CN104410643A - 一种sdn控制器基于统计值的防攻击方法 - Google Patents
一种sdn控制器基于统计值的防攻击方法 Download PDFInfo
- Publication number
- CN104410643A CN104410643A CN201410774693.XA CN201410774693A CN104410643A CN 104410643 A CN104410643 A CN 104410643A CN 201410774693 A CN201410774693 A CN 201410774693A CN 104410643 A CN104410643 A CN 104410643A
- Authority
- CN
- China
- Prior art keywords
- message
- sdn controller
- legal
- corpus
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种SDN控制器基于统计值的防攻击方法,该方法包含S1,SDN控制器接收OF消息并解析;S2,SDN控制器检查OF消息的合法性;S2.1,若OF消息不合法,OF消息将被丢弃;S2.2,若OF消息合法,则OF消息的报文数目加1;S3,SDN控制器在抑制周期内记录合法的OF消息的报文数目,并根据报文数目处理合法的OF消息。本发明根据合法的OF消息的入端口,OF消息类型和源Mac地址动态识别恶意攻击的黑客,并抑制其攻击行为而不影响其他正常的OF消息的交互,同时Controller也产生对应的告警和日志,记录此黑客的行为。
Description
技术领域
本发明涉及通信领域的防攻击算法,特别涉及一种SDN控制器基于统计值的防攻击方法。
背景技术
SDN(Software Defined Network)的集中控制方式及开发性使得控制器的安全性成为潜在风险,需要建立一整套隔离、防护和备份机制来确保其安全稳定运行。控制器负责整个SDN网络的集中化控制,一旦控制器受到黑客恶意攻击,随之而来的是全网的服务能力的降级甚至是瘫痪。
为了提高控制器的可靠性,控制器的防攻击技术研究迫在眉睫。目前,用于控制器的防攻击算法还没定义标准。
如果黑客(Hacker)发送足够多的OF消息,很容易使控制器达到超载状态,影响合法的OF消息交互。
目前控制器的防攻击算法还没有统一的标准,如果检测Hacker的粒度过大(例如,只是检测入端口报文数量),当发生攻击的时候,此端口收到的合法的OF消息也会被过滤。
发明内容
本发明的目的是提供一种SDN控制器基于统计值的防攻击方法,根据OF消息的入端口,OF消息类型和源Mac地址动态识别恶意攻击的黑客,并抑制其攻击行为而不影响其他正常的OF消息的交互,同时Controller也产生对应的告警和日志,记录此黑客的行为。
为了实现以上目的,本发明是通过以下技术方案实现的:
一种SDN控制器基于统计值的防攻击方法,其特点是,该方法包含如下步骤:
S1,SDN控制器接收OF消息并解析;
S2,SDN控制器检查所述OF消息的合法性;
S2.1,若所述OF消息不合法,丢弃所述OF消息;
S2.2,若所述OF消息合法,所述O F消息的报文数目加1;
S3,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,并根据报文数目处理合法的所述OF消息。
进一步地,所述的步骤S1中 SDN控制器接收的OF消息并解析后还包含:获得OF消息的入端口、消息类型和源MAC地址的信息。
进一步地,所述的步骤S1之前还包含:
S0,SDN控制器预先为根据不同消息类型分别设置所述OF消息的预设的阈值,其中所述预设的阈值包括缺省的阈值和/或用户配置的阈值。
进一步地,所述的步骤S3包含:
S3.1,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,判断合法的所述OF消息的报文数目是否大于或等于所述预设的阈值,若是则执行Out-Profile动作,若否,则执行步骤S3.2;
S3.2,SDN控制器执行In-Profile动作。
进一步地,所述的步骤S3中,若抑制周期到期,将合法的所述OF消息的报文数目清零。
进一步地,所述的步骤S3中,当所述抑制周期重新设置,等待当前所述抑制周期到期后,更新所述抑制周期。
进一步地,统计所述合格OF消息的OF统计表采用Hash表的组织方式。
进一步地,若抑制周期到期时,在所述Hash表中将所述合法的所述OF消息的报文数目清零。
进一步地,根据CPU利用率和/或报文转发速率,调整所述的抑制周期大小。
本发明与现有技术相比,具有以下优点:
1、本发明提供更细的检测黑客的粒度,从而识别恶意攻击的黑客,处理正常的OF消息。
2、本发明在设定的抑制周期内可以抑制黑客的攻击,从而保护控制器。
3、本发明OF消息统计表采用Hash表的组织方式,大大提高表的检索性能。
附图说明
图1为本发明一种SDN控制器基于统计值的防攻击方法的流程图。
具体实施方式
以下结合附图,通过详细说明一个较佳的具体实施例,对本发明做进一步阐述。
如图1所示,一种SDN控制器基于统计值的防攻击方法,该方法包含如下步骤:
S1,SDN控制器接收OF消息并解析;
S2,SDN控制器检查OF消息的合法性;
S2.1,若OF消息不合法,OF消息将被丢弃;
S2.2,若OF消息合法,则O F消息的报文数目加1;
S3,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,并根据报文数目处理合法的所述OF消息。
