CN107018084A - 基于sdn架构的ddos攻击防御网络安全系统和方法 - Google Patents
基于sdn架构的ddos攻击防御网络安全系统和方法 Download PDFInfo
- Publication number
- CN107018084A CN107018084A CN201710234826.8A CN201710234826A CN107018084A CN 107018084 A CN107018084 A CN 107018084A CN 201710234826 A CN201710234826 A CN 201710234826A CN 107018084 A CN107018084 A CN 107018084A
- Authority
- CN
- China
- Prior art keywords
- packet
- address
- module
- server
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000001514 detection method Methods 0.000 claims abstract description 51
- 238000004140 cleaning Methods 0.000 claims abstract description 36
- 238000012545 processing Methods 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims abstract description 19
- 238000000605 extraction Methods 0.000 claims description 9
- 102000006479 Heterogeneous-Nuclear Ribonucleoproteins Human genes 0.000 claims description 8
- 108010019372 Heterogeneous-Nuclear Ribonucleoproteins Proteins 0.000 claims description 8
- 206010033799 Paralysis Diseases 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 4
- 230000009977 dual effect Effects 0.000 claims description 3
- 238000005538 encapsulation Methods 0.000 claims description 3
- 230000009172 bursting Effects 0.000 claims 1
- 239000000284 extract Substances 0.000 claims 1
- 238000012546 transfer Methods 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 208000019901 Anxiety disease Diseases 0.000 description 1
- 238000006424 Flood reaction Methods 0.000 description 1
- 241001465754 Metazoa Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 230000036506 anxiety Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于SDN架构的DDOS攻击防御网络安全系统,所述系统包括:SDN交换机接受来自客户机的资源请求,将接收到的请求数据包进行第一层DDOS检测处理,将不能确定数据包合法的数据包交由清洗服务器进行处理;清洗服务器对SDN交换机转发而来的数据包进行细粒度处理,通过算法对数据包进行分析处理,将处理过的数据包再一次转发给SDN交换机,SDN交换机根据清洗服务器的检测结果对数据包作第二次处理;Web服务器为客户机请求资源的目标服务器,当清洗服务器对交换机转发的数据包进行处理后,经“清洗”过的数据包会通过SDN交换机转发给用户请求资源访问的Web服务器,Web服务器接受到数据包,并进行相应处理。
Description
技术领域
本发明涉及网络安全技术领域,具体地说,是一种基于SDN架构的DDOS攻击防御网络安全系统和方法。
背景技术
DOS(Denial of Service,拒绝服务)攻击是指攻击者利用大量的数据“淹没”目标主机,耗尽目标主机的可用资源直至主机系统崩溃,最终导致目标主机无法为正常用户提供服务(例如WEB页面服务)。早期的拒绝服务攻击主要是针对处理能力比较弱的单机,如个人PC,或是窄带宽连接的网站。对拥有高带宽连接,高性能设备的服务器则影响不大,这主要是因为早期的DOS攻击者往往是单兵作战,很难在短时间内单独制造出“大量”的攻击数据。但在1999年底,伴随着DDOS(Distributed Denial of Service,分布式拒绝服务)攻击的出现,这种高性能服务器高枕无忧的局面就再也不存在了。DDOS攻击是指攻击者借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍上千地提高拒绝服务攻击的数量。借助数百,甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为,在这种几百,几千对一的较量中,网络服务提供商所面对的破坏力是空前巨大的。
