【具體實施方式】
[0022] 為使本發(fā)明的目的���、技術方案和優(yōu)點更加清楚明了��,下面結合【具體實施方式】并參 照附圖����,對本發(fā)明進一步詳細說明。應該理解�����,這些描述只是示例性的��,而并非要限制本發(fā) 明的范圍����。此外,在以下說明中����,省略了對公知結構和技術的描述,以避免不必要地混淆本 發(fā)明的概念��。
[0023] 圖1示出了軟件定義網(wǎng)絡中數(shù)據(jù)層的原理框圖�。
[0024] 如圖1所不�,在軟件定義網(wǎng)絡(SoftwareDefinedNetwork,SDN)架構中,當一個 報文(Packet)到達交換機的時候��,首先對交換機中所帶的流表進行匹配。如果匹配成功��, 就按照流表指定的動作執(zhí)行轉發(fā)規(guī)則����。如果匹配失敗,則交換機將該報文封裝在PacketIn 消息中�,發(fā)送給控制器,并且交換機將此報文存在本地緩存中���。等待控制器作出決策��,如何 處理此報文��。
[0025] 網(wǎng)絡中有很多主機��,則需要建立一張針對網(wǎng)絡中所有主機為鍵的哈希表���,稱之為 "違規(guī)次數(shù)哈希表組",其包括:適于對欺騙報文進行計數(shù)的第一哈希表���,適于對破壞報文進 行計數(shù)的第二哈希表��,適于對泛洪式攻擊進行計數(shù)的第三哈希表��。記錄對應主機的違規(guī)次 數(shù)����,也就是主機的誠信度。
[0026] 網(wǎng)絡中的數(shù)據(jù)包是實時的�,所以需要建立一種單位時間內(nèi)的威脅報文計數(shù)的哈希 表,并且每個主機對應一個哈希表中的一個鍵����,對應的鍵值是記錄的單位時間內(nèi)對應鍵的 主機發(fā)送的威脅數(shù)據(jù)包的個數(shù)。此類哈希表在單位時間"時間片"開始時候必須將哈希表內(nèi) 所有鍵對應的鍵值置0;且每種檢測的報文都需要有這樣的一張表��,就比如說檢測了 100 種報文�����,就需要有100個此類的哈希表����。
[0027] 而且,每個哈希表必須有一個對應的閾值�。哈希表中只要一有主機在相應值中累 加計數(shù)。計數(shù)后檢查該值是否超過設定的閾值�。如果超過相應的閾值�����,則在違規(guī)次數(shù)哈希 表對應記錄中的鍵值計數(shù)。
[0028] 并且��,每個哈希表的閾值����,哈希表時間片長度等參數(shù)都是可以通過接口調節(jié)的。
[0029] 例如:主機的哈希表為: 單位時間欺騙報文計數(shù)哈希表
【主權項】
1. 一種SDN網(wǎng)絡架構�����,其特征在于���,包括:數(shù)據(jù)平面�����、應用平面和控制平面���;其中 數(shù)據(jù)平面,當位于數(shù)據(jù)平面中任一 IDS設備檢測到攻擊威脅時��,通知應用平面進入到 攻擊類型分析流程�����; 應用平面,用于對攻擊類型進行分析�,并根據(jù)攻擊類型定制相應的攻擊威脅處理策 略; 控制平面��,為應用平面提供攻擊威脅處理接口�,并為數(shù)據(jù)平面提供最優(yōu)路徑計算和/ 或攻擊威脅識別接口。
2. -種SDN系統(tǒng)�,其特征在于,包括:控制器����、IDS決策服務器、分布式的IDS設備和流 量清洗中屯�、; 當任一 IDS設備檢測到具有DDoS攻擊特征的報文時��,即通過S化通信信道上報至IDS 決策服務器�����; 所述IDS決策服務器根據(jù)上報信息���,制定出與具有DDoS攻擊特征的報文對應的處理策 略�,然后將該報文通過控制器屏蔽或者將該報文所對應的交換機接入端口流量重定向到流 量清洗中屯、進行過濾����。
