CN106341418A - Dns分布式反射型拒绝服务攻击检测、防御方法与系统 - Google Patents

Dns分布式反射型拒绝服务攻击检测、防御方法与系统 Download PDF

Info

Publication number
CN106341418A
CN106341418A CN201610877753.XA CN201610877753A CN106341418A CN 106341418 A CN106341418 A CN 106341418A CN 201610877753 A CN201610877753 A CN 201610877753A CN 106341418 A CN106341418 A CN 106341418A
Authority
CN
China
Prior art keywords
switch
flow table
packet
information
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610877753.XA
Other languages
English (en)
Other versions
CN106341418B (zh
Inventor
杨倩
宋晨
荀浩
史淼
谢德俊
王利明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201610877753.XA priority Critical patent/CN106341418B/zh
Publication of CN106341418A publication Critical patent/CN106341418A/zh
Application granted granted Critical
Publication of CN106341418B publication Critical patent/CN106341418B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种DNS分布式反射型拒绝服务攻击检测、防御方法与系统。本方法为:1)SDN控制器提取网络中匹配各个交换机流表的数据包字节数,计算同一交换机中相同IP地址的上下行流量差异值P,若P大于阈值,则生成对较小流量进行采样标记的流表规则并下发到交换机;2)各交换机根据该流表规则对数据包进行采样;3)分析模块根据采样信息将数据包的源、目的IP地址以及经过的所有交换机ID和入口端口信息发送到SDN控制器;4)SDN控制器根据网络拓扑确定数据包进入网络的首个交换机ID和入口端口,将该首个交换机ID与该数据包的地址对应的流表所属的交换机ID信息进行比较,若不匹配,则检测为攻击流量,对其进行隔离。

