[发明专利]基于SDN控制器阈值的DDoS攻击预警方法及其系统

说明书

本发明公开了一种基于SDN控制器阈值的DDoS攻击预警方法及其系统，其中，该方法包括：将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量，并与目的地址访问数据包总数量阈值进行对比，查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息；SDN交换机将发往被攻击地址的数据包源地址信息进行随机抽样，匹配被攻击地址和抽样后的源地址并配置为威胁预警消息，发往相应的SDN控制器；SDN控制器接收到威胁预警消息后，逐一检验威胁预警消息中目的地址对应源地址的可达性比例，并与源地址可达性比例阈值相比较，进行配置发往SDN交换机的威胁预警应答消息；SDN交换机按照接收到的威胁预警应答消息进行转发相应的数据包。

技术领域

本发明属于通信领域，尤其涉及一种基于SDN控制器阈值的DDoS攻击预警方法及其系统。

背景技术

随着互联网科技的飞速发展，人类已步入信息时代，信息技术极大地推进了社会变革以及人类生活方式转变的速度，促进了人类信息的高效共享。然而，现有互联网基础架构相对僵化，其控制逻辑和数据层面垂直耦合的特征，导致高效的网络或服务管理成为现有互联网的一大难题。随着未来网络技术的不断进步，软件定义网络(Software-DefinedNetwork,SDN)技术成为解决上述难题的主流选择方案。SDN网络技术通过将网络的数据平面和控制层面解耦合，即通过将网络的控制逻辑从路由器或交换机中剥离出来，达到对网络或服务高效管理和动态配置的目的，极大地推动了信息网络技术的进展，但其仍不能完全避免遭受分布式拒绝服务攻击(Distributed Denial of Service,DDoS)的侵害。

DDoS攻击作为主流的网络攻击类型，危害巨大。尽管大量投资进入了互联网系统和服务领域，无数机构每年仍经常因为DDoS攻击而面临灾难性的停运事件。例如，2013年8月25日，我国顶级域名CN的解析服务器遭受DDoS攻击，造成大量以CN为后缀的网站完全无法访问，经济损失和社会影响难以估计。

DDoS攻击通常针对某一或几个特定目标，由僵尸网络发起大量的恶意流量导致目标资源无法被正常访问，并通过伪造流量源地址信息，进行攻击危害的同时，利于躲避追查。基于源地址伪造机制的DDoS攻击中，数量及其巨大的恶意数据包所携带的源地址信息均为伪造的，加之现有网络架构中路由器只按照目的地址对数据包进行转发，而不过问数据包的来源，使得上述DDoS攻击难以被及时预警。除非被攻击目标出现服务中断或网络链路瘫痪等重大停运事件，上述攻击才可被预警，但通常为时已晚。

DDoS攻击危害的严重性已被工业界和学术界广泛共识，可严重制约SDN等未来网络技术的发展、推广、部署和应用。因此，有必要研究SDN网络中DDoS攻击的预警技术，提高未来网络架构的安全性，推动信息安全技术的发展和未来网络技术的进步。

现有的DDoS威胁过滤和链路重配的SDN结构及工作方法为：通过在传统SDN网络中添加一定数量的IDS决策服务器，通过上述IDS决策服务器对数据包链路层、网际层、传输层、应用层标志位进行异常检测，并制定出相应的异常处理策略，并通告SDN控制器，使其重新规划路由路径，达到减轻DDoS危害的目的。

DDoS威胁过滤和链路重配的SDN结构及工作方法专门引入了IDS决策服务器，以达到减轻SDN网络中DDoS攻击危害的效果。上述IDS决策服务器及其与SDN控制器协议交互机制的引入，增加了SDN网络配置和协议交互的负担，增大了SDN网络应用的复杂度，在提升安全性的同时付出了较沉重的代价。

发明内容

为了解决现有技术的缺点，本发明提供一种基于SDN控制器阈值的DDoS攻击预警方法及其系统。该方法未引入任何额外的网络中间件设备，完全利用SDN网络中固有的SDN控制器与交换机的配合以预警DDoS攻击，在提升SDN网络安全性的同时，未引入任何网络配置负担，亦未导致网络复杂度的提高。

为实现上述目的，本发明采用以下技术方案：