一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDoS過濾方法
【專利摘要】本發(fā)明公開了一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDoS過濾方法����,本基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過濾方法包括:步驟S100,網(wǎng)絡(luò)初始化���;步驟S200�,分布式DDoS威脅監(jiān)測和/或收集SDN鏈路狀態(tài)信息�;以及步驟S300,威脅處理和/或確定數(shù)據(jù)下發(fā)路徑��。本發(fā)明可使網(wǎng)絡(luò)在遭受大規(guī)模DDoS威脅時,能夠根據(jù)鏈路的實時狀況實現(xiàn)路由優(yōu)化的流量轉(zhuǎn)發(fā)����,同時迅速準(zhǔn)確的進行DDoS威脅識別和處理響應(yīng),全面保障網(wǎng)絡(luò)通信質(zhì)量���。
【專利說明】
-種基于SDN網(wǎng)絡(luò)架構(gòu)的DDoS過濾方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域���,特別是涉及一種基于SDN網(wǎng)絡(luò)架構(gòu)的孤oS過濾方法。
【背景技術(shù)】
[0002] 當(dāng)前�����,高速廣泛連接的網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代社會的重要基礎(chǔ)設(shè)施��。然而����,隨著互聯(lián)網(wǎng) 規(guī)模的膨脹,傳統(tǒng)規(guī)范體系的缺陷也日益呈現(xiàn)出來�。
[0003] 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中必(CNCERT/CC)最新發(fā)布的報告表明:黑客 活動日趨頻繁,網(wǎng)站后Π ���、網(wǎng)絡(luò)釣魚�����、Web惡意掛馬等攻擊事件呈大幅增長趨勢�,其中,分布 式拒絕服務(wù)攻擊值istributed Denial of Service, DDo巧仍然是影響互聯(lián)網(wǎng)運行安全最 主要的威脅之一�。在過去的幾年里���,DDoS攻擊的數(shù)目����、大小�����、類型都大幅上漲��。
[0004] 如何通過SDN架構(gòu)實現(xiàn)對DDoS攻擊的有效防御是本領(lǐng)域的技術(shù)難題��。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的是提供一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過濾方法����,W解決現(xiàn)有網(wǎng)絡(luò)中 大量DDoS攻擊所造成的網(wǎng)絡(luò)安全問題,W實現(xiàn)快速���、高效�����、全面地識別與防御DDoS攻擊���, 并且將威脅處理后與鏈路發(fā)生故障后的網(wǎng)絡(luò)拓撲變化進行區(qū)別�,W提供相應(yīng)的報文發(fā)送路 徑�。
[0006] 為了解決上述技術(shù)問題,本發(fā)明提供了一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過濾方法���。 所述基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過濾方法����,包括如下步驟:
[0007] 步驟S100,網(wǎng)絡(luò)初始化���;步驟S200,分布式孤oS威脅監(jiān)測和/或收集SDN鏈路狀 態(tài)信息��;W及步驟S300,威脅處理和/或確定數(shù)據(jù)下發(fā)路徑��。
[0008] 優(yōu)選的��,為了更好的實現(xiàn)網(wǎng)絡(luò)配置�,所述步驟S100中網(wǎng)絡(luò)初始化所涉及的裝置包 括;SDN控制器�、IDS決策服務(wù)器和IDS設(shè)備;
[0009] 網(wǎng)絡(luò)初始化的步驟如下:
[0010] 步驟S101����,所述IDS決策服務(wù)器與IDS設(shè)備建立專用的S化信道;步驟S102,所述 SDN控制器構(gòu)建網(wǎng)絡(luò)設(shè)備信息綁定表��,并且將網(wǎng)絡(luò)設(shè)備信息綁定表實時更新到IDS設(shè)備中��; 步驟S104,所述SDN控制器下發(fā)鏡像策略的流表����,即將OF交換機所有拖載有主機的端口流 量鏡像轉(zhuǎn)發(fā)給所述IDS設(shè)備�;W及步驟S105,所述SDN控制器下發(fā)DDoS威脅識別規(guī)則給每 個網(wǎng)域中對應(yīng)的IDS設(shè)備。
[0011] 優(yōu)選的���,所述步驟S200中分布式DDoS威脅監(jiān)測的方法包括��;依次對鏈路層和網(wǎng)際 層地址的欺騙行為�,網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為���,W及應(yīng)用層和傳輸層的泛洪式 攻擊行為進行檢測�;若上述過程中檢測判斷出報文存在相應(yīng)行為時,則將該報文轉(zhuǎn)入步驟 S300 ;對鏈路層和網(wǎng)際層地址的欺騙行為進行檢測的方法包括:通過欺騙報文檢測模塊對 欺騙行為進行檢測�,即首先,通過欺騙報文檢測模塊調(diào)用網(wǎng)絡(luò)設(shè)備信息綁定表���;其次���,通過 欺騙報文檢測模塊將封裝在化cket-In消息中報文的類型進行解析,W獲得相應(yīng)的源���、目 的IP地址����、MAC地址W及上傳此Packet-In消息的OF交換機DPID號和端口號��,并將上述 各信息分別與網(wǎng)絡(luò)設(shè)備信息綁定表中的相應(yīng)信息進行比對�;若報文中的上述信息匹配,貝u 將報文進行下一檢測�;若報文中的上述信息不匹配,則將報文轉(zhuǎn)入步驟S300 ;所述網(wǎng)際層 和傳輸層標(biāo)志位設(shè)置異常行為進行檢測的方法包括:通過破壞報文檢測模塊對標(biāo)志位設(shè)置 異常行為進行檢測�����,即對報文的各標(biāo)志位進行檢測,W判斷各標(biāo)志位是否符合TCP/IP協(xié)議 規(guī)范�;若報文的各標(biāo)志位符合,則將報文轉(zhuǎn)入進行下一檢測����;若報文的各標(biāo)志位不符合,貝U 將報文轉(zhuǎn)入步驟S300 ;所述應(yīng)用層和傳輸層的泛洪式攻擊行為進行檢測的方法包括�;通過 異常報文檢測模塊對泛洪式攻擊行為進行檢測,即在異常報文檢測模塊構(gòu)建用于識別泛洪 式攻擊報文的哈希表�,并根據(jù)該哈希表中設(shè)定的閥值判斷報文是否具有泛洪式攻擊行為, 且將判斷結(jié)果轉(zhuǎn)入步驟S300 ; W及收集SDN鏈路狀態(tài)信息的方法包括�;根據(jù)SDN網(wǎng)絡(luò)拓撲 和各鏈路開銷計算主路徑的備份路徑;為各備份路徑分配用于標(biāo)記備份路徑的標(biāo)志位����;根 據(jù)備份路徑和對應(yīng)標(biāo)志位向該備份路徑上各OF交換機下發(fā)流表項。