一般情况下,DDoS攻击会经历三个阶段,这三个阶段主要包括:
目标确认阶段,黑客会在互联网上瞄准一个公司或者大型企业网络的IP地址。这个被锁定的IP地址可能代表了企业的 Web服务器,DNS(Domain Name Server,域名服务器),网关服务器等等;
准备阶段,在这个阶段,黑客会随机性的入侵互联网上大量的没有良好防护系统的计算机。入侵的方式主要是植入病毒,被成功入侵的计算机我们常称之为傀儡机,当傀儡机的数量达到一定的程度后,这些傀儡机便成为黑客进行DDoS攻击的重要手段了。大批量的傀儡机一般成为“僵尸网络”;
攻击实施阶段,黑客会将攻击命令发送到所有被入侵的计算机(也就是傀儡机)上,并命令这些计算机利用预先植入的攻击工具不断向攻击目标发送大量的数据包,造成设备上的处理进程一值被这些无关信息所占据。最后使得受害主机或者服务器消耗大量处理资源来处理这些突增的请求而无法正常响应合法用户的请求,从而造成服务器甚至整个网络的瘫痪。
截止到目前,国内外行内专家以及各大知名互联网公司已对网络中的DDOS攻击检测进行了大量深入研究,并且也提出来应对DDOS的解决方案,但是这些方案仍然不能很有效的防御DDOS,在过去的几年里,DDOS 攻击的数目、大小、类型仍然呈现激增态势发展。
发明内容
本发明的目的是提供一种基于SDN架构的DDOS攻击防御网络安全系统和方法,解决了现有技术中存在的问题。
截止到目前,针对于SDN架构的DDOS攻击的检测和防御手段还处于初级起步阶段。就现阶段而言,国内研究SDN架构下的DDOS防御采用的是传统网络防御DDOS类似的手段和方法,无法在SDN架构下达到防御的预期效果。本发明采用传统防御手段与SDN架构下的防御手段相结合的方式衍生出的新型防御DOOS的技术,旨在解决SDN架构下的DDOS攻击的检测与防御,以保证整个网络的正常运行。
本发明采用的具体技术方案如下:
对于访问本SDN交换机连接的服务器的数据包,调用数据包信息提取模块,可以获得经由SDN交换机的数据包的源IP地址,目的IP地址,端口号,将信息存入到包信息数据库;调用决策处理模块,可对数据包进行识别,通过该模块查询合法IP地址数据库和非法IP地址数据库识别是该数据包的源IP地址是否存在于合法IP地址数据库和非法IP地址数据库,从而使用本模块对数据包进行处理;调用报文转发模块,对决策处理的反馈信息进行下发相应的流表进行数据包转发。
进一步地,如果数据包的IP地址不存在于合法IP地址数据库和非法IP地址数据库,通过调用报文转发模块将数据包交由清洗服务器进行细粒度DDOS攻击检测。
对于由SDN交换机发往清洗服务器的数据包,调用数据包解包模块进行数据包解包和数据包分类,主要分为TCP数据包和非TCP数据包两大类,若数据包为非TCP数据包,用特征匹配检测模块进行检测处理;该数据包为TCP数据包,调用相似系数检测模块进行检测处理;调用全局流量统计模块,当全局流量的阈值达到γ时,对包做丢弃处理来防止网络瘫痪或者清洗服务器资源占用过多而导致的崩溃等情况。
进一步地,通过数据包的分类检测处理后,调用数据包封包模块,将处理后的信息封装在数据包首部将其转发给SDN交换机。
该安全系统采用双重DDOS攻击检测法对进入到SDN交换机的数据包做初步DDOS检测,调用数据包信息提取模块,获得经由SDN交换机的数据包的关键信息,并存入数据库,调用决策处理模块,对数据包进行识别,针对不同的数据包作出不同的处理,调用报文转发模块,对决策处理的反馈信息进行下发相应的流表进行数据包转发;由SDN交换机发往清洗服务器的数据包做细粒度DDOS检测,调用数据包解包模块进行数据包解包和数据包分类,若数据包为非TCP数据包,用特征匹配检测模块进行检测处理,调用相似系数检测模块对TCP数据包进行检测处理,调用全局流量统计模块,防止网络瘫痪或者清洗服务器资源占用过多而导致的崩溃等情况,调用数据包封包模块,将处理后的信息封装在数据包首部将其转发给SDN交换机,对数据包信息进行提取,并保存于数据库,对数据包进行有效识别,判断数据包的来源,并根据源地址已经数据库中的记录信息决定数据包的流向。
当数据包进入到SDN交换机中,调用数据包信息提取模块,提取数据包的源IP地址、目的IP地址、端口号首部信息,对从数据包提取的信息进行处理,若数据包的源IP地址为清洗服务器的IP地址,对数据包进行解包,提取数据包里的随机数Si,校验值check,根据随机数Si向包信息数据库查询原数据包的源IP地址,对check的值进行检查,若check=1,表示该数据包为合法数据包,使用流表将源IP地址更改为查询到的原数据包的IP地址,通过流表的作用将数据包按正常路径转发给请求的目标服务器,将源IP地址存入到合法IP地址数据库,若check=0,表示该数据包为DDOS攻击包,将源IP地址存入到非法IP地址数据库,并通过流表将数据包作丢弃处理,若数据包的源IP地址不是清洗服务器的IP地址,进一步进行查询合法IP地址数据库,若IP地址存在于合法IP地址数据库中,则按照正常路径转发给请求的目标服务器,若IP地址不存在于合法IP地址数据库中,则继续查询非法IP地址数据库,若源IP地址存在于非法IP地址数据库中,通过流表将数据包作丢弃处理;若源IP地址不存在于非法IP地址数据库,则收集数据包的首部信息,将其存入到包信息数据库,交换机利用算法产生的随机数Si封装到数据包首部,通过流表将数据包的目的地址改为清洗服务器的IP地址,调用报文转发模块,通过设置流表将数据包转发给清洗服务器进行第二重的DDOS检测处理,进入清洗服务器后,调用数据包解包模块,分离出随机数Si以及按协议封包的数据包,该数据包由服务器作分类处理,该数据包为非TCP数据包,调用特征匹配检测模块进行检测处理,该数据包为TCP数据包,调用相似系数检测模块进行检测处理,通过相似系数来计算两个数据流的相似程度,从而判定是否属于DDOS攻击,当判定发生了DDOS攻击,调用全局流量统计模块,当全局流量的阈值达到γ时,对包做丢弃处理来防止网络瘫痪或者是清洗服务器崩溃情况。
