[发明专利]一种基于增量部署SDN网络的链路洪泛攻击的防御方法

说明书

本发明涉及一种基于增量部署SDN网络的链路洪泛攻击的防御方法，利用节点升级算法选出需要升级成软件定义网络功能节点的路由器，并将其升级；当网络中发生拥塞的时候，通过部署在网络中的软件定义网络功能节点去定位拥塞链路；收集全网的拥塞链路信息，并在此基础上，来判断当前的网络拥塞是否构成链路洪泛攻击；如果构成链路洪泛攻击，启动全局流量工程去均衡全网流量，否则，通过备份路径方式，缓解拥塞链路。本发明在传统网络中升级少量的节点为软件定义网络功能节点，探测链路洪泛攻击，并定位被攻击的链路组，通过集中控制的流量工程去均衡全网的链路流量，以消除链路洪泛攻击的根源，从而有效防御链路洪泛攻击。

技术领域

本发明涉及计算机网络领域网络安全技术，特别涉及一种基于增量部署SDN(Software-Defined Network，软件定义网络)网络的链路洪泛攻击的防御方法。

背景技术

分布式拒绝服务攻击(DDoS)是当今互联网主要的安全威胁之一。攻击者主要是以僵尸主机和被攻击者的资源的非对称性为基础，再利用某些网络协议的漏洞来发起攻击，消耗被攻击者的资源(带宽，CPU等)，从而使得被攻击者的可用性大大降低。对于传统的DDoS攻击，目前已经有一系列较为有效的防御措施，包括Pushback,入口过滤(Ingressfilter)，控制器代理模型等方法。现有算法的基础是基于网络流量的统计与识别，从而区分DDoS攻击流量与正常流量。近几年来，一种新的DDoS攻击，即链路洪泛攻击(LinkFlooding Attack,LFA)成为学术界和企业界关注的热点。链路洪泛攻击的攻击目标不在是传统DDoS攻击的终端节点(服务器，主机等)，而是通过攻击一组或者几组精心选择的链路，来达到降低甚至切断某区域通信能力的目的。链路洪泛攻击不仅是学术界的热点，近年来，欧洲的一些因特网交换节点(IXP)也曾饱受链路洪泛攻击之苦。

链路洪泛攻击的攻击机理如下：

(1)攻击者利用网络探测工具(比如trace route)去探测僵尸主机和攻击区域的公共服务器之间的通信路径，从而构建一个从攻击者掌握的僵尸网络群到目标区域服务器之间的链路图(Link map)。攻击者根据链路图中的链路流密度分布选出若干组持久链路。这里的持久性链路针对是系统自身简单的多路径负载均衡(如ECMP)，攻击者多次探测的僵尸主机和目标节点之间的路径上，如果这条链路始终存在，称为持久链路。

(2)攻击者利用掌握的僵尸主机，发送大量的低密度、合法的数据流去特定的目标服务器，使得第一步选出来的链路组拥塞，从而达到降低甚至切断目标区域通信连接的目的。

链路洪泛攻击的攻击主要有以下三个显著的特点：

(1)难以探测性。目标区域没有直接被攻击，因此，目标区域的服务器很难直接检测到异常流量。

(2)不可区分性。攻击者采用的是合法的低密度流，而且采用的是真实原地址，这样路由器用现有的方法是无法区分攻击流和正常访问的流。

(3)持久性。攻击者动态的切换攻击的链路组，使得攻击成为一个纯粹的数据平面攻击，而不改变控制平面。