[发明专利]一种基于增量部署SDN网络的链路洪泛攻击的防御方法

权利要求书

1.一种基于增量部署SDN网络的链路洪泛攻击的防御方法，其特征在于包括如下步骤：

S1、利用节点升级算法选出需要升级成软件定义网络功能节点的交换机，并将其升级；其中，在该步骤S1中，针对入口节点集和目的节点集的每一个节点对，利用Dijkstra算法，算出其在传统网络中的最短路径，然后网络中每一个节点经过的路径数目，作为第一衡量标准；节点的度作为节点升级成软件定义网络节点的调度潜力，作为第二衡量标准；对这两个标准进行折中，从而选出最优的m个点进行升级，m为整数；

S2、当网络中发生拥塞的时候，通过部署在网络中的软件定义网络功能节点去定位拥塞链路；

S3、收集全网的拥塞链路信息，并在此基础上，来判断当前的网络拥塞是否构成链路洪泛攻击；

S4、如果构成链路洪泛攻击，启动全局流量工程去均衡全网流量，否则，通过备份路径方式，缓解拥塞链路。

2.如权利要求1所述的基于增量部署SDN网络的链路洪泛攻击的防御方法，其特征在于还包括如下步骤：启动全局流量工程后，继续收集全网拥塞链路信息，如果网络拥塞链路的总数没有显著减少，即流量工程后的拥塞链路数目和之前的拥塞链路数目之比大于阈值k,系统将会采取主动丢包的方式，缓解链路洪泛攻击。

3.如权利要求2所述的基于增量部署SDN网络的链路洪泛攻击的防御方法，其特征在于：主动丢包的优先级采用基于增量部署软件定义网络的黑名单算法；所述黑名单算法包括如下步骤：对于出现在各个拥塞链路的源地址进行打分，按分数由高到低，制定黑名单；当系统需要丢包时，按照黑名单上的顺序依次丢弃包含这些源地址的数据流。

4.如权利要求1所述的基于增量部署SDN网络的链路洪泛攻击的防御方法，其特征在于步骤S2中定位拥塞链路的方法包括如下步骤：S21、预先在每个软件定义网络功能节点的流表中装入一个触发器规则；S22、当网络中出现拥塞的时候会触发这个规则，给控制器发送一条警报消息；S23、控制器根据全网信息，定位拥塞发生的两个软件定义网络功能节点的区域；S24、通过控制器和节点配合实现拥塞链路的定位。

5.如权利要求4所述的基于增量部署SDN网络的链路洪泛攻击的防御方法，其特征在于步骤S2中定位拥塞链路的方法包括如下步骤：预先在包含软件定义网络功能的交换机中安装触发器规则，当流经该交换机的流量中匹配该规则的流量少于一定阈值，可以判断转发路径的上流交换机发生重度拥塞；利用对SDN的全局视角，定位相应的软件定义网络功能节点对；利用SDN去模拟Traceroute的功能去准确定位这两个节点之间的拥塞链路。

6.如权利要求5所述的基于增量部署SDN网络的链路洪泛攻击的防御方法，其特征是利用SDN模拟Traceroute的功能去准确定位这两个节点之间的拥塞链路的方法是：控制器下发两条高优先级的规则，一条控制探测包逐跳转发，另一条接收反馈，并将反馈的数据包转发到控制器；控制器根据反馈结果决定是继续探测即重新发送探测包，并将其TTL字段自增1；还是根据ICMP的不可达反馈，定位出拥塞链路。

7.如权利要求1所述的基于增量部署SDN网络的链路洪泛攻击的防御方法，其特征是在步骤S3中判断网络是否经历着链路洪泛攻击的算法至少包括两个判定部分：一个是，如果拥塞链路集合构成网络的割边，那么根据链路洪泛攻击切断目标区域的特性，判定网络正在遭受攻击；另一个是，如果前者不成立，对于拥塞链路在网络全网通信的重要性进行打分，如果分数超过一个工程阈值，依然判定网络正在遭受链路洪泛攻击。

8.如权利要求1所述的基于增量部署SDN网络的链路洪泛攻击的防御方法，其特征是：在步骤S4中的全局流量工程是集中控制的流量工程，其利用软件定义网络灵活的匹配域和流控制，让网络中的流量尽可能均衡的分布在所有的链路上，进而消除瓶颈链路。

9.如权利要求8所述的基于增量部署SDN网络的链路洪泛攻击的防御方法，其特征是：将所述流量工程转化为一个线性规划问题，优化的目标是使得网络中链路的最大链路利用率最小，约束条件是对于每一个链路节点对之间所有的流量都分配所有的可行无环路径上，以及对于每一条链路，它所经历的可控流量和不可控流量之和小于链路的容量和其最大利用率的乘积。