上述提取数据包里的随机数Si为32位,由程序随机产生,每一个数据包对应一个随机数,用于标识数据包,确保数据包的唯一性,校验值check值由清洗服务器进行设置,其值为0或1。
当调用特征匹配检测模块进行检测处理时,特征匹配检测技术采用如下方法:通过实际的业务流量设置一个时间间隔Ts,该时间间隔在已经时间区间内固定,当每经过该时间间隔后,便对数据包进行分析,当数据包的分析时间不在Ts的时间内,则认为该数据包为合法数据包;当数据包的分析时间在Ts的时间内,则判定该数据包为DDOS攻击数据包。
本发明的有益效果是通过双重DDOS攻击检测法对访问目标服务器的数据包进行细粒度、多方位的检测,第一重检测过滤是SDN交换机的包过滤,将清洗服务器以及处理过的数据包通过数据库进行记录,当新的数据包通过SDN交换机时,查询相应的数据库便可直接滤出一部分DDOS攻击包,不仅减轻了清洗服务器的压力,还提高了检测数据包的效率,第二重DDOS检测更加细粒度,从而高效、准确的达到了防护DDOS攻击的目的。
附图说明
图1是DDOS攻击采用的硬件设备示意图。
图2是SDN交换机模功能模块图。
图3是SDN交换机数据包处理流程图。
图4是SDN交换机DDOS检测处理流程图。
图5是清洗服务器功能模块图。
图6是相似系数检测算法流程图。
具体实施方式
为了加深对本发明的理解,下面将结合附图和实施例对本发明做进一步详细描述,该实施例仅用于解释本发明,并不对本发明的保护范围构成限定。
如图2和图5,一种基于SDN架构的DDOS攻击防御网络安全系统,包括SDN交换机和清洗服务器,所述SDN交换机包括数据包信息提取模块、决策处理模块、报文转发模块和包信息数据库、合法IP地址数据库、非法IP地址数据库,所述清洗服务器包括数据包解包模块、特征匹配模块、相似系数检测模块和全局流量统计模块、数据包封包处理模块。
如图3、图4和图6所示,终端计算机向目标服务器发出数据请求,数据包进入到SDN交换机中;调用数据包信息提取模块,提取数据包的源IP地址、目的IP地址、端口号等首部信息;对从数据包提取的信息进行处理:
①若数据包的源IP地址为清洗服务器的IP地址,对数据包进行解包,提取数据包里的随机数Si(随机数为32位,由程序随机产生,每一个数据包对应一个随机数,用于标识数据包,确保数据包的唯一性),校验值check(check值由清洗服务器进行设置,其值为可为0和1),根据随机数Si向包信息数据库查询原数据包的源IP地址,对check的值进行检查,若check=1,表示该数据包为合法数据包,使用流表将源IP地址(清洗服务器的IP地址)更改为查询到的原数据包的IP地址,通过流表的作用将数据包按正常路径转发给请求的目标服务器,将源IP地址存入到合法IP地址数据库,若check=0,表示该数据包为DDOS攻击包,将源IP地址存入到非法IP地址数据库,并通过流表将数据包作丢弃处理;
②若数据包的源IP地址不是清洗服务器的IP地址,进一步进行查询合法IP地址数据库,若IP地址存在于合法IP地址数据库中,则按照正常路径转发给请求的目标服务器,若IP地址不存在于合法IP地址数据库中,则继续查询非法IP地址数据库,若源IP地址存在于非法IP地址数据库中,通过流表将数据包作丢弃处理;若源IP地址不存在于非法IP地址数据库,则收集数据包的首部信息,例如源IP地址、目的IP地址等,将其存入到包信息数据库。
交换机利用特殊的算法产生的随机数Si封装到数据包首部(将随机数Si也存于数据库的对应条目中),通过流表将数据包的目的地址改为清洗服务器的IP地址,调用报文转发模块,通过设置流表将数据包转发给清洗服务器进行第二重的DDOS检测处理。
进入清洗服务器后,调用数据包解包模块,分离出随机数Si以及按协议封包的数据包,该数据包由服务器作分类处理:
①该数据包为非TCP数据包,调用特征匹配检测模块进行检测处理;
特征匹配检测技术叙述如下:
通过实际的业务流量设置一个时间间隔Ts,该时间间隔在已经时间区间内固定,当每经过该时间间隔后,便对数据包进行分析,需要说明的是,Ts是一个随网络状况变化的值,当清洗服务器单位时间内接受到德数据包过多时(未达到阈值γ),Ts值则变大,那么对数据包的分析就越加详尽;若经过一段时间后,网络流量恢复正常时,Ts值便恢复到初始值。当数据包的分析时间不在Ts的时间内,则认为该数据包为合法数据包。当数据包的分析时间在Ts的时间内,则分析一下数值:
R1=Pa/Ts (该公式用于检测DDOS中的低速率的持续攻击);
R2=Pd/Ts(该公式用于检测DDOS中的泛洪攻击);
R3=Pa/Po(该公式用于检测DDOS中的Smurf攻击);
其中,Pa表示Ts时间间隔内清洗服务器收到的数据包总量,Pd表示Ts时间间隔内清洗服务器收到的来自不同源IP地址的数据包总量,Po表示服务器鉴定为合法数据包的总量。
利用统计学思想,可以确定R1,R2,R3的阈值r1,r2,r3。通过得到的阈值进行比较,如果R1<r1,R2<r2,R3<r3,则认为该数据包为合法数据包。若未被认定为合法数据包,则进行b步骤。
b.对于未被认定为合法数据包,增大Ts,并验证如下规则:
该包为ICMP Request Package;
