[发明专利]软件定义的网络架构的工作方法

权利要求书

1.一种软件定义的网络架构的工作方法，其特征在于，该网络架构包括：数据层、应用层和控制层；其中

数据层，当位于数据层中任一IDS设备检测到攻击威胁时，通知应用层进入到攻击类型分析流程；

应用层，用于对攻击类型进行分析，并根据攻击类型定制相应的攻击威胁处理策略；

控制层，为应用层提供攻击威胁处理接口，并为数据层提供最优路径计算和/或攻击威胁识别接口。

2.根据权利要求1所述的软件定义的网络架构，其特征在于，

当任一IDS设备检测到具有DDoS攻击特征的报文时，上报至应用层；所述应用层根据上报信息，制定出与具有DDoS攻击特征的报文对应的处理策略，然后将该报文通过控制层中的控制器屏蔽或者将该报文所对应的交换机接入端口流量重定向到流量清洗中心进行过滤；

所述IDS设备内包括：

欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；

破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；

异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；

通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入应用层。

3.根据权利要求2所述的软件定义的网络架构，其特征在于，

所述应用层适于当报文具有欺骗行为，且攻击威胁在OpenFlow域中，则通过控制器屏蔽主机；或当攻击威胁不在OpenFlow域中，则通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤；

所述应用层还适于当报文具有异常行为，则通过控制器对攻击程序或攻击主机的流量进行屏蔽；以及

当报文具有泛洪式攻击行为，则所述应用层适于通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤。

4.根据权利要求1所述的工作方法，包括如下步骤：

步骤S100，网络初始化；

步骤S200，分布式DDoS威胁监测；以及

步骤S300，威胁处理和/或路由优化。