CN104468636A - DDoS威胁过滤与链路重配的SDN架构及工作方法 - Google Patents
DDoS威胁过滤与链路重配的SDN架构及工作方法 Download PDFInfo
- Publication number
- CN104468636A CN104468636A CN201510016256.6A CN201510016256A CN104468636A CN 104468636 A CN104468636 A CN 104468636A CN 201510016256 A CN201510016256 A CN 201510016256A CN 104468636 A CN104468636 A CN 104468636A
- Authority
- CN
- China
- Prior art keywords
- message
- ids
- attack
- controller
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明公开了一种DDoS威胁过滤与链路重配的SDN架构及工作方法,本SDN架构,包括:控制器、IDS决策服务器和分布式的IDS设备;当任一IDS设备检测到具有DDoS攻击特征的报文时,即上报至IDS决策服务器,通过该IDS决策服务器制定出与所述报文对应的处理策略,并将处理策略下发至控制器以进行威胁处理,以及所述控制器在威胁处理后重新规划路由路径;本发明将DDoS威胁过滤与链路重配进行融合,在进行监测、屏蔽DDOS攻击后,重新规划链路路径,避免造成数据的拥堵,并且通过将监测和威胁处理分开,有效的减轻了控制层面的负担,保证了网络更安全、高效的运行。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种DDoS威胁过滤与链路重配的SDN架构及工作方法。
背景技术
当前,高速广泛连接的网络已经成为现代社会的重要基础设施。然而,随着互联网规模的膨胀,传统规范体系的缺陷也日益呈现出来。
国家计算机网络应急技术处理协调中心(CNCERT/CC)最新发布的报告表明:黑客活动日趋频繁,网站后门、网络钓鱼、Web恶意挂马等攻击事件呈大幅增长趋势,国家、企业的网络安全性面临着严峻挑战。
其中,分布式拒绝服务攻击(Distributed Denial of Service,DDoS)仍然是影响互联网运行安全最主要的威胁之一。在过去的几年里,DDoS攻击的数目、大小、类型都大幅上涨。
软件定义网络(Software Defined Network,SDN)具有可实时更新路由策略与规则、支持深层次的数据包分析等特性,因而可针对复杂网络环境中的DDoS威胁提供更迅速准确的网络监控及防御功能。
发明内容
本发明的目的是提供一种SDN架构及其工作方法,以解决现有网络中大量DDoS攻击所造成的网络安全问题,并且将检测与决策分离,有效的减轻了控制器的负担;同时,在威胁处理后重新规划路由路径,以实现对链路带宽的充分利用,均衡各OF交换机的数据量。
为了解决上述技术问题,本发明提供了一种SDN架构,包括:控制器、IDS决策服务器和分布式的IDS设备;当任一IDS设备检测到具有DDoS攻击特征的报文时,即上报至IDS决策服务器,通过该IDS决策服务器制定出与所述报文对应的处理策略,并将处理策略下发至控制器以进行威胁处理,以及所述控制器在威胁处理后重新规划路由路径。
优选的,为了在IDS设备中实现DDoS检测,所述IDS设备内包括:欺骗报文检测模块,对链路层和网际层地址的欺骗行为进行检测;破坏报文检测模块,对网际层和传输层标志位设置的异常行为进行检测;异常报文检测模块,对应用层和传输层泛洪式攻击行为进行检测;通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测;且若任一检测模块检测出报文存在上述相应行为时,则将该报文转入IDS决策服务器。
优选的,所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在OpenFlow域中,则通过控制器屏蔽攻击主机;或当攻击威胁不在OpenFlow域中,则通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;所述IDS决策服务器还适于当报文具有异常行为,则通过控制器对攻击程序或攻击主机的流量进行屏蔽;以及当报文具有泛洪式攻击行为,则所述IDS决策服务器适于通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤。
优选的,所述控制器内设一屏蔽计时模块,所述屏蔽计时模块内设有步进时间,该步进时间适于限定屏蔽攻击主机时间,且跟随主机屏蔽次数而递增。
进一步,实现链路带宽的重新调整,所述控制器适于在屏蔽攻击主机后,重新规划路由路径;即检测两相邻节点的链路剩余带宽,获得该链路的负载系数,再根据该负载系数调整路由路径,并将该路由路径得出对应的转发流表并下发各OF交换机。
另一方面,本发明还提供了一种SDN架构的工作方法,以解决对DDoS攻击的分布式监测,在制定相应威胁处理策略的技术问题。
为了解决上述技术问题,本发明还提供了一种SDN架构的工作方法,包括如下步骤:
步骤S100,网络初始化;步骤S200,分布式DDoS威胁监测;步骤S300,威胁处理;步骤S400,重新规划路由路径。
优选的,为了更好的实现网络配置,所述SDN架构包括:控制器、IDS决策服务器和分布式的IDS设备;网络初始化的步骤如下:步骤S101,所述IDS决策服务器与各IDS设备建立专用的SSL通信信道;步骤S102,所述控制器构建网络设备信息绑定表,并且将网络设备信息绑定表实时更新到各IDS设备中;步骤S104,所述控制器下发镜像策略的流表,即将OF交换机所有拖载有主机的端口流量镜像转发给网域内对应的IDS设备;以及步骤S105,所述控制器下发DDoS威胁识别规则给IDS设备。
优选的,所述步骤S200中分布式DDoS威胁监测的方法包括:依次对链路层和网际层地址的欺骗行为,网际层和传输层标志位设置异常行为,以及应用层和传输层的泛洪式攻击行为进行检测;若上述过程中任一检测判断出报文存在相应行为时,则将该报文转入步骤S300。
