System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本专利技术涉及一种基于软件定义网络的ddos攻击防御方法。
技术介绍
1、现有的ddos攻击的检测方法主要是基于熵值的检测和基于机器学习的检测为主,防御方法以qos策略、流量过滤、负载均衡为主流。
2、检测方法中,基于熵值的检测是选取一定数量的流表元素作为熵值的判断依据,例如选取源ip地址、源端口和目的端口等,熵值即代表无规律性,当许多不同ip的设备向目标设备发起攻击时,便会新增许多流表,相应的源ip地址等元素增多,熵值增大,当熵值超多阈值时,判断系统遭遇了ddos攻击。基于机器学习的检测是收集流量源地址、目的地址、协议类型、端口号等数据,从中提取有用的特征,然后进行数据清洗、归一化、降维等处理,对处理后的数据使用机器学习算法进行训练,将通过评估的模型应用于实时网络流量数据,以此来检测ddos攻击。
3、现有技术在检测方法方面存在误判,当网络访问进入高峰期,也会引起熵值的增大,选取的参考值不同,熵值变化也不同,因此依据熵值的检测存在一定程度的误判;机器学习的检测效果依据于所选算法和训练的模型,由于数据偏差、特征选取不当和数据噪声等因素,检测结果也存在一定的误差。
4、防御方法中,qos策略使得转发设备优先转发业务流量,保障其不受攻击流量干扰;流量过滤提取攻击流量特征,下发流表,丢弃攻击流量,排除攻击流量的干扰;负载均衡将流量调度到不同路径,确保高流量不会使得网络陷入瘫痪。但在防御方法方面,qos策略和负载均衡只能降低攻击流量对网络的影响,并不能将攻击流量丢弃,存在网络资源浪费的现象。
< ...【技术保护点】
1.一种基于软件定义网络的DDoS攻击防御方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于软件定义网络的DDoS攻击防御方法,其特征在于:所述步骤一中,执行基础防御是为了防止网络流量的速率超过网络可承受的阈值,导致网络瘫痪,当网络流量速度超过设置阈值时,启动基础防御策略,该基础防御策略通过在边界交换机上部署新的流规则来限制边界交换机的数据流入速率;基础防御是基于OpenFlow1.3协议中的meter表实现的,meter表的主要功能为流量控制,实现流量的测速、标记操作,将meter表添加到flow entry的action域,并且指定Band的速率为5000kbps,对超出该速率的流量执行drop操作,即可实现限速。
3.根据权利要求1所述的基于软件定义网络的DDoS攻击防御方法,其特征在于:所述步骤二中,业务流量是指网络中存在的已知正常流量;当网络中的流量速度超出了规定的阈值,则认为可能是攻击流量,此时执行基础限速,保证流量不会使得网络拥堵及瘫痪,进而分析此流量的行为,如果行为异常,即可判定为攻击流量,需要执行防御模块。
4.根
5.根据权利要求1所述的基于软件定义网络的DDoS攻击防御方法,其特征在于:所述步骤三中,DDoS防御是为了防范网络中的攻击流量,DDoS防御需要传入IP地址、MAC地址、所使用的协议以及攻击流量进入的交换机名称,借助sFlow控制器的网络流量可视化功能和ONOS控制器的流量检测功能来提供所需的信息,DDoS防御是基于OpenFlow1.3协议的流表概念实现的,sFlow技术提供攻击流量的共同特征,将特征信息作为flow entry的selector参数,为攻击流量设计流表,acton域的操作为drop,即可实现攻击流量的防御。
6.根据权利要求1所述的基于软件定义网络的DDoS攻击防御方法,其特征在于:所述步骤四中,为了保证网络中的关键业务流量具有稳定的带宽和延迟,配置QoS,通过指定端口队列和流表优先级控制手段,为关键业务流量提供服务质量保障;QoS的配置综合运用端口队列、流表匹配、meter表限速方面的知识,为数据流指定端口队列,配置QoS时指明的参数越小的队列越先转发,只有上一级队列的数据转发结束后才转发下一级队列的数据;同时使用meter表为队列指定转发速率,确保各个数据流获得相对应的转发速率。
7.根据权利要求1所述的基于软件定义网络的DDoS攻击防御方法,其特征在于:所述步骤五中,执行防御模块后,如果防御模块执行完毕,将输出流表下达的信息及防御结束的提示,表示当前防御结束。
...【技术特征摘要】
1.一种基于软件定义网络的ddos攻击防御方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于软件定义网络的ddos攻击防御方法,其特征在于:所述步骤一中,执行基础防御是为了防止网络流量的速率超过网络可承受的阈值,导致网络瘫痪,当网络流量速度超过设置阈值时,启动基础防御策略,该基础防御策略通过在边界交换机上部署新的流规则来限制边界交换机的数据流入速率;基础防御是基于openflow1.3协议中的meter表实现的,meter表的主要功能为流量控制,实现流量的测速、标记操作,将meter表添加到flow entry的action域,并且指定band的速率为5000kbps,对超出该速率的流量执行drop操作,即可实现限速。
3.根据权利要求1所述的基于软件定义网络的ddos攻击防御方法,其特征在于:所述步骤二中,业务流量是指网络中存在的已知正常流量;当网络中的流量速度超出了规定的阈值,则认为可能是攻击流量,此时执行基础限速,保证流量不会使得网络拥堵及瘫痪,进而分析此流量的行为,如果行为异常,即可判定为攻击流量,需要执行防御模块。
4.根据权利要求3所述的基于软件定义网络的ddos攻击防御方法,其特征在于:所述步骤二中,流量均为tcp握手连接,且均没有得到回复,并持续发出连接申请,这是典型的ddos攻击流量的特征,自然划归为攻击流量;分析流量行为,不存在异常,就是正常流量。
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。