Description

DNS分布式反射型拒绝服务攻击检测、防御方法与系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于SDN的DNS分布式反射型拒绝服务攻击检测防御方法与系统。
背景技术
分布式拒绝服务攻击(DDoS)是当前互联网所面临的主要威胁之一,根据网络安全领域首屈一指的供应商阿卡迈技术公司《2015年第二季度互联网发展状况安全报告》显示,在过去三个季度内,DDoS攻击量同比增长了一倍,分布式反射DDoS攻击(DRDoS)作为其中的一种类型相比于洪泛型DDoS攻击更难于防范。国际网络安全解决方案顶级提供商arbor在2015年年度报告中指出,本年度受访者反馈的目前最大型攻击是攻击带宽为500Gbps的分布式拒绝服务攻击,其中利用协议漏洞进行的反射和放大攻击依然流行,并且几乎所有的受访者发现其大多数攻击都针对DNS服务,即攻击者可以利用小小的查询获取大量响应并将其导引至他们选定的攻击目标上。因此,针对DNS的分布式反射型拒绝服务攻击泛滥,且攻击数量呈上升趋势。
DNS分布式反射型拒绝服务攻击是DDoS攻击的一种特殊方法,又称为DNS放大攻击。攻击者指示僵尸网络向DNS服务器发送查询TXT资源记录的DNS请求包,其中请求包的源IP地址为被攻击主机的IP地址,DNS服务器将包含大文本的DNS响应包发送到被攻击主机,被攻击主机收到来自多个DNS服务器的响应包。DNS响应包远远大于DNS请求包,被攻击主机资源被响应流量消耗,从而形成拒绝服务攻击。由于攻击者可以伪造源地址的数据包,发送很少的DNS请求包就能产生流量巨大的DNS响应包,因此传统DDoS方法很难通过流量特征检测DNS放大攻击行为。
目前,已经有国内外关于DRDoS攻击检测和防御技术的研究与发明。比如申请号为CN200910085708.0的发明专利申请公开了一种域名服务器DNS放大攻击的有效检测和抵御方法,其通过检测周期内DNS请求与响应数据包的数量差异检测是否存在放大攻击,并利用布隆过滤器发现异常响应包,从而对攻击流量进行过滤,但是该技术需要在边缘路由器进行诸多配置,对网络管理员的部署能力有较高要求。又如在论文“Amplification Hell:Revisiting Network Protocols for DDoS Abuse”中,针对多种类型的分布式反射型拒绝服务攻击,通过构建特征威胁模型进行特征匹配来检测是否存在放大攻击,然而论文中提出的防御措施会降低效率,并且存在兼容性等问题。
SDN是由美国斯坦福大学提出的一种新型网络创新架构,通过将网络设备控制面与数据面分离开来解决传统网络中无法避免的一些问题,与传统网络相比,SDN具有易于管理与网络编排的特点。SDN技术的诸多优势使其具有对数据包进行采样和标记的源生特性,因此SDN为解决DNS分布式反射型拒绝服务攻击提供了可靠的技术平台。
发明内容
本发明提供一种基于SDN的DNS分布式反射型拒绝服务攻击检测方法、防御方法及系统,利用SDN对网络数据包进行采样和标记的特性,识别网络中的DNS分布式反射型拒绝服务攻击,并对攻击及时进行自动阻断。
一方面,本发明提供了一种基于SDN的DNS分布式反射型拒绝服务攻击检测防御方法,该方法通过特征提取、阈值检测、采样追踪、数据分析、端口匹配以及攻击隔离等关键步骤检测SDN网络中的DNS放大攻击,发现攻击后迅速进行隔离阻断,具体方法包括:
1)所述特征提取,为SDN控制器查询网络中匹配各个交换机流表的数据包字节数;
a)所述匹配各个交换机流表的数据包字节数,是指控制器通过状态查询指令获取所有交换机流表的状态响应信息,提取信息中匹配流表的数据包字节数;
2)所述阈值检测,为SDN控制器根据1)的匹配各个交换机流表的数据包字节数计算同一交换机中相同IP地址的上下行流量差异值P,若差异值P大于检测阈值,触发SDN控制器对上下行流量中的较小流量进行采样追踪操作;
a)所述上下行流量,以F表示;
b)所述上下行流量差异值P,计算公式为:
c)所述检测阈值,表示上下行流量差异的最大限度;
3)所述采样追踪,是指如果上下行流量差异值大于检测阈值,SDN控制器触发采样追踪操作,生成对较小流量进行采样标记的流表规则并下发到交换机,采样操作结束;数据包进入交换机首先与该流表规则进行匹配,如果匹配,则按照流表规则对匹配的数据包进行采样操作;
a)所述较小流量,是指所述2)中如果下行流量远大于上行流量,上行流量即为较小流量;反之,下行流量为较小流量;
