CN103561011B - 一种SDN控制器盲DDoS攻击防护方法及系统 - Google Patents
一种SDN控制器盲DDoS攻击防护方法及系统 Download PDFInfo
- Publication number
- CN103561011B CN103561011B CN201310516638.6A CN201310516638A CN103561011B CN 103561011 B CN103561011 B CN 103561011B CN 201310516638 A CN201310516638 A CN 201310516638A CN 103561011 B CN103561011 B CN 103561011B
- Authority
- CN
- China
- Prior art keywords
- controller
- sdn
- attack
- blind
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种SDN控制器盲DDoS攻击防护方法及系统,系统包括:SDN控制器资源池监控器、部署在SDN交换机上的控制器列表动态切换模块以及与控制器通过数据接口进行数据交互攻击检测应用模块;所述SDN控制器资源池监控器,用于维护多个物理机和/或虚拟机控制器的创建、数据同步、IP地址分配以及状态列表下发交换机;所述攻击检测应用模块对SDN网络中控制器与交换机的通信数据流进行检测,当检测到针对控制器的盲DDoS攻击流时,所述SDN控制器资源池监控器根据发生盲DDoS攻击时的攻击流量大小,动态调节控制器的数量。本发明采用的方法能够动态调节控制器的数量,有效防护针对控制器的盲DDoS攻击,保障SDN网络的可用性。
Description
技术领域
本发明涉及一种检测和防护SDN控制器盲DDoS攻击的方法及系统,属于计算机网络安全领域。
背景技术
传统网络设备上把设备控制和数据转发耦合在一起,从而使得路由器、交换机等的管理非常复杂,缺少灵活性和扩展性,阻碍了网络的进一步飞速发展。因此在这种背景下,出现了SDN的概念及其相关技术。
软件定义网络(software-defined networking,简称SDN)技术分离了网络的控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案。其中Openflow技术是目前SDN概念的最成功的一种实现方法。采用OpenFlow技术,将控制功能从网络设备中分离出来,在网络设备上维护流表(flow table)结构,数据分组按照流表进行转发,而流表的生成、维护、配置则由中央控制器来管理。OpenFlow的流表结构将网络处理层次扁平化,使得网络数据的处理满足细粒度的处理要求。在这种控制转发分离架构下,网络的逻辑控制功能和高层策略可以通过中央控制器灵活地进行动态管理和配置,可在不影响传统网络正常流量的情况下,在现有的网络中实现和部署新型网络架构。基于OpenFlow的SDN技术,通过软件平台来打造弹性化的可控互联网,在给网络的发展带来巨大冲击的同时,也为未来互联网的发展提供了一种新的解决思路。
OpenFlow的控制器,不仅仅是一个控制平面的集中。OpenFlow的控制器与交换机之间,有多种控制指令、应答、状态查询、状态上报、甚至是网络流中的初始数据包、无法响应的数据包、错误数据包以及一些统计信息等,都会实时发给控制器。OpenFlow存在很多安全威胁,首要风险还是集中控制器(Controller)的脆弱性。其中,盲攻击将成为针对Controller的一种新DDoS变种威胁。在OpenFlow协议设计中,网络流量的首个报文,或对于流表(Flowtable)中无法处理的异常数据包,交换机都会发给控制器。如果黑客利用这一特性:交换机会自动去找它们的Controller,不需要通过扫描明确Controller的IP、位置等信息,然后攻击者往SDN网络中发送特定恶意的数据包,所有的OpenFlow交换机自动会把这些数据包发送给Controller,使得Controller瘫痪,达到一种盲DDoS攻击。
盲DDoS攻击时针对SDN网络的一种新型攻击威胁,传统的网络抗DDoS方法及设备不能解决SDN控制器的盲DDoS攻击问题。
发明内容
有鉴于此,本发明公开了一种SDN控制器盲DDoS攻击防护方法及系统,解决了传统的网络抗DDoS方法不能够解决的盲DDoS攻击问题,能够检测和防护针对SDN网络控制器(Controller)的盲DDoS攻击。
本发明的技术方案如下一种SDN控制器盲DDoS攻击防护方法,其步骤包括:
1)采用不少于一个控制器组成控制器资源池,并由资源池监控器维护控制器状态列表,同时控制器获取所述控制器状态列表并下发到SDN交换机;
2)SDN交换机根据所述控制器状态列表随机选择通信数据发往的控制器;
3)对流入SDN网络的通信数据流进行检测,当检测到盲DDoS攻击流时,根据发生盲DDoS攻击时的攻击流量大小,动态调节控制器的数量;
4)提取该盲DDoS攻击流中的信息,进行攻击特征识别,生成对应的SDN交换机防护流表规则,根据控制器上SDN交换机上传的攻击首包记录,识别攻击来源信息,得到SDN交换机防护位置权重;
5)将所述SDN交换机防护位置权重和SDN交换机防护流表规则结合得到防护策略,下发到相应交换机进行攻击拦截。
