[发明专利]一种SDN控制器盲DDoS攻击防护方法及系统有效
| 申请号: | 201310516638.6 | 申请日: | 2013-10-28 |
| 公开(公告)号: | CN103561011A | 公开(公告)日: | 2014-02-05 |
| 发明(设计)人: | 马多贺;徐震;黄亮;杨婧;李乃山 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京君尚知识产权代理事务所(普通合伙) 11200 | 代理人: | 余长江 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 sdn 控制器 ddos 攻击 防护 方法 系统 | ||
1.一种SDN控制器盲DDoS攻击防护方法,其步骤包括:
1)采用不少于一个控制器组成控制器资源池,并由资源池监控服务器维护控制器状态列表,同时控制器获取所述控制器状态列表并下发到SDN交换机;
2)SDN交换机根据所述控制器状态列表随机选择通信数据发往的控制器;
3)对流入SDN网络的通信数据流进行检测,当检测到盲DDoS攻击流时,根据发生盲DDoS攻击时的攻击流量大小,动态调节控制器的数量;
4)提取该盲DDoS攻击流中的信息,进行攻击特征识别,生成对应的SDN交换机防护流表规则,根据控制器上SDN交换机上传的攻击首包记录,识别攻击来源信息,得到SDN交换机防护位置权重;
5)将所述SDN交换机防护位置权重和SDN交换机防护流表规则结合得到防护策略,下发到相应交换机进行攻击拦截。
2.如权利要求1所述的SDN控制器盲DDoS攻击防护方法,其特征在于,所述控制器状态分为:已工作状态Son、待工作状态Sready、和未工作状态Soff,按照如下方法维护控制器状态列表:
将负载未饱和的可工作状态的控制器和待工作状态的控制器,定期生成可用控制器列表{Son,IPon}和/或{Sready,IPready},定期同步到各控制器和交换机中。
3.如权利要求1或2所述的SDN控制器盲DDoS攻击防护方法,其特征在于,所述SDN交换机首次接入控制器时,在非盲DDoS攻击状态下,交换机优先选择标注已工作状态控制器{Son,IPon}进行通信;当发生盲DDoS攻击时,交换机优先随机选择待工作状态控制器{Sready,IPready}进行通信;当盲DDoS攻击停止是,交换机重新切换成从{Son,IPon}中选择控制器。
4.如权利要求3所述的SDN控制器盲DDoS攻击防护方法,其特征在于,当发生盲DDoS攻击时,所述SDN交换机根据如下步骤选择控制器:
1)对{Son,IPon}中任意单控制器的流量进行阈值Hs匹配,判断当前工作的任意单控制器{Son,IPon}中盲DDoS数据流量是否超过性能预警线;
2)对{Son,IPon}所有控制器的全部流量进行阈值Hall匹配,判断当前工作的所有控制器{Son,IPon}中盲DDoS数据流量是否超过性能预警线;
3)若所述任意步骤1)、2)中数据流量超过性能预警线则现有控制器无法承受攻击流量,交换机进入随机选择多控制器模式;
4)SDN交换机优先随机选择待工作状态控制器{Sready,IPready}进行通信增加控制器数量。
5.如权利要求4所述的SDN控制器盲DDoS攻击防护方法,其特征在于,对流量超过性能预警线的盲DDoS攻击数据流中的数据包进行如下分析:
如果大量首包为空目的IP数据包或者虚假目的IP首包,则检测为攻击进行攻击特提取;
对于首包目的IP正常的数据包,如果数据包协议字段异常,则检测为攻击进行攻击特提取;
对于目的IP和协议字段正常的数据包,则采用特征挖掘算法,进行攻击识别。
6.如权利要求1所述的SDN控制器盲DDoS攻击防护方法,其特征在于,手动设置和调整交换机的防护位置权重Psip,所述防护位置权重Psip取值范围为0~1之间的小数,权重越高,越接近攻击源头,其值越接近于1。
7.如权利要求1所述的SDN控制器盲DDoS攻击防护方法,其特征在于,当检测到攻击停止时,攻击检测应用模块等待一延迟时间Tcon后通知控制器下发控制指令,撤销相应交换机上的防护策略。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310516638.6/1.html,转载请声明来源钻瓜专利网。
