[发明专利]一种基于SDN架构的识别与防护DDoS攻击的系统及方法

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种基于SDN架构的识别与防护DDoS攻击的方法及系统。

背景技术

近年来，高速广泛连接的网络给大家带来方便的同时，也为DDoS攻击创造了极为有利的条件。分布式拒绝服务攻击已成为黑客经常采用而难以防范的攻击手段，成为网络安全的最大威胁之一，它使用互联网必要的有效协议,无偏差地从任何源头传送数据包到任意目的地，占用过多的服务资源，从而使合法用户无法得到服务响应，给各类互联网用户和服务提供商造成严重经济损失。目前防御DDoS攻击的方法通常采用包过滤或限制速率的措施，不仅慢，消耗大，而且同时也阻断有效业务，均不能提供完善的防御，如IDS入侵监测、防火墙保护、黑洞技术、路由器过滤等。

并且,现有技术中没有涉及攻击检测功能，具体包括：伪装报文的过滤、破坏报文的过滤和异常报文的过滤等。

因此，需要设计一种基于SDN架构的全面而有效的DDoS防护系统，以提高DDoS威胁的识别和防护能力，解决现有网络中大量存在的DDos攻击问题。

发明内容

本发明的目的是提供一种基于SDN架构的DDoS威胁识别与防护系统，本防护系统有效地解决了现有网络中大量DDos攻击所造成的网络安全问题，

以实现快速、高效、全面地识别与防御DDoS攻击。

为了解决上述技术问题，本发明提供了一种基于SDN架构的识别与防护DDoS攻击的方法及系统，其包括：

所述欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；所述破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；所述异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入威胁处理模块；所述威胁处理模块适于丢弃所述报文，并屏蔽发送该报文的程序和/或主机。

进一步，为了更好的实现对欺骗报文的检测，在所述欺骗报文检测模块中构建网络设备信息绑定表，并在所述威胁处理模块中构建单位时间内的适于对报文欺骗行为进行计数的第一哈希表，以及设定该第一哈希表中的第一阀值；所述欺骗报文检测模块，将封装在Packet-In消息中的报文的类型进行解析，以获得相应的源、目的IP地址、MAC地址以及上传Packet-In消息的交换机DPID号和端口号信息，并将各信息分别与网络设备信息绑定表中的相应信息进行比对；若报文中的上述信息匹配，则将报文转入破坏报文检测模块；若报文中的上述信息不匹配，则转入所述威胁处理模块，对报文进行丢弃；同时对欺骗行为进行计数，当该计数值超过第一阀值时，屏蔽发送该报文的程序和/或主机。

进一步，为了更好的实现对破坏报文的检测，在所述威胁处理模块中构建单位时间内的适于对报文的标志位设置异常行为进行计数的第二哈希表，以及设定该第二哈希表中的第二阀值；所述破坏报文检测模块对报文的各标志位进行检测，以判断各标志位是否符合TCP/IP协议规范；若报文的各标志位符合，则将报文转入异常报文检测模块；若报文的各标志位不符合，则转入所述威胁处理模块，对报文进行丢弃；同时对标志位设置异常行为进行计数，当该计数值超过第二阀值时，屏蔽发送该报文的程序和/或主机。

进一步，为了更好的实现对异常报文检测，在所述异常报文检测模块构建用于识别泛洪式攻击报文的哈希表，在所述威胁处理模块中构建单位时间内的适于对泛洪式攻击行为进行计数的第三哈希表，以及设定该第三哈希表中的第三阀值；所述异常报文检测模块，适于根据所述哈希表中设定的阀值判断所述报文是否具有攻击行为；若无攻击行为，则将数据下发；若具有攻击行为，则转入所述威胁处理模块，对报文进行丢弃；同时对攻击行为进行计数，当计数值超过第三阀值时，屏蔽发送该报文的程序和/或主机。

又一方面，本发明为了解决上述同样的技术问题，还提供了一种基于SDN架构的DDoS攻击识别与防护方法，其包括：

依次对链路层和网际层地址的欺骗行为，网际层和传输层标志位设置异常行为，以及应用层和传输层的泛洪式攻击行为进行检测；若上述过程中任一检测步骤判断出报文存在相应行为时，则将该报文转入威胁处理模块，以丢弃所述报文，并屏蔽发送报文的程序和/或主机。

进一步，为了更好的实现对链路层和网际层地址的欺骗行为进行检测，