[0012] 所述步驟S300中威脅處理和/或確定數(shù)據(jù)下發(fā)路徑的方法包括���;若報文具有欺 騙行為,且攻擊威脅在化enFlow域中��,則所述IDS決策服務(wù)器適于通過SDN控制器屏蔽主 機��;W及當(dāng)攻擊威脅不在化enFlow域中���,則通過SDN控制器將該報文所對應(yīng)的OF交換機接 入端口流量重定向至流量清洗中必進行過濾�;若報文具有異常行為,則所述IDS決策服務(wù) 器通過SDN控制器對攻擊程序或攻擊主機的流量進行屏蔽����;若報文具有泛洪式攻擊行為, 則所述IDS決策服務(wù)器通過SDN控制器將該報文所對應(yīng)的OF交換機接入端口流量重定向 至流量清洗中必進行過濾�;W及在屏蔽攻擊主機后,設(shè)定屏蔽時間和屏蔽闊值�,該屏蔽時間 適于限定屏蔽攻擊主機時間;W及當(dāng)攻擊主機屏蔽次數(shù)超過所述屏蔽闊值時���,永久屏蔽該 攻擊主機�;和/或根據(jù)鏈路負載系數(shù)計算出優(yōu)化路徑�����,即檢測兩相鄰節(jié)點的鏈路剩余帶寬�����, 獲得該鏈路的負載系數(shù)�,在根據(jù)該負載系數(shù)和初始化的網(wǎng)絡(luò)拓撲圖獲得任意兩點的最優(yōu)路 徑,所述SDN控制器根據(jù)該最優(yōu)路徑得出對應(yīng)的轉(zhuǎn)發(fā)流表并下發(fā)各OF交換機�����。
[0013] 優(yōu)選的,所述IDS決策服務(wù)器屏蔽發(fā)送報文的程序和/或主機的方法包括���;首先���, 構(gòu)建計數(shù)用的相應(yīng)哈希表及設(shè)定相應(yīng)闊值,即單位時間內(nèi)�����,所述IDS決策服務(wù)器中構(gòu)建對 欺騙行為進行計數(shù)的第一哈希表��,標(biāo)志位設(shè)置異常行為進行計數(shù)的第二哈希表���,W及對泛 洪式攻擊行為進行計數(shù)的第Η哈希表�����;同時設(shè)定第一、第二�、第Η哈希表中的第一、第二���、第 Η閥值��;其次�,屏蔽發(fā)送該報文的程序和/或主機,即針對轉(zhuǎn)入IDS決策服務(wù)器的報文的行 為�����,利用相應(yīng)哈希表進行計數(shù)�,當(dāng)計數(shù)值超過相應(yīng)閥值時,屏蔽發(fā)送該報文的程序和/或主 機��。
[0014] 進一步�,所述步驟S300中確定數(shù)據(jù)下發(fā)路徑的方法還包括:根據(jù)SDN網(wǎng)絡(luò)拓撲改 變的原因,確認報文下發(fā)路徑���;即�����,當(dāng)SDN控制器威脅處理后���,將報文通過最優(yōu)路徑下發(fā)報 文,或判斷主路徑發(fā)生故障后�����,報文匹配所述流表項通過備份路徑進行轉(zhuǎn)發(fā)。
[0015] 本發(fā)明的有益效果�;(1)本發(fā)明將DDoS威脅過濾技術(shù)與路由優(yōu)化技術(shù)融合,在進 行監(jiān)測�、屏蔽DD0S攻擊時,并不會造成數(shù)據(jù)的擁堵����,并且通過將監(jiān)測和威脅處理分開,有效 的減輕了控制層面的負擔(dān)�,保證了網(wǎng)絡(luò)更安全、高校的運行�;(2)本發(fā)明使得傳統(tǒng)網(wǎng)絡(luò)體系 架構(gòu)下無法對地址偽造 DDoS攻擊進行識別與溯源的難題從根本上得到了解決;在網(wǎng)絡(luò)中 存在DDoS攻擊或正常大流量業(yè)務(wù)的情況下����,SDN控制器可基于對鏈路剩余帶寬等網(wǎng)絡(luò)參數(shù) 的實時感知,實現(xiàn)對正常流量的路由優(yōu)化��,大幅提升用戶的體驗�;(3)本發(fā)明的處理架構(gòu)采 用可擴展的模塊化設(shè)計,實現(xiàn)了對DDoS威脅的高效檢測和靈活處理�;(4)各模塊獲取數(shù)據(jù) 包信息采用獨立的接口設(shè)計,降低了模塊間的禪合關(guān)聯(lián)性�����;(5)各模塊使用優(yōu)化的程序數(shù) 據(jù)結(jié)構(gòu)����,細致分割各處理子流程,提升了模塊的高內(nèi)聚特性�����;(6)本發(fā)明還對網(wǎng)路鏈路的改 變加 W區(qū)別對待���,即��,若當(dāng)SDN控制器威脅處理后���,將報文通過最優(yōu)路徑下發(fā)報文,或判斷 主路徑發(fā)生故障后���,報文匹配所述流表項通過備份路徑進行轉(zhuǎn)發(fā)�,有效的避免了因交換機 故障時流量數(shù)據(jù)丟失�。
【附圖說明】
[0016] 為了使本發(fā)明的內(nèi)容更容易被清楚的理解,下面根據(jù)的具體實施例并結(jié)合附圖���, 對本發(fā)明作進一步詳細的說明�����,其中
[0017] 圖1示出了所述SDN網(wǎng)絡(luò)架構(gòu)的結(jié)構(gòu)框圖��;
[0018] 圖2不出了 IDS設(shè)備的原理框圖的原理框圖�����;
[0019] 圖3示出了欺騙報文檢測模塊的工作流程圖��;
[0020] 圖4示出了破壞報文檢測模塊的工作流程圖��;
[0021] 圖5示出了 UDP Floodling的檢測流程圖���;
[0022] 圖6示出了 ICMP Floodling的檢測流程圖���;
[0023] 圖7示出了分布式DDoS威脅監(jiān)測的方法的流程框圖;
[0024] 圖8示出了實驗場景的具體部署的拓撲圖��;
[0025] 圖9 (a)示出了未使用本發(fā)明的SDN架構(gòu)的Web服務(wù)器所承受的攻擊頻率的曲線 圖�����;
[0026] 圖9(b)示出了使用本發(fā)明的SDN架構(gòu)的Web服務(wù)器所承受的攻擊頻率的曲線圖;
[0027] 圖10示出了平均傳輸速率對比圖�����。
【具體實施方式】
[0028] 為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點更加清楚明了���,下面結(jié)合【具體實施方式】并參 照附圖,對本發(fā)明進一步詳細說明����。應(yīng)該理解,送些描述只是示例性的����,而并非要限制本發(fā) 明的范圍。此外�,在W下說明中,省略了對公知結(jié)構(gòu)和技術(shù)的描述�,W避免不必要地混淆本 發(fā)明的概念。
[0029] 在軟件定義網(wǎng)絡(luò)(Software Defined化twork, SDN)架構(gòu)中�����,當(dāng)一個報文(Packet) 到達OF交換機的時候,首先對OF交換機中所帶的流表進行匹配�����。如果匹配成功�,就按照流 表指定的動作執(zhí)行轉(zhuǎn)發(fā)規(guī)則。如果匹配失敗�,則OF交換機將該報文封裝在化cket In消息 中,發(fā)送給SDN控制器�,并且OF交換機將此報文存在本地緩存中。等待SDN控制器作出決 策���,如何處理此報文���。
[0030] 網(wǎng)絡(luò)中有很多主機,則需要建立一張針對網(wǎng)絡(luò)中所有主機為鍵的哈希表�����,稱之為 "違規(guī)次數(shù)哈希表組"��,其包括���;適于對欺騙報文進行計數(shù)的第一哈希表�,適于對破壞報文進 行計數(shù)的第二哈希表,適于對泛洪式攻擊進行計數(shù)的第Η哈希表�����。記錄對應(yīng)主機的違規(guī)次 數(shù)��,也就是主機的誠信度�����。
[0031] 網(wǎng)絡(luò)中的數(shù)據(jù)包是實時的���,所W需要建立一種單位時間內(nèi)的威脅報文計數(shù)的哈希 表,并且每個主機對應(yīng)一個哈希表中的一個鍵���,對應(yīng)的鍵值是記錄的單位時間內(nèi)對應(yīng)鍵的 主機發(fā)送的威脅數(shù)據(jù)包的個數(shù)��。此類哈希表在單位時間"時間片"開始時候必須將哈希表 內(nèi)所有鍵對應(yīng)的鍵值置ο ;且每種檢測的報文都需要有送樣的一張表���,就比如說檢測了 100 種報文,就需要有100個此類的哈希表�。
