DDoS識(shí)別、防護(hù)和路徑優(yōu)化的軟件定義的網(wǎng)絡(luò)架構(gòu)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別是涉及一種DDoS識(shí)別、防護(hù)和路徑優(yōu)化的軟件定 義的網(wǎng)絡(luò)架構(gòu)。
【背景技術(shù)】
[0002] 當(dāng)前,高速廣泛連接的網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代社會(huì)的重要基礎(chǔ)設(shè)施。然而,隨著互聯(lián)網(wǎng) 規(guī)模的膨脹,傳統(tǒng)規(guī)范體系的缺陷也日益呈現(xiàn)出來。
[0003] 國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)最新發(fā)布的報(bào)告表明:黑客 活動(dòng)日趨頻繁,網(wǎng)站后門、網(wǎng)絡(luò)釣魚、Web惡意掛馬等攻擊事件呈大幅增長趨勢(shì),國家、企業(yè) 的網(wǎng)絡(luò)安全性面臨著嚴(yán)峻挑戰(zhàn)。
[0004] 其中,分布式拒絕服務(wù)攻擊(DistributedDenialofService,DDoS)仍然是影響 互聯(lián)網(wǎng)運(yùn)行安全最主要的威脅之一。在過去的幾年里,DDoS攻擊的數(shù)目、大小、類型都大幅 上漲。
[0005] 軟件定義網(wǎng)絡(luò)(SoftwareDefinedNetwork,SDN)具有可實(shí)時(shí)更新路由策略與規(guī) 貝1J、支持深層次的數(shù)據(jù)包分析等特性,因而可針對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)環(huán)境中的DDoS威脅提供更迅 速準(zhǔn)確的網(wǎng)絡(luò)監(jiān)控及防御功能。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明的目的是提供一種軟件定義的網(wǎng)絡(luò)架構(gòu)及其工作方法,以解決現(xiàn)有網(wǎng)絡(luò) 中大量DDoS攻擊所造成的網(wǎng)絡(luò)安全問題,以實(shí)現(xiàn)快速、高效、全面地識(shí)別與防御DDoS攻擊。
[0007] 為了解決上述技術(shù)問題,本發(fā)明提供了一種軟件定義的網(wǎng)絡(luò)架構(gòu),包括:應(yīng)用層、 數(shù)據(jù)層和控制層;其中數(shù)據(jù)層,當(dāng)位于數(shù)據(jù)層中任一IDS設(shè)備檢測到攻擊威脅時(shí),通知應(yīng)用 層進(jìn)入到攻擊類型分析流程;應(yīng)用層,用于對(duì)攻擊類型進(jìn)行分析,并根據(jù)攻擊類型定制相應(yīng) 的攻擊威脅處理策略;控制層,為應(yīng)用層提供攻擊威脅處理接口,并為數(shù)據(jù)層提供最優(yōu)路徑 計(jì)算和/或攻擊威脅識(shí)別接口。
[0008] 優(yōu)選的,為了在IDS設(shè)備中實(shí)現(xiàn)DDoS檢測,當(dāng)任一IDS設(shè)備檢測到具有DDoS攻擊 特征的報(bào)文時(shí),上報(bào)至應(yīng)用層;所述應(yīng)用層根據(jù)上報(bào)信息,制定出與具有DDoS攻擊特征的 報(bào)文對(duì)應(yīng)的處理策略,然后將該報(bào)文通過控制層中的控制器屏蔽或者將該報(bào)文所對(duì)應(yīng)的交 換機(jī)接入端口流量重定向到流量清洗中心進(jìn)行過濾;所述IDS設(shè)備內(nèi)包括:欺騙報(bào)文檢測 