b)所述具有采样标记功能的流表规则,匹配字段包括入口端口、源IP地址、目的IP地址以及目的端口,执行指令包括采样、标记和转发;
i.所述采样指令,是指对满足匹配要求的数据包的包头信息进行复制;
ii.所述标记指令,是指在复制的数据包头的头部添加交换机ID和入口端口信息;
iii.所述转发指令,是指把采样信息从指定端口转发到数据收集分析模块;
4)所述数据分析,是指对所有交换机发送的采样信息进行收集,分析同一数据包经过的所有交换机ID和入口端口信息,把该数据包的源IP地址、目的IP地址以及经过的所有交换机ID和入口端口信息发送到SDN控制器;
5)所述端口匹配,是指控制器收到所述4)的信息,根据网络拓扑分析确定数据包进入网络的首个交换机ID和入口端口信息,将进入网络的首个交换机ID与该数据包的地址对应的流表所属的交换机ID进行比较,若不匹配,则检测到攻击流量,对攻击进行隔离;
6)所述攻击隔离,是指控制器生成隔离流表,并下发到所述5)中数据包进入网络的首个交换机中;
a)所述隔离流表,匹配字段包括所述5)中数据包的源IP地址、目的IP地址以及数据包进入网络的首个交换机ID和入口端口,执行的指令是丢包。
另一方面,本发明公开了一种基于SDN的DNS分布式反射型拒绝服务攻击检测防御系统,该系统由SDN控制器安全模块、SDN交换机安全模块,数据收集模块和数据分析模块组成。
1)SDN控制器安全模块包括统计信息分析模块、采样流表生成模块、拓扑创建模块、采样信息分析模块、统计信息与采样信息综合分析模块、隔离流表生成模块以及统计信息数据库:
a)统计信息分析模块通过状态查询指令获取所有交换机流表的状态响应信息,提取信息中匹配流表的数据包字节数,利用公式计算分析同一交换机中相同IP地址的上下行流量差异值;当差异值超过检测阈值时,将较小流量所匹配的流表信息发送到统计信息数据库和采样流表生成模块;
b)采样流表生成模块根据统计信息分析模块的发送数据,提取流表匹配的IP地址,生成具有采样标记功能的流表,将流表下发到所有SDN交换机;
c)拓扑创建模块根据网络连接实时信息确定数据转发层的网络拓扑结构,向采样信息分析模块提供网络拓扑结构与各个节点的连接信息;
d)采样信息分析模块收到从数据分析模块的信息,利用拓扑创建模块的实时网络拓扑分析数据包的传输路径以及数据包进入的首个交换机ID和入口端口,并把交换机ID和入口端口信息发送到统计信息与采样信息综合分析模块;
e)统计信息与采样信息综合分析模块根据采样信息分析模块发来数据包的源和目的IP地址信息,查询数据库中具有相同源和目的IP地址的流表,分析采样数据包进入的首个交换机ID是否与数据库流表所属交换机的ID一致。如果不一致,将数据包的源和目的IP地址、交换机ID和入口端口信息发送给隔离流表生成模块;如果一致,将统计信息数据库中该流表的记录表项删除;
f)隔离流表生成模块负责根据统计信息与采集信息综合分析模块收到的源和目的IP地址、交换机ID和入口端口信息生成阻断攻击的流表,并下发到该ID所属的交换机;
g)统计信息数据库接收来自统计信息收集模块的信息并进行保存,同时对统计信息与采样信息综合分析模块提供查询和删除功能。
2)SDN交换机安全模块包括攻击检测模块和攻击阻断模块:
a)攻击检测模块即SDN交换机执行SDN控制器下发的采样流表。采样流表中包含匹配、采样、标记和转发操作。对于进入SDN交换机的数据包,如果数据包与采样流表中的匹配字段能够匹配,则执行采样将数据包包头信息进行复制。对于复制的包头副本信息,在其MAC字段标记该交换机ID和入口端口,并转发到数据收集模块;对于原完整数据包,按照交换机中正常流表进行匹配转发等;
b)攻击阻断流表即SDN交换机执行SDN控制器下发的隔离流表。隔离流表中包含匹配和丢包操作。如果SDN交换机中的数据包与隔离流表中的匹配字段能够匹配,则将与之匹配的所有数据包进行丢弃操作;如果SDN交换机中的数据包与隔离流表中的匹配字段不能够匹配,则按照交换机中正常流表进行匹配转发等。
3)数据收集模块对接收到的数据包按照包标记中的交换机标签信息进行分类,利用数据包中SEQ信息将不同交换机的数据包分别进行排序整理。
4)数据分析模块负责对整理好的所有数据包进行分析,提取数据包的转发路径和端口信息,将数据进入网络首个交换机及端口信息以(源IP地址、目的IP地址、交换机ID1、入口端口1、交换机ID2、入口端口2)的格式反馈给SDN控制器的采样信息综合分析模块。
本发明技术方案带来的有益效果:
在不增加SDN控制器与交换机之间传输负载的前提下,对网络流量进行实时采样标记分析,快速检测SDN网络中的DNS分布式反射型拒绝服务攻击源并进行及时阻断,同时不影响正常网络通信,有效增强网络安全性。