[0032] 而且,每個哈希表必須有一個對應(yīng)的闊值。哈希表中只要一有主機在相應(yīng)值中累 加計數(shù)����。計數(shù)后檢查該值是否超過設(shè)定的闊值。如果超過相應(yīng)的闊值�,則在違規(guī)次數(shù)哈希 表對應(yīng)記錄中的鍵值計數(shù)。
[0033] 在上述發(fā)明原理的基礎(chǔ)上����,本實施例的具體實施過程如下�。
[0034] 實施例1
[0035] 圖1示出了本發(fā)明的SDN網(wǎng)絡(luò)架構(gòu)的結(jié)構(gòu)框圖�。
[003引如圖1所示,本發(fā)明的SDN網(wǎng)絡(luò)架構(gòu)�����,包括;SDN控制器���、IDS決策服務(wù)器、IDS設(shè) 備(即入侵檢測設(shè)備)和流量清洗中必�;當(dāng)IDS設(shè)備檢測到具有DDoS攻擊特征的報文時����, 即通過S化信道上報至IDS決策服務(wù)器�;所述IDS決策服務(wù)器根據(jù)上報信息��,制定出與具有 DDoS攻擊特征的報文對應(yīng)的處理策略��,然后將該報文通過SDN控制器屏蔽或者將該報文所 對應(yīng)的OF交換機接入端口流量重定向到流量清洗中必進行過濾���;同時����,通過SDN控制器收 集當(dāng)前SDN鏈路狀態(tài)信息�����,W提供相應(yīng)的報文發(fā)送路徑��。
[0037] 其中��,DDoS攻擊特征定義為����;對鏈路層和網(wǎng)際層地址的欺騙行為�����、對網(wǎng)際層和傳 輸層標(biāo)志位設(shè)置的異常行為�,W及對應(yīng)用層和傳輸層泛洪式攻擊行為���。
[0038] 圖2示出了 IDS設(shè)備的原理框圖的原理框圖。
[0039] 如圖2所示�,進一步�,所述IDS設(shè)備內(nèi)包括:
[0040] 欺騙報文檢測模塊���,對鏈路層和網(wǎng)際層地址的欺騙行為進行檢測��。
[0041] 破壞報文檢測模塊����,對網(wǎng)際層和傳輸層標(biāo)志位設(shè)置的異常行為進行檢測�����。
[0042] 異常報文檢測模塊����,對應(yīng)用層和傳輸層泛洪式攻擊行為進行檢測。
[0043] 通過所述欺騙報文檢測模塊、破壞報文檢測模塊��、異常報文檢測模塊依次對報文 進行檢測;且若檢測模塊檢測出報文存在上述相應(yīng)行為時,則將該報文轉(zhuǎn)入IDS決策服務(wù) 器���。
[0044] 進一步,所述IDS決策服務(wù)器適于當(dāng)報文具有欺騙行為�,且攻擊威脅在化enFlow 域中��,則通過SDN控制器屏蔽主機��;或當(dāng)攻擊威脅不在化enFlow域中�,則通過SDN控制器將 該報文所對應(yīng)的OF交換機接入端口流量重定向至流量清洗中必進行過濾����;所述IDS決策服 務(wù)器還適于當(dāng)報文具有異常行為�����,則通過SDN控制器對攻擊程序或攻擊主機的流量進行屏 蔽�����;W及當(dāng)報文具有泛洪式攻擊行為��,則所述IDS決策服務(wù)器適于通過SDN控制器將該報文 所對應(yīng)的OF交換機接入端口流量重定向至流量清洗中必進行過濾����。
[0045] 本發(fā)明采用從欺騙報文檢測模塊到破壞報文檢測模塊�,再到異常報文檢測模塊依 次檢測的順序,其中,各模塊獲取數(shù)據(jù)包信息采用獨立的接口設(shè)計�,降低了模塊間的禪合關(guān) 聯(lián)性�;并且各模塊使用優(yōu)化的程序數(shù)據(jù)結(jié)構(gòu),細致分割各處理子流程��,提升了模塊的高內(nèi)聚 特性��。送種檢巧IJ順序提高了對報文數(shù)據(jù)的檢測效率��,W及降低了漏檢率����。
[0046] 圖3示出了欺騙報文檢測模塊的工作流程圖。
[0047] 如圖3所示����,通過所述欺騙報文檢測模塊調(diào)用網(wǎng)絡(luò)設(shè)備信息綁定表,并在所述IDS 決策服務(wù)器中構(gòu)建單位時間內(nèi)的適于對報文欺騙行為進行計數(shù)的第一哈希表��,W及設(shè)定該 第一哈希表中的第一閥值���;所述欺騙報文檢測模塊���,將封裝在化cket-In消息中的報文的 類型進行解析,W獲得相應(yīng)的源、目的IP地址����、MAC地址W及上傳化cket-In消息的OF交換 機DPID號和端口號信息,并將各信息分別與網(wǎng)絡(luò)設(shè)備信息綁定表中的相應(yīng)信息進行比對���; 若報文中的上述信息匹配��,則將報文轉(zhuǎn)入破壞報文檢測模塊��;若報文中的上述信息不匹配�, 則轉(zhuǎn)入所述IDS決策服務(wù)器�,對報文進行丟棄,并同時對欺騙行為進行計數(shù)��,當(dāng)該計數(shù)值超 過第一閥值時�����,屏蔽發(fā)送該報文的程序和/或主機��。
[0048] 具體的�����,所述欺騙報文檢測模塊用于對報文進行第一次判斷,即判斷報文是否是 IP欺騙攻擊報文��、端口欺騙攻擊報文或MAC欺騙攻擊報文�����。
[0049] 具體步驟包括��;首先在W太網(wǎng)頓中解析出源��、目的MAC地址和OF交換機入口���,然后 根據(jù)不同的報文類型解析出不同的報文。當(dāng)報文類型為IP����、ARP、RARP時�,則解析出相應(yīng)的 源、目的IP地址然后將送些信息對網(wǎng)絡(luò)設(shè)備信息綁定表中的信息進行查表匹配�����,如果匹配 到相應(yīng)的信息����,則交給破壞報文檢測模塊處理����。若不匹配����,則將該報文轉(zhuǎn)入IDS決策服務(wù)器 處理;并同時對欺騙行為進行累加計數(shù)���,當(dāng)該計數(shù)值超過第一閥值時�,屏蔽發(fā)送該報文的程 序和/或主機�����。
[0050] Floodli曲t中有一個設(shè)備管理器模塊DeviceManagerlmpl,當(dāng)一個設(shè)備在網(wǎng)絡(luò)中 移動設(shè)備的時候跟蹤設(shè)備����,并且根據(jù)新流定義設(shè)備。
[0051] 設(shè)備管理器從化cketin請求中得知設(shè)備�,并從化cketin報文中獲取設(shè)備網(wǎng)絡(luò)參 數(shù)信息(源、目的IP��、MAC�、VLAN等信息)����,通過實體分類器將設(shè)備進行區(qū)分為OF交換機或 主機�����。默認情況下實體分類器使用MAC地址和/或VLAN表示一個設(shè)備�����,送兩個屬性可W唯 一的標(biāo)識一個設(shè)備����。另外一個重要的信息是設(shè)備的安裝點(OF交換機的DPID號和端口號) (���,在一個openf low區(qū)域中�,一個設(shè)備只能有一個安裝點�,在送里openf low區(qū)域指的是和同 一個Floodli曲t實例相連的多個OF交換機的集合。設(shè)備管理器也為IP地址�����、安裝點�、設(shè) 備設(shè)置了過期時間�,最后一次時間戳作為判斷它們是否過期的依據(jù)����。)
[0052] 故網(wǎng)絡(luò)設(shè)備信息綁定表模塊里面只需調(diào)用DeviceManagerlmpl模塊提供的 IDeviceService即可,同時向該服務(wù)添加 IDeviceListener的監(jiān)聽接口即可����。
[0053] 其中IDeviceListener提供的監(jiān)聽接口有:
[0054]
[00巧]服務(wù)提供者;IFloodli曲 1:P;roviderSe;rvice����,IDeviceService
[0056] 依賴接口;IFloodli曲tModule, IDeviceListener
[0057]
[0059] 表內(nèi)的記錄根據(jù)OF交換機的高低電平觸發(fā)機制(網(wǎng)線拔出觸發(fā)化d Down的低 電平�,網(wǎng)線拔入觸發(fā)化d化的高電平)可W實時刷新綁定表中的記錄。
