[发明专利]一种链路洪泛攻击的SDN分段路由防御方法

说明书

一种链路洪泛攻击的SDN分段路由防御方法。其包括对于一个给定的网络拓扑，将其构建为基于有向图的网络模型，获得链路的实体流量集合、容量和流量负载；利用基于SDN的系统防御模型对步骤1)中构建的网络模型进行监测，并判断网络模型是否被LFA攻击且链路出现严重拥塞，若判断结果为“是”，则利用SDN控制器和上述链路的实体流量集合、容量和流量负载对网络拓扑进行分段路由；否则继续进行监控等步骤。本发明方法在进行链路洪泛攻击防御时，利用SDN的分段路由策略疏解被攻击链路的拥塞负载，可避免全局路由可能造成的大量资源消耗，缓解链路拥塞，从而达到对于链路洪泛攻击的有效防御。

技术领域

本发明属于网络信息安全技术领域，特别涉及一种链路洪泛攻击的SDN(软件定义网络)分段路由防御方法。

背景技术

链路洪泛攻击(Link Flooding Attack,LFA)是一种新型的DDoS攻击(分布式拒绝服务攻击)，最近受到学术界和工业界的极大关注。其中Coremelt攻击和Crossfire攻击被视为最具威胁性的LFA。Coremelt攻击分三步启动：①选择核心网络中的目标链接；②选择可以产生遍历目标链路流量的僵尸机；③产生流量并洪泛目标链路。Crossfire是Coremelt的演变，具有流密度和滚动攻击的新概念。Crossfire攻击通常通过四个步骤启动：①构建链接图；②计算流密度并选择目标链接；③协调僵尸网络；④启动滚动攻击。

LFA具有几个显著特征，使得LFA不同于传统的DDoS攻击，并且难以检测和防御。LFA攻击者通常会组织一个大规模的僵尸网络来生成低速率数据流，以洪泛关键网络链路，而不是将大量流量直接发送到目标服务器。传统的DDoS防御系统通常会尝试过滤由DDoS攻击者流动的僵尸机发送的非法流量，但是由于LFA中的僵尸机可以使用合法的流量，因此这种防御方式很难产生效果。对比之下，SDN是下一代互联网的革命性架构技术，可以通过操作流表灵活地细化网络设备的流转发功能。与此同时，分段路由(Segment Rerouting,SR)是一种创新的路由范例。如果利用SDN分段路由防御链路洪泛攻击，在灵活性，可扩展性和适用性方面将具有很大优势。但目前针对链路洪泛攻击尚缺少有效的防御机制。

发明内容

为了解决上述问题，本发明的目的在于提供一种链路洪泛攻击的SDN分段路由防御方法。

为了达到上述目的，本发明提供的链路洪泛攻击的SDN分段路由防御方法包括按顺序进行的下列步骤：

1)对于一个给定的网络拓扑，将其构建为基于有向图的网络模型，获得链路的实体流量集合、容量和流量负载；

2)利用基于SDN的系统防御模型对步骤1)中构建的网络模型进行监测，并判断网络模型是否被LFA攻击且链路出现严重拥塞，若判断结果为“是”，则利用SDN控制器和上述链路的实体流量集合、容量和流量负载对网络拓扑进行分段路由；否则继续进行监控。

在步骤1)中，所述的构建基于有向图的网络模型，获得链路的实体流量集合、容量和流量负载的方法如下：

1-1)获取给定的网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息；

1-2)根据上述信息计算出基于G，l分别表示网络中路由器和交换机的网络路径；其中，链路r定义如下：

r＝{v_s,v_s+1,…v_d|d＝s+1}

每条链路从源节点v_s开始，以目标节点v_d结束，至少经过两个节点；

1-3)获取起点为源节点v_s，终点为目标节点v_d的链路r的实体流量集合，并将其定义如下：