其中,所述的步骤S1中 ,SDN控制器会接收不同消息类型的OF消息,故SDN控制器接收到OF消息是需要进行解析的,其中,解析获取:OF消息的入端口、消息类型和源MAC地址的信息。
在具体实施例中,所述的步骤S1之前还包含:
SDN控制器预先为根据不同消息类型分别设置所述OF消息的预设的阈值,其中所述预设的阈值包括缺省的阈值和/或用户配置的阈值。其中,缺省的阈值为系统自带的阈值,用户配置的阈值为用户根据自身要求设置的阈值。
预设的阈值可以为都为缺省的阈值,也可以为都为用户配置的阈值,也可以以缺省的阈值与用户配置的阈值相结合作为预设的阈值。
以下为一实施例中的具体的OF消息阈值表:
管理员可以根据实际的网络情况更新上述阈值,从而达到理想的网络状态。
所述的S2中检测OF消息的合法性为检测入端口、消息类型和源MAC地址的信息一致。
在具体实施例中,所述的步骤S3包含:
S3.1,SDN控制器在抑制周期内记录合法性的OF消息的报文数目,判断所述合法的OF消息的报文数目是否大于或等于预设的阈值,若是则执行Out-Profile动作,该Out-Profile动作的缺省动作类型可以设为丢弃消息并产生日志和警告或者直接丢弃消息,若否,则执行步骤S3.2;
S3.2,SDN控制器执行In-Profile动作,该In-Profile动作的缺省动作类型可以设为正常处理或正常处理且产生日志。
为了提高OF消息的检索性能,所述的OF消息统计表采用Hash表的组织方式。Hash表是要利用Hash算法和Hash值进行直接寻址定位的数据结构。Hash值是由入端口,消息类型和源Mac地址采用以下公式异或获得。其值域从0到1023。同时为了防止黑客变化源MAC地址攻击SDN控制器,导致SDN控制器内存被消耗殆尽。最大的深度为32个条目数。深度值也是可以被用户配置。
在具体实施例中,所述的步骤S3中,若抑制周期到期,将合法的所述OF消息的报文数目清零。对OF消息的报文数目清零,以便后续统计时,无需做叠加计算,加速运算速度,避免不必要的统计错误。
进一步地,当统计所述合格OF消息的OF统计表采用Hash表的组织方式时,若抑制周期到期时,在所述Hash表中将所述合法的所述OF消息的报文数目清零。
进一步地,当所述抑制周期重新设置,等待当前所述抑制周期到期后,更新所述抑制周期。例如,当抑制周期被重新设置为30秒/次,当前的抑制周期为20秒/次,系统将到等待当前的抑制周期到期后,才更新抑制周期,将抑制周期更新为30秒/次,避免抑制周期的紊乱。
进一步地,当控制器侦测黑客在进行攻击时,在抑制周期内,次黑客报文将会被抑制,直到抑制周期超时,管理员额可以根据实际网路情况,调整所述的抑制周期大小,其中,实际的网络情况为发送速率的大小,当OF消息发送速率很大时,可以减小抑制周期,反之可以增大。抑制周期发生改变后,需要等到当前抑制周期到期后,才会生效。当然管理员也可以通过 CPU利用率来更改抑制周期的大小,例如当CPU利用率过高时,将抑制周期增大,反之则减小。也可以根据发送速率与CPU利用率结合来看,根据用户的需求调整抑制周期的大小。
用户可以设置预设的发送速率与预设的CPU利用率,当超过预设的发送速率与预设的CPU利用率其中的一项即发送信号,指示系统自动将当前抑制周期自动增大抑制周期的时间,例如增大1s。
例如;当前抑制周期的值为20秒/次,其发送速率与CPU利用率都超过了预设值,则将当前的抑制周期值增加值21秒/次。当前抑制周期的值为21秒/次,其发送速率与CPU利用率都超过了预设值,则将当前的抑制周期值增加值22秒/次。
综上所述,本发明一种SDN控制器基于统计值的防攻击方法,根据OF消息的入端口,OF消息类型和源Mac地址动态识别恶意攻击的黑客,并抑制其攻击行为而不影响其他正常的OF消息的交互,同时Controller也产生对应的告警和日志,记录此黑客的行为。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
Claims (10)
1.一种SDN控制器基于统计值的防攻击方法,其特征在于,该方法包含如下步骤:
S1,SDN控制器接收OF消息并解析;
S2,SDN控制器检查所述OF消息的合法性;
S2.1,若所述OF消息不合法,丢弃所述OF消息;
S2.2,若所述OF消息合法,所述O F消息的报文数目加1;
S3,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,并根据报文数目处理合法的所述OF消息。
2.如权利要求1所述的SDN控制器基于统计值的防攻击方法,其特征在于,所述的步骤S1中 SDN控制器收到所述OF消息并解析,所述解析获取:所述OF消息的入端口、消息类型和源MAC地址的信息。
3.如权利要求1所述的SDN控制器基于统计值的防攻击方法,其特征在于,所述的步骤S1之前还包含:
S0,SDN控制器预先为根据不同消息类型分别设置所述OF消息的预设的阈值,其中所述预设的阈值包括缺省的阈值和/或用户配置的阈值。
4.如权利要求2所述的SDN控制器基于统计值的防攻击方法,其特征在于,所述的S2中检测所述OF消息的合法性为检测入端口、消息类型和源MAC地址的信息一致。
5.如权利要求3所述的SDN控制器基于统计值的防攻击方法,其特征在于,所述的步骤S3包含:
S3.1,SDN控制器在抑制周期内记录合法的所述OF消息的报文数目,判断合法的所述OF消息的报文数目是否大于或等于所述预设的阈值,若是则执行Out-Profile动作,若否,则执行步骤S3.2;