3. 根據(jù)權利要求2所述的SDN系統(tǒng)�,其特征在于,所述IDS設備內(nèi)包括: 欺騙報文檢測模塊�,對鏈路層和網(wǎng)際層地址的欺騙行為進行檢測; 破壞報文檢測模塊�,對網(wǎng)際層和傳輸層標志位設置的異常行為進行檢測; 異常報文檢測模塊�����,對應用層和傳輸層泛洪式攻擊行為進行檢測���; 通過所述欺騙報文檢測模塊���、破壞報文檢測模塊、異常報文檢測模塊依次對報文進行 檢測���;且若任一檢測模塊檢測出報文存在上述相應行為時����,則將該報文轉入IDS決策服務 器。
4. 根據(jù)權利要求3所述的SDN系統(tǒng)���,其特征在于��, 所述IDS決策服務器適于當報文具有欺騙行為��,且攻擊威脅在化enFlow域中��,則通過 控制器屏蔽主機����;或當攻擊威脅不在化enFlow域中����,則通過控制器將該報文所對應的交換 機接入端口流量重定向至流量清洗中屯、進行過濾���; 所述IDS決策服務器還適于當報文具有異常行為�����,則通過控制器對攻擊程序或攻擊主 機的流量進行屏蔽�����;W及 當報文具有泛洪式攻擊行為�,則所述IDS決策服務器適于通過控制器將該報文所對應 的交換機接入端口流量重定向至流量清洗中屯、進行過濾��。
5. -種融合DDoS威脅過濾與路由優(yōu)化的SDN系統(tǒng)的工作方法�����,包括如下步驟: 步驟S100,網(wǎng)絡初始化����; 步驟S200,分布式DDoS威脅監(jiān)測���;W及 步驟S300,威脅處理和/或路由優(yōu)化�。
6. 根據(jù)權利要求5所述的融合DDoS威脅過濾與路由優(yōu)化的SDN系統(tǒng)的工作方法����,其特 征在于,所述步驟S100中網(wǎng)絡初始化所設及的裝置包括����;控制器、IDS決策服務器和分布式 的IDS設備�����; 網(wǎng)絡初始化的步驟如下: 步驟S101,所述IDS決策服務器與各IDS設備建立專用的S化通信信道�����; 步驟S102,所述控制器構建網(wǎng)絡設備信息綁定表�,并且將網(wǎng)絡設備信息綁定表實時更 新到各IDS設備中; 步驟S104,所述控制器下發(fā)鏡像策略的流表����,即將OF交換機所有拖載有主機的端口流 量鏡像轉發(fā)給網(wǎng)域內(nèi)對應的IDS設備;W及 步驟S105,所述控制器下發(fā)DDoS威脅識別規(guī)則給每個網(wǎng)域中對應的各IDS設備�����。
7. 根據(jù)權利要求5或6所述的融合DDoS威脅過濾與路由優(yōu)化的SDN系統(tǒng)的工作方法��, 其特征在于��,所述步驟S200中分布式DDoS威脅監(jiān)測的方法包括���; 依次對鏈路層和網(wǎng)際層地址的欺騙行為��,網(wǎng)際層和傳輸層標志位設置異常行為���,W及 應用層和傳輸層的泛洪式攻擊行為進行檢測����; 若上述過程中任一檢測判斷出報文存在相應行為時���,則將該報文轉入步驟S300��。
8. 根據(jù)權利要求7所述的融合DDoS威脅過濾與路由優(yōu)化的SDN系統(tǒng)的工作方法�,其特 征在于�, 對鏈路層和網(wǎng)際層地址的欺騙行為進行檢測的方法包括: 通過欺騙報文檢測模塊對欺騙行為進行檢測�,即 首先,通過欺騙報文檢測模塊調用網(wǎng)絡設備信息綁定表��; 其次��,通過欺騙報文檢測模塊將封裝在化cket-In消息中報文的類型進行解析�����,W獲 得相應的源�����、目的IP地址、MAC地址W及上傳此化cket-In消息的交換機DPID號和端口號�����, 并將上述各信息分別與網(wǎng)絡設備信息綁定表中的相應信息進行比對�; 若報文中的上述信息匹配,則將報文進行下一檢測��; 若報文中的上述信息不匹配����,則將報文轉入步驟S300 ; 所述網(wǎng)際層和傳輸層標志位設置異常行為進行檢測的方法包括: 通過破壞報文檢測模塊對標志位設置異常行為進行檢測,即 對報文的各標志位進行檢測����,W判斷各標志位是否符合TCP/IP協(xié)議規(guī)范; 若報文的各標志位符合���,則將報文轉入進行下一檢測�; 若報文的各標志位不符合�,則將報文轉入步驟S300 ; 所述應用層和傳輸層的泛洪式攻擊行為進行檢測的方法包括: 通過異常報文檢測模塊對泛洪式攻擊行為進行檢測,即 在異常報文檢測模塊構建用于識別泛洪式攻擊報文的哈希表���,并根據(jù)該哈希表中設定 的閥值判斷報文是否具有泛洪式攻擊行為�,且將判斷結果轉入步驟S300。
