[发明专利]一种SDN环境中的DDoS攻击溯源方法及终端

说明书

本发明提供了一种SDN环境中的DDoS攻击溯源方法，判断SDN环境中流的状态，若为可疑状态则标记所述流为可疑流再次判断所述可疑流的状态，若为可疑状态则标记转发所述可疑流的交换机为可疑交换机，并监测所述可疑交换机，若为危险状态则标记所述可疑流为危险流并根据条件熵路径回溯策略进行路径回溯得到攻击源，清除所述攻击源；本发明依据不同的流状态采取不同的应对策略；对可疑状态的流的交换机部署对应的监测节点，对处于危险状态的流进行路径回溯，及时地寻找到攻击源并完成清除；避免了SDN控制器进行高强度的溯源，有效减轻SDN控制器负载。

技术领域

本发明涉及信息安全领域，尤其涉及一种SDN环境中的DDoS攻击溯源方法及终端。

背景技术

软件定义网络(Software Defined Networking,SDN)作为新兴的网络架构，具有集中控制、高利用率及可编程的优点，是未来网络提供灵活、多样的连接和服务不可缺少的部分，在物联网和云计算等领域具有广泛的应用前景。但SDN在带来便利的同时也有着许多安全挑战。其中，分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是最值得关注的安全问题之一。在SDN网络中，DDoS攻击持续耗尽网络中关键设备的资源，最终导致SDN网络无法提供正常服务甚至崩溃。

SDN中的DDoS攻击形式主要是利用SDN自身的特点发起攻击，SDN网络中的DDoS攻击存在传统网络中的DDoS攻击没有的单点故障问题，即一旦控制器失效，控制器下的整个SDN网络则会立即陷入瘫痪。攻击者利用控制转发分离的特点，既可以对转发设施实施攻击，又可以增加转发设施和控制器之间的传输负载。这些攻击方式都会增大控制器的负载，加大控制器失效的可能。

当攻击者不断地学习和尝试，系统想要准确检测出攻击会变得越加困难且作用有限。因此，需要及时寻找到攻击源头并完成清除，才能有效的增强网络安全性。只有通过建立DDoS攻击溯源方法，完成重建攻击路径并找到攻击源，才能从根源解决攻击问题。

因此，攻击溯源方案在SDN环境中抵御DDoS攻击方面起着重要作用，但现有的许多溯源方法仍未充分利用SDN的优点。传统网络环境中的DDoS攻击溯源方法到目前为止已进行了丰富的研究，如日志溯源方法、连接测试方法、包标记方法等方法。但SDN网络中的DDoS攻击溯源方法的研究相对较少。Chen等人(ComputersElectrical Engineering 81(2020)，106503)提出了一种基于统计的DDoS攻击溯源方案，该方案通过基站节点的流量变化的特征值构建异常树，并通过攻击检测的方法修建该异常树，从而完成攻击路径的回溯。Francois等人(International Workshop on Information Forensics and Security,2014,203-208)提出一种通过分析流条目确定攻击源的溯源方案。该方案首先利用SDN控制器定期检测交换机的流条目，一旦检测到攻击，则立即定位检测到攻击的交换机及其邻居交换机的流条目，从而完成攻击回溯。Ali等人(Guide to Security in SDN and NFV,2017,171-196)提出一种通过SDN和NFV的结合来保护云服务提供商和租户抵御DDoS攻击的方案。该方案通过引入NFV(Network Functions Virtualization，网络功能虚拟化)技术，集中编排用于防御的虚拟网络功能，并动态分配这些虚拟网络功能。

然而，现有SDN网络下的DDoS攻击溯源的研究成果存在以下不足：路径回溯的方法都是通过对系统中所有部分的依次排查，造成溯源效率过低，且缺乏快速响应的溯源机制部署。

发明内容

本发明所要解决的技术问题是：提供一种SDN环境中的DDoS攻击溯源方法及终端，实现对DDoS攻击的快速溯源。

为了解决上述技术问题，本发明采用的一种技术方案为：

一种SDN环境中的DDoS攻击溯源方法，包括步骤：