附图说明
图1是本发明SDN网络中DNS分布式反射型拒绝服务攻击检测防御方法的具体流程图;
图2是本发明SDN网络中DNS分布式反射型拒绝服务攻击检测防御系统的功能模块图;
图3是本发明SDN网络中DNS分布式反射型拒绝服务攻击检测防御系统的网络拓扑图。
具体实施方式
本发明基于DNS放大攻击对数据包源IP地址伪造和数据流量不对称的特点,利用SDN技术对数据流采样和标记的原生特性,提出了一种基于SDN的DNS分布式反射型拒绝服务攻击检测防御系统,自动检测识别网络中的DNS放大攻击流量,并迅速做出响应积极阻断攻击,从而有效避免网络遭受DNS放大攻击的威胁和破坏。
为使本发明的实施例的目的、技术方案和优点更加清楚,下面进一步结合附图对本发明作详细描述。
一种基于SDN的DNS分布式反射型拒绝服务攻击检测防御方法,该方法的网络拓扑图如图3所示,检测防御流程如图1所示,具体流程为:
步骤201,SDN控制器通过状态查询指令获取所有交换机流表的状态响应信息,提取信息中匹配流表的数据包字节数;
步骤202,SDN控制器根据步骤201的匹配各个流表的字节数计算上下行流量差异值P;其中,上下行流量以F(源IP地址,目的IP地址)的格式表示,假设上行流量为F(IP1,IP2),相应的下行流量为F(IP2,IP1),差异值P计算公式如下:
P = | F ( I P 1 , I P 2 ) - F ( I P 2 , 1 P 1 ) F ( I P 1 , I P 2 ) + F ( I P 2 , 1 P 1 ) |
步骤203,若P的值不超过检测阈值(表示上下行流量差异的最大限度,在[0.40,0.55]内取值,优先选择0.55),即P<=0.55,返回步骤201;
步骤204,若P的值超过检测阈值,即P>0.55,假设F(IP1,IP2)大于F(IP2,IP1),生成采样流表,其中采样流表的源IP地址为IP2,目的IP地址为IP1,即差异值计算公式中较小流量的源和目的IP地址。采样流表匹配字段包括交换机入口端口ingress port、源IP地址、目的IP地址和目的端口,执行的指令包括采样、标记和转发。采样即对满足匹配采样流表的数据包包头进行复制,标记即在复制的数据包包头位置添加字段,填入交换机ID和入口端口信息,转发即把采样数据从固定端口转发到数据收集分析模块。此外,设置流表规则的生存期为30秒,当超过该流表的生存期,流表自动删除;
步骤205,数据包进入交换机首先与采样流表进行匹配:
步骤206,如果不匹配,数据包按照正常流表操作;
步骤207,如果匹配,对数据包包头进行复制,在复制数据包头中添加交换机ID和入口端口,并从端口转发到数据收集分析模块,对于原来数据包,按照正常流表操作;
步骤208,数据收集分析模块对收集的采样数据进行处理,分析数据包在网络中经过的所有交换机ID和入口端口信息,把采样分析结果(IP2,IP1,交换机ID 1,入口端口1,交换机ID 2,入口端口2,…)发送给SDN控制器;
步骤209,SDN控制器对收到的采样分析结果进行分析,确定数据包进入的首个交换机ID和入口端口即(IP2,IP1,首个交换机ID,入口端口);
步骤210,SDN控制器向数据库查询源IP地址为IP2,目的IP地址为IP1的流表所属的交换机ID;
步骤211,SDN控制器把步骤209中数据包进入的首个交换机ID与步骤210中确定的流表所属的交换机ID进行比对;
步骤212,如果一致,没有检测到攻击流量,数据包按照正常流表操作,返回步骤201;
步骤213,如果不一致,检测到攻击流量,生成源IP地址为IP2,目的IP地址为IP1,即差异值计算公式中较小流量的源和目的IP地址的隔离流表,该流表的指令是丢包,把隔离流表下发到步骤209中数据包进入的首个交换机ID对应的交换机中。
一种基于SDN的DNS分布式反射型拒绝服务攻击检测防御系统基于SDN网络实现,由SDN控制器安全模块、SDN交换机模块、数据收集模块和数据分析模块构成,具体如图2所示。
1)SDN控制器安全模块包括统计信息分析模块、采样流表生成模块、拓扑创建模块、采样信息分析模块、统计信息与采样信息综合分析模块、隔离流表生成模块以及统计信息数据库。
a)统计信息分析模块通过状态查询指令获取所有交换机流表的状态响应信息,提取信息中匹配流表的数据包字节数,利用公式计算分析同一交换机中相同IP地址的上下行流量差异值P;当差异值P超过检测阈值时,将较小流量所匹配的流表信息发送到统计信息数据库和采样流表生成模块。