9. 根據(jù)權利要求8所述的融合DDoS威脅過濾與路由優(yōu)化的SDN系統(tǒng)的工作方法��,其特 征在于���,所述步驟S300中威脅處理和/或路由優(yōu)化的方法包括: 若報文具有欺騙行為�,且攻擊威脅在化enFlow域中��,則所述IDS決策服務器適于通過 控制器屏蔽主機�����;W及當攻擊威脅不在化enFlow域中����,則通過控制器將該報文所對應的交 換機接入端口流量重定向至流量清洗中屯、進行過濾; 若報文具有異常行為����,則所述IDS決策服務器通過控制器對攻擊程序或攻擊主機的流 量進行屏蔽; 若報文具有泛洪式攻擊行為�,則所述IDS決策服務器通過控制器將該報文所對應的交 換機接入端口流量重定向至流量清洗中屯�、進行過濾����;和/或 根據(jù)鏈路負載系數(shù)計算出優(yōu)化路徑���,即檢測兩相鄰節(jié)點的鏈路剩余帶寬�,獲得該鏈路 的負載系數(shù)����,在根據(jù)該負載系數(shù)和初始化的網(wǎng)絡拓撲圖獲得任意兩點的最優(yōu)路徑,所述控 制器根據(jù)該最優(yōu)路徑得出對應的轉發(fā)流表并下發(fā)各交換機����。
10.根據(jù)權利要求9所述的融合DDoS威脅過濾與路由優(yōu)化的SDN系統(tǒng)的工作方法,其 特征在于�,所述IDS決策服務器屏蔽發(fā)送報文的程序和/或主機的方法包括: 首先,構建計數(shù)用的相應哈希表及設定相應闊值���,即 單位時間內(nèi)���,所述IDS決策服務器中構建對欺騙行為進行計數(shù)的第一哈希表,標志位 設置異常行為進行計數(shù)的第二哈希表����,W及對泛洪式攻擊行為進行計數(shù)的第=哈希表��; 同時設定第一��、第二����、第S哈希表中的第一�、第二、第S閥值����; 其次,屏蔽發(fā)送該報文的程序和/或主機���,即 針對轉入IDS決策服務器的報文的行為���,利用相應哈希表進行計數(shù),當計數(shù)值超過相 應閥值時��,屏蔽發(fā)送該報文的程序和/或主機�。
【專利摘要】本發(fā)明公開了一種融合DDoS威脅過濾與路由優(yōu)化的SDN架構�����、系統(tǒng)及工作方法,本SDN網(wǎng)絡架構����,包括:應用平面、數(shù)據(jù)平面和控制平面���;其中數(shù)據(jù)平面��,當位于數(shù)據(jù)平面中任一IDS設備檢測到攻擊威脅時�,通知應用平面進入到攻擊類型分析流程����;應用平面,用于對攻擊類型進行分析�����,并根據(jù)攻擊類型定制相應的攻擊威脅處理策略����;控制平面,為應用平面提供攻擊威脅處理接口����,并為數(shù)據(jù)平面提供最優(yōu)路徑計算和/或攻擊威脅識別接口���。本發(fā)明可使網(wǎng)絡在遭受大規(guī)模DDoS威脅時,能夠根據(jù)鏈路的實時狀況實現(xiàn)路由優(yōu)化的流量轉發(fā)����,同時迅速準確的進行DDoS威脅識別和處理響應,全面保障網(wǎng)絡通信質量���。
【IPC分類】H04L29-06, H04L12-725
【公開號】CN104539594
【申請?zhí)枴緾N201410786993
【發(fā)明人】張家華, 王江平, 李瀅, 李朔
【申請人】南京曉莊學院
【公開日】2015年4月22日
【申請日】2014年12月17日