CN109936557A - 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 - Google Patents
一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 Download PDFInfo
- Publication number
- CN109936557A CN109936557A CN201811339761.4A CN201811339761A CN109936557A CN 109936557 A CN109936557 A CN 109936557A CN 201811339761 A CN201811339761 A CN 201811339761A CN 109936557 A CN109936557 A CN 109936557A
- Authority
- CN
- China
- Prior art keywords
- sflow
- attack
- forces
- service
- attacks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于ForCES架构中利用sFlow防御DDoS攻击的方法,包括如下步骤:(1)当转发件收到数据包时,先通过控制件发往控制层的攻击检测插件,对黑名单列表中包特征进行匹配,若该数据信息存在于黑名单列表中,则由控制件直接下发指令,阻止攻击流量进一步转发;(2)在步骤(1)处理无效后,sFlow将数据信息封装成报文,发往sFlow Collector分析,汇聚三个转发件的sFlow Agent上攻击流量所占用的带宽之和,根据当前网络总带宽,按照比例设定带宽阈值,并对比大小;(3)若汇聚之和超过带宽阈值,则判定该主机遭到了DDoS攻击,并立刻通知ForCES控制件,向转发件下发流表,将攻击包进行丢弃,并将攻击包的数据信息发往攻击检测插件,更新其黑名单列表。
Description
技术领域
本发明适用于在ForCES架构中检测与防御DDoS攻击的方法及系统,能保证网络中某台主机在遭到DDoS攻击时,可以经由攻击检测插件黑名单功能,利用控制件直接进行阻止,否则,利用sFlow网络流量监控技术,及时检测出攻击并进行缓解,同时将DDoS攻击源数据信息添加至攻击检测插件的黑名单中,从而保证了整个网络的持续正常运行、提供服务。
背景技术
分布式拒绝服务攻击(DDoS)是当今网络中最突出和最重要的攻击之一,是传统拒绝服务攻击(DoS)的升级,攻击者常通过创建大量受到其攻击的计算机,指定并控制他们发起大规模攻击。这种攻击易发起,破坏力大,类型多,却难以防御和追踪,其强度足以使目标服务器的资源、带宽等耗尽,失去正常的服务能力。近年来,随着各种设备普及智能化,DDoS攻击已不局限于传统系统,开始向云计算中心,物联网系统,智能家居等方面发展,除了可能遭到来自外网的DDoS攻击以外,也有可能遭到来自内网中其他主机发动的DDoS攻击,因此,用户除正常防御外,服务器做好及时的检测和缓解也很重要。
当今通信与网络业务日新月异,从单业务多网体制向多业务单网体制的多网融合已是必然趋势,转发与控制分离(ForCES)技术无疑是实现开放架构网络的重要技术手段。ForCES架构,与传统网络不同,是一个三层体系结构,由控制层,转发层和基础设施层组成,以ForCES协议为南向接口,连接控制层和基础设施层,实现网络集中控制,满足整体需求,增强了安全性,对防御DDoS攻击提供了强有力的帮助。
目前,DDoS攻击检测方法大体分两类,有基于签名的检测,如Bro,是一种实时网络入侵检测系统,可以通过监控入侵者的网络流量工作,但当受到算法复杂的DoS攻击时,便不奏效;同时,有基于异常的检测,如MULTOPS技术,是根据数据包的比例失调与否检测攻击流量,该方法假定输入与输出流量成比例,但这并不符合实际。而基于ForCES架构下DDoS攻击检测的方法,目前尚未发现准确且高效的方法。
攻击检测插件技术,是维护网络安全的第一道防线,分别可以在网络层,应用层和数据库安装攻击检测插件来保证网络安全,其中,攻击检测插件的黑名单功能,主要为了防止疑似攻击的流量进入该网络,造成巨大破坏力,合理运用黑名单功能,可以减少检测攻击的时间,迅速做出反应,且更具准确性。
网络遭到DDoS攻击时,会影响网络整体性能,没有对流量的充分理解,就不可能确定流量划分策略。因此,网络亟需一个可视、可控的网络异常监控系统。采样流(sFlow)是一种基于数据流随机进行采样的开源网络异常检测技术,面向端口,可以用于高速监控数据网络中的流量,该监控工具主要由两方面构成,sFlow Agent和sFlow Collector,sFlowAgent作为客户端,常内嵌于转发设备中,主要通过sFlow Agent获取设备接口统计和数据信息,封装成sFlow报文,发送给sFlow Collector进行分析,汇总,从而采取后续行动,用户可以设定规则,即可以根据用户要求对流量进行采样、统计、分析,从而实时展现网络传输流的性能和潜在问题,采取相对应的解决方案。相比于其他网络流统计技术,sFlow具有资源占用少,实现成本低,采集器灵活部署,实时等优势。
现如今,防御DDoS攻击是研究热点,在ForCES架构中,安全问题是不得不考虑的重中之重。
发明内容
针对该问题,本发明提出了一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统,能够较好缓解DDoS攻击对整个网络的影响。除日常防御DDoS攻击外,还解决了如何实现准确且快速的DDoS攻击检测以及如何降低DDoS攻击对全网的影响,使得在ForCES架构下,能够在某台主机遭到DDoS攻击时,系统能够及时检测出,并采取措施进行缓解,保证正常服务。
本发明所采用的技术方案:一种基于ForCES架构中利用sFlow防御DDoS攻击的方法,包括如下步骤:
(1)当转发件收到数据包时,先通过控制件发往控制层的攻击检测插件,对黑名单列表中包特征进行匹配,若该数据信息存在于黑名单列表中,则由控制件直接下发指令,阻止攻击流量进一步转发;
(2)在步骤(1)处理无效后,sFlow将数据信息封装成报文,发往sFlow Collector分析,汇聚三个转发件的sFlow Agent上攻击流量所占用的带宽之和,根据当前网络总带宽,按照比例设定带宽阈值,并对比大小;
(3)若汇聚之和超过带宽阈值,则判定该主机遭到了DDoS攻击,并立刻通知ForCES控制件,向转发件下发流表,将攻击包进行丢弃,并将攻击包的数据信息发往攻击检测插件,更新其黑名单列表。
进一步的,所述带宽阈值设定为网络总带宽的10%-25%。
本发明的另一目的是提供一种基于ForCES架构中利用sFlow防御DDoS攻击的系统,包括ForCES架构,在ForCES架构的控制层部署攻击检测插件,转发层三个转发件上部署sFlow Agent;利用攻击检测插件中黑名单功能阻止攻击流量,即转发件收到数据包后,先通过控制件发往控制层的攻击检测插件,对其黑名单列表中包特征进行匹配,若该数据信息存在于黑名单列表中,则由控制件直接下发指令,阻止攻击流量进一步转发;否则,sFlow收集三个转发件上sFlow Agent信息,汇总,对比阈值,从而执行后续动作。
进一步的,还包括:一个sFlow自适应的阈值调整机制,根据网络总带宽按照比例设定带宽阈值。
进一步的,所述带宽阈值设定为网络总带宽的10%-25%。
本发明的有益积极效果:
1、本发明是在ForCES架构下,首次利用sFlow监控工具防御DDoS攻击的方法,与传统的防御DDoS攻击的方法不同。该方法充分发挥了ForCES架构的优势,利用控制件进行集中控制,动态控制流量的转发与丢弃,同时,利用攻击检测插件黑名单功能直接识别并由控制件操作阻止DDoS攻击,加快了攻击检测与缓解的时间。
2、本发明的突出优点是利用sFlow实时监测分析流量及网络占用带宽,动态调整阈值,与传统在一个转发件上部署sFlow Agent不同,本发明采用汇聚sFlow Agent流量之和所占带宽,对比阈值,从而较好实现对DDoS攻击的检测与缓解。
附图说明
图1是sFlow防御DDoS攻击流程图;
图2是攻击检测过程数据包走向图;
图3是sFlow处理数据包走向图。
具体实施方式
图1为sFlow防御DDoS攻击流程图,其工作流程需要经过以下几个步骤,下面结合附图详细展开描述。
首先,进行ForCES架构的建链过程。ForCES协议运行需要经历两个阶段,控制件CE与转发件FE开始建立链接之前的阶段,称为建链前阶段,CE与FE建立链接期间和建立了链接之后的阶段,成为建链后阶段。通常,用户或上层应用系统将在建链前阶段对ForCES控制接口(包括协议层PL和传输映射层TML)进行静态或动态配置。FE通过发送建链请求给CE,如果CE允许,CE将继续访问FE的属性和能力,并提供FE初始化的配置,此时,CE与FE的链接完全建立。链接建立后,CE可以在用户或应用系统的支配下,与FE进行交互,FE可以根据其逻辑功能块的配置来处理或转发数据包。另一方面,在链接建立之后,FE将被持续更新或查询。
接下来,在ForCES架构中控制层部署攻击检测插件和sFlow Collector,在转发层的转发件上部署sFlow Agent,与传统sFlow Collector只统计一个转发件上流量信息,再对比阈值不同,本系统设计了新方法,本发明在网络转发层的三个转发件上部署了sFlowAgent。此时,就需要考虑冗余数据包问题,由于网络中转发件之间会相互连接,为了避免数据包冗余,需要配置每个转发件,以至于来自转发件的每个数据包都不会被sFlow Agent重复计数。另一方面,由于sFlow有Flow采样和Counter采样两种方式,本发明以1:500设置Flow采样率,意味着每500个数据包通过每个转发件,就将1个数据包捆绑在数据报中,发送到sFlow Collector进行分析,统计,以30s的时间间隔设定Counter采样。同时,设定流规则,将流规则与阈值相关联,在超过阈值时,触发相应事件。由于sflow获取的流信息是使用SNMP中定义的ifindex对各接口进行标记,而ForCES有自己的标记方式,因此对ForCES端口号和ifindex端口号进行映射,从而有效的进行数据流收发。
如图2所示,当转发件有大量数据包通过时,sFlow通过Flow采样和Counter采样两种方式,将数据报发送至sFlow Collector进行分析,同时发往攻击检测插件,与黑名单列表中包特征进行匹配,若该数据信息存在于黑名单列表中,则通知控制件直接下发流表,阻止攻击流量进一步转发,DDoS攻击得到阻止,保障了整个网络继续提供安全服务。
当某台主机遭到了DDoS攻击时,转发件中转发至其的流量必然增加,占用带宽也会随之增大,因此,若数据信息未存在于黑名单中,则立刻采取后续操作。如图3所示,即在黑名单没有阻止攻击包后,sFlow立刻汇聚三个转发件的sFlow Agent上攻击流量所有信息,及当前网络总带宽,封装成报文,发往sFlow Collector分析,汇总,同时,以网络总带宽的10%-25%设定阈值(该数值可以根据实验服务器的性能、历史访问情况设定,可以根据用户需求选择大小),若汇聚之和超过带宽阈值,则判定该主机遭到了DDoS攻击,并立刻通知ForCES控制件,向转发件下发流表,将攻击包进行丢弃并将攻击包的数据信息发往攻击检测插件中,更新黑名单列表。
Claims (5)
1.一种基于ForCES架构中利用sFlow防御DDoS攻击的方法,其特征在于,包括如下步骤:
(1)当转发件收到数据包时,先通过控制件发往控制层的攻击检测插件,对黑名单列表中包特征进行匹配,若该数据信息存在于黑名单列表中,则由控制件直接下发指令,阻止攻击流量进一步转发;
(2)在步骤(1)处理无效后,sFlow将数据信息封装成报文,发往sFlow Collector分析,汇聚三个转发件的sFlow Agent上攻击流量所占用的带宽之和,根据当前网络总带宽,按照比例设定带宽阈值,并对比大小。
(3)若汇聚之和超过带宽阈值,则判定该主机遭到了DDoS攻击,并立刻通知ForCES控制件,向转发件下发流表,将攻击包进行丢弃,并将攻击包的数据信息发往攻击检测插件,更新其黑名单列表。
2.根据权利要求1所述的基于ForCES架构中利用sFlow防御DDoS攻击的方法,其特征在于,所述带宽阈值设定为网络总带宽的10%-25%。
3.一种基于ForCES架构中利用sFlow防御DDoS攻击的系统,其特征在于,包括ForCES架构,在ForCES架构的控制层部署攻击检测插件,转发层三个转发件上部署sFlow Agent;利用攻击检测插件中黑名单功能阻止攻击流量,即转发件收到数据包后,先通过控制件发往控制层的攻击检测插件,对其黑名单列表中包特征进行匹配,若该数据信息存在于黑名单列表中,则由控制件直接下发指令,阻止攻击流量进一步转发;否则,sFlow收集三个转发件上sFlow Agent信息,汇总,对比阈值,从而执行后续动作。
4.根据权力要求3所述的基于ForCES架构中利用sFlow防御DDoS攻击的系统,其特征在于,还包括:一个sFlow自适应的阈值调整机制,根据网络总带宽按照比例设定带宽阈值。
5.根据权利要求1所述的基于ForCES架构中利用sFlow防御DDoS攻击的系统,其特征在于,所述带宽阈值设定为网络总带宽的10%-25%。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811339761.4A CN109936557A (zh) | 2018-11-12 | 2018-11-12 | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811339761.4A CN109936557A (zh) | 2018-11-12 | 2018-11-12 | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109936557A true CN109936557A (zh) | 2019-06-25 |
Family
ID=66984611
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811339761.4A Pending CN109936557A (zh) | 2018-11-12 | 2018-11-12 | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109936557A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266726A (zh) * | 2019-07-08 | 2019-09-20 | 新华三信息安全技术有限公司 | 一种识别ddos攻击数据流的方法及装置 |
| CN116015700A (zh) * | 2021-11-04 | 2023-04-25 | 贵州电网有限责任公司 | 一种基于软件定义网络的内网ddos流量检测及防护方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599846A (zh) * | 2006-02-24 | 2009-12-09 | 浙江工商大学 | 转发与控制分离网络件内信息组播传输的方法 |
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN103095701A (zh) * | 2013-01-11 | 2013-05-08 | 中兴通讯股份有限公司 | 开放流表安全增强方法及装置 |
| US20170195292A1 (en) * | 2015-12-31 | 2017-07-06 | Fortinet, Inc. | Sequentially serving network security devices using a software defined networking (sdn) switch |
| CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
-
2018
- 2018-11-12 CN CN201811339761.4A patent/CN109936557A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599846A (zh) * | 2006-02-24 | 2009-12-09 | 浙江工商大学 | 转发与控制分离网络件内信息组播传输的方法 |
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN103095701A (zh) * | 2013-01-11 | 2013-05-08 | 中兴通讯股份有限公司 | 开放流表安全增强方法及装置 |
| US20170195292A1 (en) * | 2015-12-31 | 2017-07-06 | Fortinet, Inc. | Sequentially serving network security devices using a software defined networking (sdn) switch |
| CN107968785A (zh) * | 2017-12-03 | 2018-04-27 | 浙江工商大学 | 一种SDN数据中心中防御DDoS攻击的方法 |
Non-Patent Citations (3)
| Title |
|---|
| 王伟明等: "《Analysis and Implementation of an Open Programmable Router Based》", 《JOURNAL OF COMPUTER SCIENCE AND TECHNOLOGY》 * |
| 赵辉: "《https://wenku.baidu.com/view/3e035939a200a6c30c22590102020740be1ecdc1.html》", 9 November 2017 * |
| 高明: "SDN的ForCES实现及服务部署研究", 《中国博士学位论文全文数据库 信息科技辑》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266726A (zh) * | 2019-07-08 | 2019-09-20 | 新华三信息安全技术有限公司 | 一种识别ddos攻击数据流的方法及装置 |
| CN110266726B (zh) * | 2019-07-08 | 2021-07-20 | 新华三信息安全技术有限公司 | 一种识别ddos攻击数据流的方法及装置 |
| CN116015700A (zh) * | 2021-11-04 | 2023-04-25 | 贵州电网有限责任公司 | 一种基于软件定义网络的内网ddos流量检测及防护方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107959690B (zh) | 基于软件定义网络的DDoS攻击跨层协同防御方法 | |
| Zhijun et al. | Low-rate DoS attacks, detection, defense, and challenges: a survey | |
| Wang et al. | An entropy-based distributed DDoS detection mechanism in software-defined networking | |
| CN104836702B (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| Chen et al. | SDNShield: Towards more comprehensive defense against DDoS attacks on SDN control plane | |
| WO2016150253A1 (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
| CN108429761B (zh) | 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法 | |
| Zhang et al. | Floodshield: Securing the sdn infrastructure against denial-of-service attacks | |
| CN108848095A (zh) | SDN环境下基于双熵的服务器DDoS攻击检测与防御方法 | |
| CN110011983B (zh) | 一种基于流表特征的拒绝服务攻击检测方法 | |
| Xu et al. | An enhanced saturation attack and its mitigation mechanism in software-defined networking | |
| Cui et al. | TDDAD: Time-based detection and defense scheme against DDoS attack on SDN controller | |
| Dillon et al. | Openflow (d) dos mitigation | |
| CN102882894A (zh) | 一种识别攻击的方法及装置 | |
| Ubale et al. | SRL: An TCP SYNFLOOD DDoS mitigation approach in software-defined networks | |
| Tang et al. | ADMS: An online attack detection and mitigation system for LDoS attacks via SDN | |
| Xu et al. | DDoS attack in software defined networks: a survey | |
| Huang et al. | FSDM: Fast recovery saturation attack detection and mitigation framework in SDN | |
| CN109936557A (zh) | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 | |
| CN107800711A (zh) | 一种OpenFlow控制器抵御DDoS攻击的方法 | |
| CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
| Abdelmoniem et al. | Taming latency in data centers via active congestion-probing | |
| Singh | Machine learning in openflow network: comparative analysis of DDoS detection techniques. | |
| Gonzalez et al. | Enhancing network intrusion detection with integrated sampling and filtering |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190625 |