该包的源地址与清洗服务器负责的目的服务器的IP地址相同;
该包的源IP地址的主机在同一时间内发包次数过多;
满足其中之一的则判定为DDOS攻击数据包。
②该数据包为TCP数据包,调用相似系数检测模块进行检测处理;
相似系数检测技术如下:
每隔一段时间,清洗服务器便会进行一次数据采集,利用公式:
其中NE[Xi]表示清洗服务器接受的数据包总数,NE[Yi]表示清洗服务器判定为合法数据包的总数。
当R趋向于0时,表示网络未出现拥塞,当R趋向于1时表示网络发生拥塞;
b.当网络发生拥塞时,计算相似系数:
c.通过相似系数来计算两个数据流的相似程度,从而判定是否属于DDOS攻击:
其中P(Is=1)表示数据流的相似程度,是所有的相似系数的均值,当Is的值为1时,便可认为是发生了DDOS攻击。
调用全局流量统计模块,当全局流量的阈值达到γ时,对包做丢弃处理来防止网络瘫痪或者是清洗服务器崩溃等情况。
阈值γ设置过程如下:
一般的网络流量呈现正态分布特性,因此可以任意选取一个时间段,假设该时间段的相关系数的均值为E,方差为,标准差,门限系数为,则阈值为:
数据包分流检测完毕后,对数据包做封装处理,将数据包的源IP地址变为目的IP地址,将数据包的目的IP地址变为源IP地址,
当清洗服务器判定该包为合法数据包,则在头部重新封装随机数Si并封装1bit的check字段(此时check=1),
当清洗服务器判定该包为非法数据包,则在头部重新封装随机数Si并封装1bit的check字段(此时check=0)。
以上显示和描述了本发明的基本原理、主要特征及优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (5)
1.一种基于SDN架构的DDOS攻击防御网络安全系统,其特征在于,包括SDN交换机和清洗服务器,所述SDN交换机包括数据包信息提取模块、决策处理模块、报文转发模块和包信息数据库、合法IP地址数据库、非法IP地址数据库,所述清洗服务器包括数据包解包模块、特征匹配模块、相似系数检测模块和全局流量统计模块、数据包封包处理模块。
2.一种基于SDN架构的DDOS攻击防御网络方法,其特征在于,使用如权利要求1所述的安全系统采用双重DDOS攻击检测法对进入到SDN交换机的数据包做初步DDOS检测,调用数据包信息提取模块,获得经由SDN交换机的数据包的关键信息,并存入数据库,调用决策处理模块,对数据包进行识别,针对不同的数据包作出不同的处理,调用报文转发模块,对决策处理的反馈信息进行下发相应的流表进行数据包转发;由SDN交换机发往清洗服务器的数据包做细粒度DDOS检测,调用数据包解包模块进行数据包解包和数据包分类,若数据包为非TCP数据包,用特征匹配检测模块进行检测处理,调用相似系数检测模块对TCP数据包进行检测处理,调用全局流量统计模块,防止网络瘫痪或者清洗服务器资源占用过多而导致的崩溃等情况,调用数据包封包模块,将处理后的信息封装在数据包首部将其转发给SDN交换机,对数据包信息进行提取,并保存于数据库,对数据包进行有效识别,判断数据包的来源,并根据源地址已经数据库中的记录信息决定数据包的流向。
3.根据权利要求2所述的基于SDN架构的DDOS攻击防御网络方法,其特征在于,当数据包进入到SDN交换机中,调用数据包信息提取模块,提取数据包的源IP地址、目的IP地址、端口号首部信息,对从数据包提取的信息进行处理,若数据包的源IP地址为清洗服务器的IP地址,对数据包进行解包,提取数据包里的随机数Si,校验值check,根据随机数Si向包信息数据库查询原数据包的源IP地址,对check的值进行检查,若check=1,表示该数据包为合法数据包,使用流表将源IP地址更改为查询到的原数据包的IP地址,通过流表的作用将数据包按正常路径转发给请求的目标服务器,将源IP地址存入到合法IP地址数据库,若check=0,表示该数据包为DDOS攻击包,将源IP地址存入到非法IP地址数据库,并通过流表将数据包作丢弃处理,若数据包的源IP地址不是清洗服务器的IP地址,进一步进行查询合法IP地址数据库,若IP地址存在于合法IP地址数据库中,则按照正常路径转发给请求的目标服务器,若IP地址不存在于合法IP地址数据库中,则继续查询非法IP地址数据库,若源IP地址存在于非法IP地址数据库中,通过流表将数据包作丢弃处理;若源IP地址不存在于非法IP地址数据库,则收集数据包的首部信息,将其存入到包信息数据库,交换机利用算法产生的随机数Si封装到数据包首部,通过流表将数据包的目的地址改为清洗服务器的IP地址,调用报文转发模块,通过设置流表将数据包转发给清洗服务器进行第二重的DDOS检测处理,进入清洗服务器后,调用数据包解包模块,分离出随机数Si以及按协议封包的数据包,该数据包由服务器作分类处理,该数据包为非TCP数据包,调用特征匹配检测模块进行检测处理,该数据包为TCP数据包,调用相似系数检测模块进行检测处理,通过相似系数来计算两个数据流的相似程度,从而判定是否属于DDOS攻击,当判定发生了DDOS攻击,调用全局流量统计模块,当全局流量的阈值达到γ时,对包做丢弃处理来防止网络瘫痪或者是清洗服务器崩溃情况。
4.根据权利要求3所述的基于SDN架构的DDOS攻击防御网络方法,其特征在于,所述提取数据包里的随机数Si为32位,由程序随机产生,每一个数据包对应一个随机数,用于标识数据包,确保数据包的唯一性,校验值check值由清洗服务器进行设置,其值为0或1。
