[发明专利]一种SDN控制器盲DDoS攻击防护方法及系统

说明书

技术领域

本发明涉及一种检测和防护SDN控制器盲DDoS攻击的方法及系统，属于计算机网络安全领域。

背景技术

传统网络设备上把设备控制和数据转发耦合在一起，从而使得路由器、交换机等的管理非常复杂，缺少灵活性和扩展性，阻碍了网络的进一步飞速发展。因此在这种背景下，出现了SDN的概念及其相关技术。

软件定义网络(software-defined networking，简称SDN)技术分离了网络的控制平面和数据平面，为研发网络新应用和未来互联网技术提供了一种新的解决方案。其中Openflow技术是目前SDN概念的最成功的一种实现方法。采用OpenFlow技术，将控制功能从网络设备中分离出来，在网络设备上维护流表(flow table)结构，数据分组按照流表进行转发，而流表的生成、维护、配置则由中央控制器来管理。OpenFlow的流表结构将网络处理层次扁平化，使得网络数据的处理满足细粒度的处理要求。在这种控制转发分离架构下，网络的逻辑控制功能和高层策略可以通过中央控制器灵活地进行动态管理和配置，可在不影响传统网络正常流量的情况下，在现有的网络中实现和部署新型网络架构。基于OpenFlow的SDN技术，通过软件平台来打造弹性化的可控互联网，在给网络的发展带来巨大冲击的同时，也为未来互联网的发展提供了一种新的解决思路。

OpenFlow的控制器，不仅仅是一个控制平面的集中。OpenFlow的控制器与交换机之间，有多种控制指令、应答、状态查询、状态上报、甚至是网络流中的初始数据包、无法响应的数据包、错误数据包以及一些统计信息等，都会实时发给控制器。OpenFlow存在很多安全威胁，首要风险还是集中控制器（Controller）的脆弱性。其中，盲攻击将成为针对Controller的一种新DDoS变种威胁。在OpenFlow协议设计中，网络流量的首个报文，或对于流表（Flow table）中无法处理的异常数据包，交换机都会发给控制器。如果黑客利用这一特性：交换机会自动去找它们的Controller，不需要通过扫描明确Controller的IP、位置等信息，然后攻击者往SDN网络中发送特定恶意的数据包，所有的OpenFlow交换机自动会把这些数据包发送给Controller，使得Controller瘫痪，达到一种盲DDoS攻击。

盲DDoS攻击时针对SDN网络的一种新型攻击威胁，传统的网络抗DDoS方法及设备不能解决SDN控制器的盲DDoS攻击问题。

发明内容

有鉴于此，本发明公开了一种SDN控制器盲DDoS攻击防护方法及系统，解决了传统的网络抗DDoS方法不能够解决的盲DDoS攻击问题，能够检测和防护针对SDN网络控制器(Controller)的盲DDoS攻击。

本发明的技术方案如下一种SDN控制器盲DDoS攻击防护方法，其步骤包括：

1）采用不少于一个控制器组成控制器资源池，并由资源池监控器维护控制器状态列表，同时控制器获取所述控制器状态列表并下发到SDN交换机；

2）SDN交换机根据所述控制器状态列表随机选择通信数据发往的控制器；

3）对流入SDN网络的通信数据流进行检测，当检测到盲DDoS攻击流时，根据发生盲DDoS攻击时的攻击流量大小，动态调节控制器的数量；

4）提取该盲DDoS攻击流中的信息，进行攻击特征识别，生成对应的SDN交换机防护流表规则，根据控制器上SDN交换机上传的攻击首包记录，识别攻击来源信息，得到SDN交换机防护位置权重；

5）将所述SDN交换机防护位置权重和SDN交换机防护流表规则结合得到防护策略，下发到相应交换机进行攻击拦截。

更进一步，所述控制器状态分为：已工作状态S_on、待工作状态S_ready、和未工作状态S_off，按照如下方法维护控制器状态列表：

将负载未饱和的可工作状态的控制器和待工作状态的控制器，定期生成可用控制器列表{S_on，IP_on}和/或{S_ready，IP_ready}，定期同步到各控制器和交换机中。