CN110830469A - 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 - Google Patents
基于SDN和BGP流程规范的DDoS攻击防护系统及方法 Download PDFInfo
- Publication number
- CN110830469A CN110830469A CN201911071789.9A CN201911071789A CN110830469A CN 110830469 A CN110830469 A CN 110830469A CN 201911071789 A CN201911071789 A CN 201911071789A CN 110830469 A CN110830469 A CN 110830469A
- Authority
- CN
- China
- Prior art keywords
- flow
- attack
- network
- sdn
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000002159 abnormal effect Effects 0.000 claims abstract description 49
- 238000001914 filtration Methods 0.000 claims abstract description 26
- 238000012544 monitoring process Methods 0.000 claims abstract description 20
- 230000008569 process Effects 0.000 claims abstract description 12
- 238000012806 monitoring device Methods 0.000 claims abstract description 7
- 230000004044 response Effects 0.000 claims description 11
- 238000012549 training Methods 0.000 claims description 7
- 238000007405 data analysis Methods 0.000 claims description 6
- 230000002265 prevention Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 230000000644 propagated effect Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 8
- 230000000875 corresponding effect Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 238000012952 Resampling Methods 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- HRULVFRXEOZUMJ-UHFFFAOYSA-K potassium;disodium;2-(4-chloro-2-methylphenoxy)propanoate;methyl-dioxido-oxo-$l^{5}-arsane Chemical compound [Na+].[Na+].[K+].C[As]([O-])([O-])=O.[O-]C(=O)C(C)OC1=CC=C(Cl)C=C1C HRULVFRXEOZUMJ-UHFFFAOYSA-K 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,特别涉及一种基于SDN和BGP流程规范的DDoS攻击防护系统及方法,包含:监测设备,实时监测路由器网络流量,并通过感知设备检测异常流量,获取攻击信息;防护设备,接收监测设备的攻击信息,并通过基于软件定义网络的网络攻击过滤平台,对异常流量进行防护,过滤平台中设置对攻击信息进行数据分析并通过边界网关协议流程规范向路由器推送路由策略的软件定义网络控制器,以实现对包含攻击信息的异常流量进行过滤。本发明区别攻击与业务,对攻击流量进行压制的同时保障业务流量的通行,流量过滤分析更精细化,避免把流向目的主机的合法和非法流量全部堵截从而导致正常的业务系统不可使用,对网络安全通信具有重要的指导意义。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种基于SDN和BGP流程规范的DDoS攻击防护系统及方法。