b)采样流表生成模块根据统计信息分析模块的发送数据,提取流表匹配的IP地址,生成具有采样标记功能的流表,将流表下发到所有SDN交换机,采样流表的数据结构如表1所示:
表1采样流表的数据结构
c)拓扑创建模块根据网络连接实时信息确定数据转发层的网络拓扑结构,向采样信息分析模块提供网络拓扑信息。
d)采样信息分析模块收到从数据分析模块的信息,利用拓扑创建模块的实时网络拓扑分析数据包的传输路径以及数据包进入的首个交换机ID和入口端口,并把交换机ID和入口端口信息发送到统计信息与采样信息综合分析模块。
e)统计信息与采样信息综合分析模块根据采样信息分析模块发来数据包的源和目的IP地址信息,查询数据库中具有相同源和目的IP地址的流表,分析采样数据包进入的首个交换机ID是否与数据库流表所属交换机的ID一致。如果不一致,将数据包的源和目的IP地址、交换机ID和入口端口信息发送给隔离流表生成模块;如果一致,将统计信息数据库中该流表的记录表项删除。
f)隔离流表生成模块负责根据统计信息与采集信息综合分析模块收到的源和目的IP地址、交换机ID和入口端口信息生成阻断攻击的流表,并下发到该攻击流量对应的数据包进入网络的首个交换机,隔离流表的数据结构如表2所示:
表2隔离流表的数据结构
入口端口 源IP地址 目的IP地址 丢包
g)统计信息数据库接收来自统计信息收集模块的信息并进行保存,同时对统计信息与采样信息综合分析模块提供查询和删除功能。
2)SDN交换机安全模块包括攻击检测模块和攻击阻断模块。
a)攻击检测模块即SDN交换机执行SDN控制器下发的采样流表。采样流表中包含匹配、采样、标记和转发操作。对于进入SDN交换机的数据包,如果数据包与采样流表中的匹配字段能够匹配,则执行采样将数据包包头信息进行复制。对于复制的包头副本信息,在其MAC字段标记该交换机ID和入口端口,并转发到数据收集模块;对于原完整数据包,按照交换机中正常流表进行匹配转发等。
b)攻击阻断流表即SDN交换机执行SDN控制器下发的隔离流表。隔离流表中包含匹配和丢包操作。如果SDN交换机中的数据包与隔离流表中的匹配字段能够匹配,则将与之匹配的所有数据包进行丢弃操作;如果SDN交换机中的数据包与隔离流表中的匹配字段不能够匹配,则按照交换机中正常流表进行匹配转发等。
3)数据收集模块对接收到的数据包按照包标记中的交换机标签信息进行分类,利用数据包中SEQ信息将不同交换机的数据包分别进行排序整理。
4)数据分析模块负责对整理好的所有数据包进行分析,提取数据包的转发路径和端口信息,将数据进入网络首个交换机及端口信息以(源IP地址、目的IP地址、交换机ID1、入口端口1、交换机ID2、入口端口2)的格式反馈给SDN控制器的采样信息综合分析模块。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种DNS分布式反射型拒绝服务攻击检测方法,其步骤为:
1)SDN控制器提取网络中匹配各个交换机流表的数据包字节数;
2)SDN控制器根据提取的数据包字节数计算同一交换机中相同IP地址的上下行流量的差异值P,若该差异值P大于检测阈值,则SDN控制器生成对该上下行流量中较小流量进行采样标记的流表规则并下发到交换机;
3)各交换机根据该流表规则对数据包进行匹配,如果匹配,则按照该流表规则对匹配的数据包进行采样;然后将采样信息转发到数据收集分析模块;
4)数据收集分析模块根据收到的采样信息统计同一数据包经过的所有交换机ID和入口端口信息,然后将该数据包的源IP地址、目的IP地址以及经过的所有交换机ID和入口端口信息发送到SDN控制器;
5)SDN控制器根据网络拓扑确定数据包进入网络的首个交换机ID,将该首个交换机ID与该数据包的地址对应的流表所属的交换机ID信息进行比较,若不匹配,则检测为攻击流量。
2.一种DNS分布式反射型拒绝服务攻击防御方法,其步骤为:
1)SDN控制器提取网络中匹配各个交换机流表的数据包字节数;
2)SDN控制器根据提取的数据包字节数计算同一交换机中相同IP地址的上下行流量差异值P,若该差异值P大于检测阈值,则SDN控制器生成对该上下行流量中较小流量进行采样标记的流表规则并下发到交换机;
3)各交换机根据该流表规则对数据包进行匹配,如果匹配,则按照该流表规则对匹配的数据包进行采样;然后将采样信息转发到数据收集分析模块;
4)数据收集分析模块根据收到的采样信息统计同一数据包经过的所有交换机ID和入口端口信息,然后将该数据包的源IP地址、目的IP地址以及经过的所有交换机ID和入口端口信息发送到SDN控制器;
