[发明专利]一种基于协同理论的DDoS攻击防御系统及方法有效
| 申请号: | 201710128028.7 | 申请日: | 2017-03-06 |
| 公开(公告)号: | CN106921666B | 公开(公告)日: | 2020-10-02 |
| 发明(设计)人: | 黄以华;黄阳欣 | 申请(专利权)人: | 中山大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 广州粤高专利商标代理有限公司 44102 | 代理人: | 林丽明 |
| 地址: | 510275 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 协同 理论 ddos 攻击 防御 系统 方法 | ||
1.一种基于协同理论的DDoS攻击防御系统,具体应用于SDN网络,其特征在于:包括控制器和设置在交换机上的清洗设备,所述控制器用于对全网交换机的端口进行监测,然后将监测到的交换机异常端口的网络流量牵引到清洗设备;所述清洗设备用于对接收到的网络流量进行分析及清洗,并基于分析的结果向控制器提供安全防御策略;控制器基于安全防御策略配置交换机,从而对攻击进行缓解;
所述控制器包括位于控制层的入包统计模块、流量统计模块、流表配置模块和设备管理模块,以及位于应用层的防御策略配置模块、交互管理模块和日志记录模块;
其中入包统计模块用于对发往控制器的Packet-In包进行统计分析,并基于分析的结果确定受到虚假IP地址DDoS攻击和针对控制器的DDoS攻击的交换机异常端口;
所述流量统计模块用于对SDN网络中各个交换机的端口流量进行实时监测,然后基于监测的结果确定受到僵尸网络发起的DDoS攻击的交换机异常端口;
流表配置模块用于下发流表到指定交换机中,实现异常端口网络流量牵引到清洗设备;
设备管理模块用于管理SDN网络中的清洗设备,记录清洗设备的状态信息;
所述防御策略配置模块用于与清洗设备进行交互,接收来自清洗设备的安全防御策略,然后基于安全防御策略配置交换机;
所述交互管理模块用于提供可视化界面供管理员使用;
所述日志记录模块用于将防御系统产生的日志信息上传到数据库;
所述清洗设备包括流量收集模块、流量分类模块、流量处理模块和策略配置模块;
其中流量收集模块用于监控清洗设备的网络端口,对发往清洗设备的网络流量数据包进行缓存;
所述流量分类模块用于周期性地对缓存的网络流量进行分类检测,得到其攻击类型;
所述流量处理模块用于根据攻击类型剔除网络流量中的异常流量,然后将正常流量回流到网络中;
策略配置模块用于对攻击类型和异常流量的统计分布情况进行综合分析后得出安全防御策略,并发往控制器的防御策略配置模块;
所述入包统计模块在确定受到虚假IP地址DDoS攻击的交换机异常端口时,首先使用基于目的IP地址的熵值统计方法对发往控制器的Packet-In包进行统计,当检测到熵值低于预设阈值时,选取提供最大贡献率的交换机中占比率最大的端口作为异常端口;
所述入包统计模块在确定受到针对控制器的DDoS攻击的交换机异常端口时,通过检测各交换机端口的MAC-IP绑定表的更新速率来确定异常端口,当某个交换机的端口的更新速率超过预设速率时,则将其确定为异常端口。
2.根据权利要求1所述的基于协同理论的DDoS攻击防御系统,其特征在于:所述流量统计模块通过检测交换机各个端口的流量带宽来确定异常端口,当交换机端口的流量带宽超过了设定的阈值,并且在设定的预警时长内未能降低到预设阈值以下,则将该端口确定为异常端口。
3.根据权利要求1所述的基于协同理论的DDoS攻击防御系统,其特征在于:所述流表配置模块通过下发流表的方式实现异常端口网络流量的牵引;当清洗设备和异常端口属于同一台交换机时,流表配置模块直接向该交换机下发Flow_Mod消息进行本地端口转发;当清洗设备和异常端口分属不同交换机时,流表配置模块根据拓扑信息基于Dijkstra算法得到从异常端口到清洗设备的最优路径;在得到最优路径后,流表配置模块通过Openflow1.1协议支持的QinQ技术,在异常端口处给网络流量添加VLAN Tag;在最优路径涉及的交换机上转发匹配该VLAN Tag的网络流量,最后在清洗设备端口处将该VLAN Tag移除,实现流量牵引。
4.根据权利要求1所述的基于协同理论的DDoS攻击防御系统,其特征在于:所述流量分类模块周期性地从缓存中提取网络流量数据包进行特征分析,得到特征元组,将特征元组输入到经过训练的BP神经网络中进行分类,得出DDoS攻击类型。
5.根据权利要求1所述的基于协同理论的DDoS攻击防御系统,其特征在于:所述策略配置模块通过SSL信道将安全防御策略发送至控制器的防御策略配置模块。
6.一种根据权利要求1所述系统的方法,其特征在于:包括以下步骤:
步骤1:控制器通过入包统计模块和流量统计模块对全网交换机的端口进行实时监测,搜寻并确认受到DDoS攻击的异常端口;
步骤2:确认异常端口后,控制器通过流表配置模块和设备管理模块,将异常端口的网络流量牵引到清洗设备;
步骤3:清洗设备通过流量收集模块接收来自异常端口的网络流量;
步骤4:清洗设备通过流量分类模块周期性地从流量收集模块中获取网络流量,并经过分类检测后得到DDoS攻击类型;
步骤5:根据攻击类型,清洗设备中的流量处理模块将符合该攻击类型的流量剔除,而将其余的正常流量回流到网络中;
步骤6:清洗设备的策略配置模块结合攻击类型和异常流量的统计分布情况进行分析,得出安全防御策略并发往控制器的防御策略配置模块;
步骤7:防御策略配置模块接受到清洗设备提供的安全防御策略后根据安全防御策略配置交换机,同时清除交换机中牵引到清洗设备的相关流表项,并上传日志到数据库;
步骤8:清洗设备根据安全防御策略对后续缓存的网络流量进行清洗,直至所有流量处理完毕,之后通知控制器更新设备管理模块。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中山大学,未经中山大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710128028.7/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种静电除尘器
- 下一篇:一种立式湿式静电除尘器的阴极线