S3.2,SDN控制器执行In-Profile动作。
6.如权利要求1所述的SDN控制器基于统计值的防攻击方法,其特征在于,所述的步骤S3中,若抑制周期到期,将合法的所述OF消息的报文数目清零。
7.如权利要求1所述的SDN控制器基于统计值的防攻击方法,其特征在于,所述的步骤S3中,当所述抑制周期重新设置,等待当前所述抑制周期到期后,更新所述抑制周期。
8.如权利要求1-7任一项所述的SDN控制器基于统计值的防攻击方法,其特征在于,统计所述合格OF消息的OF统计表采用Hash表的组织方式。
9.根据权利要求8所述的SDN控制器基于统计值的防攻击的方法,其特征在于,若抑制周期到期时,在所述Hash表中将所述合法的所述OF消息的报文数目清零。
10.如权利要求1所述的SDN控制器基于统计值的防攻击方法,其特征在于,根据CPU利用率和/或报文转发速率,调整所述的抑制周期大小。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410774693.XA CN104410643A (zh) | 2014-12-16 | 2014-12-16 | 一种sdn控制器基于统计值的防攻击方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410774693.XA CN104410643A (zh) | 2014-12-16 | 2014-12-16 | 一种sdn控制器基于统计值的防攻击方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104410643A true CN104410643A (zh) | 2015-03-11 |
Family
ID=52648241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410774693.XA Pending CN104410643A (zh) | 2014-12-16 | 2014-12-16 | 一种sdn控制器基于统计值的防攻击方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104410643A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187324A (zh) * | 2015-08-21 | 2015-12-23 | 上海斐讯数据通信技术有限公司 | 一种sdn流转发的数量限制方法和控制系统 |
| CN108881241A (zh) * | 2018-06-26 | 2018-11-23 | 华中科技大学 | 一种面向软件定义网络的动态源地址验证方法 |
| CN112615818A (zh) * | 2015-03-24 | 2021-04-06 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103026662A (zh) * | 2010-07-23 | 2013-04-03 | 日本电气株式会社 | 通信系统、节点、统计信息收集装置、统计信息收集方法和程序 |
| US20130333029A1 (en) * | 2012-06-11 | 2013-12-12 | Radware, Ltd. | Techniques for traffic diversion in software defined networks for mitigating denial of service attacks |
| CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
| US20140283051A1 (en) * | 2013-03-14 | 2014-09-18 | Radware, Ltd. | System and method thereof for mitigating denial of service attacks in virtual networks |
| CN104158800A (zh) * | 2014-07-21 | 2014-11-19 | 南京邮电大学 | 一种面向软件定义网络的分布式拒绝服务攻击检测方法 |
-
2014
- 2014-12-16 CN CN201410774693.XA patent/CN104410643A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103026662A (zh) * | 2010-07-23 | 2013-04-03 | 日本电气株式会社 | 通信系统、节点、统计信息收集装置、统计信息收集方法和程序 |
| US20130333029A1 (en) * | 2012-06-11 | 2013-12-12 | Radware, Ltd. | Techniques for traffic diversion in software defined networks for mitigating denial of service attacks |
| US20140283051A1 (en) * | 2013-03-14 | 2014-09-18 | Radware, Ltd. | System and method thereof for mitigating denial of service attacks in virtual networks |
| CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
| CN104158800A (zh) * | 2014-07-21 | 2014-11-19 | 南京邮电大学 | 一种面向软件定义网络的分布式拒绝服务攻击检测方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112615818A (zh) * | 2015-03-24 | 2021-04-06 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| US11394743B2 (en) | 2015-03-24 | 2022-07-19 | Huawei Technologies Co., Ltd. | SDN-based DDoS attack prevention method, apparatus, and system |
| CN105187324A (zh) * | 2015-08-21 | 2015-12-23 | 上海斐讯数据通信技术有限公司 | 一种sdn流转发的数量限制方法和控制系统 |
| CN105187324B (zh) * | 2015-08-21 | 2018-01-30 | 上海斐讯数据通信技术有限公司 | 一种sdn流转发的数量限制方法和控制系统 |
| CN108881241A (zh) * | 2018-06-26 | 2018-11-23 | 华中科技大学 | 一种面向软件定义网络的动态源地址验证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| WO2018032936A1 (zh) | 一种对算法生成域名进行检测的方法及装置 | |
| WO2016006520A1 (ja) | 検知装置、検知方法及び検知プログラム | |
| EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| EP3337123B1 (en) | Network attack prevention method, apparatus and system | |
| US8844034B2 (en) | Method and apparatus for detecting and defending against CC attack | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| US9195826B1 (en) | Graph-based method to detect malware command-and-control infrastructure | |
| CN104580216B (zh) | 一种对访问请求进行限制的系统和方法 | |
| CN101707601B (zh) | 入侵防御检测方法、装置和网关设备 | |
| US10193890B2 (en) | Communication apparatus to manage whitelist information | |
| JP2020140723A (ja) | ネットワーク攻撃防御システムおよび方法 | |
| US10931691B1 (en) | Methods for detecting and mitigating brute force credential stuffing attacks and devices thereof | |
| CN113556343B (zh) | 基于浏览器指纹识别的DDoS攻击防御方法及设备 | |
| CN102752269A (zh) | 基于云计算的身份认证的方法、系统及云端服务器 | |
| CN106790299B (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
| GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
| CN110875907A (zh) | 一种访问请求控制方法及装置 | |
| CN103916387A (zh) | 一种防护ddos攻击的方法及系统 | |
| CN104410643A (zh) | 一种sdn控制器基于统计值的防攻击方法 | |
| CN105791027A (zh) | 一种工业网络异常中断的检测方法 | |
| CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
| Bartos et al. | IFS: Intelligent flow sampling for network security–an adaptive approach | |
| KR20230156262A (ko) | 기계 학습 기반 멀웨어 검출을 위한 시스템 및 방법 | |
| Li et al. | Effective DDoS attacks detection using generalized entropy metric |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150311 |
|
| WD01 | Invention patent application deemed withdrawn after publication |