5)SDN控制器根据网络拓扑确定数据包进入网络的首个交换机ID和入口端口信息,将该首个交换机ID与该数据包的地址对应的流表所属的交换机ID信息进行比较,若不匹配,则检测为攻击流量;
6)SDN根据控制器生成隔离流表对攻击流量进行隔离。
3.如权利要求1或2所述的方法,其特征在于,所述流表规则的匹配字段包括入口端口、源IP地址、目的IP地址以及目的端口。
4.如权利要求3所述的方法,其特征在于,步骤3)中,交换机生成采样信息的方法为:交换机对于匹配的数据包的包头信息进行复制,然后在复制的数据包头的头部添加交换机ID和入口端口信息。
5.如权利要求1或2所述的方法,其特征在于,步骤1)中,SDN控制器通过状态查询指令获取所有交换机流表的状态响应信息,提取状态响应信息中匹配流表的数据包字节数。
6.如权利要求1或2所述的方法,其特征在于,所述差异值P的计算公式为F下行流量、F上行流量分别为同一交换机中相同IP地址的上下行流量。
7.如权利要求2所述的方法,其特征在于,所述隔离流表中的匹配字段包括数据包的源IP地址、目的IP地址以及数据包进入网络的首个交换机ID和入口端口;对攻击流量进行隔离的方法为:SDN控制器将生成的隔离流表下发到该攻击流量对应的数据包进入网络的首个交换机中,并设置隔离流表的执行指令为丢包指令。
8.一种DNS分布式反射型拒绝服务攻击检测、防御系统,其特征在于,包括SDN控制器安全模块、SDN交换机安全模块,数据分析模块;其中,SDN控制器安全模块包括统计信息分析模块、采样流表生成模块、拓扑创建模块、采样信息分析模块、统计信息与采样信息综合分析模块、隔离流表生成模块以及统计信息数据库;
统计信息分析模块,用于提取网络中匹配各个交换机流表的数据包字节数;并计算同一交换机中相同IP地址的上下行流量的差异值P;当差异值P超过检测阈值时,将该上下行流量中较小流量所匹配的流表信息发送到统计信息数据库和采样流表生成模块;
采样流表生成模块,用于根据统计信息分析模块的发送数据,提取流表匹配的IP地址,生成具有采样标记功能的流表,将流表下发到各交换机;
拓扑创建模块,用于生成网络拓扑结构;
采样信息分析模块,用于根据网络拓扑分析数据包的传输路径以及数据包进入的首个交换机ID和入口端口,并把该数据包进入的首个交换机ID和入口端口信息发送到统计信息与采样信息综合分析模块;
统计信息与采样信息综合分析模块,用于根据采样信息分析模块发来的数据包的源IP地址和目的IP地址信息,查询数据库中具有相同源IP地址和目的IP地址的流表,然后判断该数据包进入的首个交换机ID是否与该流表所属交换机的ID一致;如果不一致,则将该数据包确定为攻击流量,并将该数据包的源IP地址和目的IP地址、交换机ID和入口端口信息发送给隔离流表生成模块;
隔离流表生成模块,用于根据统计信息与采集信息综合分析模块收到的源IP地址和目的IP地址、交换机ID和入口端口信息生成阻断攻击的隔离流表,并下发到该攻击流量对应的数据包进入网络的首个交换机交换机;
SDN交换机安全模块,用于执行SDN控制器下发的采样流表和隔离流表;
数据分析模块,用于提取数据包的转发路径和端口信息,将数据进入网络首个交换机及端口信息反馈给SDN控制器的采样信息综合分析模块。
9.权利要求8所述的系统,其特征在于,SDN交换机安全模块对与采样流表匹配的数据包的包头信息进行复制,然后在复制的数据包头的头部添加交换机ID和入口端口信息,得到采样信息并将其转发到数据分析模块。
10.如权利要求8或9所述的系统,其特征在于,数据分析模块将数据进入网络首个交换机及端口信息以(源IP地址、目的IP地址、交换机ID1、入口端口1、交换机ID2、入口端口2)的格式反馈给SDN控制器的采样信息综合分析模块。
CN201610877753.XA 2016-10-08 2016-10-08 Dns分布式反射型拒绝服务攻击检测、防御方法与系统 Active CN106341418B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610877753.XA CN106341418B (zh) 2016-10-08 2016-10-08 Dns分布式反射型拒绝服务攻击检测、防御方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610877753.XA CN106341418B (zh) 2016-10-08 2016-10-08 Dns分布式反射型拒绝服务攻击检测、防御方法与系统