背景技术
软件定义网络(software defined networking,简称SDN),将传统封闭的网络体系解耦为数据平面、控制平面和应用平面,是对传统网络基础设施的重构,目前已在网络虚拟化、数据中心网络、无线局域网等领域得到应用。SDN的思想是将更多的控制权交给网络使用者,除了设计部署、配置变更,还可以进行网络软件的重构。SDN和分布式拒绝服务(Distributed Denial of Service,DDoS)攻击之间存在着对立关系,SDN的功能使其易于检测和对DDoS攻击做出反应。SDN具有很多良好特性,这些特性为抵御DDoS攻击提供了很多优势。
目前应对DDos攻击的常用防护手段主要有两个方式:(一)通过硬件设备对攻击流量进行监测(通过防火墙对DDoS流量进行识别),识别后对攻击流量进行过滤。这种方法防护能力基于硬件的配置,同时硬件的配置也是整个防护体系的瓶颈。如今,DDoS攻击的流量越来越大,单纯依靠硬件进行防护已无法满足需求,而且大流量节点部署时,设备扩容成本较高。(二)通过黑洞路由进行防护,当发现DDoS攻击的时候,把被攻击对象的IP地址加入路由黑洞,从网络中将DDoS攻击流量进行过滤。这种防护手段的不足在于无法辨别哪些是正常使用流量,哪些是异常DDoS流量,因此该方法可能会影响到正常的流量且访问控制列表(Access Control Lists,ACL)难以维护。
发明内容
为此,本发明提供一种基于SDN和BGP流程规范的DDoS攻击防护系统及方法,在正常流量不受影响的情形下,能够有效防御DDoS攻击,实现对异常攻击流量精确控制和丢弃,保证网络运行的安全稳定性。
按照本发明所提供的设计方案,提供一种基于SDN和BGP流程规范的DDoS攻击防护系统,用于网络中针对分布式拒绝服务攻击的侦测及防御,包含:
监测设备,用于实时监测路由器网络流量,并通过感知设备检测异常流量,获取攻击信息;
防护设备,用于接收监测设备的攻击信息,并通过部署的基于软件定义网络的网络攻击过滤平台,对异常流量进行防护,其中,过滤平台中设置用于对攻击信息进行数据分析并通过边界网关协议流程规范向路由器推送路由策略的软件定义网络控制器,以实现对包含攻击信息的异常流量进行过滤。
作为本发明的基于SDN和BGP流程规范的DDoS攻击防护系统,进一步地,所述感知设备还包含用于通知路由器恢复流量转发的响应模块;所述响应模块设置有针对异常流量通过建模训练学习的模型分类器,以通过模型分类器识别攻击信息。
作为本发明的基于SDN和BGP流程规范的DDoS攻击防护系统,进一步地,所述模型分类器中设置有用于通过异常流量对模型参数进行调整的自学习模块。
作为本发明的基于SDN和BGP流程规范的DDoS攻击防护系统,进一步地,针对攻击信息,基于边界网关协议流程规范,生成包含路由策略的流路由信息,该流路由信息通过边界网关多协议扩展属性传播,以实现网络中路由器接收边界网关协议流程规范的预警。
作为本发明的基于SDN和BGP流程规范的DDoS攻击防护系统,进一步地,所述流路由信息包含源IP地址、源端口、目的IP地址、目的端口、传输层协议及操作属性。
进一步地,本发明还提供一种基于SDN和BGP流程规范的DDoS攻击防护方法,用于网络中针对分布式拒绝服务攻击的侦测及防御,包含:
实时监测路由器网络流量,感知异常流量并获取攻击信息;
构建基于软件定义网络的网络攻击过滤平台,通过过滤平台中的软件定义网络控制器对攻击信息进行数据分析并通过边界网关协议流程规范触发流路由信息向路由器推送路由策略,实现对包含攻击信息的异常流量进行过滤。
作为本发明的基于SDN和BGP流程规范的DDoS攻击防护方法,进一步地,通过设置模型分类器,针对异常流量进行建模训练学习,识别攻击信息;且模型分类器中设置有用于通过异常流量对模型参数进行调整的自学习模块。
