器集群中除所述异常交换设备以外的交换设备,进行负载均衡处理,包括:
接收所述SDN控制器上传的负载评估结果;其中,任一SDN控制器的负载评估结果为该SDN控制器基于按预设周期监测得到的该SDN控制器中的消息缓存队列,获取的评估结果;
计算所接收的各负载评估结果的均值,并按照所述负载评估结果的大小,对所述多个SDN控制器进行排序;
如果所述均值大于预设均值上阈值,为所述SDN控制器集群添加一个零负载的SDN控制器;
按照所述多个SDN控制器的排序结果,从负载最高的SDN控制器对应的交换设备中...
【专利技术属性】
技术研发人员:崔琪楣,顾晓阳,张雪菲,李娜,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。