Publications (2)

Publication Number Publication Date
CN106341418A true CN106341418A (zh) 2017-01-18
CN106341418B CN106341418B (zh) 2019-07-02

Family

ID=57839176

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610877753.XA Active CN106341418B (zh) 2016-10-08 2016-10-08 Dns分布式反射型拒绝服务攻击检测、防御方法与系统

Country Status (1)

Country Link
CN (1) CN106341418B (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108183864A (zh) * 2018-01-29 2018-06-19 中国人民解放军国防科技大学 基于ids反馈的软件定义网络流采样方法及系统
CN108632267A (zh) * 2018-04-28 2018-10-09 清华大学深圳研究生院 一种拓扑污染攻击防御方法和系统
CN108683682A (zh) * 2018-06-04 2018-10-19 上海交通大学 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN109936551A (zh) * 2017-12-19 2019-06-25 中国电信股份有限公司 域名系统攻击的防御方法、防御装置以及控制器
CN109962879A (zh) * 2017-12-22 2019-07-02 中国电信股份有限公司 针对分布式反射拒绝服务DRDoS的安全防御方法和控制器
CN110266726A (zh) * 2019-07-08 2019-09-20 新华三信息安全技术有限公司 一种识别ddos攻击数据流的方法及装置
CN111490989A (zh) * 2020-04-10 2020-08-04 全球能源互联网研究院有限公司 一种网络系统、攻击检测方法、装置及电子设备
CN112437035A (zh) * 2019-08-26 2021-03-02 南宁富桂精密工业有限公司 分布式拒绝服务攻击防护方法及相关设备
CN112953956A (zh) * 2021-03-05 2021-06-11 中电积至(海南)信息技术有限公司 一种基于主被动结合的反射放大器识别方法
CN113285953A (zh) * 2021-05-31 2021-08-20 西安交通大学 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质
CN115150269A (zh) * 2022-06-24 2022-10-04 济南浪潮数据技术有限公司 一种云平台的配置网络方法、装置及介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152222A (zh) * 2013-01-05 2013-06-12 中国科学院信息工程研究所 一种基于主机群特征检测速变攻击域名的方法
CN104158800A (zh) * 2014-07-21 2014-11-19 南京邮电大学 一种面向软件定义网络的分布式拒绝服务攻击检测方法
CN104618351A (zh) * 2015-01-15 2015-05-13 中国科学院信息工程研究所 一种识别dns欺骗攻击包及检测dns欺骗攻击的方法
US20150207699A1 (en) * 2014-01-21 2015-07-23 Centurylink Intellectual Property Llc Consumer Choice for Broadband Application and Content Services
CN105099821A (zh) * 2015-07-30 2015-11-25 北京奇虎科技有限公司 基于云的虚拟环境下流量监控的方法和装置
US20150350154A1 (en) * 2014-06-03 2015-12-03 John Myla Using Distributed Network Elements to Send Authoritative DNS Responses
US20160099964A1 (en) * 2014-10-01 2016-04-07 Ciena Corporation Systems and methods to detect and defend against distributed denial of service attacks

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152222A (zh) * 2013-01-05 2013-06-12 中国科学院信息工程研究所 一种基于主机群特征检测速变攻击域名的方法
US20150207699A1 (en) * 2014-01-21 2015-07-23 Centurylink Intellectual Property Llc Consumer Choice for Broadband Application and Content Services
US20150350154A1 (en) * 2014-06-03 2015-12-03 John Myla Using Distributed Network Elements to Send Authoritative DNS Responses
CN104158800A (zh) * 2014-07-21 2014-11-19 南京邮电大学 一种面向软件定义网络的分布式拒绝服务攻击检测方法
US20160099964A1 (en) * 2014-10-01 2016-04-07 Ciena Corporation Systems and methods to detect and defend against distributed denial of service attacks
CN104618351A (zh) * 2015-01-15 2015-05-13 中国科学院信息工程研究所 一种识别dns欺骗攻击包及检测dns欺骗攻击的方法
CN105099821A (zh) * 2015-07-30 2015-11-25 北京奇虎科技有限公司 基于云的虚拟环境下流量监控的方法和装置