5.根据权利要求4所述的基于SDN架构的DDOS攻击防御网络方法,其特征在于,当调用特征匹配检测模块进行检测处理时,特征匹配检测技术采用如下方法:通过实际的业务流量设置一个时间间隔Ts,该时间间隔在已经时间区间内固定,当每经过该时间间隔后,便对数据包进行分析,当数据包的分析时间不在Ts的时间内,则认为该数据包为合法数据包;当数据包的分析时间在Ts的时间内,则判定该数据包为DDOS攻击数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710234826.8A CN107018084B (zh) | 2017-04-12 | 2017-04-12 | 基于sdn架构的ddos攻击防御网络安全方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710234826.8A CN107018084B (zh) | 2017-04-12 | 2017-04-12 | 基于sdn架构的ddos攻击防御网络安全方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107018084A true CN107018084A (zh) | 2017-08-04 |
| CN107018084B CN107018084B (zh) | 2020-10-27 |
Family
ID=59445975
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710234826.8A Expired - Fee Related CN107018084B (zh) | 2017-04-12 | 2017-04-12 | 基于sdn架构的ddos攻击防御网络安全方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107018084B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107659402A (zh) * | 2017-10-18 | 2018-02-02 | 浪潮(北京)电子信息产业有限公司 | 一种数字加密货币的交易数据签名方法、装置及介质 |
| CN108519912A (zh) * | 2018-04-04 | 2018-09-11 | 网易(杭州)网络有限公司 | 数据清洗方法、装置、计算机可读存储介质及电子设备 |
| CN108667804A (zh) * | 2018-04-08 | 2018-10-16 | 北京大学 | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 |
| CN108712364A (zh) * | 2018-03-22 | 2018-10-26 | 西安电子科技大学 | 一种sdn网络的安全防御系统及方法 |
| CN108881324A (zh) * | 2018-09-21 | 2018-11-23 | 电子科技大学 | 一种SDN网络的DoS攻击分布式检测与防御方法 |
| CN109167767A (zh) * | 2018-08-17 | 2019-01-08 | 苏州亮磊知识产权运营有限公司 | 一种对于DHCP架构的DDoS攻击防御系统的工作方法 |
| CN109391600A (zh) * | 2017-08-10 | 2019-02-26 | 东软集团股份有限公司 | 分布式拒绝服务攻击防护方法、装置、系统、介质及设备 |
| CN110166480A (zh) * | 2019-05-31 | 2019-08-23 | 新华三信息安全技术有限公司 | 一种数据包的分析方法及装置 |
| CN112968913A (zh) * | 2021-04-15 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于可编程交换机的ddos防御方法、装置、设备及介质 |
| CN113411350A (zh) * | 2021-07-28 | 2021-09-17 | 广东省大湾区集成电路与系统应用研究院 | 防御ddos攻击的网络系统 |
| CN114338206A (zh) * | 2021-12-31 | 2022-04-12 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
| CN114826741A (zh) * | 2022-04-27 | 2022-07-29 | 新华三信息安全技术有限公司 | 一种攻击监测系统及攻击监测方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447996A (zh) * | 2008-12-31 | 2009-06-03 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务攻击防护方法、系统及设备 |
| CN104104561A (zh) * | 2014-08-11 | 2014-10-15 | 武汉大学 | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 |
| CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
| CN104767762A (zh) * | 2015-04-28 | 2015-07-08 | 亚信科技(南京)有限公司 | 一种安全防护系统 |
| CN106534048A (zh) * | 2015-09-11 | 2017-03-22 | 中国电信股份有限公司 | 一种防范sdn拒绝服务攻击的方法、交换机和系统 |
