[发明专利]针对流量攻击的安全防御系统及方法

说明书

技术领域

本发明涉及防御领域，特别是涉及一种针对流量攻击的安全防御系统及方法。

背景技术

ICMP Flood的攻击属于流量型攻击方式，利用大的流量给服务器带来较大的负载，影响服务器正常运行。

ICMP flood攻击分为三种方式：种方式是直接flood，直接使用自己的机器去攻击别人，这要求有足够的带宽，直接攻击会暴露自己IP地址，一般不常见。种方式是伪造IP的Flood，它随意伪造一个IP来flood，属于比较隐蔽阴险的flood攻击。第三种方式称之为“Smurf”攻击，是最为隐蔽和常见的攻击手段。攻击者向网络广播地址发送ICMP Echo请求包，并将源IP地址设置成第三方受害者，导致该网络的所有主机都对第三方受害者返回ICMP Echo应答包，最终导致第三方崩溃。

现有的ICMP Flood攻击的防御技术主要可以分为三个方面：检测防御、增强容忍性和攻击源追踪。由于现有的防御技术都是基于传统的分布式网络，所以检测防御和攻击源追踪上面很难做到精准和动态。

对于ICMP的Flood攻击的现有检测方法，主要通过计算单位时间内通过的ICMP数据包的数量，如果大于ICMP流量的峰值则认为是ICMP攻击。但是由于现有的检测是孤立和分布式的，所以无法准确判断是哪种ICMP的Flood攻击和准确的攻击源。原有的网络不是基于SDN架构，是分布式控制很难感知报文的转发路径和攻击者位置，所以无法精准地找到离攻击者最近的交换机或路由器做入口过滤或速率限制，也无法准确判断是哪种ICMP的Flood攻击。ICMP Flood攻击的根源在于ICMP服务的公开性、面向对象的不确定性以及服务提供方资源的有限性和可耗尽性，这些因素决定了当前还没有完善的解决方案。可见，目前对ICMP Flood攻击的防护无论在理论还是应用上都存在一些不足，主要体现在准确性不高、效率不高等方面。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种针对流量攻击的安全防御系统及方法，用于解决现有的检测防御和攻击源追踪上准确性不高、效率不高等问题等问题。

为实现上述目的及其他相关目的，本发明提供一种针对流量攻击的安全防御系统，包括：

SDN交换机，转发所述用户终端发送的ICMP请求报文和ICMP回应报文，对所述ICMP请求报文和所述ICMP回应报文进行监控，发现异常则形成ICMP信息；

与所述SDN交换机连接的SDN控制器，接收来自所述SDN交换机上报的所述ICMP信息，并感知对应所述ICMP信息的报文转发路径，判断得出攻击者的位置和类型，向作为入口路由功能的SDN交换机下发流表，以执行入口过滤策略对所述攻击者进行防御。

可选地，所述SDN交换机发现所述ICMP请求报文的转发速率超出指定阈值、所述ICMP回应报文的转发速率超出指定阈值、或所述ICMP请求报文的目的IP为网络传播地址时，判断出现异常并形成所述ICMP信息。

可选地，所述SDN控制器接收所述ICMP信息，在判断得出所述ICMP信息中包括所述ICMP请求报文的目的IP为网络传播地址时，进而判断所述ICMP回应报文的转发速率是否超出指定阈值，在判断得出所述ICMP回应报文超出所述指定阈值时，所述SDN控制器下发的所述流表对应的入口过滤策略为丢弃所述ICMP请求报文。

可选地，所述SDN控制器接收所述ICMP信息，在判断得出所述ICMP信息中未包括所述ICMP请求报文的目的IP为网络传播地址时，进而判断所述ICMP请求报文和所述ICMP回应报文的转发速率是否超出指定阈值，若所述ICMP请求报文和所述ICMP回应报文的转发速率超出所述指定阈值时，所述SDN控制器下发的所述流表对应的入口过滤策略为限制作为入口路由功能的所述SDN交换机的报文转发速率。

可选地，所述SDN交换机发送所述ICMP信息后，对所述ICMP请求报文和所述ICMP回应报文继续进行监控，发现所述ICMP请求报文和所述ICMP回应报文恢复正常时，则发送解除防御请求给所述SDN控制器，所述SDN控制器根据所述解除防御请求进行判断，得出对应的报文转发速率小于等于指定阈值则移除下发的所述流表。

本发明针对流量攻击的安全防御方法，包括：

通过与用户终端对应连接的SDN交换机，监控转发的所述用户终端发送的ICMP请求报文和ICMP回应报文，发现异常时形成ICMP信息；