[发明专利]软件定义的网络架构的工作方法

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种软件定义的网络架构的工作方法。

背景技术

当前，高速广泛连接的网络已经成为现代社会的重要基础设施。然而，随着互联 网规模的膨胀，传统规范体系的缺陷也日益呈现出来。

其中，分布式拒绝服务攻击(Distributed Denial of Service，DDoS)仍然是影响 互联网运行安全最主要的威胁之一。在过去的几年里，DDoS攻击的数目、大小、类型 都大幅上涨。

软件定义网络(Software Defined Network，SDN)具有可实时更新路由策略与规则、 支持深层次的数据包分析等特性，因而可针对复杂网络环环境中的DDoS威胁提供更迅 速准确的网络监控及防御功能。

发明内容

本发明的目的是提供一种软件定义的网络架构及其工作方法,以解决现有网络中大 量DDoS攻击所造成的网络安全问题，以实现快速、高效、全面地识别与防御DDoS攻 击。

为了解决上述技术问题，本发明提供了一种软件定义的网络架构，包括：应用层、 数据层和控制层；其中数据层，当位于数据层中任一IDS设备检测到攻击威胁时，通 知应用层进入到攻击类型分析流程；应用层，用于对攻击类型进行分析，并根据攻击 类型定制相应的攻击威胁处理策略；控制层，为应用层提供攻击威胁处理接口，并为 数据层提供最优路径计算和/或攻击威胁识别接口。

优选的，为了在IDS设备中实现DDoS检测，当任一IDS设备检测到具有DDoS攻 击特征的报文时，上报至应用层；所述应用层根据上报信息，制定出与具有DDoS攻击 特征的报文对应的处理策略，然后将该报文通过控制层中的控制器屏蔽或者将该报文 所对应的交换机接入端口流量重定向到流量清洗中心进行过滤；所述IDS设备内包括： 欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；破坏报文检测模块， 对网际层和传输层标志位设置的异常行为进行检测；异常报文检测模块，对应用层和 传输层泛洪式攻击行为进行检测；通过所述欺骗报文检测模块、破坏报文检测模块、 异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应 行为时，则将该报文转入应用层。

优选的，所述应用层适于当报文具有欺骗行为，且攻击威胁在OpenFlow域中，则 通过控制器屏蔽主机；或当攻击威胁不在OpenFlow域中，则通过控制器将该报文所对 应的交换机接入端口流量重定向至流量清洗中心进行过滤；所述应用层还适于当报文 具有异常行为，则通过控制器对攻击程序或攻击主机的流量进行屏蔽；以及当报文具 有泛洪式攻击行为，则所述应用层适于通过控制器将该报文所对应的交换机接入端口 流量重定向至流量清洗中心进行过滤。

本发明的有益效果：本发明将DDoS威胁监测、威胁防护、路由优化等业务功能模 块分别部署于数据层、控制层和应用层。可使网络在遭受大规模DDoS威胁时，能够根 据链路的实时状况实现路由优化的流量转发，同时迅速准确的进行DDoS威胁识别和处 理响应，全面保障网络通信质量。

又一方面，本发明在上述网络架构的基础上还提供了一种工作方法，以解决对 DDoS攻击的分布式监测，在制定相应威胁处理策略的技术问题。

为了解决上述技术问题，本发明的网络架构的工作方法，包括如下步骤：

步骤S100，网络初始化；步骤S200，分布式DDoS威胁监测；以及步骤S300，威 胁处理和/或路由优化。

优选的，为了更好的实现网络配置，所述步骤S100中网络初始化所涉及的装置包 括：数据层中的IDS设备、控制层中的控制器和应用层中的IDS决策服务器；网络初 始化的步骤如下：步骤S101，所述IDS决策服务器与各IDS设备建立专用的SSL通信 信道；步骤S102，所述控制器构建网络设备信息绑定表，并且将网络设备信息绑定表 实时更新到各IDS设备中；

步骤S104，所述控制器下发镜像策略的流表，即将OF交换机所有拖载有主机的端 口流量镜像转发给网域内对应的IDS设备；以及步骤S105，所述控制器下发DDoS威胁 识别规则给每个网域中对应的各IDS设备。

优选的，所述步骤S200中分布式DDoS威胁监测的方法包括：依次对链路层和网 际层地址的欺骗行为，网际层和传输层标志位设置异常行为，以及应用层和传输层的 泛洪式攻击行为进行检测；若上述过程中任一检测判断出报文存在相应行为时，则将 该报文转入步骤S300。