【技术实现步骤摘要】
基于代理控制器的DDoS攻击自主过滤与动态防御方法及系统
本专利技术属于网络安全
,特别涉及一种基于代理控制器的DDoS攻击自主过滤与动态防御方法及系统。
技术介绍
近年来,随着云计算、物联网的快速发展,网络规模与运算速度大幅提升,越来越多的人通过互联网获取资讯,享受着互联网带来的便利。目前,我国的网民数量已突破5亿,互联网已成为人们生活中不可缺少的部分。然而,网络规模的极具扩大也为搭建僵尸网络,发动分布式拒绝服务攻击(DistributedDenialofService,DDoS)提供了有利条件。DDoS攻击技术门槛低,近年来攻击次数呈不断增长趋势,其攻击方式也更加复杂多变。DDoS攻击以破坏网络服务和网络可用性为目的,由拒绝式服务攻击衍生发展的一种网络攻击技术,具有出现频次高,破坏能力强,预警效果差等特点,一直是网络安全的重要威胁之一。目前DDoS攻击的主流方式有两类,一类是针对传输层的攻击,旨在通过大流量占据网络带宽、网络节点处理能力以及服务器资源等,使之失去服务正常网络用户的能力。另一类是针对应用层的攻击,以耗...
【技术保护点】
1.一种基于代理控制器的DDoS攻击自主过滤与动态防御方法,其特征在于,包含如下内容:在控制器和交换机之间设置用于对控制器进行物理安全防护的若干代理控制器;代理控制器转发控制器和交换机之间的数据包过程中若检测到DDoS攻击,则通知控制器运行交换机迁移机制,使网络控制面对外呈现动态变化,并通过执行多轮交换机迁移,将异常交换机迁移,以实现正常交换机与异常交换机分离。/n
【技术特征摘要】
1.一种基于代理控制器的DDoS攻击自主过滤与动态防御方法,其特征在于,包含如下内容:在控制器和交换机之间设置用于对控制器进行物理安全防护的若干代理控制器;代理控制器转发控制器和交换机之间的数据包过程中若检测到DDoS攻击,则通知控制器运行交换机迁移机制,使网络控制面对外呈现动态变化,并通过执行多轮交换机迁移,将异常交换机迁移,以实现正常交换机与异常交换机分离。
2.根据权利要求1所述的基于代理控制器的DDoS攻击自主过滤与动态防御方法,其特征在于,若干代理控制器包含用于转发控制器与交换机之间的数据包并对交换机数据流进行异常检测的应用层代理控制器和用于隔离异常交换机的隔离层代理控制器。
3.根据权利要求2所述的基于代理控制器的DDoS攻击自主过滤与动态防御方法,其特征在于,应用层代理控制器和隔离层代理控制器上均预置有DDoS攻击检测引擎,应用层代理控制器通过检测引擎对来自交换机的数据流进行异常检测以判定异常交换机,隔离层代理服务器通过检测引擎对识别出的异常交换机隔离并破坏其攻击链。
4.根据权利要求2所述的基于代理控制器的DDoS攻击自主过滤与动态防御方法,其特征在于,基于Openflow协议的SDN网络的流表规则的被动安装模式,当Openflow交换机收到无法和流表规则相匹配的数据报文时,将该数据报文打包成packet-in消息发送给控制器,应用层代理控制器通过检测来自交换机的packet-in数据流,以判定交换机是否为对控制器进行DDoS攻击的异常交换机,若判定为异常交换机,则控制器将该异常交换机迁移至隔离层代理控制器上。
5.根据权利要求1所述的基于代理控制器的DDoS攻击自主过滤与动态防御方法,其特征在于,假设网络中代理控制器下连接的交换机中异常交换机个数已知,检测到攻击的代理控制器下连接有N个交换机,包含:Na个异常交换机和Nm个正常交换机,N=Na+Nm;检测到攻击后,控制器将N个交换机分配给X个新代理控制器,第j个代理控制器上的交换机数目为Nj,经过一轮连接迁移后,仍与异常交换机连接在同一个代理控制器下的正常交换机数量为Nma,未与异常交换机连接在同一个代理控制器下的正常交换机数量为Nmn,Nm=Nma+Nmn...
【专利技术属性】
技术研发人员:胡浩,张玉臣,张恒巍,蔡佳晔,周洪伟,宋莹炯,谭晶磊,董书琴,胡瑞欣,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。