[0060] 傳統(tǒng)的孤oS攻擊無法觸及�����、修改Switch DPID和Switch化的的信息�,利用此優(yōu) 勢,可W更加靈活的檢測欺騙攻擊����。
[0061] 圖4示出了破壞報文檢測模塊的工作流程圖。
[0062] 如圖4所示��,在所述IDS決策服務(wù)器中構(gòu)建單位時間內(nèi)的適于對報文的標(biāo)志位設(shè) 置異常行為進行計數(shù)的第二哈希表,W及設(shè)定該第二哈希表中的第二閥值�;所述破壞報文 檢測模塊對報文的各標(biāo)志位進行檢測,W判斷各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范����;若報文 的各標(biāo)志位符合,則將報文轉(zhuǎn)入異常報文檢測模塊��;若報文的各標(biāo)志位不符合��,則轉(zhuǎn)入所述 IDS決策服務(wù)器���,對報文進行丟棄�,并同時對標(biāo)志位設(shè)置異常行為進行計數(shù)���,當(dāng)該計數(shù)值超 過第二閥值時,屏蔽發(fā)送該報文的程序和/或主機��。
[0063] 具體的�,所述破壞報文檢測模塊,用于對報文進行第二次判斷�����,即判斷報文是否為 具有惡意標(biāo)志位特征的攻擊報文。其中�����,具有惡意標(biāo)志位特征的攻擊報文包括但不限于IP 攻擊報文��、TCP攻擊報文���。實施步驟包括:對IP攻擊報文及其中的TCP/UDP攻擊報文實現(xiàn) 各個報文的標(biāo)志位的檢測��,即識別各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范�����。如果符合的話�����,就 直接交由異常數(shù)報文檢測模塊處理�。若不符合�����,則判斷為攻擊報文,轉(zhuǎn)入IDS決策服務(wù)器處 理����。
[0064] W Tear化op等典型攻擊為列,在IP包頭中有一個偏移字段和一個分片標(biāo)志 (MF)����,若攻擊者把偏移字段設(shè)置成不正確的值,IP分片報文就會出現(xiàn)重合或斷開的情況����,目 標(biāo)機系統(tǒng)就會崩潰。
[006引在IP報文頭中�����,有一協(xié)議字段���,該字段指明了該IP報文承載了何種協(xié)議���。該字段 的值是小于100的����,如果攻擊者向目標(biāo)機發(fā)送大量的帶大于100的協(xié)議字段的IP報文,目 標(biāo)機系統(tǒng)中的協(xié)議找就會受到破壞,形成攻擊����。
[0066] 故在破壞報文檢測模塊中,首先提取出報文的各標(biāo)志位���,然后檢查是否正常����。
[0067] 如果正常���,則交給后續(xù)模塊處理�。
[0068] 如果不正常�����,則丟棄該數(shù)據(jù)包�����,并對相應(yīng)哈希表計數(shù)器計數(shù)����。如果單位時間內(nèi)計數(shù) 器超過設(shè)定的所述第二閥值時,則調(diào)用IDS決策服務(wù)器對相應(yīng)的程序進行屏蔽和/或直接 屏蔽相應(yīng)的主機。
[0069] 通過欺騙報文檢測模塊的數(shù)據(jù)包濾除之后�����,后續(xù)的破壞報文檢測模塊所處理的數(shù) 據(jù)包中的地址都是真實的����。送樣,有效的避免了目標(biāo)機收到了破壞報文���,可能直接導(dǎo)致目標(biāo) 機的協(xié)議找崩潰�,甚至目標(biāo)機直接崩潰�����。
[0070] 破壞報文檢測模塊的處理功能與欺騙報文檢測處理流程大致相似����,區(qū)別在于破壞 報文檢測模塊解析出的是各個報文的標(biāo)志位,然后檢測各個標(biāo)志位是否正常�。
[0071] 如果正常的話,就直接給后續(xù)的異常報文檢測模塊處理����。
[0072] 如果不正常,則丟棄該數(shù)據(jù)包�����,并且對主機應(yīng)用征信機制相應(yīng)的哈希表內(nèi)計數(shù)器 計數(shù)���。如果超過設(shè)定的閥值��,則屏蔽相應(yīng)的攻擊程序或者直接屏蔽攻擊主機���。
[0073] 在所述異常報文檢測模塊構(gòu)建用于識別泛洪式攻擊報文的哈希表,在所述IDS決 策服務(wù)器中構(gòu)建單位時間內(nèi)的適于對泛洪式攻擊行為進行計數(shù)的第Η哈希表���,W及設(shè)定該 第Η哈希表中的第Η閥值��;所述異常報文檢測模塊����,適于根據(jù)所述哈希表中設(shè)定的閥值判 斷所述報文是否具有攻擊行為���;若無攻擊行為����,則將數(shù)據(jù)下發(fā);若具有攻擊行為�����,則轉(zhuǎn)入所 述IDS決策服務(wù)器�,對報文進行丟棄,并同時對攻擊行為進行計數(shù)���,當(dāng)計數(shù)值超過第Η閥值 時�,屏蔽發(fā)送該報文的程序和/或主機��。
[0074] 具體的��,所述異常報文檢測模塊��,用于對報文進行第Η次判斷���,即判斷報文是否是 泛洪式攻擊報文�。
[00巧]具體步驟包括:利用對構(gòu)建的識別泛洪式攻擊報文的對哈希表內(nèi)的相應(yīng)記錄進行 累加���,并檢測是否超過闊值�,W判斷是否是泛洪式攻擊報文�。
[0076] 經(jīng)過上述欺騙報文檢測模塊���、破壞報文檢測模塊兩個模塊的濾除���,后續(xù)模塊處理 的數(shù)據(jù)包基本屬于正常情況下的數(shù)據(jù)包��。然而���,正常情況下,也會有DDoS攻擊產(chǎn)生��,在現(xiàn)有 技術(shù)中���,一般僅進行欺騙報文檢測模塊�����、破壞報文檢測模塊���,而在本技術(shù)方案中,能盡可能 的避免DDoS攻擊�。
[0077] W下實施例為針對在進行欺騙報文檢測模塊、破壞報文檢測模塊過濾后�,再通過 異常報文檢測模塊屏蔽DDoS攻擊的【具體實施方式】��。該實施方式W UDP Flooding和ICMP Flooding 為例����。
[0078] 圖5示出了 UDP Floodling的檢測流程圖���。
[0079] 關(guān)于UDP Floodling,如圖5所示��,利用UDP協(xié)議無需建立連接的機制��,向目標(biāo)機發(fā) 送大量UDP報文�。目標(biāo)機會花費大量的時間處理UDP報文�����,送些UDP攻擊報文不但會使存 放UDP報文的緩存溢出�,而且也會占用大量的網(wǎng)絡(luò)帶寬,目標(biāo)機無法(或很少)接收到合法 的UDP報文���。
[0080] 由于不同的主機向單一主機發(fā)送大量UDP數(shù)據(jù)包�����,所W肯定會有UDP端口占用的 情況���,所W本技術(shù)方案可W接收到一個ICMP的端口不可達包��。
[0081] 所W本技術(shù)方案可W對所有主機建立一個哈希表�,?�?谟脕泶娣艈挝粫r間內(nèi)收到 ICMP端口不可達數(shù)據(jù)包的次數(shù)���。如果超過設(shè)定的閥值,則直接屏蔽相應(yīng)的攻擊程序����。
[0082] 圖6示出了 ICMP Floodling的檢測流程圖。
[008引 關(guān)于ICMP Floodling,如圖6所示�����,對于ICMP Flooding直接進行單位時間內(nèi)計 數(shù)�。如果超過相應(yīng)的閥值,則直接對相應(yīng)主機進行相應(yīng)屏蔽��,該方法雖然簡單����,但是直接有 效�����。
[0084] 因此��,異常報文檢測模塊����,如果檢測到的報文類型是異常報文檢測類型����,則進行相 應(yīng)的計數(shù)器檢測是否超過闊值,如果沒有超過闊值��,也可對該數(shù)據(jù)包通過最優(yōu)的路由策略 下發(fā)�����。如果超過了闊值�����,則屏蔽相應(yīng)的攻擊程序���,或直接對相應(yīng)主機進行相應(yīng)屏蔽�。