模塊,對(duì)鏈路層和網(wǎng)際層地址的欺騙行為進(jìn)行檢測;破壞報(bào)文檢測模塊,對(duì)網(wǎng)際層和傳輸層 標(biāo)志位設(shè)置的異常行為進(jìn)行檢測;異常報(bào)文檢測模塊,對(duì)應(yīng)用層和傳輸層泛洪式攻擊行為 進(jìn)行檢測;通過所述欺騙報(bào)文檢測模塊、破壞報(bào)文檢測模塊、異常報(bào)文檢測模塊依次對(duì)報(bào)文 進(jìn)行檢測;且若任一檢測模塊檢測出報(bào)文存在上述相應(yīng)行為時(shí),則將該報(bào)文轉(zhuǎn)入應(yīng)用層。
[0009] 優(yōu)選的,所述應(yīng)用層適于當(dāng)報(bào)文具有欺騙行為,且攻擊威脅在OpenFlow域中,則 通過控制器屏蔽主機(jī);或當(dāng)攻擊威脅不在OpenFlow域中,則通過控制器將該報(bào)文所對(duì)應(yīng)的 交換機(jī)接入端口流量重定向至流量清洗中心進(jìn)行過濾;所述應(yīng)用層還適于當(dāng)報(bào)文具有異常 行為,則通過控制器對(duì)攻擊程序或攻擊主機(jī)的流量進(jìn)行屏蔽;以及當(dāng)報(bào)文具有泛洪式攻擊 行為,則所述應(yīng)用層適于通過控制器將該報(bào)文所對(duì)應(yīng)的交換機(jī)接入端口流量重定向至流量 清洗中心進(jìn)行過濾。
[0010] 本發(fā)明的有益效果:本發(fā)明將DDoS威脅監(jiān)測、威脅防護(hù)、路由優(yōu)化等業(yè)務(wù)功能模 塊分別部署于數(shù)據(jù)層、控制層和應(yīng)用層??墒咕W(wǎng)絡(luò)在遭受大規(guī)模DDoS威脅時(shí),能夠根據(jù)鏈 路的實(shí)時(shí)狀況實(shí)現(xiàn)路由優(yōu)化的流量轉(zhuǎn)發(fā),同時(shí)迅速準(zhǔn)確的進(jìn)行DDoS威脅識(shí)別和處理響應(yīng), 全面保障網(wǎng)絡(luò)通信質(zhì)量。
[0011] 又一方面,本發(fā)明在上述網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上還提供了一種工作方法,以解決對(duì) DDoS攻擊的分布式監(jiān)測,在制定相應(yīng)威脅處理策略的技術(shù)問題。
[0012] 為了解決上述技術(shù)問題,本發(fā)明的網(wǎng)絡(luò)架構(gòu)的的工作方法,包括如下步驟: 步驟S100,網(wǎng)絡(luò)初始化;步驟S200,分布式DDoS威脅監(jiān)測;以及步驟S300,威脅處理和 /或路由優(yōu)化。
[0013] 優(yōu)選的,為了更好的實(shí)現(xiàn)網(wǎng)絡(luò)配置,所述步驟S100中網(wǎng)絡(luò)初始化所涉及的裝置包 括:數(shù)據(jù)層中的IDS設(shè)備、控制層中的控制器和應(yīng)用層中的IDS決策服務(wù)器;網(wǎng)絡(luò)初始化的 步驟如下:步驟S101,所述IDS決策服務(wù)器與各IDS設(shè)備建立專用的SSL通信信道;步驟 S102,所述控制器構(gòu)建網(wǎng)絡(luò)設(shè)備信息綁定表,并且將網(wǎng)絡(luò)設(shè)備信息綁定表實(shí)時(shí)更新到各IDS 設(shè)備中; 步驟S104,所述控制器下發(fā)鏡像策略的流表,即將OF交換機(jī)所有拖載有主機(jī)的端口流 量鏡像轉(zhuǎn)發(fā)給網(wǎng)域內(nèi)對(duì)應(yīng)的IDS設(shè)備;以及步驟S105,所述控制器下發(fā)DDoS威脅識(shí)別規(guī)則 給每個(gè)網(wǎng)域中對(duì)應(yīng)的各IDS設(shè)備。