-
2017
- 2017-04-12 CN CN201710234826.8A patent/CN107018084B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447996A (zh) * | 2008-12-31 | 2009-06-03 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务攻击防护方法、系统及设备 |
| CN104104561A (zh) * | 2014-08-11 | 2014-10-15 | 武汉大学 | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 |
| CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
| CN104767762A (zh) * | 2015-04-28 | 2015-07-08 | 亚信科技(南京)有限公司 | 一种安全防护系统 |
| CN106534048A (zh) * | 2015-09-11 | 2017-03-22 | 中国电信股份有限公司 | 一种防范sdn拒绝服务攻击的方法、交换机和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 徐川 等: "DDoS攻击检测研究综述", 《电信科学》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391600A (zh) * | 2017-08-10 | 2019-02-26 | 东软集团股份有限公司 | 分布式拒绝服务攻击防护方法、装置、系统、介质及设备 |
| CN107659402A (zh) * | 2017-10-18 | 2018-02-02 | 浪潮(北京)电子信息产业有限公司 | 一种数字加密货币的交易数据签名方法、装置及介质 |
| CN108712364B (zh) * | 2018-03-22 | 2021-01-26 | 西安电子科技大学 | 一种sdn网络的安全防御系统及方法 |
| CN108712364A (zh) * | 2018-03-22 | 2018-10-26 | 西安电子科技大学 | 一种sdn网络的安全防御系统及方法 |
| CN108519912A (zh) * | 2018-04-04 | 2018-09-11 | 网易(杭州)网络有限公司 | 数据清洗方法、装置、计算机可读存储介质及电子设备 |
| CN108519912B (zh) * | 2018-04-04 | 2021-05-11 | 网易(杭州)网络有限公司 | 数据清洗方法、装置、计算机可读存储介质及电子设备 |
| CN108667804A (zh) * | 2018-04-08 | 2018-10-16 | 北京大学 | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 |
| CN108667804B (zh) * | 2018-04-08 | 2020-09-29 | 北京大学 | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 |
| CN109167767A (zh) * | 2018-08-17 | 2019-01-08 | 苏州亮磊知识产权运营有限公司 | 一种对于DHCP架构的DDoS攻击防御系统的工作方法 |
| CN108881324A (zh) * | 2018-09-21 | 2018-11-23 | 电子科技大学 | 一种SDN网络的DoS攻击分布式检测与防御方法 |
| CN110166480A (zh) * | 2019-05-31 | 2019-08-23 | 新华三信息安全技术有限公司 | 一种数据包的分析方法及装置 |
| CN112968913A (zh) * | 2021-04-15 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于可编程交换机的ddos防御方法、装置、设备及介质 |
| CN113411350A (zh) * | 2021-07-28 | 2021-09-17 | 广东省大湾区集成电路与系统应用研究院 | 防御ddos攻击的网络系统 |
| CN113411350B (zh) * | 2021-07-28 | 2023-02-24 | 广东省大湾区集成电路与系统应用研究院 | 防御ddos攻击的网络系统 |
| CN114338206A (zh) * | 2021-12-31 | 2022-04-12 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
| CN114338206B (zh) * | 2021-12-31 | 2024-05-07 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
| CN114826741A (zh) * | 2022-04-27 | 2022-07-29 | 新华三信息安全技术有限公司 | 一种攻击监测系统及攻击监测方法 |
