[发明专利]一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置

说明书

本发明适用网络安全技术领域，提供了一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置，所述方法包括：通过线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击，根据软件定义网络中所有交换机上流表的更新，对软件定义网络的控制器上预先构建的攻击流监控表进行同步更新，对攻击流监控表进行周期性检测，以确定攻击流监控表中是否有存在时长超过预设时长的监控表项，当存在时，确定该监控表项对应网络流为针对软件定义网络数据平面的隐蔽攻击流，从而有效地提高了模拟软件定义网络数据平面隐蔽性DDoS攻击的效率，有效地提高了软件定义网络数据平面隐蔽性DDoS攻击的检测效率。

技术领域

本发明属于网络安全技术领域，尤其涉及一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置。

背景技术

近年来以软件定义网络(SDN)为基础架构的网络蓬勃发展，软件定义网络将传统IP网络的路由控制和数据转发进行分离，实现集中控制和分布转发，并通过提供软件可编程的方式简化了网络的管理和配置，然而这也扩大了网络分布式拒绝服务攻击(DDoS)的攻击面。

目前，软件定义网络对DDoS的抑制绝大多数只考虑到控制平面的DDoS攻击的问题。已有研究表明，软件定义网络数据平面的DDoS攻击更容易对软件定义网络造成威胁，并且数据平面DDoS攻击的隐蔽性会刻意地回避多数软件定义网络上的DDoS检测。

在模拟软件定义网络数据平面的DDoS攻击时，相关算法提出的基于流表项超时的隐蔽性DDoS攻击，该算法使用增量模式(Incremental mode)周期性地增加僵尸主机的个数直到目标交换机流表趋近饱和状态，僵尸主机以小于流表项超时的攻击间隔周期性地发送攻击包，从而保持攻击包的流表项常在目标交换机的流表内，使得合法流表项无法安装处理。然而，增量模式无法使得僵尸主机的攻击速率快速地达到“最小攻击速率”(以最小化的攻击速度使目标交换机的流表项保持趋近于流表总大小的饱和状态)。

现有软件定义网络数据平面DDoS攻击的检测算法提出周期性地从目标交换机中获取流表项并检查获取的流表项，通过检查结果判断是否存在隐蔽攻击流当该算法布置在控制器上时，会为软件定义网络的控制平面和数据平面之间的安全通道增加大量的流量负载，当该算法部署在每个目标交换机上时，不符合软件定义网络逻辑集中控制的思想，类似检测算法的升级、网络需要根据检测结果采取缓解措施(如黑名单等的实现)都是复杂的。

发明内容

本发明的目的在于提供一种软件定义网络的DDoS攻击模拟和攻击检测方法及装置，旨在解决由于现有技术中软件定义网络的数据平面隐蔽性DDoS攻击模拟、以及软件定义网络的数据平面DDoS攻击检测的效率较低，软件定义网络的数据平面DDoS攻击检测的实现较为复杂的问题。

一方面，本发明提供了一种软件定义网络的DDoS攻击模拟和攻击检测方法，所述方法包括下述步骤：

通过预设线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击；

根据所述软件定义网络中所有交换机上流表的更新，对所述软件定义网络的控制器上预先构建的攻击流监控表进行同步更新；

对所述攻击流监控表进行周期性检测，以确定所述攻击流监控表中是否有存在时长超过预设时长阈值的监控表项；

当所述攻击流监控表中有存在时长超过所述时长阈值的监控表项时，确定所述存在时长超过所述预设时长阈值的监控表项所对应的网络流为针对所述软件定义网络数据平面的隐蔽攻击流。

另一方面，本发明提供了一种软件定义网络的DDoS攻击模拟和攻击检测装置，所述装置包括：

攻击模拟模块，用于通过预设线性递增和增量模式的方式增加僵尸主机，通过所有僵尸主机向软件定义网络中预设的目标交换机发起数据平面的隐蔽性DDoS攻击；