一种基于多级交互验证机制的SDN动态目标防御方法,包括以下步骤:S1、客户端向转发设备发送连接请求;S2、转发设备向客户端发送端口验证;S3、客户端正确给出端口验证答案,则转发设备向服务器发送连接请求,若客户端未给出端口验证的正确答案且连续回答失败多次后,转发设备不向服务器发送连接请求;S4、服务器收到转发设备发送的连接请求后,随机生成一道验证难题发送至客户端;S5、客户端给出验证难题的正确答案,则服务器同意转发设备的连接请求,服务器通过转发设备与客户端进行数据连接,反之服务器与客户端不建立数据连接。本发明专利技术中,通过生成多级困难问题实现对客户端请求的动态管理,增加攻击者的攻击开销和攻击难度。
【技术实现步骤摘要】
一种基于多级交互验证机制的SDN动态目标防御方法
本专利技术涉及网络安全
,尤其涉及一种基于多级交互验证机制的SDN动态目标防御方法。
技术介绍
针对SDN控制器的DoS攻击是传统DoS攻击的一种衍生攻击技术,在传统的DoS攻击中,攻击者定向发送大量无效数据请求到指定目标,造成目标服务器过载,从而达到攻击目的,同样,在SDN中,由于控制器作为SDN网络的“大脑”,承担着网络请求策略指定等核心功能,因此攻击者也可以通过类似攻击方式大量消耗控制器计算资源,影响正常数据请求处理,从而使整个SDN网络瘫痪,随着SDN技术广泛应用,针对控制器的DoS攻击态势逐年上升,造成的损失也逐渐增加,因此,提出一种针对SDN控制器的DoS攻击防御方案迫在眉睫。
技术实现思路
(一)专利技术目的为解决
技术介绍
中存在的技术问题,本专利技术提出一种基于多级交互验证机制的SDN动态目标防御方法,当客户端请求连接时,首先需要通过转发设备,转发设备会对客户端进行端口验证,端口验证通过后转发设备会向服务器发送连接请求,服务器接收到连接请求后,随机产生一个验证难题发送给客户端解决,客户端在解决该问题后将答案发送回服务器进行验证,如果答案被成功验证,完成后续交互,否则不会有任何后续的交互。通过转发设备和服务器生成多级困难问题实现对客户端请求的动态管理,能减少网络负载以及网络攻击流量,增加攻击者的攻击开销和攻击难度。(二)技术方案2、本专利技术提出了一种基于多级交互验证机制的SDN动态目标防御方法,包括以下步骤:S1、客户端向转发设备发送连接请求;S2、转发设备向客户端发送端口验证;S3、客户端正确给出端口验证答案,则转发设备向服务器发送连接请求,若客户端未给出端口验证的正确答案且连续回答失败多次后,转发设备不向服务器发送连接请求;S4、服务器收到转发设备发送的连接请求后,随机生成一道验证难题发送至客户端;S5、客户端给出验证难题的正确答案,则服务器同意转发设备的连接请求,服务器通过转发设备与客户端进行数据连接,若客户端给出验证难题的答案不正确,服务器再次随机生成一道不同的验证难题,若客户端连续回答问题失败多次且次数超过服务器的设定回答问题次数后,服务器不再向客户端发送验证难题并拒绝转发设备的连接请求,服务器与客户端不建立数据连接。优选的,提出SDN动态目标防御系统,其特征在于,包括客户端、转发设备和服务器;转发设备与客户端数据连接,服务器与客户端以及转发设备均数据连接;转发设备包括端口验证模块、恶意IP统计模块、恶意IP数据过滤模块和端口转发模块;端口验证模块用来向客户端发送端口验证问题并接收客户端发送的端口验证问题答案;当客户端连续几次给出的端口验证问题答案均为错误答案后,恶意IP统计模块记录此客户端的IP;恶意IP数据过滤模块用来过滤掉恶意IP统计模块统计的客户端发送的所有数据;端口转发模块用来与服务器建立数据传输的端口连接,当客户端正确回答出端口验证问题后,端口转发模块与服务器进行数据连接;服务器包括难题生成模块、难题发送模块、答案接收模块、答案比对模块和开放端口模块;服务器接收到转发设备的连接请求后,难题生成模块随机生产一道验证难题;难题发送模块用来将验证难题发送给客户端;答案接收模块用来接收客户端给出的答案;答案比对模块用来将客户给出的答案与标准答案进行比对,若客户端给出的答案正确,则同意转发设备的连接请求,并将开放端口模块与转发设备的端口转发模块进行端口连接,实现数据传输。优选的,S3步骤中,设定再次请求间隔期,即若客户端未给出端口验证的正确答案且连续回答失败多次后,进入再次请求间隔期,只能在再次请求间隔期结束后,客户端才能再次向转发设备发送连接请求。优选的,S4步骤中,验证难题的回答时间设定为一分钟内,超过一分钟回答视为无效。优选的,S5步骤中,服务器的设定回答问题次数定为五次,即客户连续回答失败五次后,服务器不再向客户端发送验证难题并拒绝转发设备的连接请求。优选的,S5步骤中,客户端给出验证难题的正确答案,服务器同意转发设备的连接请求,服务器通过转发设备与客户端进行数据连接,回答对问题后设定数据连接有效时间段,有效时间段设为半天,即半天过后,服务器重新向客户端发送验证难题,客户端需要重新回答对验证难题才可继续进行数据连接。优选的,服务器内设有题库和对应的答案,难题生成模块每次随机选择一道难题,题库定期更新。优选的,SDN动态目标防御系统中恶意IP统计模块统计的恶意IP有效时间段为一天,即一天过后,恶意IP解除。