[0085] 所述欺騙報文檢測模塊、破壞報文檢測模塊和異常報文檢測模塊中模塊判斷所述 報文為上述攻擊報文時����,則將該攻擊報文轉(zhuǎn)入IDS決策服務(wù)器,即����,丟棄所述報文,并屏蔽 發(fā)送該報文的程序和/或主機��。
[0086] 當(dāng)"欺騙報文檢測模塊"�����、"破壞報文檢測模塊"和"異常報文檢測模塊"需要丟棄數(shù) 據(jù)包或者需要屏蔽威脅主機的時候���。直接調(diào)用IDS決策服務(wù)器進行相應(yīng)的威脅處理操作。
[0087] 所述IDS決策服務(wù)器的具體的實施步驟包括:
[0088] 丟棄所述報文�����,即丟棄數(shù)據(jù)包的步驟包括如下:
[0089] OF交換機(OF交換機)在未匹配到相應(yīng)的流表情況下����,會將該數(shù)據(jù)包封裝在 Packet In消息中���,同時OF交換機會將此數(shù)據(jù)包存在本地的緩存中���,數(shù)據(jù)包存放在緩存中��, 有一個緩存區(qū)ID號����,送個ID號也會封裝在化cket In消息的buffe;r_id中�,通過化cket out的形式,同時化cket out消息內(nèi)的buffe;r_id填寫要丟棄的數(shù)據(jù)包的緩存區(qū)ID (對應(yīng) 的化cket In消息中的buffe;r_id)�����。
[0090] 屏蔽主機的步驟包括如下:
[0091] 化enFlow協(xié)議流表結(jié)構(gòu)如下:
[0092]
[0093] 其中包頭域的結(jié)構(gòu)為:
[0094]
[0095] IDS決策服務(wù)器中包括對應(yīng)用程序進行屏蔽的步驟包括如下:
[0096] 在流表的包頭域中填寫相應(yīng)匹配字段����,并且通過設(shè)置Wildcards屏蔽字段,來獲 取屏蔽攻擊程序或主機信息�。其中,如需屏蔽攻擊程序�,則在流表包頭域中填寫下列匹配字 段����;IP����、MC、VLAN����、SwtichDPID����、SwtichPort、協(xié)議類型及其端口號等���。如需屏蔽主機��,貝リ 在流表包頭域中填寫���;IP��、MAC、VLAN�����、Swtich DPID��、Swtich化的等匹配字段����。將流表動作 列表置空�����,實現(xiàn)攻擊程序/主機的數(shù)據(jù)包丟棄�����。調(diào)用各哈希表中的記錄值���,計算出流表超時 自動刪除時間�。下發(fā)流表屏蔽程序或主機。
[0097] 優(yōu)選的���,所述SDN控制器內(nèi)設(shè)一屏蔽計時模塊和屏蔽計數(shù)器����;所述屏蔽計時模塊 內(nèi)設(shè)有屏蔽時間����,該屏蔽時間適于限定屏蔽攻擊主機時間�;所述屏蔽計數(shù)器設(shè)有一屏蔽闊 值,適于當(dāng)攻擊主機屏蔽次數(shù)超過該屏蔽闊值時����,永久屏蔽該攻擊主機。
[0098] 可選的�����,正常報文也可W通過實時最優(yōu)路由策略的下發(fā)����。
[0099] 最優(yōu)路由策略的步驟如下:
[0100] 首先進入向SDN控制器的拓撲接口(API)提交獲取請求�,w獲取全網(wǎng)拓撲,再通過 獲取的全網(wǎng)鏈路狀態(tài)計算出全網(wǎng)鏈路剩余帶寬���。
[0101] 所述實時最優(yōu)路徑的計算�,算法采用經(jīng)典的Di Astra算法�,算法的權(quán)值改為上一 步獲取的全網(wǎng)鏈路剩余帶寬的倒數(shù)�����,W保證計算出的路徑是最通暢,傳輸時延最小的路徑���。 關(guān)于最優(yōu)路徑的具體實施步驟在實施例2中進行了詳細論述�。
[0102] 最后����,將計算出的最優(yōu)路徑轉(zhuǎn)換成由流表組成的實時最優(yōu)路徑策略,下發(fā)�����。
[0103] 步驟S1��,使用的是拓撲接口��,所述SDN控制器自帶的API接口,使用LLDP(鏈路層 發(fā)現(xiàn)協(xié)議)和廣播包發(fā)現(xiàn)鏈路��,然后SDN控制器自動計算出網(wǎng)絡(luò)拓撲。
[0104] 步驟S2, SDN控制器的拓撲接口向"實時最優(yōu)路徑計算模塊"的"全網(wǎng)拓撲獲取模 塊"拓撲獲取請求的反饋���。
[0105] 步驟S3中�,"全網(wǎng)鏈路狀態(tài)獲取模塊"向"OF交換機查詢接口模塊"提出請求��,獲 取全網(wǎng)鏈路狀態(tài)����。其中����,"OF交換機查詢接口模塊"是在SDN控制器自帶的"OF交換機特性 查詢模塊"和"OF交換機狀態(tài)查詢模塊"基礎(chǔ)上拓展而來����,實現(xiàn)了鏈路剩余帶寬的計算及查 詢功能。
[0106] 然后����,"OF交換機查詢模塊"通過步驟S4向網(wǎng)絡(luò)中所有OF交換機發(fā)送OF交換機 特性請求的廣播包�。再通過步驟S5來接收來自網(wǎng)絡(luò)中OF交換機特性反饋的報文�,解析出 報文里面的curr字段,得到每個OF交換機端口當(dāng)前帶寬B����。
[0107] 接下來,該模塊通過步驟S6向網(wǎng)絡(luò)中所有OF交換機發(fā)送OF交換機狀態(tài)請求的廣 播包����,包括端口發(fā)送包數(shù)、端口發(fā)送字節(jié)數(shù)�、端口接收字節(jié)數(shù)、端口接收包數(shù)等報文狀態(tài)�。接 著����,該模塊通過步驟S7接收來自網(wǎng)絡(luò)中OF交換機狀態(tài)反饋的報文���,解析出tx_bytes字段����, 得到發(fā)送字節(jié)數(shù)N1����,獲取當(dāng)前時間tl�。
[0108] 接下來�,該模塊通過步驟S8向網(wǎng)絡(luò)中所有OF交換機發(fā)送OF交換機狀態(tài)請求的廣 播包�����,接著,該模塊通過S9接收來自網(wǎng)絡(luò)中OF交換機狀態(tài)反饋的報文����,計時停止,獲取當(dāng)前 時間t2�。解析出tx_bytes字段,得到發(fā)送字節(jié)數(shù)N2����。
[0109] 則可W計算出當(dāng)前端口剩余帶寬為;B-(N2-Nl)/(t2-tl)�。
[0110] 然后,再利用獲取的網(wǎng)絡(luò)拓撲進行每條鏈路的剩余帶寬計算:
[0111] 若是OF交換機與OF交換機之間的連接���,則獲取該條鏈路兩端的OF交換機端口的 剩余帶寬����,該鏈路的剩余帶寬為兩個端口剩余帶寬中的較小者�����。
[0112] 如果是主機與OF交換機之間的連接��,則獲取連接主機的OF交換機端口的剩余帶 寬�,該條鏈路剩余帶寬即為連接該主機的OF交換機端口剩余帶寬��。
[0113] 步驟S4����,SDN控制器W廣播的形式向全網(wǎng)所有OF交換機發(fā)送化ature Request消 息�����。
[0114] 步驟S5, SDN控制器接收來自網(wǎng)絡(luò)中OF交換機反饋給SDN控制器的化ature Iteply消息���。
[0115] 步驟S6,SDN控制器W廣播的形式向全網(wǎng)所有OF交換機發(fā)送Stats Request消 息�。
[0116] 步驟S7, SDN控制器接收來自網(wǎng)絡(luò)中OF交換機反饋給SDN控制器的Stats R巧ly 消息。
[0117] 步驟S8��,SDN控制器W廣播的形式向全網(wǎng)所有OF交換機發(fā)送Stats Request消 息����。
[0118] 步驟S9, SDN控制器接收來自網(wǎng)絡(luò)中OF交換機反饋給SDN控制器的Stats R巧ly 消息。