更进一步,所述控制器状态分为:已工作状态Son、待工作状态Sready、和未工作状态Soff,按照如下方法维护控制器状态列表:
将负载未饱和的可工作状态的控制器和待工作状态的控制器,定期生成可用控制器列表{Son,IPon}和/或{Sready,IPready},定期同步到各控制器和交换机中。
更进一步,所述SDN交换机首次接入控制器时,在非盲DDoS攻击状态下,交换机优先选择标注已工作状态控制器{Son,IPon}进行通信;当发生盲DDoS攻击时,交换机优先随机选择待工作状态控制器{Sready,IPready}进行通信;当盲DDoS攻击停止时,交换机重新切换成从{Son,IPon}中选择控制器。
更进一步,当发生盲DDoS攻击时,所述SDN交换机根据如下步骤选择控制器:
1)对{Son,IPon}中任意单控制器的流量进行阈值Hs匹配,判断当前工作的任意单控制器{Son,IPon}中盲DDoS数据流量是否超过性能预警线;
2)对{Son,IPon}所有控制器的全部流量进行阈值Hall匹配,判断当前工作的所有控制器{Son,IPon}中盲DDoS数据流量是否超过性能预警线;
3)若所述任意步骤1)、2)中数据流量超过性能预警线则现有控制器无法承受攻击流量,交换机进入随机选择多控制器模式;
4)SDN交换机优先随机选择待工作状态控制器{Sready,IPready}进行通信增加控制器数量。
更进一步,对流量超过性能预警线的盲DDoS攻击数据流中的数据包进行如下分析:
如果大量首包为空目的IP数据包或者虚假目的IP首包,则检测为攻击进行攻击特提取;
对于首包目的IP正常的数据包,如果数据包协议字段异常,则检测为攻击进行攻击特提取;
对于目的IP和协议字段正常的数据包,则采用特征挖掘算法,进行攻击识别。
更进一步,手动设置和调整交换机的防护位置权重Psip,所述防护位置权重Psip取值范围为0~1之间的小数,权重越高,越接近攻击源头,其值越接近于1。
更进一步,当检测到攻击停止时,设置一延迟时间Tcon通知控制器下发控制指令,撤销相应交换机上的防护策略。
更进一步,所述交SDN换机随机选择通信数据发往的控制器的方法为:选择散列hash算法或者采用随机数生成算法与控制器ID取值范围内映射得到。
本发明还提出一种SDN控制器盲DDoS攻击防护系统,包括:SDN控制器资源池监控器、部署在SDN交换机上的控制器列表动态切换模块以及与控制器通过数据接口进行数据交互攻击检测应用模块;
所述SDN控制器资源池监控器,在由独立的控制器资源池监控服务器上维护多个物理机和/或虚拟机控制器的创建、数据同步、IP地址分配以及状态列表下发交换机;
所述控制器列表动态切换模块根据下发的控制器列表,随机选择通信数据发往的控制器;
所述攻击检测应用模块,统计分析控制器上收到的攻击流数据,将所述交换机防护位置权重和SDN交换机防护流表规则结合得到防护策略,下发防护规则到交换机流表进行攻击拦截;
所述攻击检测应用模块对流入SDN网络的通信数据流进行检测,当检测到盲DDoS攻击流时,所述SDN控制器资源池监控器根据发生盲DDoS攻击时的攻击流量大小,动态调节控制器的数量;
所述控制器列表动态切换模块根据所述SDN控制器状态列表在SDN交换机中随机选择通信数据发往的控制器。
更进一步,所述控制器资源池监控模块和/或攻击检测应用模块与交换机进行隔离,且控制器资源池监控模块和/或攻击检测应用模块所在的服务器IP地址对交换机隐藏,不接收交换机发送数据。
本发明的积极效果为:
本发明公布的一种SDN控制器盲DDoS攻击防护方法及系统,针对SDN控制器所面临的特殊拒绝服务攻击(盲DDoS攻击)的特点,采用多控制器资源池,可以随攻击流量大小动态增加控制器数量,检测并防御异常目标攻击流,有效防护针对控制器的盲DDoS攻击,保障SDN网络的可用性。如果不是分散了多个控制器,则所有攻击流量都会发送给控制器,这样就比发明方案中很少的攻击流量危害要大。在本发明中采用多控制器后,每个控制器上,只有很少一部分攻击流量。
附图说明
图1为本发明SDN控制器盲DDoS攻击防护系统组成结构示意图。
图2为本发明SDN控制器盲DDoS攻击防护方法的一实施例中攻击时随机选择控制器的流程图。
图3为本发明SDN控制器盲DDoS攻击防护方法一实施例中盲DDoS攻击检测流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步描述。
本发明的系统包含一个SDN控制器资源池监控器,控制器列表动态切换模块以及攻击检测应用模块。
由资源池监控器负责维护控制器的创建、数据同步、IP地址分配以及状态列表,并根据监控的盲DDoS流量大小,动态增加备用控制器数量;
SDN交换机上的控制器列表动态切换模块根据SDN控制器下发过来的控制器列表,随机选择通信数据发往的控制器;
攻击检测应用模块在攻击检测应用服务器上,是控制器的上层应用,与控制器通过北向接口进行数据交互。攻击检测应用模块统计分析控制器上收到的攻击流数据,产生防护规则,由控制器下发防护规则到交换机流表进行攻击拦截。
本发明采用多控制器资源池,可以随攻击流量大小动态增加控制器数量,能够有效防护针对控制器的盲DDoS攻击,保障SDN网络的可用性。
由多个控制器构成了控制器资源池,由资源池监控器统一监控、维护。控制器资源池可以随时加入新的控制器,控制器资源池监控器动态更新可用控制器列表,标记控制器的状态为已工作状态Son、待工作状态Sready、和未工作状态Soff。控制器资源池监控器将负载未饱和的可工作状态的控制器和待工作状态的控制器,定期生成可用控制器列表{Son,IPon}、{Sready,IPready},定期同步到各控制器中,由控制器下发并更新到各个SDN交换机中。