本专利技术的上述技术方案具有如下有益的技术效果:当客户端请求连接时,首先需要通过转发设备,转发设备会对客户端进行端口验证,端口验证通过后转发设备会向服务器发送连接请求,服务器接收到连接请求后,随机产生一个验证难题发送给客户端解决,客户端在解决该问题后将答案发送回服务器进行验证,如果答案被成功验证,完成后续交互,否则不会有任何后续的交互。通过转发设备和服务器生成多级困难问题实现对客户端请求的动态管理,能减少网络负载以及网络攻击流量,增加攻击者的攻击开销和攻击难度。附图说明图1为本专利技术提出的基于多级交互验证机制的SDN动态目标防御方法的流程图。图2为本专利技术提出的SDN动态目标防御系统的结构图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本专利技术进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本专利技术的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本专利技术的概念。如图1-2所示,本专利技术提出的一种基于多级交互验证机制的SDN动态目标防御方法,包括以下步骤:S1、客户端向转发设备发送连接请求;S2、转发设备向客户端发送端口验证;S3、客户端正确给出端口验证答案,则转发设备向服务器发送连接请求,若客户端未给出端口验证的正确答案且连续回答失败多次后,转发设备不向服务器发送连接请求;防止攻击者控制客户端并尝试多次随机组合出端口验证的答案,造成意外连接;S4、服务器收到转发设备发送的连接请求后,随机生成一道验证难题发送至客户端;S5、客户端给出验证难题的正确答案,则服务器同意转发设备的连接请求,服务器通过转发设备与客户端进行数据连接,若客户端给出验证难题的答案不正确,服务器再次随机生成一道不同的验证难题,若客户端连续回答问题失败多次且次数超过服务器的设定回答问题次数后,服务器不再向客户端发送验证难题并拒绝转发设备的连接请求,服务器与客户端不建立数据连接。本专利技术中,当客户端请求连接时,首先需要通过转发设备,转发设备会对客户端进行端口验证,端口验证通过后转发设备会向服务器发送连接请求,服务器接收到连接请求后,随机产生一个验证难题发送给客户端解决,客户端在解决该问题后将答案发送回服务器进行验证,如果答案被成功验证,完成后续交互,否则不会有任何后续的交互。通过转发设备和服务器生成多级困难问题实现对客户端请求的本文档来自技高网...
【技术保护点】
1.一种基于多级交互验证机制的SDN动态目标防御方法,其特征在于,包括以下步骤:/nS1、客户端向转发设备发送连接请求;/nS2、转发设备向客户端发送端口验证;/nS3、客户端正确给出端口验证答案,则转发设备向服务器发送连接请求,若客户端未给出端口验证的正确答案且连续回答失败多次后,转发设备不向服务器发送连接请求;/nS4、服务器收到转发设备发送的连接请求后,随机生成一道验证难题发送至客户端;/nS5、客户端给出验证难题的正确答案,则服务器同意转发设备的连接请求,服务器通过转发设备与客户端进行数据连接,若客户端给出验证难题的答案不正确,服务器再次随机生成一道不同的验证难题,若客户端连续回答问题失败多次且次数超过服务器的设定回答问题次数后,服务器不再向客户端发送验证难题并拒绝转发设备的连接请求,服务器与客户端不建立数据连接。/n
【技术特征摘要】
1.一种基于多级交互验证机制的SDN动态目标防御方法,其特征在于,包括以下步骤:
S1、客户端向转发设备发送连接请求;
S2、转发设备向客户端发送端口验证;
S3、客户端正确给出端口验证答案,则转发设备向服务器发送连接请求,若客户端未给出端口验证的正确答案且连续回答失败多次后,转发设备不向服务器发送连接请求;
S4、服务器收到转发设备发送的连接请求后,随机生成一道验证难题发送至客户端;
S5、客户端给出验证难题的正确答案,则服务器同意转发设备的连接请求,服务器通过转发设备与客户端进行数据连接,若客户端给出验证难题的答案不正确,服务器再次随机生成一道不同的验证难题,若客户端连续回答问题失败多次且次数超过服务器的设定回答问题次数后,服务器不再向客户端发送验证难题并拒绝转发设备的连接请求,服务器与客户端不建立数据连接。
2.根据权利要求1所述的基于多级交互验证机制的SDN动态目标防御方法,提出SDN动态目标防御系统,其特征在于,包括客户端、转发设备和服务器;转发设备与客户端数据连接,服务器与客户端以及转发设备均数据连接;
转发设备包括端口验证模块、恶意IP统计模块、恶意IP数据过滤模块和端口转发模块;端口验证模块用来向客户端发送端口验证问题并接收客户端发送的端口验证问题答案;当客户端连续几次给出的端口验证问题答案均为错误答案后,恶意IP统计模块记录此客户端的IP;恶意IP数据过滤模块用来过滤掉恶意IP统计模块统计的客户端发送的所有数据;端口转发模块用来与服务器建立数据传输的端口连接,当客户端正确回答出端口验证问题后,端口转发模块与服务器进行数据连接;
服务器包括难题生成模块、难题发送模块、答案接收模块、答案比对模块和开放端口模块;服务器接收到转发设备的连接请求后,难题生成模块随机生产一道验证难题;难题发送模块用来将验证难题发送给客户端;答案接收模块用来...
【专利技术属性】
技术研发人员:陈瑜靓,张晶,肖清林,廖渊跃,王榕腾,
申请(专利权)人:福建奇点时空数字科技有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。