[发明专利]一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统

说明书

本发明公开一种基于ForCES架构中利用sFlow防御DDoS攻击的方法，包括如下步骤：(1)当转发件收到数据包时，先通过控制件发往控制层的攻击检测插件，对黑名单列表中包特征进行匹配，若该数据信息存在于黑名单列表中，则由控制件直接下发指令，阻止攻击流量进一步转发；(2)在步骤(1)处理无效后，sFlow将数据信息封装成报文，发往sFlow Collector分析，汇聚三个转发件的sFlow Agent上攻击流量所占用的带宽之和，根据当前网络总带宽，按照比例设定带宽阈值，并对比大小；(3)若汇聚之和超过带宽阈值，则判定该主机遭到了DDoS攻击，并立刻通知ForCES控制件，向转发件下发流表，将攻击包进行丢弃，并将攻击包的数据信息发往攻击检测插件，更新其黑名单列表。

技术领域

本发明适用于在ForCES架构中检测与防御DDoS攻击的方法及系统，能保证网络中某台主机在遭到DDoS攻击时，可以经由攻击检测插件黑名单功能，利用控制件直接进行阻止，否则，利用sFlow网络流量监控技术，及时检测出攻击并进行缓解，同时将DDoS攻击源数据信息添加至攻击检测插件的黑名单中，从而保证了整个网络的持续正常运行、提供服务。

背景技术

分布式拒绝服务攻击(DDoS)是当今网络中最突出和最重要的攻击之一，是传统拒绝服务攻击(DoS)的升级，攻击者常通过创建大量受到其攻击的计算机，指定并控制他们发起大规模攻击。这种攻击易发起，破坏力大，类型多，却难以防御和追踪，其强度足以使目标服务器的资源、带宽等耗尽，失去正常的服务能力。近年来，随着各种设备普及智能化，DDoS攻击已不局限于传统系统，开始向云计算中心，物联网系统，智能家居等方面发展，除了可能遭到来自外网的DDoS攻击以外，也有可能遭到来自内网中其他主机发动的DDoS攻击，因此，用户除正常防御外，服务器做好及时的检测和缓解也很重要。

当今通信与网络业务日新月异，从单业务多网体制向多业务单网体制的多网融合已是必然趋势，转发与控制分离(ForCES)技术无疑是实现开放架构网络的重要技术手段。ForCES架构，与传统网络不同，是一个三层体系结构，由控制层，转发层和基础设施层组成，以ForCES协议为南向接口，连接控制层和基础设施层，实现网络集中控制，满足整体需求，增强了安全性，对防御DDoS攻击提供了强有力的帮助。

目前，DDoS攻击检测方法大体分两类，有基于签名的检测，如Bro，是一种实时网络入侵检测系统，可以通过监控入侵者的网络流量工作，但当受到算法复杂的DoS攻击时，便不奏效；同时，有基于异常的检测，如MULTOPS技术，是根据数据包的比例失调与否检测攻击流量，该方法假定输入与输出流量成比例，但这并不符合实际。而基于ForCES架构下DDoS攻击检测的方法，目前尚未发现准确且高效的方法。

攻击检测插件技术，是维护网络安全的第一道防线，分别可以在网络层，应用层和数据库安装攻击检测插件来保证网络安全，其中，攻击检测插件的黑名单功能，主要为了防止疑似攻击的流量进入该网络，造成巨大破坏力，合理运用黑名单功能，可以减少检测攻击的时间，迅速做出反应，且更具准确性。

网络遭到DDoS攻击时，会影响网络整体性能，没有对流量的充分理解，就不可能确定流量划分策略。因此，网络亟需一个可视、可控的网络异常监控系统。采样流(sFlow)是一种基于数据流随机进行采样的开源网络异常检测技术，面向端口，可以用于高速监控数据网络中的流量，该监控工具主要由两方面构成，sFlow Agent和sFlow Collector，sFlowAgent作为客户端，常内嵌于转发设备中，主要通过sFlow Agent获取设备接口统计和数据信息，封装成sFlow报文，发送给sFlow Collector进行分析，汇总，从而采取后续行动，用户可以设定规则，即可以根据用户要求对流量进行采样、统计、分析，从而实时展现网络传输流的性能和潜在问题，采取相对应的解决方案。相比于其他网络流统计技术，sFlow具有资源占用少，实现成本低，采集器灵活部署，实时等优势。

现如今，防御DDoS攻击是研究热点，在ForCES架构中，安全问题是不得不考虑的重中之重。

发明内容