[发明专利]一种基于协同理论的DDoS攻击防御系统及方法

说明书

本发明涉及一种基于协同理论的DDoS攻击防御系统，具体应用于SDN网络，包括控制器和设置在交换机上的清洗设备，所述控制器用于对全网交换机的端口进行监测，然后将监测到的交换机异常端口的网络流量牵引到清洗设备；所述清洗设备用于对接收到的网络流量进行分析及清洗，并基于分析的结果向控制器提供安全防御策略；控制器基于安全防御策略配置交换机，从而对攻击进行缓解。

技术领域

本发明涉及网络安全领域，更具体地，涉及一种基于协同理论的DDoS攻击防御系统及方法。

背景技术

随着计算机科学技术的迅猛发展和深度应用，网络空间中的变革正在不断改变和影响着人们的生活方式。由于人们对互联网的依赖性越来越高，在互联网上涉及到许多关于企业、个人、甚至国家的保密信息，因此网络安全性问题一直是技术发展过程中的重要课题。

目前在互联网存在的诸多网络攻击方法中，分布式拒绝服务攻击(DistributedDenial of Service Attack，简称DDoS)是最常见、破坏力很强的攻击方法。分布式拒绝服务攻击大多来自僵尸网络，彼此协同对一个或多个目标发动拒绝服务攻击。由于DDoS攻击方法简单，隐蔽性强，使得到目前为止，还没有任何手段可以完全防御这种攻击。

软件定义网络(SDN)是一种新型的网络创新架构，通过将控制层和数据层解耦，提供了对网络的集中性控制。由于在SDN网络中，所有网络依赖于单一控制器，该控制器很容易成为DDoS攻击的目标，使得该新型网络面临着新的网络安全性问题。由于控制器具有网络全局管控能力、快速部署能力以及智能调度能力，能够实现异常流量的快速监测以及有效清洗，因此对防御DDoS攻击提供了一种很好的方法。

目前国内外提出的基于SDN网络架构的DDoS攻击防御方法，大多应用于SDN控制器上，利用数理统计或者神经网络等方法进行入侵检测。在检测到异常时，利用回溯算法或者标记等方法来确定攻击源，控制器通过下发流表的方式来阻断攻击源。这类防御方法的特点是将入侵检测和攻击防御集中于SDN控制器上，使得入侵检测的准确性依赖于控制器上算法的准确性，整个防御系统的稳健性也依赖于控制器自身的安全性。因此，如何充分利用控制器而又不过分依赖于控制器，如何提升整个防御系统的稳健性是设计DDoS攻击防御系统需要关注的问题之一。

发明内容

本发明提出一种基于协同理论的DDoS攻击防御系统，该系统将防御过程中的监测和决策功能分离开来，控制器负责监测，清洗设备群负责决策。使整个防御系统不过分依赖于控制器，在能够充分利用控制器资源的同时，提升整个防御系统的稳健性。

为实现以上发明目的，采用的技术方案是：

一种基于协同理论的DDoS攻击防御系统，具体应用于SDN网络，包括控制器和设置在交换机上的清洗设备，所述控制器用于对全网交换机的端口进行监测，然后将监测到的交换机异常端口的网络流量牵引到清洗设备；所述清洗设备用于对接收到的网络流量进行分析及清洗，并基于分析的结果向控制器提供安全防御策略；控制器基于安全防御策略配置交换机，从而对攻击进行缓解。

优选地，所述控制器包括位于控制层的入包统计模块、流量统计模块、流表配置模块和设备管理模块，以及位于应用层的防御策略配置模块、交互管理模块和日志记录模块；

其中入包统计模块用于对发往控制器的Packet-In包进行统计分析，并基于分析的结果确定受到虚假IP地址DDoS攻击和针对控制器的DDoS攻击的交换机异常端口；

所述流量统计模块用于对SDN网络中各个交换机的端口流量进行实时监测，然后基于监测的结果确定受到僵尸网络发起的DDoS攻击的交换机异常端口；

流表配置模块用于下发流表到指定交换机中，实现异常端口网络流量牵引到清洗设备；

设备管理模块用于管理SDN网络中的清洗设备，记录清洗设备的状态信息；