在本发明一实施例中加入到控制器资源池中的控制器,可以是物理机,也可以是虚拟机。
在本发明一实施例中交换机随机选择控制器的方法,采用散列hash算法;也可以选择随机数生成算法与控制器ID取值范围内映射得到。
同时,控制器资源池监控模块与交换机进行隔离,其IP对交换机隐藏,不接收任何交换机发送的数据,不直接与任何交换机通信,不受盲DDoS攻击数据流影响。
控制器列表动态切换模块部署在SDN交换机中,负责选择与之通信的控制器。控制器列表动态切换模块使得SDN交换机可以根据SDN控制器资源池监控器下发过来的控制器列表,随机选择通信数据发往的控制器。当SDN交换机在首次接入一个控制器时,控制器从资源池监控器中获取最新的控制器列表下发到交换机,在非盲DDoS攻击状态下,交换机优先选择一个标注已工作状态控制器{Son,IPon}进行通信;当发生盲DDoS攻击时,交换机将优先随机选择待工作状态控制器{Sready,IPready}进行通信;当盲DDoS攻击停止是,交换机重新切换成从{Son,IPon}中选择控制器。
攻击检测应用模块,实时收集控制器资源池中各个控制器中的数据,对这些数据比对阈值,做攻击检测分析。与所有{Son,IPon}、{Sready,IPready}状态的控制器进行通信,当控制器资源池中控制器发生变更时,控制器资源池监控模块将控制器列表同步到攻击检测应用模块。攻击检测应用模块对统计分析控制器上收到的攻击流数据,产生防护规则,下发防护规则到特定交换机的流表,进行攻击拦截。
进一步而言,攻击检测应用模块分析盲DDoS攻击的方法,按照如下步骤进行:
步骤1:监控统计{Son,IPon}中任意一个单控制器的流量,与阈值Hs进行匹配;若超过性能预警线,则进入步骤3。
步骤2:监控统计{Son,IPon}中所有控制器的共同的流量,与阈值Hall匹配;若超过性能预警线,则进入步骤3。
步骤3:对超过性能预警线的数据流,进行数据包分析,如果大量首包为空目的IP数据包,或虚假目的IP首包,则检测为攻击;反之,如果首包目的IP正常,进入步骤4。
步骤4:对于目的IP正常的数据包,分析数据包协议字段是否异常,如果异常,则检测为攻击;如果协议字段正常,则进入步骤5。
步骤5:对于目的IP和协议字段正常的数据包,用特征挖掘算法,进行攻击识别。
步骤6:从控制器上查找交换机上报的攻击首包记录,识别攻击来源信息,计算与交换机的防护位置权重Psip,取值范围为0~1之间的小数,权重越高,越接近攻击源头,其值越接近于1。
步骤7:将攻击防护特征和交换机防护位置权重结合,形成防护策略,从攻击检测应用模块分发给工作状态的控制器,由控制器下发到相应交换机。
攻击检测应用模块还可以按照如下的方式进行优化:
攻击检测应用模块中可以手动设置和调整交换机的防护位置权重Psip。
交换机对生效的盲DDoS攻击防护策略进行实时监控和反馈给控制器,当监测到攻击停止时,则攻击检测应用模块等待一段Tcon延迟时间后,通知控制器下发控制指令,将交换机上的防护策略撤销。同样的,攻击检测应用模块与交换机进行隔离,其IP对交换机隐藏,不接收任何交换机发送的数据,不直接与任何交换机通信,不受盲DDoS攻击数据流影响。
如图1所示本发明SDN控制器盲DDoS攻击防护系统组成结构示意图,包含一个SDN控制器资源池监控器,控制器列表动态切换模块,攻击检测应用模块;其中,
所述SDN控制器资源池监控器负责维护控制器的创建、数据同步、IP地址分配以及状态列表,并根据监控的盲DDoS流量大小,动态增加备用控制器数量;多个控制器构成了控制器资源池,由资源池监控器统一监控、维护。控制器资源池可以随时加入新的控制器,控制器资源池监控器动态更新可用控制器列表,标记控制器的状态为已工作状态Son、待工作状态Sready、和未工作状态Soff。控制器资源池监控器将负载未饱和的可工作状态的控制器和待工作状态的控制器,定期生成可用控制器列表{Son,IPon}、{Sready,IPready},定期同步到各控制器中,由控制器下发并更新到各个SDN交换机中。加入到控制器资源池中的控制器,可以是物理机,也可以是虚拟机。
所述控制器列表动态切换模块(Lc切换模块)使得SDN交换机可以根据SDN控制器资源池监控器下发过来的控制器列表,随机选择通信数据发往的控制器;控制器列表动态切换模块部署在SDN交换机中,负责选择与之通信的控制器。SDN交换机在首次接入一个控制器时,控制器从资源池监控器中获取最新的控制器列表下发到交换机,在非盲DDoS攻击状态下,交换机优先选择一个标注已工作状态控制器{Son,IPon}进行通信;当发生盲DDoS攻击时,交换机将优先随机选择待工作状态控制器{Sready,IPready}进行通信;当盲DDoS攻击停止时,交换机重新切换成从{Son,IPon}中选择控制器。
如图2所示是本发明SDN控制器盲DDoS攻击防护方法的一实施例中攻击时随机选择控制器的流程图,在发生盲DDoS攻击时,交换机根据SDN控制器资源池下发的控制器列表随机选择控制器,其流程为:
步骤1:攻击检测应用模块监控针对控制器的DDoS攻击,如果是针对控制的盲DDoS攻击,则进入步骤3;非盲DDoS攻击,则进入步骤2。
步骤2:启动非盲DDoS攻击的检测防护处理,进入步骤6。