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109936551A (zh) * 2017-12-19 2019-06-25 中国电信股份有限公司 域名系统攻击的防御方法、防御装置以及控制器
CN109962879A (zh) * 2017-12-22 2019-07-02 中国电信股份有限公司 针对分布式反射拒绝服务DRDoS的安全防御方法和控制器
CN108183864B (zh) * 2018-01-29 2020-12-04 中国人民解放军国防科技大学 基于ids反馈的软件定义网络流采样方法及系统
CN108183864A (zh) * 2018-01-29 2018-06-19 中国人民解放军国防科技大学 基于ids反馈的软件定义网络流采样方法及系统
CN108632267A (zh) * 2018-04-28 2018-10-09 清华大学深圳研究生院 一种拓扑污染攻击防御方法和系统
CN108683682B (zh) * 2018-06-04 2021-01-01 上海交通大学 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN108683682A (zh) * 2018-06-04 2018-10-19 上海交通大学 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN110266726A (zh) * 2019-07-08 2019-09-20 新华三信息安全技术有限公司 一种识别ddos攻击数据流的方法及装置
CN110266726B (zh) * 2019-07-08 2021-07-20 新华三信息安全技术有限公司 一种识别ddos攻击数据流的方法及装置
CN112437035A (zh) * 2019-08-26 2021-03-02 南宁富桂精密工业有限公司 分布式拒绝服务攻击防护方法及相关设备
US11522909B2 (en) 2019-08-26 2022-12-06 Nanning Fulian Fugui Precision Industrial Co., Ltd. Method for preventing distributed denial of service attack and related equipment
CN111490989A (zh) * 2020-04-10 2020-08-04 全球能源互联网研究院有限公司 一种网络系统、攻击检测方法、装置及电子设备
CN112953956A (zh) * 2021-03-05 2021-06-11 中电积至(海南)信息技术有限公司 一种基于主被动结合的反射放大器识别方法
CN112953956B (zh) * 2021-03-05 2022-11-18 中电积至(海南)信息技术有限公司 一种基于主被动结合的反射放大器识别方法
CN113285953A (zh) * 2021-05-31 2021-08-20 西安交通大学 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质
CN115150269A (zh) * 2022-06-24 2022-10-04 济南浪潮数据技术有限公司 一种云平台的配置网络方法、装置及介质

Also Published As

Publication number Publication date
CN106341418B (zh) 2019-07-02

Similar Documents

Publication Publication Date Title
CN106341418A (zh) Dns分布式反射型拒绝服务攻击检测、防御方法与系统
US11483341B2 (en) DDOS attack detection and mitigation method for industrial SDN network
CN108683682B (zh) 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN104539594B (zh) 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法
CN101404658B (zh) 一种检测僵尸网络的方法及其系统
CN111490975A (zh) 一种基于软件定义网络的分布式拒绝服务DDoS攻击溯源系统和方法
CN104660582B (zh) DDoS识别、防护和路径优化的软件定义的网络架构
CN1953392B (zh) 异常通信量的检测方法和数据包中继装置
CN1330131C (zh) 一种交互式的网络蠕虫检测系统和方法
CN108282497A (zh) 针对SDN控制平面的DDoS攻击检测方法
CN110933111B (zh) 一种基于DPI的DDoS攻击识别方法及装置
CN104539595B (zh) 一种集威胁处理和路由优化于一体的sdn架构及工作方法
CN104468507B (zh) 基于无控制端流量分析的木马检测方法
CN104618377A (zh) 基于NetFlow的僵尸网络检测系统与检测方法
CN109768981B (zh) 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
CN104954367A (zh) 一种互联网全向跨域DDoS攻击防护方法
CN111294342A (zh) 一种软件定义网络中DDos攻击的检测方法及系统
CN109194608B (zh) 一种基于流的DDoS攻击与闪拥事件检测方法
CN108833430B (zh) 一种软件定义网络的拓扑保护方法
CN106027497A (zh) 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法
CN104092588B (zh) 一种基于SNMP与NetFlow结合的网络异常流量检测方法
Zhao Network intrusion detection system model based on data mining
CN105871773A (zh) 一种基于SDN网络架构的DDoS过滤方法
CN111404768A (zh) 一种dpi识别的实现方法及设备
CN108667804B (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant