[发明专利]一种SDN网络下对DHCP泛洪攻击的检测与防御方法

权利要求书

1.一种SDN网络下对DHCP泛洪攻击的检测方法，其特征在于，包括以下步骤：

步骤A1：初始化DHCP速率阈值D；

步骤A1的具体实现包括以下子步骤：

步骤A1.1：以t为一个周期，统计交换机全部端口的在当前周期内DHCP包的数量n_k；

步骤A1.2：保存最新的m个周期的DHCP包的数量的数据n_k-m，n_k-m+1，...，n_k-1；求出T＝mt时间内所有DHCP包的平均速率

步骤A1.3：计算当前周期内DHCP包的数量n_k中各端口的占比，选取最大占比所对应的端口号r，统计其IP池剩余量S；

步骤A1.4：获得DHCP包泛洪攻击检测周期包数量的阈值D＝A+S(2e^-A/r-1)/u，其中，r和u为常量，分别与网络规模和IP地址平均租期有关；

步骤A2：判断当前周期是否结束；若是，则执行步骤A3；若否，则回转执行步骤A2；

步骤A3：判断是否受到攻击；若是，则更新D后执行步骤A4；若否，则更新D后回转执行步骤A2；

步骤A4：定位攻击端口，并推入消息队列Q。

2.根据权利要求1所述的SDN网络下对DHCP泛洪攻击的检测方法，其特征在于，步骤A3中所述更新D的具体实现包括以下子步骤：

步骤A3.1：统计当前周期内DHCP包的数量n_k；

步骤A3.2：计算当前该周期内DHCP包的数量n_k中各端口的占比，选取最大占比所对应的端口号r，统计其IP池剩余量S；

步骤A3.3：判断；

如果n_k＜D，则更新A′＝(Am+n_k-n_k-m)/m；

如果n_k≥D，则以(2D-n_k)/(nD)的概率更新A的值，更新方式为A′＝(Am+n_k-n_k-m)/m；n的取值可以为2，3，4，以适应DHCP包速率的变化；

步骤A3.4：更新D′＝A′+S(2e^-A′/r-1)/u。

3.根据权利要求2所述的SDN网络下对DHCP泛洪攻击的检测方法，其特征在于，步骤A4的具体实现过程是：当前周期内所有端口DHCP报文总数为n_k，计算各个端口DHCP报文数量占总数的比例，选出占比最大的端口号r|(0/1)推入消息队列Q中，其中0、1分别表示2D＞n_k≥D和n_k≥2D两种状态；启动攻击防御，并重新返回步骤A2。

4.一种SDN网络下对DHCP泛洪攻击的防御方法，其特征在于，包括以下步骤：

步骤B1：扫描消息队列Q；

步骤B2：判断队列是否为非空；如果不为空则取出队首r|(0/1)端口号，执行步骤B3；否则结束；

步骤B3：判断是否IP池被恶意消耗；

若是，则执行步骤B4；

若否，则执行步骤B5；

步骤B4：拦截DHCP Discover报文；

步骤B5：判断是否恶意占用链路资源，若是，则拦截全部DHCP报文；

步骤B6：控制器针对该端口下发openflow流表，并设定流表的有效时间为v，让交换机将该端口接收到的ARP协议包发送至控制器；

步骤B7：清洗IP池。

5.根据权利要求4所述的SDN网络下对DHCP泛洪攻击的防御方法，其特征在于，步骤B4的具体实现过程是：队首如果为r|0，则控制器针对该端口下发openflow流表，并设定流表的有效时间为v，让交换机丢弃在该端口接收到的DHCP Discover包，阻止DHCP IP池被恶意消耗；控制器针对该端口下发openflow流表，并设定流表的有效时间为v，让交换机将该端口接收到的ARP协议包发送至控制器；其中，时间v的值设定在1到5分钟内。