步骤3:判断当前工作的单控制器{Son,IPon}的盲DDoS流量是否超过预警线,如果未超过,则进入步骤5;如果超过,则进入步骤4。单个控制器不能承受大流量攻击时,才进入步骤4)。步骤4)是启动多个控制器,先使得每个控制器上的攻击流量变的很少,然后再去步骤5)检测盲DDoS攻击,防止在攻击还没拦截时,单控制器已经被攻击瘫痪了。
步骤4:控制器通知交换机启动多控制器策略,增加了控制器的数量,单个控制器无法承受攻击流量时,启动多个控制器,减少每个控制器上分担的流量。交换机将优先随机选择待工作状态控制器{Sready,IPready}进行通信,其中交换机随机选择控制器的算法,采用散列hash算法,也可以选择随机数生成算法与控制器ID取值范围内映射得到。控制器资源池监控器将维护控制器列表{Son,IPon}、{Sready,IPready},并根据负载情况,调整控制器资源池中可用控制器数量;当控制器资源池中{Son,IPon}、{Sready,IPready}状态的控制器发生变更时,控制器资源池监控模块将控制器列表同步到攻击检测应用模块。
步骤5:攻击检测应用模块从工作的控制器中采集攻击数据,启动盲DDoS攻击检测和防御流程,生成防护规则和防护策略,下发交换机进行攻击拦截。
步骤6:监测攻击是否停止:如果未停止,则返回步骤1;否则,进入步骤7。
步骤7:攻击结束,通知交换机,重新选择{Son,IPon}状态的控制器,退出随机选择控制器模式。
攻击检测应用模块对统计分析控制器上收到的攻击流数据,产生防护规则,下发防护规则到特定交换机的流表,进行攻击拦截。如图3所示是本发明SDN控制器盲DDoS攻击防护方法一实施例中盲DDoS攻击检测流程图。攻击检测应用模块,实时收集控制器资源池中各个控制器中的数据,对这些数据比对阈值,做攻击检测分析。攻击检测应用模块分析盲DDoS攻击的方法,按照如下步骤进行:
步骤1:对超过性能预警线的盲DDoS攻击数据流,进行数据包分析,如果大量首包为空目的IP数据包,或虚假目的IP首包,进入步骤2;反之,如果首包目的IP(IP头)正常,进入步骤3。
步骤2:对于大量首包为空目的IP数据包,或虚假目的IP首包,提取攻击特征(其中特征为IP包头中能够标识攻击IP的字段,如源IP、源端口、TTL、长度等),进入步骤5。
步骤3:对于目的IP正常的数据包,分析数据包协议字段是否异常,如果异常,则进入步骤4;如果协议字段正常,则进入步骤5;
步骤4:参照控制器全局流表,对于协议字段异常的数据包,提取攻击特征,进入步骤5;
步骤5:对于目的IP和协议字段正常的数据包,用特征挖掘算法,进行攻击识别;
步骤6:汇总攻击特征,生成与之对应的交换机攻击防护流表规则,能对攻击数据流进行丢弃、拦截、阻断。
步骤7:对识别的攻击源信息,计算与交换机的防护位置权重Psip,权重越高,越接近攻击源头;所述攻击源信息就是攻击流最先从哪个交换机传递的,每个最新的攻击数据到达SDN网络时,SDN交换机都会上报首包到控制器,所以从控制器上可以查到攻击来源信息。攻击源信息能够帮助计算SDN交换机的防护位置权重。
步骤8:将攻击防护流表规则和交换机防护位置权重结合,形成防护策略,从攻击检测应用模块分发给工作状态的控制器,由控制器下发到相应交换机,以最接近攻击源头的位置进行攻击防御。
以上所述本发明的具体实施方式目的是为了更好地理解本发明的使用,并不构成对本发明保护范围的限定。任何在本发明的精神和原则实质之内所做的修改、变形和等同替换等,都应属于本发明的权利要求的保护范围之内。
Claims (10)
1.一种SDN控制器盲DDoS攻击防护方法,其步骤包括:
1)采用不少于一个控制器组成控制器资源池,并由资源池监控服务器维护控制器状态列表,同时控制器获取所述控制器状态列表并下发到SDN交换机;
2)SDN交换机根据所述控制器状态列表随机选择通信数据发往的控制器;
3)对流入SDN网络的通信数据流进行检测,当检测到盲DDoS攻击流时,根据发生盲DDoS攻击时的攻击流量大小,动态调节控制器的数量;
4)提取该盲DDoS攻击流中的信息,进行攻击特征识别,生成对应的SDN交换机防护流表规则,根据控制器上SDN交换机上传的攻击首包记录,识别攻击来源信息,得到SDN交换机防护位置权重;
5)将所述SDN交换机防护位置权重和SDN交换机防护流表规则结合得到防护策略,下发到相应SDN交换机进行攻击拦截。
2.如权利要求1所述的SDN控制器盲DDoS攻击防护方法,其特征在于,所述控制器状态分为:已工作状态Son、待工作状态Sready、和未工作状态Soff,按照如下方法维护控制器状态列表:
将负载未饱和的已工作状态的控制器和待工作状态的控制器,定期生成可用控制器状态列表{Son,IPon}和/或{Sready,IPready},定期同步到各控制器和SDN交换机中。
3.如权利要求1或2所述的SDN控制器盲DDoS攻击防护方法,其特征在于,所述SDN交换机首次接入控制器时,在非盲DDoS攻击状态下,SDN交换机优先选择标注已工作状态控制器{Son,IPon}进行通信;当发生盲DDoS攻击时,SDN交换机优先随机选择待工作状态控制器{Sready,IPready}进行通信;当盲DDoS攻击停止时,SDN交换机重新切换成从{Son,IPon}中选择控制器。
4.如权利要求3所述的SDN控制器盲DDoS攻击防护方法,其特征在于,当发生盲DDoS攻击时,所述SDN交换机根据如下步骤选择控制器:
1)对{Son,IPon}中任意单控制器的流量进行阈值Hs匹配,判断当前工作的任意单控制器{Son,IPon}中盲DDoS数据流量是否超过性能预警线;
2)对{Son,IPon}所有控制器的全部流量进行阈值Hall匹配,判断当前工作的所有控制器{Son,IPon}中盲DDoS数据流量是否超过性能预警线;
3)若所述任意步骤1)、2)中数据流量超过性能预警线则现有控制器无法承受攻击流量,SDN交换机进入随机选择多控制器模式;
4)SDN交换机优先随机选择待工作状态控制器{Sready,IPready}进行通信增加控制器数量。
5.如权利要求4所述的SDN控制器盲DDoS攻击防护方法,其特征在于,对流量超过性能预警线的盲DDoS攻击数据流中的数据包进行如下分析:
如果大量首包为空目的IP数据包或者虚假目的IP首包,则检测为攻击进行攻击特征提取;
对于首包目的IP正常的数据包,如果数据包协议字段异常,则检测为攻击进行攻击特征提取;
对于目的IP和协议字段正常的数据包,则采用特征挖掘算法,进行攻击识别。
6.如权利要求1所述的SDN控制器盲DDoS攻击防护方法,其特征在于,手动设置和调整SDN交换机的防护位置权重Psip,所述防护位置权重Psip取值范围为0~1之间的小数,权重越高,越接近攻击源头,其值越接近于1。
7.如权利要求1所述的SDN控制器盲DDoS攻击防护方法,其特征在于,当检测到攻击停止时,攻击检测应用模块等待一延迟时间Tcon后通知控制器下发控制指令,撤销相应SDN交换机上的防护策略。
8.如权利要求1所述的SDN控制器盲DDoS攻击防护方法,其特征在于,所述SDN交换机随机选择通信数据发往的控制器的方法为:采用散列hash算法或者采用随机数生成算法计算得到SDN控制器的序号。
9.一种实现权利要求1所述的SDN控制器盲DDoS攻击防护方法的系统,其特征在于,包括:SDN控制器资源池监控器、部署在SDN交换机上的控制器列表动态切换模块以及与控制器通过数据接口进行数据交互的攻击检测应用模块;
所述SDN控制器资源池监控器,在由独立的控制器资源池监控服务器上维护多个物理机和/或虚拟机控制器的创建、数据同步、IP地址分配以及状态列表下发SDN交换机;
所述控制器列表动态切换模块根据下发的控制器列表,随机选择通信数据发往的控制器;
所述攻击检测应用模块,统计分析控制器上收到的攻击流数据,将所述SDN交换机防护位置权重和SDN交换机防护流表规则结合得到防护策略,下发防护规则到SDN交换机流表进行攻击拦截;
所述攻击检测应用模块对流入SDN网络的通信数据流进行检测,当检测到盲DDoS攻击流时,所述SDN控制器资源池监控器根据发生盲DDoS攻击时的攻击流量大小,动态调节控制器的数量;
所述控制器列表动态切换模块根据所述SDN控制器状态列表在SDN交换机中随机选择通信数据发往的控制器。
10.如权利要求9所述的SDN控制器盲DDoS攻击防护系统,其特征在于,所述SDN控制器资源池监控模块和/或攻击检测应用模块与SDN交换机进行隔离,且SDN控制器资源池监控模块和/或攻击检测应用模块所在的服务器IP地址对SDN交换机隐藏,不接收SDN交换机发送数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310516638.6A CN103561011B (zh) | 2013-10-28 | 2013-10-28 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310516638.6A CN103561011B (zh) | 2013-10-28 | 2013-10-28 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103561011A CN103561011A (zh) | 2014-02-05 |
| CN103561011B true CN103561011B (zh) | 2016-09-07 |
Family
ID=50015161
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310516638.6A Active CN103561011B (zh) | 2013-10-28 | 2013-10-28 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103561011B (zh) |
Families Citing this family (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104837147B (zh) * | 2014-02-12 | 2019-06-18 | 中兴通讯股份有限公司 | 无线访问接入点的配置方法及系统 |
| CN104869178A (zh) * | 2014-02-21 | 2015-08-26 | 中兴通讯股份有限公司 | Sdn-eps中ip地址分配方法、控制器及网关设备 |
| CN103929333A (zh) * | 2014-05-08 | 2014-07-16 | 陈桂芳 | 一种sdn控制器资源池的实现方法 |
| CN104038494A (zh) * | 2014-06-11 | 2014-09-10 | 普联技术有限公司 | 一种记录攻击来源的方法及交换机 |