[0014] 優(yōu)選的,所述步驟S200中分布式DDoS威脅監(jiān)測的方法包括:依次對(duì)鏈路層和網(wǎng)際 層地址的欺騙行為,網(wǎng)際層和傳輸層標(biāo)志位設(shè)置異常行為,以及應(yīng)用層和傳輸層的泛洪式 攻擊行為進(jìn)行檢測;若上述過程中任一檢測判斷出報(bào)文存在相應(yīng)行為時(shí),則將該報(bào)文轉(zhuǎn)入 步驟S300。
[0015] 優(yōu)選的,對(duì)鏈路層和網(wǎng)際層地址的欺騙行為進(jìn)行檢測的方法包括:通過欺騙報(bào)文 檢測模塊對(duì)欺騙行為進(jìn)行檢測,即首先,通過欺騙報(bào)文檢測模塊調(diào)用網(wǎng)絡(luò)設(shè)備信息綁定表; 其次,通過欺騙報(bào)文檢測模塊將封裝在Packet-In消息中報(bào)文的類型進(jìn)行解析,以獲得相 應(yīng)的源、目的IP地址、MAC地址以及上傳此Packet-In消息的交換機(jī)DPID號(hào)和端口號(hào),并 將上述各信息分別與網(wǎng)絡(luò)設(shè)備信息綁定表中的相應(yīng)信息進(jìn)行比對(duì);若報(bào)文中的上述信息匹 配,則將報(bào)文進(jìn)行下一檢測;若報(bào)文中的上述信息不匹配,則將報(bào)文轉(zhuǎn)入步驟S300 ;所述網(wǎng) 際層和傳輸層標(biāo)志位設(shè)置異常行為進(jìn)行檢測的方法包括:通過破壞報(bào)文檢測模塊對(duì)標(biāo)志 位設(shè)置異常行為進(jìn)行檢測,即對(duì)報(bào)文的各標(biāo)志位進(jìn)行檢測,以判斷各標(biāo)志位是否符合TCP/ IP協(xié)議規(guī)范;若報(bào)文的各標(biāo)志位符合,則將報(bào)文轉(zhuǎn)入進(jìn)行下一檢測;若報(bào)文的各標(biāo)志位不 符合,則將報(bào)文轉(zhuǎn)入步驟S300 ;所述應(yīng)用層和傳輸層的泛洪式攻擊行為進(jìn)行檢測的方法包 括:通過異常報(bào)文檢測模塊對(duì)泛洪式攻擊行為進(jìn)行檢測,即在異常報(bào)文檢測模塊構(gòu)建用于 識(shí)別泛洪式攻擊報(bào)文的哈希表,并根據(jù)該哈希表中設(shè)定的閥值判斷報(bào)文是否具有泛洪式攻 擊行為,且將判斷結(jié)果轉(zhuǎn)入步驟S300。
[0016] 優(yōu)選的,所述步驟S300中威脅處理和/或路由優(yōu)化的方法包括: 若報(bào)文具有欺騙行為,且攻擊威脅在OpenFlow域中,則所述IDS決策服務(wù)器適于通過 控制器屏蔽主機(jī);以及當(dāng)攻擊威脅不在OpenFlow域中,則通過控制器將該報(bào)文所對(duì)應(yīng)的交 換機(jī)接入端口流量重定向至流量清洗中心進(jìn)行過濾;若報(bào)文具有異常行為,則所述IDS決 策服務(wù)器通過控制器對(duì)攻擊程序或攻擊主機(jī)的流量進(jìn)行屏蔽;若報(bào)文具有泛洪式攻擊行 為,則所述IDS決策服務(wù)器通過控制器將該報(bào)文所對(duì)應(yīng)的交換機(jī)接入端口流量重定向至流 量清洗中心進(jìn)行過濾;和/或根據(jù)鏈路負(fù)載系數(shù)計(jì)算出優(yōu)化路徑,即檢測兩相鄰節(jié)點(diǎn)的鏈 路剩余帶寬,獲得該鏈路的負(fù)載系數(shù),在根據(jù)該負(fù)載系數(shù)和初始化的網(wǎng)絡(luò)拓?fù)鋱D獲得任意 兩點(diǎn)的最優(yōu)路徑,所述控制器根據(jù)該最優(yōu)路徑得出對(duì)應(yīng)的轉(zhuǎn)發(fā)流表并下發(fā)各交換機(jī)。
