[发明专利]一种SDN环境下的DDoS攻击检测和防御方法

说明书

本发明公开了一种SDN环境下的DDoS攻击检测和防御方法，该方法包括以下步骤：1)根据数据平面上的交换机中的packet_in消息的统计信息触发DDoS攻击检测机制；2)识别SDN网络流量特征，根据SDN网络流量特征判断可疑流量是否为DDoS攻击；3)缓解可疑流量对于SDN网络的影响。本发明针对SDN网络控制平面与数据平面分离的特点，提出了能够更准确区分攻击流的特征，从而实现流量特征提取和DDoS攻击检测，显著提升DDoS攻击检测和防御工作效率和智能化水平。

技术领域

本发明涉及网络安全技术，尤其涉及一种SDN环境下的DDoS攻击检测和防御方法。

背景技术

SDN是一种新型的网络架构，它能够满足未来网络不断增长的需求。与传统的网络体系结构相比，SDN架构的核心在于控制平面与数据平面的分离。SDN架构通常由三个平面组成：数据平面，控制平面和应用平面。数据平面由充当转发设备的网络交换机组成。控制平面包含至少一个软件控制器，该软件控制器在逻辑上对网络进行集中管理，控制网络中这些转发设备的配置和行为。应用平面是控制器应用程序所在的位置。

控制器通过OpenFlow等协议维持与数据平面交换机的联系，并获取当前网络的全局视图，收集网络信息。由于所有网络信息都集中到了控制器中，控制器可以根据所有设备的使用情况和全局流量行为分析下发策略，这有助于网络管理员主动监视和重新配置网络。因此，这种集中式控制使网络变得灵活，并大大简化了网络管理。同时，可编程的软件环境可以适应不断变化的业务需求，促进网络功能创新。

DDoS攻击通过利用大量被操纵的分布式服务器，对目标发送大量的欺骗性IP数据包，快速耗尽目标的带宽或资源，从而导致目标服务器无法为合法用户提供正常的网络服务。DDoS易于启动，难以防御和跟踪，因此很容易对网络造成严重破坏。

在SDN的架构中，DDoS攻击可以针对于应用层、控制层、数据层中的任一层，DDoS攻击在SDN环境下的攻击方法与其在传统网络中相比具有不一样的特点。现有的SDN上的检测和防御DDoS攻击的方法多是移植传统网络下的方法实现，没有充分分析SDN环境下的DDoS攻击流量特性并利用SDN的特点和优势。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种SDN环境下的DDoS攻击检测和防御方法。

本发明解决其技术问题所采用的技术方案是：一种SDN环境下的DDoS攻击检测和防御方法，包括以下步骤：

1)根据数据平面上的交换机中的packet_in消息的统计信息实现检测触发机制，具体如下：

1.1)设置窗口值val与数据包速率阈值threshold；

1.2)统计源/目的IP无法匹配交换机中的流表项的数据包的个数；

1.3)当计数值达到val时，计算消息速率；

1.4)将消息速率与数据包速率阈值threshold比较，若消息速率大于数据包速率阈值，触发DDoS攻击检测机制；

2)识别SDN网络流量特征，根据SDN网络流量特征判断可疑流量是否为DDoS攻击；

2.1)SDN控制器收到触发DDoS攻击检测的通知后，对交换机的流量特征进行提取；

用于DDoS检测的流量特征如下：

a)字节率br(byte rate)：单位时间间隔内的流量平均字节数。

其中，b_Tn和b_Tn-1分别表示在T_n和T_n-1之间的某条流比特数，br是在T_n和T_n-1之间某条流的平均比特率。