优选的,对链路层和网际层地址的欺骗行为进行检测的方法包括:通过欺骗报文检测模块对欺骗行为进行检测,即首先,通过欺骗报文检测模块调用网络设备信息绑定表;其次,通过欺骗报文检测模块将封装在Packet-In消息中报文的类型进行解析,以获得相应的源、目的IP地址、MAC地址以及上传此Packet-In消息的OF交换机DPID号和端口号,并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对;若报文中的上述信息匹配,则将报文进行下一检测;若报文中的上述信息不匹配,则将报文转入步骤S300;所述网际层和传输层标志位设置异常行为进行检测的方法包括:通过破坏报文检测模块对标志位设置异常行为进行检测,即对报文的各标志位进行检测,以判断各标志位是否符合TCP/IP协议规范;若报文的各标志位符合,则将报文转入进行下一检测;若报文的各标志位不符合,则将报文转入步骤S300;所述应用层和传输层的泛洪式攻击行为进行检测的方法包括:通过异常报文检测模块对泛洪式攻击行为进行检测,即在异常报文检测模块构建用于识别泛洪式攻击报文的哈希表,并根据该哈希表中设定的阀值判断报文是否具有泛洪式攻击行为,且将判断结果转入步骤S300。
优选的,所述步骤S300中威胁处理的方法包括:若报文具有欺骗行为,且攻击威胁在OpenFlow域中,则所述IDS决策服务器适于通过控制器屏蔽攻击主机;以及当攻击威胁不在OpenFlow域中,则通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;若报文具有异常行为,则所述IDS决策服务器通过控制器对攻击程序或攻击主机的流量进行屏蔽;若报文具有泛洪式攻击行为,则所述IDS决策服务器通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;以及设定一步进时间,该步进时间适于限定屏蔽攻击主机时间,且跟随主机屏蔽次数而递增;所述IDS决策服务器屏蔽发送报文的程序和/或攻击主机的方法包括:首先,构建计数用的相应哈希表及设定相应阈值,即单位时间内,所述IDS决策服务器中构建对欺骗行为进行计数的第一哈希表,标志位设置异常行为进行计数的第二哈希表,以及对泛洪式攻击行为进行计数的第三哈希表;同时设定第一、第二、第三哈希表中的第一、第二、第三阀值;其次,屏蔽发送该报文的程序和/或攻击主机,即针对转入IDS决策服务器的报文的行为,利用相应哈希表进行计数,当计数值超过相应阀值时,屏蔽发送该报文的程序和/或攻击主机。
优选的,对在屏蔽攻击主机后,对链路进行重新规划,所述步骤S400中重新规划路由路径的方法包括:所述控制器适于在屏蔽攻击主机后,重新规划路由路径;即检测两相邻节点的链路剩余带宽,获得该链路的负载系数,再根据该负载系数调整路由路径,并将该路由路径得出对应的转发流表并下发各OF交换机。
本发明的有益效果:(1)本发明将DDoS威胁过滤与链路重配进行融合,在进行监测、屏蔽DDOS攻击后,重新规划链路路径,避免造成数据的拥堵,并且通过将监测和威胁处理分开,有效的减轻了控制层面的负担,保证了网络更安全、高效的运行;(2)本发明使得传统网络体系架构下无法对地址伪造DDoS攻击进行识别与溯源的难题从根本上得到了解决;在对网络中存在DDoS攻击进行屏蔽后,控制器可基于对链路剩余带宽等网络参数的实时感知,实现对正常流量的路由优化,大幅提升用户的体验;(3)本发明的处理架构采用可扩展的模块化设计,实现了对DDoS威胁的高效检测和灵活处理;(4)欺骗报文检测模块、破坏报文检测模块和异常报文检测模块获取数据包信息采用独立的接口设计,降低了模块间的耦合关联性;(5)各模块使用优化的程序数据结构,细致分割各处理子流程,提升了模块的高内聚特性;(6)设置步进时间以实现对攻击主机的屏蔽,便于建立主机诚信机制。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1示出了本发明的SDN架构的结构框图;
图2示出了SDN架构的原理框图;
图3示出了SDN架构的工作方法流程框图;
图4示出了分布式DDoS威胁监测的方法的流程框图。
具体实施方式
现在结合附图对本发明作进一步详细的说明。这些附图均为简化的示意图,仅以示意方式说明本发明的基本结构,因此其仅显示与本发明有关的构成。
实施例1
图1示出了本发明的SDN架构的结构框图。
如图1所示,本发明的SDN架构,包括:控制器、IDS决策服务器、分布式的IDS设备;当任一IDS设备(即入侵检测设备)检测到具有DDoS攻击特征的报文时,即上报至IDS决策服务器,所述IDS决策服务器根据上报信息制定出与具有DDoS攻击特征的报文对应的处理策略,并将处理策略下发至控制器以进行威胁处理(关于处理策略,将在后面的实施例进一步进行说明);所述控制器在威胁处理后重新规划路由路径。
其中,DDoS攻击特征定义为:对链路层和网际层地址的欺骗行为、对网际层和传输层标志位设置的异常行为,以及对应用层和传输层泛洪式攻击行为。
图2示出了SDN架构的原理框图。
如图2所示,进一步,所述IDS设备内包括:欺骗报文检测模块,对链路层和网际层地址的欺骗行为进行检测;破坏报文检测模块,对网际层和传输层标志位设置的异常行为进行检测;异常报文检测模块,对应用层和传输层泛洪式攻击行为进行检测;通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测;且若任一检测模块检测出报文存在上述相应行为时,则将该报文转入IDS决策服务器。
进一步,所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在OpenFlow域中,则通过控制器屏蔽攻击主机;或当攻击威胁不在OpenFlow域中,则通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;所述IDS决策服务器还适于当报文具有异常行为,则通过控制器对攻击程序或攻击主机的流量进行屏蔽;以及当报文具有泛洪式攻击行为,则所述IDS决策服务器适于通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤。
本发明采用从欺骗报文检测模块到破坏报文检测模块,再到异常报文检测模块依次检测的顺序,其中,各模块获取数据包信息采用独立的接口设计,降低了模块间的耦合关联性;并且各模块使用优化的程序数据结构,细致分割各处理子流程,提升了模块的高内聚特性。这种检测顺序提高了对报文数据的检测效率,以及降低了漏检率。