[0017] 優(yōu)選的,所述IDS決策服務(wù)器屏蔽發(fā)送報(bào)文的程序和/或主機(jī)的方法包括: 首先,構(gòu)建計(jì)數(shù)用的相應(yīng)哈希表及設(shè)定相應(yīng)閾值,即單位時(shí)間內(nèi),所述IDS決策服務(wù)器 中構(gòu)建對(duì)欺騙行為進(jìn)行計(jì)數(shù)的第一哈希表,標(biāo)志位設(shè)置異常行為進(jìn)行計(jì)數(shù)的第二哈希表, 以及對(duì)泛洪式攻擊行為進(jìn)行計(jì)數(shù)的第三哈希表;同時(shí)設(shè)定第一、第二、第三哈希表中的第 一、第二、第三閥值;其次,屏蔽發(fā)送該報(bào)文的程序和/或主機(jī),即針對(duì)轉(zhuǎn)入IDS決策服務(wù)器 的報(bào)文的行為,利用相應(yīng)哈希表進(jìn)行計(jì)數(shù),當(dāng)計(jì)數(shù)值超過相應(yīng)閥值時(shí),屏蔽發(fā)送該報(bào)文的程 序和/或主機(jī)。
[0018] 本發(fā)明的有益效果:(1)本發(fā)明將DDoS威脅過濾技術(shù)與路由優(yōu)化技術(shù)融合,在進(jìn) 行監(jiān)測、屏蔽DD0S攻擊時(shí),并不會(huì)造成數(shù)據(jù)的擁堵,并且通過將監(jiān)測和威脅處理分開,有效 的減輕了控制層面的負(fù)擔(dān),保證了網(wǎng)絡(luò)更安全、高校的運(yùn)行;(2)本發(fā)明使得傳統(tǒng)網(wǎng)絡(luò)體系 架構(gòu)下無法對(duì)地址偽造DDoS攻擊進(jìn)行識(shí)別與溯源的難題從根本上得到了解決。在網(wǎng)絡(luò)中 存在DDoS攻擊或正常大流量業(yè)務(wù)的情況下,控制器可基于對(duì)鏈路剩余帶寬等網(wǎng)絡(luò)參數(shù)的 實(shí)時(shí)感知,實(shí)現(xiàn)對(duì)正常流量的路由優(yōu)化,大幅提升用戶的體驗(yàn);(3)本發(fā)明的處理架構(gòu)采用 可擴(kuò)展的模塊化設(shè)計(jì),實(shí)現(xiàn)了對(duì)DDoS威脅的高效檢測和靈活處理;(4)各模塊獲取數(shù)據(jù)包 信息采用獨(dú)立的接口設(shè)計(jì),降低了模塊間的耦合關(guān)聯(lián)性;(5)各模塊使用優(yōu)化的程序數(shù)據(jù) 結(jié)構(gòu),細(xì)致分割各處理子流程,提升了模塊的高內(nèi)聚特性。
【附圖說明】
[0019] 為了使本發(fā)明的內(nèi)容更容易被清楚的理解,下面根據(jù)的具體實(shí)施例并結(jié)合附圖, 對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明,其中 圖1示出了軟件定義網(wǎng)絡(luò)中數(shù)據(jù)層的原理框圖; 圖2示出了本發(fā)明的軟件定義的網(wǎng)絡(luò)架構(gòu)框圖; 圖3示出了本發(fā)明的軟件定義的網(wǎng)絡(luò)架構(gòu)的結(jié)構(gòu)框圖; 圖4示出了基于SDN架構(gòu)的DDoS攻擊識(shí)別與防護(hù)系統(tǒng)的原理框圖; 圖5示出了欺騙報(bào)文檢測模塊的工作流程圖; 圖6示出了破壞報(bào)文檢測模塊的工作流程圖; 圖7示出了UDPFloodling的檢測流程圖; 圖8示出了ICMPFloodling的檢測流程圖。
【具體實(shí)施方式】