作为本发明的基于SDN和BGP流程规范的DDoS攻击防护方法,进一步地,网络攻击过滤平台中,针对攻击信息,基于边界网关协议流程规范,生成包含路由策略的流路由信息,该流路由信息通过边界网关多协议扩展属性传播,以实现网络中路由器接收边界网关协议流程规范的预警。
进一步地,本发明还提供一种DDoS攻击防护设备,包括至少一个控制处理器和用于与所述至少一个控制处理器通信连接的存储器;所述存储器存储有可悲所述至少一个控制处理器执行的指令,所述指令被所述至少一个控制处理器执行,以使所述至少一个控制处理器能够执行上述的DDoS攻击防护方法。
进一步地,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现上述的基于SDN和BGP流程规范的DDoS攻击防护方法。
本发明的有益效果:
本发明通过监测设备拆分流量,区别攻击与业务,并通过防护设备对攻击流量进行压制的同时保障业务流量的通行,流量过滤分析更精细化,避免把流向目的主机的合法和非法流量全部堵截从而导致正常的业务系统不可使用;无需部署对流量进行清洗的设备,也不会把到目的主机的所有流量引到清洗中心从而导致网络资源的大量消耗;在保障业务系统可用的前提下,简化网络部署和实施的难度,节约针对异常流量处理的成本,能够对网络DDoS攻击进行合理且有效的防御,对网络安全通信具有重要的指导意义。
附图说明:
图1为本发明实施例中DDoS攻击防护系统示意图;
图2为本发明实施例中DDoS攻击防护方法示意图;
图3为本发明实施例中DDoS攻击防护原理示意图;
图4为本发明实施例中SDN网络架构示意图。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
SDN的迅速发展和深化应用,丰富了传统信息安全防护技术和思路,将对传统信息安全产生重大影响。“SDN安全”和“软件定义安全”不是一个概念,前者是新的网络技术的自身安全问题;而后者其实并非是一种技术,而是一种思想或一种体系架构,强调通过软件化的安全应用和安全控制平台,集中控制、智能决策和敏捷响应,以解决以往安全设备简单堆叠不能抵御复杂、高级的安全威胁。参见图4所示,逻辑上的集中控制和数据转发分离是SDN的基本思想。现有的对抗DDoS攻击的解决方案主要分为两种,一是部署专业的对抗DDoS产品对攻击流量进行过滤和清洗,另一种是通过防火墙或路由设备等对大流量进行压制。
从上面的对比可以看出,现有技术都有各自的弊端。针对目前DDos攻击的常用防护手段存在的问题,本发明实施例中,提供一种基于SDN和BGP流程规范的DDoS攻击防护系统,用于网络中针对分布式拒绝服务攻击的侦测及防御,参见图1所示,包含:
监测设备,用于实时监测路由器网络流量,并通过感知设备检测异常流量,获取攻击信息;
防护设备,用于接收监测设备的攻击信息,并通过部署的基于软件定义网络的网络攻击过滤平台,对异常流量进行防护,其中,过滤平台中设置用于对攻击信息进行数据分析并通过边界网关协议流程规范向路由器推送路由策略的软件定义网络控制器,以实现对包含攻击信息的异常流量进行过滤。
通过边界网关协议(BGP)的流量规范特性提供细粒度保护,可以有效地防范分布式拒绝服务(DDoS)攻击。
SDN利用分层的思想,SDN将数据与控制相分离。在控制层,包括具有逻辑中心化和可编程的控制器,可掌握全局网络信息,方便运营商和科研人员管理配置网络和部署新协议等。参见图4所示,整体架构由下到上(由南到北)分为数据平面、控制平面和应用平面。其中,数据平面由交换机等网络通用硬件组成,各个网络设备之间通过不同规则形成的SDN数据通路连接;控制平面包含了逻辑上为中心的SDN控制器,它掌握着全局网络信息,负责各种转发规则的控制;应用平面包含着各种基于SDN的网络应用,用户无需关心底层细节就可以编程、部署新应用。控制平面与数据平面之间通过SDN控制数据平面接口(control-data-plane interface,简称CDPI)进行通信,它具有统一的通信标准,主要负责将控制器中的转发规则下发至转发设备,最主要应用的是OpenFlow协议。控制平面与应用平面之间通过SDN北向接口(northbound interface,简称NBI)进行通信,而NBI并非统一标准,它允许用户根据自身需求定制开发各种网络管理应用。控制器通过标准接口向交换机下发统一标准规则,交换机仅需按照这些规则执行相应的动作即可。SDN的软件定义体现在:控制平面从嵌入式节点独立出来;以开放可编程的软控制平面代替传统的基于系统嵌入的控制平面;由软件驱动的中央控制器来集中控制。由于其具备的这些特性,SDN的优点就是对传统安全威胁具有较好的应对表现,它的特性及对安全的优势整理如下表:
表:SDN安全特性和优势
DDoS攻击者对目标系统发起入侵,常见的攻击手段主要通过syn/fin/ack等tcp协议包、UDP/DNS query等UDP协议包、http flood/CC等需要跟数据库交互的攻击等。通过监测设备拆分流量,区别攻击与业务,并通过防护设备对攻击流量进行压制的同时保障业务流量的通行,流量过滤分析更精细化,避免把流向目的主机的合法和非法流量全部堵截从而导致正常的业务系统不可使用。防护设备中,构建一个基于SDN的DDoS攻击过滤平台,在这个平台中设置SDN控制器(比如:OpenDayLight),一方面处理由DDoS流量监测感知设备所提供的DDoS攻击信息,对攻击信息进行分析;除此之外,通过BGPFLOWSPEC协议针对核心路由器推送相应的路由策略,实现对流量的甄别及过滤,从而达到防御DDoS攻击的目的。以一个具体的例子来描述上述过程,具体如下:
(1)A号主机向A号OpenFlow交换机发送数据包。
(2)A号OpenFlow交换机收到数据包后查询流表,若无法找到与数据流相匹配的转发策略,则封装数据包并发送给SDN控制器。
(3)SDN控制器收到数据包后发送flow_mod消息向交换机写一个流表项,并且将flow_mod消息中buffer_id字段设置成数据包中的buffer_id值,基于BGPFLOWSPEC协议并通过路由算法计算得到该数据流的转发策略并发送给A号OpenFlow交换机,并且指定该数据包按照该流表项目的action列表执行处理。
(4)A号OpenFlow交换机按照SDN控制器的转发策略执行并将数据转发给B号OpenFlow交换机。
(5)B号OpenFlow交换机查询数据流表,若存在与数据流匹配的策略,则按照相关策略转发;否则执行步骤(2)-(4);最终将数据包转发到终端。
在不增加额外硬件成本和服务采购的基础上,结合监测设备的分析数据制定BGPFlow Spec策略,使防护设备的资源利用最大化,缓解防护扩容的巨额投入。作为本发明实施例中的基于SDN和BGP流程规范的DDoS攻击防护系统,进一步地,所述感知设备还包含用于通知路由器恢复流量转发的响应模块;所述响应模块设置有针对异常流量通过建模训练学习的模型分类器,以通过模型分类器识别攻击信息。基于机器学习模型的方法)自适应更新,调整响应策略。
作为本发明实施例中的基于SDN和BGP流程规范的DDoS攻击防护系统,进一步地,所述模型分类器中设置有用于通过异常流量对模型参数进行调整的自学习模块。
当异常流量发现并被处理后,响应模型不仅会通知各路由器恢复正常的流量转发且会自动调整对应模型权重或系数并对异常流量进行训练和建模,使系统更加智能化。训练建模的过程是基于机器学习算法之集成学习(Ensemble Learning),该方法可构建多个不同的分类器,并将这些分类器线性组合得到一个更强大的分类器,来做最后的决策。具体步骤如下:采用重抽样方式从原始恶意流量样本中抽取一定数量的数据,重复抽样m次,得到一个自助样本;根据得到的自助样本计算特定的恶意流量统计量;重复上述N次,得到N个自助恶意流量的统计量;根据上述N个自助统计量估计出真实值并判断是否为恶意流量。
作为本发明实施例中的基于SDN和BGP流程规范的DDoS攻击防护系统,进一步地,针对攻击信息,基于边界网关协议流程规范,生成包含路由策略的流路由信息,该流路由信息通过边界网关多协议扩展属性传播,以实现网络中路由器接收边界网关协议流程规范的预警。
当异常流量被发现时,异常流量监控系统将针对某个特定的被攻击对象基于FLOWSPEC策略产生流路由信息并通过MP-BGP的属性来传播,网络中开启FLOWSPEC策略的路由器可以接收来自FLOWSPEC的预警信息,这些路由可以根据这些信息执行针对流量的过滤或限速操作,从而达到对抗DDoS攻击的目的。
作为本发明实施例中的基于SDN和BGP流程规范的DDoS攻击防护系统,进一步地,所述流路由信息包含源IP地址、源端口、目的IP地址、目的端口、传输层协议及操作属性。
BGP Flowspec所提供的粒度非常细的对付DDoS的方法。在RFC 5575中已有定义,并由互联网工程任务组(IETF)更新,实施例中可以使用SAFI定义:AFI 1/SAFI 133–Flowspec规则的IPv4传播;AFI 1/SAFI 134–Flowspec规则的VPNv4传播;AFI 2/SAFI 133–Flowspec规则的IPv6传播;AFI 2/SAFI 134–Flowspec规则的VPNv6传播等。BGP Flowspec匹配某个特定流量;借助该流量,可有效地植入动态操作:可能丢弃流量,将流量放入到不同的转发实例以便进一步分析,或者按照指定的速度来巡视,即限速等。BGP Flowspec支持的一些匹配字段:目的地址、来源地址、IP协议、源端口、目的端口、ICMP代码、TCP标志。BGPFlowspec可将扩展社区定义为要对匹配字段执行的操作,例如:交通率(下降/警察)、下一跳重定向、VRF重定向、DSCP标记等。
RFC 5575中定义了解码Flow Specification(简称Flow Spec)的标准程序,使BGP路由具备更为丰富的属性并可执行限速、过滤和重定向等行为。通过BGP Flow Spec对流量进行分类、限速、过滤和重定向等操作,这对防御DDOS攻击非常重要。参见图3所示,异常流量监测设备对网络中的异常流量进行实时检测和分析,当发现网络流量中存在DDoS攻击时,异常流量监测设备通过FLOWSPEC策略触发产生一条流路由,该条流路由中包含源IP地址,源端口,目的IP地址,目的端口,和传输层协议以及操作属性。除此之外,也可以通过人工的方式观察发现异常流量(网络管理员定时观察线路流量)并通过人工的方式进行预警。监测设备中可通过部署异常流量监控系统并设定流量阀值来实现,其中,常见的异常流量监控系统比如:NSFOCUS NTA、Arbor等。网关路由器开启流量采集功能,通过异常流量监控系统实时收集采样的数据并进行分析,实现对异常流量的实时监测。当异常流量被监测到时,异常流量监控系统将识别到的攻击源IP、目的IP、端口信息、攻击类型等信息传递给BGPFLOWSPEC控制器,BGPFLOWSPEC定义了BGP路由中的五元组等12个属性,使其可以满足多种场景下对流的控制和处理,为使用者提供了一种灵活高效的防DDoS攻击方法。核心路由器根据收到的BGP FLOWSPEC策略执行相应的操作,在异常流量处理场景中,比较常见的操作是限速和过滤。当异常流量被处理后,响应模型不仅会通知各路由器(网关路由器、核心路由器等)恢复正常的流量转发,且通过机器学习模型实现自动调整对应模型权重或系数,从而改变优先级高的响应关系,使整个系统更加智能化。
进一步地,本发明实施例还提供一种基于SDN和BGP流程规范的DDoS攻击防护方法,用于网络中针对分布式拒绝服务攻击的侦测及防御,参见图2所示,包含:
S101、实时监测路由器网络流量,感知异常流量并获取攻击信息;
S102、构建基于软件定义网络的网络攻击过滤平台,通过过滤平台中的软件定义网络控制器对攻击信息进行数据分析并通过边界网关协议流程规范触发流路由信息向路由器推送路由策略,实现对包含攻击信息的异常流量进行过滤。
作为本发明实施例中的基于SDN和BGP流程规范的DDoS攻击防护方法,进一步地,通过设置模型分类器,针对异常流量进行建模训练学习,识别攻击信息;且模型分类器中设置有用于通过异常流量对模型参数进行调整的自学习模块。
作为本发明实施例中的基于SDN和BGP流程规范的DDoS攻击防护方法,进一步地,网络攻击过滤平台中,针对攻击信息,基于边界网关协议流程规范,生成包含路由策略的流路由信息,该流路由信息通过边界网关多协议扩展属性传播,以实现网络中路由器接收边界网关协议流程规范的预警。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的方法,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
基于上述的方法,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的方法。