[0119] 步驟S10, OF交換機查詢接口將計算出的鏈路剩余帶寬信息反饋給"全網(wǎng)鏈路狀 態(tài)獲取模塊"�����。
[0120] 步驟S11��,路由策略下發(fā)模塊計算出的實時最優(yōu)路由策略,將計算出的流表通過步 驟S12來下發(fā)給相關(guān)的OF交換機�。
[012。 步驟S12���,該接口是SDN控制器自帶的API接口��,用于下發(fā)計算出的最優(yōu)路由策略�。
[0122] 過所述最優(yōu)路徑策略是在防御DD0S攻擊的同時�,網(wǎng)絡(luò)的平均傳輸延時并沒有激 增。
[0123] 所述SDN控制器包括�����;路徑備份單元����,用于根據(jù)SDN網(wǎng)絡(luò)拓撲和各鏈路開銷計算 主路徑的備份路徑;標(biāo)志位分配單元����,用于為各備份路徑分配用于標(biāo)記備份路徑的標(biāo)志位; 流表下發(fā)單元�,用于根據(jù)備份路徑和對應(yīng)標(biāo)志位向該備份路徑上各OF交換機下發(fā)流表項; 所述SDN控制器適于在SDN網(wǎng)絡(luò)拓撲改變后��,根據(jù)SDN網(wǎng)絡(luò)拓撲改變的原因,確認報文下 發(fā)路徑��;即����,當(dāng)SDN控制器DDoS威脅處理后,將報文通過最優(yōu)路徑下發(fā)報文��,或判斷主路徑 發(fā)生故障后���,報文匹配所述流表項通過備份路徑進行轉(zhuǎn)發(fā)����。具體的��,可W在SDN控制器的 化enFlow域中獲取端口是否出現(xiàn)問題���,進而實現(xiàn)判斷SDN網(wǎng)絡(luò)拓撲改變的原因。
[0124] 實施例2
[01巧]在實施例1基礎(chǔ)上的一種基于SDN網(wǎng)絡(luò)架構(gòu)的孤0S過濾方法���,W通過檢測和集中 式的處理��,有效的減輕了 SDN控制器的工作負擔(dān)�,提高了檢測效率和數(shù)據(jù)傳輸率,并且通過 收集SDN鏈路狀態(tài)信息W避免鏈路發(fā)生故障時���,流量丟失����。
[0126] 本發(fā)明的基于SDN網(wǎng)絡(luò)架構(gòu)的孤0S過濾方法����,包括如下步驟;步驟S100,網(wǎng)絡(luò)初 始化����;步驟S200,分布式DDoS威脅監(jiān)測和/或收集SDN鏈路狀態(tài)信息;W及步驟S300,威脅 處理和/或確定數(shù)據(jù)下發(fā)路徑�����。
[0127] 進一步���,所述步驟S100中網(wǎng)絡(luò)初始化所涉及的裝置包括�;SDN控制器�����、IDS決策服 務(wù)器和IDS設(shè)備;網(wǎng)絡(luò)初始化的步驟如下���;步驟S101��,所述IDS決策服務(wù)器與IDS設(shè)備建立 專用的S化信道����;步驟S102,所述SDN控制器構(gòu)建網(wǎng)絡(luò)設(shè)備信息綁定表���,并且將網(wǎng)絡(luò)設(shè)備信 息綁定表實時更新到IDS設(shè)備中����;步驟S104,所述SDN控制器下發(fā)鏡像策略的流表�,即將OF 交換機所有拖載有主機的端口流量鏡像轉(zhuǎn)發(fā)給所述IDS設(shè)備;W及步驟S105,所述SDN控 制器下發(fā)DDoS威脅識別規(guī)則給每個網(wǎng)域中對應(yīng)的IDS設(shè)備��。
[012引所述步驟S200中分布式孤oS威脅監(jiān)測的方法包括�;依次對鏈路層和網(wǎng)際層地址 的欺騙行為���,網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為�,W及應(yīng)用層和傳輸層的泛洪式攻擊行 為進行檢測�����;若上述過程中檢測判斷出報文存在相應(yīng)行為時,則將該報文轉(zhuǎn)入步驟S300����。
[0129] 圖9示出了分布式DDoS威脅監(jiān)測的方法的流程框圖。
[0130] 如圖9所示����,具體的實施步驟包括:
[0131] 步驟S210,對鏈路層和網(wǎng)際層地址的欺騙行為進行檢測。
[0132] 步驟S220,對網(wǎng)際層和傳輸層標(biāo)志位設(shè)置的異常行為進行檢測����。
[0133] 步驟S230,對應(yīng)用層和傳輸層的泛洪式攻擊行為進行檢測。
[0134] 步驟S240,若將報文依次通過所述步驟S210�����、步驟S220�����、步驟S230后����,步驟判斷出 報文存在欺騙�、異常����、攻擊行為時,則將所述報文轉(zhuǎn)入步驟S300�。
[0135] 所述步驟S210中對鏈路層和網(wǎng)際層地址的欺騙行為進行檢測的方法包括如下步 驟;步驟S211�����,通過欺騙報文檢測模塊調(diào)用網(wǎng)絡(luò)設(shè)備信息綁定表�;步驟S212,通過欺騙報文 檢測模塊將封裝在化cket-In消息中報文的類型進行解析,W獲得相應(yīng)的源��、目的IP地址�����、 MAC地址W及上傳此化cket-In消息的OF交換機的DPID號和端口號�����,并將上述各信息分別 與網(wǎng)絡(luò)設(shè)備信息綁定表中的相應(yīng)信息進行比對����;若報文中的上述信息匹配,則將報文轉(zhuǎn)入 步驟S220 ;若報文中的上述信息不匹配����,則將報文轉(zhuǎn)入步驟S300。
[0136] 所述步驟S220中對網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為進行檢測的方法包括: 對報文的各標(biāo)志位進行檢測���,W判斷各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范����;若報文的各標(biāo)志 位符合����,則將報文轉(zhuǎn)入S230 ;若報文的各標(biāo)志位不符合,則將報文轉(zhuǎn)入步驟S300�。
[0137] 所述步驟S230中對應(yīng)用層和傳輸層的泛洪式攻擊行為進行檢測的方法包括如下 步驟;步驟S231�����,在異常報文檢測模塊構(gòu)建用于識別泛洪式攻擊報文的哈希表�;步驟S232, 通過異常報文檢測模塊根據(jù)所述哈希表中設(shè)定的閥值判斷所述報文是否為泛洪式攻擊報 文���,且將判斷結(jié)果轉(zhuǎn)入步驟S300,即若無攻擊行為��,則將數(shù)據(jù)正常下發(fā)或通過上述最優(yōu)路徑 策略下發(fā)�;若具有攻擊行為,則采取相應(yīng)的屏蔽措施���。
[013引其中�����,收集SDN鏈路狀態(tài)信息的方法包括����;用于根據(jù)SDN網(wǎng)絡(luò)拓撲和各鏈路開銷計 算主路徑的備份路徑����;用于為各備份路徑分配用于標(biāo)記備份路徑的標(biāo)志位;用于根據(jù)備份 路徑和對應(yīng)標(biāo)志位向該備份路徑上各OF交換機下發(fā)流表項�。
[0139] 所述步驟S300中威脅處理和/或確定數(shù)據(jù)下發(fā)路徑的方法包括:
[0140] 若報文具有欺騙行為,且攻擊威脅在化enFlow域中���,則所述IDS決策服務(wù)器適于 通過SDN控制器屏蔽主機���;W及當(dāng)攻擊威脅不在化enFlow域中�,則通過SDN控制器將該報 文所對應(yīng)的OF交換機接入端口流量重定向至流量清洗中必進行過濾��;若報文具有異常行 為���,則所述IDS決策服務(wù)器通過SDN控制器對攻擊程序或攻擊主機的流量進行屏蔽;具體的 實施步驟包括:針對破壞報文攻擊�����,由于IDS設(shè)備當(dāng)前處理的報文通過了欺騙報文檢測�,所 W該報文地址是真實的。IDS決策服務(wù)器只需通過SDN控制器的北向接口下發(fā)動作為化op 的流表將攻擊程序或攻擊主機的流量屏蔽�。但送都只是粗粒度的決策,只適用于攻擊包少 量的破壞報文攻擊����。
