[发明专利]一种针对交火攻击的多网络地址跳变安全防御方法

权利要求书

1.一种针对交火攻击的多网络地址跳变安全防御方法，其特征在于，包括以下步骤：

(1)通过控制器向交换机发送查询消息；所述查询消息为获取第i条数据平面链路l_i上接收到的数据包数量数值和转发到该链路上的数据包数量数值

(2)通过步骤(1)中获取的数值和数值的动态变化来判断数据平面链路l_i的拥塞等级κ(l_i)，包括以下子步骤：

(2.1)计算时间刻度t与链路l_i的在途数据包数量之间的相关性系数H¹(t)，计算方法如下：

其中，τ_s为采样平滑时间，t′为位于时刻t-τ_s和时刻t之间的时刻，函数corrcoef(A，B)表示矢量A和矢量B之间的相关性系数矩阵；

(2.2)计算时间刻度t与链路l_i连接的出口交换机上接收数据包数量之间的相关性系数H²(t)，计算方法如下：

(2.3)基于步骤(2.1)～(2.2)得到的相关性系数H¹(t)和H²(t)，计算拥塞等级κ(l_i)：

其中，corrcoef_1，2为和之间的相关性系数，为相关性系数矩阵平滑时间，右下角标“1，2”表示取矩阵中第1行第2列的元素值；

(3)根据步骤(2)得到的拥塞等级κ(l_i)，生成数据平面中拥塞链路的状态集合其中e_i为链路l_i的被攻击次数，κ_i为链路l_i的拥塞等级；并将状态集合划分为被攻击次数少于η_min次的拥塞链路的集合和中除Θ外剩余链路的集合

(4)对于集合Θ中的每条链路l_i，针对需要受到保护的诱饵节点、目标节点或之前创建的变体，在链路l_i的上游路由路径中创建新变体，该新变体配置随机化的地址；在数据平面端到端的通信中，每个变体以透明代理的方式工作，并采用如下两类方式阻止僵尸网络基于网络控制报文协议的持久路由发现过程：

(4.1)阻止来自于目标节点到主机节点的网络控制报文协议回应消息；

(4.2)代替目标节点或诱饵节点向主机节点回应网络控制报文协议请求消息；

(5)对集合Λ中的每条链路l_i，当链路l_i无备选路径时，通过配置交换机，对主机发送到诱饵节点的数据流量进行压制，使得主机到诱饵节点的流量与主机到目标节点之间的流量实现均衡，避免目标节点出现拥塞，同时更新相关变体的网络地址为新的随机网络地址，使得交火攻击发起者无法攻击目标节点、失去攻击意义；

(6)对集合Λ中的每条链路l_i，当链路l_i有备选路径时，通过最短路径算法计算出新的路径，该新路径排除受到攻击的链路l_i；同时在受攻击的诱饵节点或目标节点的上游生成具备随机网络地址的新变体，并将之前的转发路径及其相应已创建的变体销毁，使得僵尸网络到诱饵节点的路由路径与到目标节点的路由路径无公用的持久路由，使得交火攻击的发起者无法攻击目标节点、失去攻击的意义；

(7)查询控制器中的路由表，找到集合中与受到攻击诱饵节点或目标节点相连接的主机及其路由，通知这些主机节点：诱饵节点或者目标节点的相关变体IP网络地址发生变化；主机收到新的IP网络地址后，以新的IP地址连接到诱饵节点或目标节点，从而缓解交火攻击的安全威胁。

2.如权利要求1所述针对交火攻击的多网络地址跳变安全防御方法，其特征在于，所述步骤(1)中，所述获取数值的查询消息类型为OpenFlow协议中的OFPMP_PORT或OFPMP_PORT_STATS；所述获取数值的查询消息类型为OpenFlow协议中的OFPMP_GROUP_STATS。

3.如权利要求1所述针对交火攻击的多网络地址跳变安全防御方法，其特征在于，所述步骤(3)中，所述集合Θ包括持久路由。