通过所述欺骗报文检测模块调用网络设备信息绑定表,并在所述IDS决策服务器中构建单位时间内的适于对报文欺骗行为进行计数的第一哈希表,以及设定该第一哈希表中的第一阀值;所述欺骗报文检测模块,将封装在Packet-In消息中的报文的类型进行解析,以获得相应的源、目的IP地址、MAC地址以及上传Packet-In消息的OF交换机DPID号和端口号信息,并将各信息分别与网络设备信息绑定表中的相应信息进行比对;若报文中的上述信息匹配,则将报文转入破坏报文检测模块;若报文中的上述信息不匹配,则转入所述IDS决策服务器,对报文进行丢弃,并同时对欺骗行为进行计数,当该计数值超过第一阀值时,屏蔽发送该报文的程序和/或攻击主机。
具体的,所述欺骗报文检测模块用于对报文进行第一次判断,即判断报文是否是IP欺骗攻击报文、端口欺骗攻击报文或MAC欺骗攻击报文。
具体步骤包括:首先在以太网帧中解析出源、目的MAC地址和OF交换机入口,然后根据不同的报文类型解析出不同的报文。当报文类型为IP、ARP、RARP时,则解析出相应的源、目的IP地址然后将这些信息对网络设备信息绑定表中的信息进行查表匹配,如果匹配到相应的信息,则交给破坏报文检测模块处理。若不匹配,则将该报文转入IDS决策服务器处理;并同时对欺骗行为进行累加计数,当该计数值超过第一阀值时,屏蔽发送该报文的程序和/或攻击主机。
Floodlight中有一个设备管理器模块DeviceManagerImpl,当一个设备在网络中移动设备的时候跟踪设备,并且根据新流定义设备。
设备管理器从PacketIn请求中得知设备,并从PacketIn报文中获取设备网络参数信息(源、目的IP、MAC、VLAN等信息),通过实体分类器将设备进行区分为OF交换机或攻击主机。默认情况下实体分类器使用MAC地址和/或VLAN表示一个设备,这两个属性可以唯一的标识一个设备。另外一个重要的信息是设备的安装点(OF交换机的DPID号和端口号)(在一个openflow区域中,一个设备只能有一个安装点,在这里openflow区域指的是和同一个Floodlight实例相连的多个OF交换机的集合。设备管理器也为IP地址、安装点、设备设置了过期时间,最后一次时间戳作为判断它们是否过期的依据。)
故网络设备信息绑定表模块里面只需调用DeviceManagerImpl模块提供的IDeviceService即可,同时向该服务添加IDeviceListener的监听接口即可。
其中IDeviceListener提供的监听接口有:
接口名 | 功能 |
public void deviceAdded(IDevice device) | 主机添加响应 |
public void deviceRemoved(IDevice device) | 主机移除响应 |
public void deviceMoved(IDevice device) | 主机移动响应 |
public void deviceIPV4AddrChanged(IDevice device) | 主机IP地址改变响应 |
public void deviceVlanChanged(IDevice device) | 主机VLAN改变响应 |
服务提供者:IFloodlightProviderService,IDeviceService
依赖接口:IFloodlightModule,IDeviceListener
表内的记录根据OF交换机的高低电平触发机制(网线拔出触发Port Down的低电平,网线拔入触发Port Up的高电平)可以实时刷新绑定表中的记录。
传统的DDoS攻击无法触及、修改Switch DPID和Switch Port的信息,利用此优势,可以更加灵活的检测欺骗攻击。
在所述IDS决策服务器中构建单位时间内的适于对报文的标志位设置异常行为进行计数的第二哈希表,以及设定该第二哈希表中的第二阀值;所述破坏报文检测模块对报文的各标志位进行检测,以判断各标志位是否符合TCP/IP协议规范;若报文的各标志位符合,则将报文转入异常报文检测模块;若报文的各标志位不符合,则转入所述IDS决策服务器,对报文进行丢弃,并同时对标志位设置异常行为进行计数,当该计数值超过第二阀值时,屏蔽发送该报文的程序和/或攻击主机。
具体的,所述破坏报文检测模块,用于对报文进行第二次判断,即判断报文是否为具有恶意标志位特征的攻击报文。其中,具有恶意标志位特征的攻击报文包括但不限于IP攻击报文、TCP攻击报文。实施步骤包括:对IP攻击报文及其中的TCP/UDP攻击报文实现各个报文的标志位的检测,即识别各标志位是否符合TCP/IP协议规范。如果符合的话,就直接交由异常数报文检测模块处理。若不符合,则判断为攻击报文,转入IDS决策服务器处理。
以Tear Drop等典型攻击为列,在IP包头中有一个偏移字段和一个分片标志(MF),若攻击者把偏移字段设置成不正确的值,IP分片报文就会出现重合或断开的情况,目标机系统就会崩溃。
在IP报文头中,有一协议字段,该字段指明了该IP报文承载了何种协议。该字段的值是小于100的,如果攻击者向目标机发送大量的带大于100的协议字段的IP报文,目标机系统中的协议栈就会受到破坏,形成攻击。
故在破坏报文检测模块中,首先提取出报文的各标志位,然后检查是否正常。
如果正常,则交给后续模块处理。
如果不正常,则丢弃该数据包,并对相应哈希表计数器计数。如果单位时间内计数器超过设定的所述第二阀值时,则调用IDS决策服务器对相应的程序进行屏蔽和/或直接屏蔽相应的主机。
通过欺骗报文检测模块的数据包滤除之后,后续的破坏报文检测模块所处理的数据包中的地址都是真实的。这样,有效的避免了目标机收到了破坏报文,可能直接导致目标机的协议栈崩溃,甚至目标机直接崩溃。
破坏报文检测模块的处理功能与欺骗报文检测处理流程大致相似,区别在于破坏报文检测模块解析出的是各个报文的标志位,然后检测各个标志位是否正常。
如果正常的话,就直接给后续的异常报文检测模块处理。
如果不正常,则丢弃该数据包,并且对主机应用征信机制相应的哈希表内计数器计数。如果超过设定的阀值,则屏蔽相应的攻击程序或者直接屏蔽攻击主机。
在所述异常报文检测模块构建用于识别泛洪式攻击报文的哈希表,在所述IDS决策服务器中构建单位时间内的适于对泛洪式攻击行为进行计数的第三哈希表,以及设定该第三哈希表中的第三阀值;所述异常报文检测模块,适于根据所述哈希表中设定的阀值判断所述报文是否具有攻击行为;若无攻击行为,则将数据下发;若具有攻击行为,则转入所述IDS决策服务器,对报文进行丢弃,并同时对攻击行为进行计数,当计数值超过第三阀值时,屏蔽发送该报文的程序和/或攻击主机。
具体的,所述异常报文检测模块,用于对报文进行第三次判断,即判断报文是否是泛洪式攻击报文。
具体步骤包括:利用对构建的识别泛洪式攻击报文的对哈希表内的相应记录进行累加,并检测是否超过阈值,以判断是否是泛洪式攻击报文。
经过上述欺骗报文检测模块、破坏报文检测模块两个模块的滤除,后续模块处理的数据包基本属于正常情况下的数据包。然而,正常情况下,也会有DDoS攻击产生,在现有技术中,一般仅进行欺骗报文检测模块、破坏报文检测模块,而在本技术方案中,为了尽可能的避免DDoS攻击。
以下实施例对在进行欺骗报文检测模块、破坏报文检测模块过滤后,再通过异常报文检测模块屏蔽DDoS攻击的具体实施方式。该实施方式以UDPFlooding和ICMP Flooding为例。
关于UDP Floodling,利用UDP协议无需建立连接的机制,向目标机发送大量UDP报文。目标机会花费大量的时间处理UDP报文,这些UDP攻击报文不但会使存放UDP报文的缓存溢出,而且也会占用大量的网络带宽,目标机无法(或很少)接收到合法的UDP报文。
由于不同的主机向单一主机发送大量UDP数据包,所以肯定会有UDP端口占用的情况,所以本技术方案可以接收到一个ICMP的端口不可达数据包。
所以本技术方案可以对所有主机建立一个哈希表,专门用来存放单位时间内收到ICMP端口不可达数据包的次数。如果超过设定的阀值,则直接屏蔽相应的攻击程序。
关于ICMP Floodling,对于ICMP Flooding直接进行单位时间内计数。如果超过相应的阀值,则直接对相应主机进行相应屏蔽,该方法虽然简单,但是直接有效。
因此,异常报文检测模块,如果检测到的报文类型是异常报文检测类型,则进行相应的计数器检测是否超过阈值,如果没有超过阈值,对该数据包正常下发。如果超过了阈值,则屏蔽相应的攻击程序,或直接对相应主机进行相应屏蔽。
所述欺骗报文检测模块、破坏报文检测模块和异常报文检测模块中任一模块判断所述报文为上述攻击报文时,则将该攻击报文转入IDS决策服务器,即,丢弃所述报文,并屏蔽发送该报文的程序和/或攻击主机。
当“欺骗报文检测模块”、“破坏报文检测模块”和“异常报文检测模块”需要丢弃数据包或者需要屏蔽威胁主机的时候。直接调用IDS决策服务器进行相应的威胁处理操作。
所述IDS决策服务器的具体的实施步骤包括:
丢弃所述报文,即丢弃数据包的步骤包括如下:
OpenFlowOF交换机在未匹配到相应的流表情况下,会将该数据包封装在Packet In消息中,同时OF交换机会将此数据包存在本地的缓存中,数据包存放在缓存中,有一个缓存区ID号,这个ID号也会封装在Packet In消息的buffer_id中,通过Packet out的形式,同时Packet out消息内的buffer_id填写要丢弃的数据包的缓存区ID(对应的Packet In消息中的buffer_id)。
屏蔽攻击主机的步骤包括如下:
OpenFlow协议流表结构如下:
包头域 | 计数器 | 动作 |
其中包头域的结构为:
IDS决策服务器中包括对应用程序进行屏蔽的步骤包括如下:
步骤1:在流表的包头域中填写相应匹配字段,并且通过设置Wildcards屏蔽字段,来获取屏蔽攻击程序或攻击主机信息。其中,如需屏蔽攻击程序,则在流表包头域中填写下列匹配字段:IP、MAC、VLAN、Swtich DPID、Swtich Port、协议类型及其端口号等。如需屏蔽攻击主机,则在流表包头域中填写:IP、MAC、VLAN、Swtich DPID、Swtich Port等匹配字段。
步骤2:将流表动作列表置空,实现攻击程序/主机的数据包丢弃。
步骤3:调用各哈希表中的记录值,计算出流表超时自动删除时间。
步骤4:下发流表屏蔽程序或攻击主机。
因此,本技术方案的网络可有效识别并滤除攻击包。
优选的,所述控制器内设一屏蔽计时模块,所述屏蔽计时模块内设有步进时间,该步进时间适于限定屏蔽攻击主机时间,且跟随主机屏蔽次数而递增。具体实施步骤包括:(如,步进时间设置为5s时,当第一次屏蔽5s;第二次屏蔽10s……;时间增加,最终设定一上限值,即当达到最大违规次数时,永久屏蔽)。作为一种可选的实施方式,所述屏蔽计时模块也可以设置与所述IDS决策服务器内。
优选的,所述控制器适于在屏蔽攻击主机后,重新规划路由路径;即检测两相邻节点的链路剩余带宽,获得该链路的负载系数,再根据该负载系数调整路由路径,并将该路由路径得出对应的转发流表并下发各OF交换机。
具体步骤如下:
首先向控制器的拓扑接口(API)提交获取请求,获取全网拓扑。
然后,通过进行全网链路状态的获取,计算出全网链路剩余带宽。
通过经典的Dijkstra算法,将该算法的权值改为上一步获取的全网链路剩余带宽的倒数,这样使得重新规划的路径更通畅,传输时延最小。
最后,将计算出的新的路由路径转换成由流表组成的实时路径策略下发。
具体的,当前端口剩余带宽为:B-(N2-N1)/(t2-t1)。
然后,再利用获取的网络拓扑进行每条链路的剩余带宽计算:
若是OF交换机与OF交换机之间的连接,则获取该条链路两端的OF交换机端口的剩余带宽,该链路的剩余带宽为两个端口剩余带宽中的较小者。
如果是主机与OF交换机之间的连接,则获取连接主机的OF交换机端口的剩余带宽,该条链路剩余带宽即为连接该主机的OF交换机端口剩余带宽。
实施例2
在实施例1基础上的一种SDN架构的工作方法,以通过分布式的检测和集中式的处理,有效的减轻了控制器的工作负担,提高了检测效率和数据传输率。
图3示出了SDN架构的工作方法流程框图。
本发明的SDN架构的工作方法,包括如下步骤:
步骤S100,网络初始化;步骤S200,分布式DDoS威胁监测;以及步骤S300,威胁处理;步骤S400,重新规划路由路径。
进一步,所述SDN架构包括:控制器、IDS决策服务器和分布式的IDS设备;网络初始化的步骤如下:步骤S101,所述IDS决策服务器与各IDS设备建立专用的SSL通信信道;步骤S102,所述控制器构建网络设备信息绑定表,并且将网络设备信息绑定表实时更新到各IDS设备中;步骤S104,所述控制器下发镜像策略的流表,即将OF交换机所有拖载有主机的端口流量镜像转发给网域内对应的IDS设备;以及步骤S105,所述控制器下发DDoS威胁识别规则给IDS设备。
所述步骤S200中分布式DDoS威胁监测的方法包括:依次对链路层和网际层地址的欺骗行为,网际层和传输层标志位设置异常行为,以及应用层和传输层的泛洪式攻击行为进行检测;若上述过程中任一检测判断出报文存在相应行为时,则将该报文转入步骤S300。
图4示出了分布式DDoS威胁监测的方法的流程框图。
如图4所示,具体的实施步骤包括:步骤S210,对链路层和网际层地址的欺骗行为进行检测;步骤S220,对网际层和传输层标志位设置的异常行为进行检测;步骤S230,对应用层和传输层的泛洪式攻击行为进行检测;步骤S240,若将报文依次通过所述步骤S210、步骤S220、步骤S230后,任一步骤判断出报文存在欺骗、异常、攻击行为时,则将所述报文转入步骤S300。
所述步骤S210中对链路层和网际层地址的欺骗行为进行检测的方法包括如下步骤:步骤S211,通过欺骗报文检测模块调用网络设备信息绑定表;步骤S212,通过欺骗报文检测模块将封装在Packet-In消息中报文的类型进行解析,以获得相应的源、目的IP地址、MAC地址以及上传此Packet-In消息的OF交换机DPID号和端口号,并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对;若报文中的上述信息匹配,则将报文转入步骤S220;若报文中的上述信息不匹配,则将报文转入步骤S300。
所述步骤S220中对网际层和传输层标志位设置异常行为进行检测的方法包括:对报文的各标志位进行检测,以判断各标志位是否符合TCP/IP协议规范;若报文的各标志位符合,则将报文转入S230;若报文的各标志位不符合,则将报文转入步骤S300。
所述步骤S230中对应用层和传输层的泛洪式攻击行为进行检测的方法包括如下步骤:步骤S231,在异常报文检测模块构建用于识别泛洪式攻击报文的哈希表;步骤S232,通过异常报文检测模块根据所述哈希表中设定的阀值判断所述报文是否为泛洪式攻击报文,且将判断结果转入步骤S300,即若无攻击行为,则将数据正常下发;若具有攻击行为,则采取相应的屏蔽措施。
所述步骤S300中威胁处理的方法包括:若报文具有欺骗行为,且攻击威胁在OpenFlow域中,则所述IDS决策服务器适于通过控制器屏蔽攻击主机;以及当攻击威胁不在OpenFlow域中,则通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;若报文具有异常行为,则所述IDS决策服务器通过控制器对攻击程序或攻击主机的流量进行屏蔽;具体的实施步骤包括:针对破坏报文攻击,由于IDS设备当前处理的报文通过了欺骗报文检测,所以该报文地址是真实的。IDS决策服务器只需通过控制器的北向接口下发动作为Drop的流表将攻击程序或攻击主机的流量屏蔽。但这都只是粗粒度的决策,只适用于攻击包少量的破坏报文攻击;若报文具有泛洪式攻击行为,则所述IDS决策服务器通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;可选的,流量清洗中心的安全设备也可以将防护的结果反馈给控制器,调整网络策略,实现SDN网络以及混合有传统网络情况下的多维防护。
在屏蔽攻击主机后,设定一步进时间,该步进时间适于限定屏蔽攻击主机时间,且跟随主机屏蔽次数而递增,关于步进时间的具体实施方式可以参见实施例1的相关描述。
所述IDS决策服务器屏蔽发送报文的程序和/或攻击主机的方法包括:
首先,构建计数用的相应哈希表及设定相应阈值,即单位时间内,所述IDS决策服务器中构建对欺骗行为进行计数的第一哈希表,标志位设置异常行为进行计数的第二哈希表,以及对泛洪式攻击行为进行计数的第三哈希表;同时设定第一、第二、第三哈希表中的第一、第二、第三阀值;其次,屏蔽发送该报文的程序和/或攻击主机,即针对转入IDS决策服务器的报文的行为,利用相应哈希表进行计数,当计数值超过相应阀值时,屏蔽发送该报文的程序和/或攻击主机。
进一步,所述步骤S400中重新规划路由路径的方法包括:所述控制器适于在屏蔽攻击主机后,重新规划路由路径;即检测两相邻节点的链路剩余带宽,获得该链路的负载系数,再根据该负载系数调整路由路径,并将该路由路径得出对应的转发流表并下发各OF交换机。
所述重新规划路由路径的具体算法流程如下:
设rn,(n+1)为两相邻节点的链路剩余带宽,则其链路负载系数为:
由控制器计算出链路负载系数*/
U(a,b)为任意两点间的负载系数和:
设初始网络拓扑图为G0,计算任意两点间的路径,
通过重新规划路由路径实现了在屏蔽攻击主机后,对链路的重新分配,提高了带宽的利用率。
本发明将DDoS攻击处理与链路路径重新分配结合起来,有效的提高了软件定义网络中链路带宽的利用效率,因此,本发明将具有对SDN硬件配置要求低、DDoS检测率高,数据传输率高的优点,特别适合小型服务器使用。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。
Claims (10)
1.一种SDN架构,其特征在于,包括:控制器、IDS决策服务器和分布式的IDS设备;
当任一IDS设备检测到具有DDoS攻击特征的报文时,即上报至IDS决策服务器,通过该IDS决策服务器制定出与所述报文对应的处理策略,并将处理策略下发至控制器以进行威胁处理,以及所述控制器在威胁处理后重新规划路由路径。
2.根据权利要求1所述的SDN架构,其特征在于,所述IDS设备内包括:
欺骗报文检测模块,对链路层和网际层地址的欺骗行为进行检测;
破坏报文检测模块,对网际层和传输层标志位设置的异常行为进行检测;
异常报文检测模块,对应用层和传输层泛洪式攻击行为进行检测;
通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测;且若任一检测模块检测出报文存在上述相应行为时,则将该报文转入IDS决策服务器。
3.根据权利要求2所述的SDN架构,其特征在于,
所述IDS决策服务器适于当报文具有欺骗行为,且攻击威胁在OpenFlow域中,则通过控制器屏蔽攻击主机;或当攻击威胁不在OpenFlow域中,则通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;
所述IDS决策服务器还适于当报文具有异常行为,则通过控制器对攻击程序或攻击主机的流量进行屏蔽;以及
当报文具有泛洪式攻击行为,则所述IDS决策服务器适于通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;
所述控制器内设一屏蔽计时模块,所述屏蔽计时模块内设有步进时间,该步进时间适于限定屏蔽攻击主机时间,且跟随主机屏蔽次数而递增。
4.根据权利要求3所述的SDN架构,其特征在于,所述控制器适于在屏蔽攻击主机后,重新规划路由路径;即检测两相邻节点的链路剩余带宽,获得该链路的负载系数,再根据该负载系数调整路由路径,并将该路由路径得出对应的转发流表并下发各OF交换机。
5.一种SDN架构的工作方法,包括如下步骤:
步骤S100,网络初始化;
步骤S200,分布式DDoS威胁监测;
步骤S300,威胁处理;
步骤S400,重新规划路由路径。
6.根据权利要求5所述的SDN架构的工作方法,其特征在于,所述SDN架构包括:控制器、IDS决策服务器和分布式的IDS设备;
网络初始化的步骤如下:
步骤S101,所述IDS决策服务器与各IDS设备建立专用的SSL通信信道;
步骤S102,所述控制器构建网络设备信息绑定表,并且将网络设备信息绑定表实时更新到各IDS设备中;
步骤S104,所述控制器下发镜像策略的流表,即将OF交换机所有拖载有主机的端口流量镜像转发给网域内对应的IDS设备;以及
步骤S105,所述控制器下发DDoS威胁识别规则给IDS设备。
7.根据权利要求6所述的SDN架构的工作方法,其特征在于,所述步骤S200中分布式DDoS威胁监测的方法包括:
依次对链路层和网际层地址的欺骗行为,网际层和传输层标志位设置异常行为,以及应用层和传输层的泛洪式攻击行为进行检测;
若上述过程中任一检测判断出报文存在相应行为时,则将该报文转入步骤S300。
8.根据权利要求7所述的SDN架构的工作方法,其特征在于,
对链路层和网际层地址的欺骗行为进行检测的方法包括:
通过欺骗报文检测模块对欺骗行为进行检测,即
首先,通过欺骗报文检测模块调用网络设备信息绑定表;
其次,通过欺骗报文检测模块将封装在Packet-In消息中报文的类型进行解析,以获得相应的源、目的IP地址、MAC地址以及上传此Packet-In消息的OF交换机DPID号和端口号,并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对;
若报文中的上述信息匹配,则将报文进行下一检测;
若报文中的上述信息不匹配,则将报文转入步骤S300;
所述网际层和传输层标志位设置异常行为进行检测的方法包括:
通过破坏报文检测模块对标志位设置异常行为进行检测,即
对报文的各标志位进行检测,以判断各标志位是否符合TCP/IP协议规范;
若报文的各标志位符合,则将报文转入进行下一检测;
若报文的各标志位不符合,则将报文转入步骤S300;
所述应用层和传输层的泛洪式攻击行为进行检测的方法包括:
通过异常报文检测模块对泛洪式攻击行为进行检测,即
在异常报文检测模块构建用于识别泛洪式攻击报文的哈希表,并根据该哈希表中设定的阀值判断报文是否具有泛洪式攻击行为,且将判断结果转入步骤S300。
9.根据权利要求8所述的SDN架构的工作方法,其特征在于,所述步骤S300中威胁处理的方法包括:
若报文具有欺骗行为,且攻击威胁在OpenFlow域中,则所述IDS决策服务器适于通过控制器屏蔽攻击主机;以及当攻击威胁不在OpenFlow域中,则通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;
若报文具有异常行为,则所述IDS决策服务器通过控制器对攻击程序或攻击主机的流量进行屏蔽;
若报文具有泛洪式攻击行为,则所述IDS决策服务器通过控制器将该报文所对应的OF交换机接入端口流量重定向至流量清洗中心进行过滤;
在屏蔽攻击主机后,设定一步进时间,该步进时间适于限定屏蔽攻击主机时间,且跟随主机屏蔽次数而递增;
所述IDS决策服务器屏蔽发送报文的程序和/或攻击主机的方法包括:
首先,构建计数用的相应哈希表及设定相应阈值,即
单位时间内,所述IDS决策服务器中构建对欺骗行为进行计数的第一哈希表,标志位设置异常行为进行计数的第二哈希表,以及对泛洪式攻击行为进行计数的第三哈希表;
同时设定第一、第二、第三哈希表中的第一、第二、第三阀值;
其次,屏蔽发送该报文的程序和/或攻击主机,即
针对转入IDS决策服务器的报文的行为,利用相应哈希表进行计数,当计数值超过相应阀值时,屏蔽发送该报文的程序和/或攻击主机。
10.根据权利要求9所述的SDN架构的工作方法,其特征在于,所述步骤S400中重新规划路由路径的方法包括:所述控制器适于在屏蔽攻击主机后,重新规划路由路径;即检测两相邻节点的链路剩余带宽,获得该链路的负载系数,再根据该负载系数调整路由路径,并将该路由路径得出对应的转发流表并下发各OF交换机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510016256.6A CN104468636A (zh) | 2015-01-09 | 2015-01-09 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510016256.6A CN104468636A (zh) | 2015-01-09 | 2015-01-09 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104468636A true CN104468636A (zh) | 2015-03-25 |
Family
ID=52914008
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510016256.6A Pending CN104468636A (zh) | 2015-01-09 | 2015-01-09 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104468636A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105430113A (zh) * | 2015-11-03 | 2016-03-23 | 上海斐讯数据通信技术有限公司 | Sdn网络arp报文处理方法、系统、控制器及交换机 |
CN105516129A (zh) * | 2015-12-04 | 2016-04-20 | 重庆邮电大学 | 基于sdn技术实现僵尸网络控制信道阻断的方法和装置 |
CN105591977A (zh) * | 2015-08-28 | 2016-05-18 | 杭州华三通信技术有限公司 | 报文处理方法以及装置 |
CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
WO2017161982A1 (zh) * | 2016-03-25 | 2017-09-28 | 华为技术有限公司 | 一种sdn网络中多流传输的方法和设备 |
CN108293039A (zh) * | 2015-11-17 | 2018-07-17 | 慧与发展有限责任合伙企业 | 处理网络威胁 |
CN108289104A (zh) * | 2018-02-05 | 2018-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
CN108683528A (zh) * | 2018-04-26 | 2018-10-19 | 深圳银澎云计算有限公司 | 一种数据传输方法、中心服务器、服务器及数据传输系统 |
CN109792440A (zh) * | 2016-08-10 | 2019-05-21 | 诺基亚通信公司 | 软件定义网络中的异常检测 |
CN111147516A (zh) * | 2019-12-31 | 2020-05-12 | 中南民族大学 | 基于sdn的安全设备动态互联与智能选路决策系统及方法 |
CN114374622A (zh) * | 2021-12-31 | 2022-04-19 | 恒安嘉新(北京)科技股份公司 | 一种基于融合分流设备的分流方法及融合分流设备 |
CN115237727A (zh) * | 2022-09-21 | 2022-10-25 | 云账户技术(天津)有限公司 | 最拥堵子链路的确定方法、装置、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299765A (zh) * | 2008-06-19 | 2008-11-05 | 中兴通讯股份有限公司 | 抵御ddos攻击的方法 |
US7623466B2 (en) * | 2006-04-20 | 2009-11-24 | Alcatel Lucent | Symmetric connection detection |
CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
CN104158803A (zh) * | 2014-08-01 | 2014-11-19 | 国家电网公司 | 一种针对DDoS攻击的模块化防护检测方法及系统 |
CN104539594A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法 |
-
2015
- 2015-01-09 CN CN201510016256.6A patent/CN104468636A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7623466B2 (en) * | 2006-04-20 | 2009-11-24 | Alcatel Lucent | Symmetric connection detection |
CN101299765A (zh) * | 2008-06-19 | 2008-11-05 | 中兴通讯股份有限公司 | 抵御ddos攻击的方法 |
CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
CN104158803A (zh) * | 2014-08-01 | 2014-11-19 | 国家电网公司 | 一种针对DDoS攻击的模块化防护检测方法及系统 |
CN104539594A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法 |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105591977A (zh) * | 2015-08-28 | 2016-05-18 | 杭州华三通信技术有限公司 | 报文处理方法以及装置 |
CN105430113B (zh) * | 2015-11-03 | 2018-07-03 | 上海斐讯数据通信技术有限公司 | Sdn网络arp报文处理方法、系统、控制器及交换机 |
CN105430113A (zh) * | 2015-11-03 | 2016-03-23 | 上海斐讯数据通信技术有限公司 | Sdn网络arp报文处理方法、系统、控制器及交换机 |
CN108293039B (zh) * | 2015-11-17 | 2021-08-10 | 慧与发展有限责任合伙企业 | 处理网络威胁的计算设备、方法和存储介质 |
CN108293039A (zh) * | 2015-11-17 | 2018-07-17 | 慧与发展有限责任合伙企业 | 处理网络威胁 |
US10749895B2 (en) | 2015-11-17 | 2020-08-18 | Hewlett Packard Enterprise Development Lp | Handling network threats |
CN105516129A (zh) * | 2015-12-04 | 2016-04-20 | 重庆邮电大学 | 基于sdn技术实现僵尸网络控制信道阻断的方法和装置 |
US10680928B2 (en) | 2016-03-25 | 2020-06-09 | Huawei Technologies Co., Ltd. | Multi-stream transmission method and device in SDN network |
WO2017161982A1 (zh) * | 2016-03-25 | 2017-09-28 | 华为技术有限公司 | 一种sdn网络中多流传输的方法和设备 |
US10986067B2 (en) | 2016-08-10 | 2021-04-20 | Nokia Solutions And Networks Oy | Anomaly detection in software defined networking |
CN109792440A (zh) * | 2016-08-10 | 2019-05-21 | 诺基亚通信公司 | 软件定义网络中的异常检测 |
CN106921666B (zh) * | 2017-03-06 | 2020-10-02 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
CN106921666A (zh) * | 2017-03-06 | 2017-07-04 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
CN108289104B (zh) * | 2018-02-05 | 2020-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
CN108289104A (zh) * | 2018-02-05 | 2018-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
CN108683528A (zh) * | 2018-04-26 | 2018-10-19 | 深圳银澎云计算有限公司 | 一种数据传输方法、中心服务器、服务器及数据传输系统 |
CN108683528B (zh) * | 2018-04-26 | 2021-07-20 | 深圳银澎云计算有限公司 | 一种数据传输方法、中心服务器、服务器及数据传输系统 |
CN111147516A (zh) * | 2019-12-31 | 2020-05-12 | 中南民族大学 | 基于sdn的安全设备动态互联与智能选路决策系统及方法 |
CN114374622A (zh) * | 2021-12-31 | 2022-04-19 | 恒安嘉新(北京)科技股份公司 | 一种基于融合分流设备的分流方法及融合分流设备 |
CN114374622B (zh) * | 2021-12-31 | 2023-12-19 | 恒安嘉新(北京)科技股份公司 | 一种基于融合分流设备的分流方法及融合分流设备 |
CN115237727A (zh) * | 2022-09-21 | 2022-10-25 | 云账户技术(天津)有限公司 | 最拥堵子链路的确定方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104539625B (zh) | 一种基于软件定义的网络安全防御系统及其工作方法 | |
CN104539594B (zh) | 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法 | |
CN104468636A (zh) | DDoS威胁过滤与链路重配的SDN架构及工作方法 | |
CN104660582B (zh) | DDoS识别、防护和路径优化的软件定义的网络架构 | |
CN104539595B (zh) | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 | |
CN104378380A (zh) | 一种基于SDN架构的识别与防护DDoS攻击的系统及方法 | |
US8468590B2 (en) | Rate limiting data traffic in a network | |
EP3151470B1 (en) | Analytics for a distributed network | |
CN102497362B (zh) | 异常网络流量的攻击源追踪方法及装置 | |
US8201252B2 (en) | Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks | |
US7124440B2 (en) | Monitoring network traffic denial of service attacks | |
US9166990B2 (en) | Distributed denial-of-service signature transmission | |
CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
US20160080411A1 (en) | Hardware-logic based flow collector for distributed denial of service (ddos) attack mitigation | |
US20020095492A1 (en) | Coordinated thwarting of denial of service attacks | |
CN106161333A (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
CN109327426A (zh) | 一种防火墙攻击防御方法 | |
CN105871773A (zh) | 一种基于SDN网络架构的DDoS过滤方法 | |
Jiang et al. | Bsd-guard: a collaborative blockchain-based approach for detection and mitigation of sdn-targeted ddos attacks | |
CN105871771A (zh) | 一种针对ddos网络攻击的sdn网络架构 | |
CN105871772A (zh) | 一种针对网络攻击的sdn网络架构的工作方法 | |
CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
Thang et al. | Synflood spoofed source DDoS attack defense based on packet ID anomaly detection with bloom filter | |
RU2791869C1 (ru) | Система и способ защиты от Volume DDoS атак | |
CN115776406B (zh) | 安全防护方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150325 |