| CN114826741B (zh) * | 2022-04-27 | 2024-02-09 | 新华三信息安全技术有限公司 | 一种攻击监测系统及攻击监测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107018084B (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018084A (zh) | 基于sdn架构的ddos攻击防御网络安全系统和方法 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| Pang et al. | The devil and packet trace anonymization | |
| CN106027559B (zh) | 基于网络会话统计特征的大规模网络扫描检测方法 | |
| CN102271068B (zh) | 一种dos/ddos攻击检测方法 | |
| DE60307581T2 (de) | Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| US20040054925A1 (en) | System and method for detecting and countering a network attack | |
| US20130305365A1 (en) | System and method for optimization of security traffic monitoring | |
| CN102487339A (zh) | 一种网络设备攻击防范方法及装置 | |
| CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| CN103746982B (zh) | 一种http网络特征码自动生成方法及其系统 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
| KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
| KR20080028381A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| Sun et al. | Detection and classification of malicious patterns in network traffic using Benford's law | |
| CN103944788B (zh) | 基于网络通信行为的未知木马检测方法 | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN106850571A (zh) | 僵尸网络家族的识别方法和装置 | |
| US20180020014A1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method, and malicious communication pattern extraction program | |
| Saad et al. | ICMPv6 flood attack detection using DENFIS algorithms | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| JP2002124996A (ja) | 高速パケット取得エンジン・セキュリティ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210425 Address after: 510000 room 101-1, building 2, 95 daguanzhong Road, Tianhe District, Guangzhou City, Guangdong Province (office only) Patentee after: Guangzhou Zhongtian Technology Consulting Co.,Ltd. Address before: 1 No. 211167 Jiangsu city of Nanjing province Jiangning Science Park Hongjing Road Patentee before: NANJING INSTITUTE OF TECHNOLOGY Effective date of registration: 20210425 Address after: 518000 c2204, block ABCD, building 3, phase I, Tianan cloud Valley Industrial Park, Gangtou community, Bantian street, Longgang District, Shenzhen City, Guangdong Province Patentee after: Shenzhen fengyuanxin Technology Industry Holding Co.,Ltd. Address before: 510000 room 101-1, building 2, 95 daguanzhong Road, Tianhe District, Guangzhou City, Guangdong Province (office only) Patentee before: Guangzhou Zhongtian Technology Consulting Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201027 |