| WO2015192319A1 (zh) | 2014-06-17 | 2015-12-23 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
| WO2016018369A1 (en) | 2014-07-31 | 2016-02-04 | Hewlett-Packard Development Company, L.P. | Remediating a security threat to a network |
| CN105471954B (zh) * | 2014-09-11 | 2017-07-07 | 北京智梵网络科技有限公司 | 基于sdn网络的分布式控制系统与用户流量优化方法 |
| CN104243308A (zh) * | 2014-09-17 | 2014-12-24 | 华为技术有限公司 | 一种重路由的方法、网络设备及控制器 |
| US9838421B2 (en) | 2014-10-01 | 2017-12-05 | Ciena Corporation | Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks |
| CN104506511A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络动态目标防御系统及方法 |
| CN105791205B (zh) * | 2014-12-15 | 2019-06-14 | 中国移动通信集团公司 | 一种防止ddos攻击的方法和装置 |
| CN104410643A (zh) * | 2014-12-16 | 2015-03-11 | 上海斐讯数据通信技术有限公司 | 一种sdn控制器基于统计值的防攻击方法 |
| CN107979607A (zh) * | 2014-12-17 | 2018-05-01 | 蔡留凤 | 适于网络安全的软件定义的网络架构及其工作方法 |
| CN107835199A (zh) * | 2014-12-17 | 2018-03-23 | 朱保生 | 适于解决网络安全的sdn系统的工作方法 |
| CN104539595B (zh) * | 2014-12-17 | 2018-04-10 | 南京晓庄学院 | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 |
| CN104506531B (zh) * | 2014-12-19 | 2018-05-01 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CN104468624B (zh) * | 2014-12-22 | 2018-01-02 | 上海斐讯数据通信技术有限公司 | Sdn控制器、路由/交换设备及网络防御方法 |
| CN108877883A (zh) * | 2014-12-31 | 2018-11-23 | 丁永新 | 能抵御网络恶意攻击的药物服用监控专家系统及工作方法 |
| CN104966255A (zh) * | 2014-12-31 | 2015-10-07 | 常州金智涯医疗科技有限公司 | 药物智能服用专家系统及其工作方法 |
| CN104967649B (zh) * | 2014-12-31 | 2018-10-09 | 常州工学院 | 药物智能服用专家系统及远程服务器 |
| CN104966257A (zh) * | 2014-12-31 | 2015-10-07 | 常州工学院 | 药物智能服用监控方法及远程监控系统 |
| CN104966256A (zh) * | 2014-12-31 | 2015-10-07 | 江苏网泰信息技术有限公司 | 慢病药物服用监控专家系统及其工作方法 |
| CN104468636A (zh) * | 2015-01-09 | 2015-03-25 | 李忠 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
| CN104580222B (zh) * | 2015-01-12 | 2018-01-05 | 山东大学 | 基于信息熵的DDoS攻击分布式检测与响应方法 |
| CN105871773A (zh) * | 2015-01-18 | 2016-08-17 | 吴正明 | 一种基于SDN网络架构的DDoS过滤方法 |
| CN105100181A (zh) * | 2015-01-19 | 2015-11-25 | 刘辉 | 一种基于大数据的监控系统及其工作方法 |
| CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
| CN106161333B (zh) | 2015-03-24 | 2021-01-15 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| CN105007175A (zh) * | 2015-06-03 | 2015-10-28 | 北京云杉世纪网络科技有限公司 | 一种基于openflow的流深度关联分析方法及系统 |
| CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
| CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
| CN105208023B (zh) * | 2015-09-14 | 2018-03-30 | 北京交通大学 | 中心控制器保护方法、设备及系统 |
| WO2017067577A1 (en) | 2015-10-20 | 2017-04-27 | Huawei Technologies Co., Ltd. | Direct replying actions in sdn switches |
| CN105282169B (zh) * | 2015-11-04 | 2018-08-24 | 中国电子科技集团公司第四十一研究所 | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 |
| CN105429974B (zh) * | 2015-11-10 | 2018-09-11 | 南京邮电大学 | 一种面向sdn的入侵防御系统和方法 |
| CN105516129A (zh) * | 2015-12-04 | 2016-04-20 | 重庆邮电大学 | 基于sdn技术实现僵尸网络控制信道阻断的方法和装置 |
| CN105516184B (zh) * | 2015-12-31 | 2018-07-27 | 清华大学深圳研究生院 | 一种基于增量部署sdn网络的链路洪泛攻击的防御方法 |
| ES2876245T3 (es) * | 2016-02-18 | 2021-11-12 | Fusionlayer Oy | Redes de puesta en servicio/desmantelamiento en entornos informáticos orquestados o definidos por software |
| CN105897750A (zh) * | 2016-06-03 | 2016-08-24 | 中国电子科技集团公司第三十研究所 | 一种针对SDN控制器Dos攻击的防御方法和系统 |
| CN108234404B (zh) * | 2016-12-15 | 2020-08-25 | 腾讯科技(深圳)有限公司 | 一种DDoS攻击的防御方法、系统及相关设备 |
| CN107222433B (zh) * | 2017-04-18 | 2019-12-10 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
| CN107257295B (zh) * | 2017-06-14 | 2020-04-14 | 广州市品高软件股份有限公司 | 一种分布式架构软件定义网络控制器的调度方法 |
| CN107395596B (zh) * | 2017-07-24 | 2018-05-18 | 南京邮电大学 | 一种基于冗余控制器切换的拒绝服务攻击防御方法 |
| CN107835188B (zh) * | 2017-11-27 | 2021-02-02 | 浙江宇视科技有限公司 | 一种基于sdn的设备安全接入方法及系统 |
| CN108183917B (zh) * | 2018-01-16 | 2018-12-14 | 中国人民解放军国防科技大学 | 基于软件定义网络的DDoS攻击跨层协同检测方法 |
| CN108650131B (zh) * | 2018-05-10 | 2021-05-04 | 合肥工业大学 | 用于sdn网络中多控制器部署的处理系统 |
| CN108712427A (zh) * | 2018-05-23 | 2018-10-26 | 北京国信安服信息安全科技有限公司 | 一种动态主动防御的网络安全方法及系统 |
| CN108881241B (zh) * | 2018-06-26 | 2020-02-14 | 华中科技大学 | 一种面向软件定义网络的动态源地址验证方法 |
| CN109150895A (zh) * | 2018-09-13 | 2019-01-04 | 清华大学 | 一种软件定义网络的域内源地址的验证方法 |
| TWI692956B (zh) * | 2019-03-04 | 2020-05-01 | 中華電信股份有限公司 | 立基於軟體定義網路之IPv6存取管理系統及其方法 |
| CN110247893B (zh) * | 2019-05-10 | 2021-07-13 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
| CN110381082B (zh) * | 2019-08-07 | 2021-01-26 | 北京邮电大学 | 基于Mininet的电力通信网络的攻击检测方法和装置 |
| CN110531678B (zh) * | 2019-09-16 | 2020-10-02 | 珠海格力电器股份有限公司 | 自控系统及其运维方法 |
| CN112839007B (zh) * | 2019-11-22 | 2022-11-01 | 深圳布洛城科技有限公司 | 一种网络攻击的防御方法及装置 |
| CN112153004B (zh) * | 2020-08-26 | 2022-10-28 | 江苏大学 | 一种SDN环境下基于子网温度的DDoS攻击检测方法 |
| CN113079171A (zh) * | 2021-04-13 | 2021-07-06 | 福建奇点时空数字科技有限公司 | 一种基于多控制器迁移的SDN抗盲DDos攻击方法 |
| CN114465756A (zh) * | 2021-12-20 | 2022-05-10 | 中盈优创资讯科技有限公司 | 一种优化ddos安全防护方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN102904975A (zh) * | 2012-09-28 | 2013-01-30 | 华为技术有限公司 | 报文处理的方法和相关装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
-
2013
- 2013-10-28 CN CN201310516638.6A patent/CN103561011B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN102904975A (zh) * | 2012-09-28 | 2013-01-30 | 华为技术有限公司 | 报文处理的方法和相关装置 |
Non-Patent Citations (2)
| Title |
|---|
| 基于OpenFlow的SDN技术研究;左青云,陈鸣,赵广松等;《软件学报》;20130329;第24卷(第5期);全文 * |
| 基于网络异常流量判断Dos/DDoS攻击的检测算法;刘勇,香丽芸;《吉林大学学报(信息科学版)》;20080515;第26卷(第3期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103561011A (zh) | 2014-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103561011B (zh) | 一种SDN控制器盲DDoS攻击防护方法及系统 | |
| CN103561004B (zh) | 基于蜜网的协同式主动防御系统 | |
| CN106921666B (zh) | 一种基于协同理论的DDoS攻击防御系统及方法 | |
| Lim et al. | A SDN-oriented DDoS blocking scheme for botnet-based attacks | |
| US8089871B2 (en) | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network | |
| Liao et al. | Peer to peer botnet detection using data mining scheme | |
| CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| CN105141641B (zh) | 一种基于SDN的Chaos移动目标防御方法及系统 | |
| CN110636086B (zh) | 网络防护测试方法及装置 | |
| KR20110070189A (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| CN102801738A (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
| Qi et al. | An aware-scheduling security architecture with priority-equal multi-controller for SDN | |
| CN112261042A (zh) | 一种基于攻击危害评估的防渗透系统 | |
| CN110401601A (zh) | 一种拟态路由协议系统和方法 | |
| RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
| CN106357661B (zh) | 一种基于交换机轮换的分布式拒绝服务攻击防御方法 | |
| Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
| Jinhui | The current main distributed denial of service and defence methods | |
| CN106953830A (zh) | Dns安全防护方法、装置及dns | |
| CN105791205B (zh) | 一种防止ddos攻击的方法和装置 | |
| CN210444303U (zh) | 网络防护测试系统 | |
| CN114385442A (zh) | 零信任引擎雾化部署的认证系统及其防宕机、防失陷方法 | |
| CN109547478A (zh) | 一种基于sdn的抗网络扫描方法及系统 | |
| Kaur et al. | Secure Overlay Services (SOS): a critical analysis | |
| KR20160087448A (ko) | 플로우 별 통계 정보를 활용한 아웃라이어 감지 기반의 DDoS 공격자 구별 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |