[发明专利]DDoS识别、防护和路径优化的软件定义的网络架构

权利要求书

1.一种软件定义的网络架构，其特征在于，包括：数据层、应用层和控制层；其中

数据层，当位于数据层中任一IDS设备检测到攻击威胁时，通知应用层进入到攻击类型分析流程；

应用层，用于对攻击类型进行分析，并根据攻击类型定制相应的攻击威胁处理策略；

控制层，为应用层提供攻击威胁处理接口，并为数据层提供最优路径计算和/或攻击威胁识别接口。

2.根据权利要求1所述的软件定义的网络架构，其特征在于，

当任一IDS设备检测到具有DDoS攻击特征的报文时，上报至应用层；所述应用层根据上报信息，制定出与具有DDoS攻击特征的报文对应的处理策略，然后将该报文通过控制层中的控制器屏蔽或者将该报文所对应的交换机接入端口流量重定向到流量清洗中心进行过滤；

所述IDS设备内包括：

欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；

破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；

异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；

通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入应用层。

3.根据权利要求2所述的软件定义的网络架构，其特征在于，

所述应用层适于当报文具有欺骗行为，且攻击威胁在OpenFlow域中，则通过控制器屏蔽主机；或当攻击威胁不在OpenFlow域中，则通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤；

所述应用层还适于当报文具有异常行为，则通过控制器对攻击程序或攻击主机的流量进行屏蔽；以及

当报文具有泛洪式攻击行为，则所述应用层适于通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤。

4.一种根据权利要求1所述的软件定义的网络架构的工作方法，包括如下步骤：

步骤S100，网络初始化；

步骤S200，分布式DDoS威胁监测；以及

步骤S300，威胁处理和/或路由优化。

5.根据权利要求4所述的软件定义的网络架构的工作方法，其特征在于，所述步骤S100中网络初始化所涉及的装置包括：数据层中的IDS设备、控制层中的控制器和应用层中的IDS决策服务器；

网络初始化的步骤如下：

步骤S101，所述IDS决策服务器与各IDS设备建立专用的SSL通信信道；

步骤S102，所述控制器构建网络设备信息绑定表，并且将网络设备信息绑定表实时更新到各IDS设备中；

步骤S104，所述控制器下发镜像策略的流表，即将OF交换机所有拖载有主机的端口流量镜像转发给网域内对应的IDS设备；以及

步骤S105，所述控制器下发DDoS威胁识别规则给每个网域中对应的各IDS设备。

6.根据权利要求4或5所述的软件定义的网络架构的工作方法，其特征在于，所述步骤S200中分布式DDoS威胁监测的方法包括：

依次对链路层和网际层地址的欺骗行为，网际层和传输层标志位设置异常行为，以及

应用层和传输层的泛洪式攻击行为进行检测；

若上述过程中任一检测判断出报文存在相应行为时，则将该报文转入步骤S300。