[发明专利]一种边缘节点的DDoS攻击检测方法、处理方法及SDN

权利要求书

1.一种边缘节点的DDoS攻击检测方法，其特征在于，应用于软件定义网络SDN，所述方法包括：

接收预定时间段内傀儡机发送的请求报文流；

根据所述请求报文流计算每个请求报文中每个目的IP地址对应的目的端口的熵值以及源端口的熵值；

根据每个目的IP地址对应的目的端口的熵值以及源端口的熵值判断所述目的IP地址对应的边缘节点是否存在DDoS攻击。

2.根据权利要求1所述的边缘节点的DDoS攻击检测方法，其特征在于，所述接收预定时间段内傀儡机发送的请求报文流的步骤之前，所述方法还包括：

在所述预定时间段的起始时刻到来时，清空交换机的流表项。

3.根据权利要求2所述的边缘节点的DDoS攻击检测方法，其特征在于，所述接收预定时间段内傀儡机发送的请求报文流的同时，所述方法还包括：

对接收到的请求报文流中的每个请求报文进行解析，得到每个请求报文的四元组信息，其中，所述四元组信息包括：源IP地址、目的IP地址、源端口以及目的端口；

将所述每个请求报文的四元组信息保存至预设数据库中。

4.根据权利要求3所述的边缘节点的DDoS攻击检测方法，其特征在于，所述根据所述请求报文流计算每个请求报文中每个目的IP地址对应的目的端口的熵值以及源端口的熵值，包括：

获取所述预设数据库中每个请求报文的所有四元组信息；

根据所述四元组信息计算所述预设数据库中每个目的IP地址对应的目的端口的熵值以及源端口的熵值。

5.根据权利要求4所述的边缘节点的DDoS攻击检测方法，其特征在于，所述根据每个目的IP地址对应的目的端口的熵值以及源端口的熵值判断所述目的IP地址对应的边缘节点是否存在DDoS攻击，包括：

若目的IP地址对应的目的端口的熵值小于第一阈值，且源端口的熵值大于第二阈值，则判断所述目的IP地址对应的边缘节点存在DDoS攻击；

若目的IP地址对应的目的端口的熵值小于第一阈值，且源端口的熵值小于第二阈值，则判断所述目的IP地址对应的边缘节点不存在DDoS攻击。

6.一种边缘节点的DDoS攻击处理方法，其特征在于，应用于软件定义网络SDN，所述方法包括：

采用如权利要求1-5任一项所述的边缘节点的DDoS攻击检测方法判断与每个目的IP地址对应的边缘节点是否存在DDoS攻击；

若判断存在DDoS攻击，则将与所述目的IP地址、源IP地址和目的端口匹配的请求报文丢弃；

如判断边缘节点不存在DDoS攻击，则转发所述目的IP地址、源IP地址和目的端口匹配的请求报文。

7.根据权利要求6所述的边缘节点的DDoS攻击处理方法，其特征在于，若判断边缘节点存在DDoS攻击，则将与所述目的IP地址、源IP地址和目的端口匹配的请求报文丢弃，包括：

SDN中的控制器生成所述边缘节点对应的流表，所述流表用于指示SDN中的交换机将与所述目的IP地址、源IP地址和目的端口匹配的请求报文丢弃，所述流表的优先级设置为最高优先级；

向SDN中的交换机下发所述流表，以使所述交换机在接收到与所述目的IP地址、源IP地址和目的端口匹配的请求报文时优先匹配所述流表并将其丢弃。

8.一种SDN，其特征在于，包括：

接收模块，用于接收预定时间段内傀儡机发送的请求报文流；

计算模块，与所述接收模块连接，用于根据所述请求报文流计算每个请求报文中每个目的IP地址对应的目的端口的熵值以及源端口的熵值；

判断模块，与所述计算模块连接，用于根据每个目的IP地址对应的目的端口的熵值以及源端口的熵值判断所述目的IP地址对应的边缘节点是否存在DDoS攻击。

9.根据权利要求8所述的SDN，其特征在于，还包括：

流表项清空模块，用于在所述预定时间段的起始时刻到来时，清空交换机的流表项。

10.根据权利要求8所述的SDN，其特征在于，还包括：

第一处理模块，与所述判断模块连接，用于在所述判断模块判断所述边缘节点存在DDoS攻击时，将与所述目的IP地址、源IP地址和目的端口匹配的请求报文丢弃；

第二处理模块，与所述判断模块连接，用于在所述判断模块判断所述边缘节点不存在DDoS攻击时，转发所述目的IP地址、源IP地址和目的端口匹配的请求报文。