[014。 若報文具有泛洪式攻擊行為����,則所述IDS決策服務(wù)器通過SDN控制器將該報文所 對應(yīng)的OF交換機接入端口流量重定向至流量清洗中必進行過濾;可選的���,流量清洗中必的 安全設(shè)備也可W將防護的結(jié)果反饋給SDN控制器���,調(diào)整網(wǎng)絡(luò)策略�,實現(xiàn)SDN網(wǎng)絡(luò)W及混合有 傳統(tǒng)網(wǎng)絡(luò)情況下的多維防護���;在屏蔽攻擊主機后�����,設(shè)定屏蔽時間和屏蔽闊值���,該屏蔽時間適 于限定屏蔽攻擊主機時間;W及當(dāng)攻擊主機屏蔽次數(shù)超過所述屏蔽闊值時����,永久屏蔽該攻 擊主機。進一步����,根據(jù)鏈路負載系數(shù)計算出優(yōu)化路徑,即檢測兩相鄰節(jié)點的鏈路剩余帶寬�, 獲得該鏈路的負載系數(shù),在根據(jù)該負載系數(shù)和初始化的網(wǎng)絡(luò)拓撲圖獲得任意兩點的最優(yōu)路 徑�,所述SDN控制器根據(jù)該最優(yōu)路徑得出對應(yīng)的轉(zhuǎn)發(fā)流表并下發(fā)各OF交換機。
[0142] 優(yōu)化路徑的具體算法流程如下:
[014引設(shè)r�����。, h+u為兩相鄰節(jié)點的鏈路剩余帶寬,則其鏈路負載系數(shù)為:
[0144]
由SDN控制器計算出鏈路負載系數(shù)* /
[0145] U(a��,b)為任意兩點間的負載系數(shù)和:
[0146]
[0147] 設(shè)初始網(wǎng)絡(luò)拓撲圖為護��,計算任意兩點間的最優(yōu)路徑�,
[014 引
[0149] 所述IDS決策服務(wù)器屏蔽發(fā)送報文的程序和/或主機的方法包括:
[0150] 首先�,構(gòu)建計數(shù)用的相應(yīng)哈希表及設(shè)定相應(yīng)闊值,即單位時間內(nèi)��,所述IDS決策服 務(wù)器中構(gòu)建對欺騙行為進行計數(shù)的第一哈希表��,標(biāo)志位設(shè)置異常行為進行計數(shù)的第二哈希 表�,W及對泛洪式攻擊行為進行計數(shù)的第Η哈希表;同時設(shè)定第一�����、第二��、第Η哈希表中的 第一����、第二��、第Η閥值��;其次����,屏蔽發(fā)送該報文的程序和/或主機�,即針對轉(zhuǎn)入IDS決策服務(wù) 器的報文的行為,利用相應(yīng)哈希表進行計數(shù)����,當(dāng)計數(shù)值超過相應(yīng)閥值時,屏蔽發(fā)送該報文的 程序和/或主機���。
[0151] 所述步驟S300中確定數(shù)據(jù)下發(fā)路徑的方法還包括:根據(jù)SDN網(wǎng)絡(luò)拓撲改變的原 因���,確認報文下發(fā)路徑;即�����,當(dāng)SDN控制器威脅處理后���,將報文通過最優(yōu)路徑下發(fā)報文����,或判 斷主路徑發(fā)生故障后,報文匹配所述流表項通過備份路徑進行轉(zhuǎn)發(fā)�����。
[0152] 實施例3
[015引 本發(fā)明的 SDN 架構(gòu)可 W 定義 SDNQA(SDN Communication 如ality Assurance Strategy)即SDN通信質(zhì)量保障策略����。
[0154] 本發(fā)明的SDN架構(gòu)的測試環(huán)境和測試內(nèi)容如下:
[01巧]基于化enFlow 1. 3協(xié)議���,測試裝有DDoS威脅過濾與通信質(zhì)量保障組件的 Floodli曲tSDN控制器�����、OF交換機��、IDS設(shè)備W及IDS決策服務(wù)器之間的通信�。
[0156] 測試IDS設(shè)備是否能夠?qū)崟r監(jiān)測網(wǎng)絡(luò)中的異常攻擊流量�����,并且通過S化信道上報 IDS決策服務(wù)器�����。
[0157] 測試IDS決策服務(wù)器是否能夠根據(jù)IDS設(shè)備上報的信息,制定出處理對應(yīng)攻擊威 脅的策略��,并通過SDN控制器的北向接口下發(fā)����。
[015引測試SDN控制器是否能夠根據(jù)網(wǎng)絡(luò)實時狀況,生成并下發(fā)實時優(yōu)化的轉(zhuǎn)發(fā)路徑�����。
[0159] 圖8示出了實驗場景的具體部署的拓撲圖����。
[0160] 實驗場景的具體部署如圖8所示。中間為基礎(chǔ)網(wǎng)絡(luò)區(qū)域�����,有兩個虛網(wǎng)����。其中虛網(wǎng)A 部署了本SDNQA系統(tǒng),而虛網(wǎng)B尚未部署,并且各虛網(wǎng)中都存在若干DDoS攻擊愧佩機��。右側(cè) 為實驗效果對比區(qū)域��,包括一臺Web服務(wù)器和兩臺用戶主機�,其中Web服務(wù)器上運行Tomcat 對外提供Web服務(wù),用戶主機A����、B分別是接入虛網(wǎng)A、B的主機���。左側(cè)為攻擊模擬區(qū)域��,有一 臺DDoS攻擊機,攻擊機將作為主控機控制虛網(wǎng)A和虛網(wǎng)B中的愧佩機對Web服務(wù)器發(fā)起混 合式的DDoS攻擊�。
[0161] 基于上述實驗環(huán)境,從兩方面對SDNQA架構(gòu)的性能進行驗證�;(1)對比混合式的 DDoS攻擊下Web服務(wù)器端所承受的攻擊頻率;(2)對比泛洪式攻擊所造成的網(wǎng)絡(luò)平均傳輸 延遲�����。
[0162] 實驗結(jié)果及分析如圖9(a)和圖9(b)所示�。
[016引圖9(a)為未使用本發(fā)明的SDN架構(gòu)的Web服務(wù)器所承受的攻擊頻率的曲線圖。
[0164] 圖9(b)為使用本發(fā)明的SDN架構(gòu)的Web服務(wù)器所承受的攻擊頻率的曲線圖。
[0165] 首先�����,對Web服務(wù)器端流量流入情況進行分析��。攻擊機控制各虛網(wǎng)中的愧佩機同 時對Web服務(wù)器發(fā)起混合式的DDoS攻擊���,其最高頻率為55化����,攻擊時長為100砂��。截取Web 服務(wù)器所有的數(shù)據(jù)包序列�,并分離出各虛網(wǎng)的請求序列,分別得出虛網(wǎng)A和虛網(wǎng)B所流入服 務(wù)器的請求序列����,Web服務(wù)器所承受的攻擊頻率對比如圖9(a)和圖9(b)所示。
[0166] 圖10為平均傳輸速率對比圖�。
[0167] 從圖10可W看出,本發(fā)明的SDN架構(gòu)在Os~5s時間段內(nèi)快速識別了典型的孤oS 攻擊�����,并在Os~40s的時間段內(nèi)采取了過濾防護措施。在40s之后�,網(wǎng)絡(luò)流量趨于正常,測 試用戶主機A-直可正常得到網(wǎng)頁請求響應(yīng)�����。而未部署SDNQA系統(tǒng)的虛網(wǎng)B中一直有大量 的攻擊流量流入���,測試用戶主機B無法得到網(wǎng)頁請求響應(yīng)���。
[0168] 其次,從之前截取的數(shù)據(jù)包序列中提取出測試用戶主機A和測試用戶主機B的請 求序列�,從各請求序列中統(tǒng)計數(shù)據(jù)包的平均傳輸?shù)难舆t時間,得出兩個虛網(wǎng)的平均傳輸延 時對比如圖9(a)和圖9(b)所示��。
[0169] 從圖10中可W看出���,經(jīng)過路由優(yōu)化��,虛網(wǎng)A的平均傳輸延遲沒有隨著數(shù)據(jù)量的增 大而激增。由此可見����,SDNQA架構(gòu)能夠基于對網(wǎng)絡(luò)實時狀況的感知,對流轉(zhuǎn)發(fā)路徑進行優(yōu)化, 從而在網(wǎng)絡(luò)中存在DDoS攻擊或正常大流量業(yè)務(wù)的情況下保證網(wǎng)絡(luò)數(shù)據(jù)傳輸����。
