[发明专利]一种基于多控制器迁移的SDN抗盲DDos攻击方法

说明书

本发明涉及网络安全防护技术领域，尤其涉及一种基于多控制器迁移的SDN抗盲DDos攻击方法，包括如下步骤：S1、检测SDN网络是否受到盲DDos攻击；S2、利用多个控制器组成控制器池，控制器池包括离线控制器和在线控制器；S3、对控制器池内的各控制器进行监控；S4、动态地将控制器连接到交换机上；S5、监控在线控制器的带宽和负载，当SDN网络受到盲DDoS攻击时，将控制器池中的离线控制器切换到在线状态，并为控制器分配相应的IP地址。本发明能对控制器池内的各控制器进行有效监控，并将控制器动态的与交换机进行连接，在SDN网络受到盲DDos攻击时，将控制器池中的离线控制器切换到在线状态，并为控制器分配相应的IP地址，有效的提高了SDN网络的可靠性和安全性。

技术领域

本发明涉及网络安全防护技术领域，尤其涉及一种基于多控制器迁移的SDN抗盲DDos攻击方法。

背景技术

传统网络设备上把设备控制和数据转发耦合在一起，从而使得路由器、交换机等设备的管理非常复杂，缺少灵活性和扩展性，阻碍了网络的进一步飞速发展。因此，在这种背景下，出现了软件定义网络的概念及其相关技术，软件定义网络(Software DefinedNetwork，SDN)是一种新型网络创新架构，是网络虚拟化的一种实现方式。软件定义网络的核心技术OpenFlow通过将网络设备的控制面与数据面分离开来，能够灵活控制网络流量，将网络作为管道，能够变得更加智能，并能为核心网络及应用的创新提供平台。分布式拒绝服务攻击(Distributed Denial of Service，简称DDoS)可以使大量计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，分布式拒绝服务攻击已经出现了很多次，导致很多的大型网站都出现了无法进行操作的情况，不仅影响了用户对计算机的正常使用，而且造成了非常巨大的经济损失。移动目标防御(Moving Target Defense，MTD)技术是革命性技术之一，移动目标防御与以往的网络安全技术完全不同，移动目标防御能将被动防御方式变为主动防御方式，移动目标防御的系统和网络状态随着时间、空间以及物理环境等多个维度的变化而不断改变，使得入侵者的入侵难度增加，有效降低己方漏洞暴露的概率，成为未来网络安全防护技术的重点发展方向。交换机根据工作位置的不同，可以分为广域网交换机和局域网交换机。广域的交换机就是一种在通信系统中完成信息交换功能的设备，它应用在数据链路层。交换机有多个端口，每个端口都具有桥接功能，可以连接一个局域网或一台高性能服务器或工作站。交换机有时也被称为多端口网桥。

对于现有的SDN网络，不能有效抵御盲DDoS攻击导致的大量攻击流量，导致SDN网络的可用性、可靠性和安全性较低，容易造成SDN网络中数据的丢失或损坏。

发明内容

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种基于多控制器迁移的SDN抗盲DDos攻击方法，能有效地抵御盲DDos攻击下的大量攻击流量，对控制器池内的各控制器进行有效监控，并将控制器动态的与交换机进行连接，在检测SDN网络是否受到盲DDos攻击时，同时检测在线控制器的带宽和负载，当检测结果表明SDN网络受到盲DDos攻击时，将由多个控制器组成的控制器池中的离线控制器切换到在线状态，并为控制器分配相应的IP地址，有效的提高了SDN网络的可用性、可靠性和安全性，有效的保护了SDN网络中的数据。

(二)技术方案

本发明提供了一种基于多控制器迁移的SDN抗盲DDos攻击方法，包括如下步骤：

S1、检测SDN网络是否受到盲DDos攻击；

S2、利用多个控制器组成控制器池，控制器池包括离线控制器和在线控制器；

S3、对控制器池内的各控制器进行监控；

S4、动态地将控制器连接到交换机上；

S5、监控在线控制器的带宽和负载，当SDN网络受到盲DDoS攻击时，将控制器池中的离线控制器切换到在线状态，并为控制器分配相应的IP地址。