【主權(quán)項】
1. 一種基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過濾方法,包括如下步驟: 步驟S100,網(wǎng)絡(luò)初始化��; 步驟S200,分布式DDoS威脅監(jiān)測和/或收集SDN鏈路狀態(tài)信息�����;以及 步驟S300,威脅處理和/或確定數(shù)據(jù)下發(fā)路徑����。2. 根據(jù)權(quán)利要求1所述基于SDN網(wǎng)絡(luò)架構(gòu)的DD0S過濾方法,其特征在于�,所述步驟 S100中網(wǎng)絡(luò)初始化所涉及的裝置包括:SDN控制器、IDS決策服務(wù)器和IDS設(shè)備��; 網(wǎng)絡(luò)初始化的步驟如下: 步驟S101����,所述IDS決策服務(wù)器與IDS設(shè)備建立專用的SSL信道; 步驟S102,所述SDN控制器構(gòu)建網(wǎng)絡(luò)設(shè)備信息綁定表����,并且將網(wǎng)絡(luò)設(shè)備信息綁定表實 時更新到IDS設(shè)備中���; 步驟S104,所述SDN控制器下發(fā)鏡像策略的流表,即將OF交換機所有拖載有主機的端 口流量鏡像轉(zhuǎn)發(fā)給所述IDS設(shè)備�;以及 步驟S105,所述SDN控制器下發(fā)DDoS威脅識別規(guī)則給每個網(wǎng)域中對應(yīng)的IDS設(shè)備。3. 根據(jù)權(quán)利要求2所述基于SDN網(wǎng)絡(luò)架構(gòu)的DD0S過濾方法�����,其特征在于�,所述步驟 S200中分布式DDoS威脅監(jiān)測的方法包括: 依次對鏈路層和網(wǎng)際層地址的欺騙行為,網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為����,以及 應(yīng)用層和傳輸層的泛洪式攻擊行為進行檢測; 若上述過程中檢測判斷出報文存在相應(yīng)行為時��,則將該報文轉(zhuǎn)入步驟S300 ; 所述對鏈路層和網(wǎng)際層地址的欺騙行為進行檢測的方法包括: 通過欺騙報文檢測模塊對欺騙行為進行檢測���,即 首先���,通過欺騙報文檢測模塊調(diào)用網(wǎng)絡(luò)設(shè)備信息綁定表; 其次�����,通過欺騙報文檢測模塊將封裝在Packet-In消息中報文的類型進行解析�,以獲 得相應(yīng)的源、目的IP地址�、MAC地址以及上傳此Packet-In消息的OF交換機DPID號和端 口號,并將上述各信息分別與網(wǎng)絡(luò)設(shè)備信息綁定表中的相應(yīng)信息進行比對�����; 若報文中的上述信息匹配����,則將報文進行下一檢測; 若報文中的上述信息不匹配����,則將報文轉(zhuǎn)入步驟S300 ; 所述網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為進行檢測的方法包括: 通過破壞報文檢測模塊對標(biāo)志位設(shè)置異常行為進行檢測,即 對報文的各標(biāo)志位進行檢測�����,以判斷各標(biāo)志位是否符合TCP/IP協(xié)議規(guī)范�����; 若報文的各標(biāo)志位符合��,則將報文轉(zhuǎn)入進行下一檢測; 若報文的各標(biāo)志位不符合�,則將報文轉(zhuǎn)入步驟S300 ; 所述應(yīng)用層和傳輸層的泛洪式攻擊行為進行檢測的方法包括: 通過異常報文檢測模塊對泛洪式攻擊行為進行檢測,即 在異常報文檢測模塊構(gòu)建用于識別泛洪式攻擊報文的哈希表����,并根據(jù)該哈希表中設(shè)定 的閥值判斷報文是否具有泛洪式攻擊行為,且將判斷結(jié)果轉(zhuǎn)入步驟S300 ;以及 收集SDN鏈路狀態(tài)信息的方法包括: 根據(jù)SDN網(wǎng)絡(luò)拓撲和各鏈路開銷計算主路徑的備份路徑���; 為各備份路徑分配用于標(biāo)記備份路徑的標(biāo)志位��;以及 根據(jù)備份路徑和對應(yīng)標(biāo)志位向該備份路徑上各OF交換機下發(fā)流表項��。4. 根據(jù)權(quán)利要求3所述基于SDN網(wǎng)絡(luò)架構(gòu)的DDOS過濾方法�,其特征在于�,所述步驟 S300中威脅處理和/或確定數(shù)據(jù)下發(fā)路徑的方法包括: 若報文具有欺騙行為,且攻擊威脅在OpenFlow域中���,則所述IDS決策服務(wù)器適于通過 SDN控制器屏蔽主機���;以及當(dāng)攻擊威脅不在OpenFlow域中,則通過SDN控制器將該報文所 對應(yīng)的OF交換機接入端口流量重定向至流量清洗中心進行過濾���; 若報文具有異常行為���,則所述IDS決策服務(wù)器通過SDN控制器對攻擊程序或攻擊主機 的流量進行屏蔽; 若報文具有泛洪式攻擊行為�����,則所述IDS決策服務(wù)器通過SDN控制器將該報文所對應(yīng) 的OF交換機接入端口流量重定向至流量清洗中心進行過濾�����;以及在屏蔽攻擊主機后����,設(shè)定 屏蔽時間和屏蔽閾值,該屏蔽時間適于限定屏蔽攻擊主機時間���;以及當(dāng)攻擊主機屏蔽次數(shù) 超過所述屏蔽閾值時��,永久屏蔽該攻擊主機�; 和/或��,根據(jù)鏈路負載系數(shù)計算出優(yōu)化路徑�����,即檢測兩相鄰節(jié)點的鏈路剩余帶寬,獲得 該鏈路的負載系數(shù)����,在根據(jù)該負載系數(shù)和初始化的網(wǎng)絡(luò)拓撲圖獲得任意兩點的最優(yōu)路徑, 所述SDN控制器根據(jù)該最優(yōu)路徑得出對應(yīng)的轉(zhuǎn)發(fā)流表并下發(fā)各OF交換機�����。5. 根據(jù)權(quán)利要求4所述基于SDN網(wǎng)絡(luò)架構(gòu)的DD0S過濾方法��,其特征在于��,所述IDS決 策服務(wù)器屏蔽發(fā)送報文的程序和/或主機的方法包括: 首先�����,構(gòu)建計數(shù)用的相應(yīng)哈希表及設(shè)定相應(yīng)閾值����,即 單位時間內(nèi),所述IDS決策服務(wù)器中構(gòu)建對欺騙行為進行計數(shù)的第一哈希表�,標(biāo)志位 設(shè)置異常行為進行計數(shù)的第二哈希表,以及對泛洪式攻擊行為進行計數(shù)的第三哈希表���; 同時設(shè)定第一���、第二�����、第三哈希表中的第一�、第二�、第三閥值�����; 其次��,屏蔽發(fā)送該報文的程序和/或主機���,即 針對轉(zhuǎn)入IDS決策服務(wù)器的報文的行為�����,利用相應(yīng)哈希表進行計數(shù)�����,當(dāng)計數(shù)值超過相 應(yīng)閥值時����,屏蔽發(fā)送該報文的程序和/或主機。6. 根據(jù)權(quán)利要求5所述基于SDN網(wǎng)絡(luò)架構(gòu)的DD0S過濾方法���,其特征在于�����,所述步驟 S300中確定數(shù)據(jù)下發(fā)路徑的方法還包括: 根據(jù)SDN網(wǎng)絡(luò)拓撲改變的原因��,確認報文下發(fā)路徑�����;即�����,當(dāng)SDN控制器威脅處理后����,將 報文通過最優(yōu)路徑下發(fā)報文��,或判斷主路徑發(fā)生故障后,報文匹配所述流表項通過備份路 徑進行轉(zhuǎn)發(fā)�。
【文檔編號】H04L29/06GK105871773SQ201510024434
【公開日】2016年8月17日
【申請日】2015年1月18日
【發(fā)明人】吳正明, 張家華
【申請人】吳正明