本发明实施例所提供的系统/装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,系统/装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统/装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于SDN和BGP流程规范的DDoS攻击防护系统,用于网络中针对分布式拒绝服务攻击的侦测及防御,包含:
监测设备,用于实时监测路由器网络流量,并通过感知设备检测异常流量,获取攻击信息;
防护设备,用于接收监测设备的攻击信息,并通过部署的基于软件定义网络的网络攻击过滤平台,对异常流量进行防护,其中,过滤平台中设置用于对攻击信息进行数据分析并通过边界网关协议流程规范向路由器推送路由策略的软件定义网络控制器,以实现对包含攻击信息的异常流量进行过滤。
2.根据权利要求1所述的基于SDN和BGP流程规范的DDoS攻击防护系统,其特征在于,所述感知设备还包含用于通知路由器恢复流量转发的响应模块;所述响应模块设置有针对异常流量通过建模训练学习的模型分类器,以通过模型分类器识别攻击信息。
3.根据权利要求2所述的基于SDN和BGP流程规范的DDoS攻击防护系统,其特征在于,所述模型分类器中设置有用于通过异常流量对模型参数进行调整的自学习模块。
4.根据权利要求1所述的基于SDN和BGP流程规范的DDoS攻击防护系统,其特征在于,针对攻击信息,基于边界网关协议流程规范,生成包含路由策略的流路由信息,该流路由信息通过边界网关多协议扩展属性传播,以实现网络中路由器接收边界网关协议流程规范的预警。
5.根据权利要求4所述的基于SDN和BGP流程规范的DDoS攻击防护系统,其特征在于,所述流路由信息包含源IP地址、源端口、目的IP地址、目的端口、传输层协议及操作属性。
6.一种基于SDN和BGP流程规范的DDoS攻击防护方法,用于网络中针对分布式拒绝服务攻击的侦测及防御,包含:
实时监测路由器网络流量,感知异常流量并获取攻击信息;
构建基于软件定义网络的网络攻击过滤平台,通过过滤平台中的软件定义网络控制器对攻击信息进行数据分析并通过边界网关协议流程规范触发流路由信息向路由器推送路由策略,实现对包含攻击信息的异常流量进行过滤。
7.根据权利要求6所述的基于SDN和BGP流程规范的DDoS攻击防护方法,其特征在于,通过设置模型分类器,针对异常流量进行建模训练学习,识别攻击信息;且模型分类器中设置有用于通过异常流量对模型参数进行调整的自学习模块。
8.根据权利要求7所述的基于SDN和BGP流程规范的DDoS攻击防护方法,其特征在于,网络攻击过滤平台中,针对攻击信息,基于边界网关协议流程规范,生成包含路由策略的流路由信息,该流路由信息通过边界网关多协议扩展属性传播,以实现网络中路由器接收边界网关协议流程规范的预警。
9.一种DDoS攻击防护设备,其特征在于,包括至少一个控制处理器和用于与所述至少一个控制处理器通信连接的存储器;所述存储器存储有可悲所述至少一个控制处理器执行的指令,所述指令被所述至少一个控制处理器执行,以使所述至少一个控制处理器能够执行如权利要求6~8任一项所述的DDoS攻击防护方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求6~8任一项所述的基于SDN和BGP流程规范的DDoS攻击防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911071789.9A CN110830469A (zh) | 2019-11-05 | 2019-11-05 | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911071789.9A CN110830469A (zh) | 2019-11-05 | 2019-11-05 | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110830469A true CN110830469A (zh) | 2020-02-21 |
Family
ID=69552531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911071789.9A Pending CN110830469A (zh) | 2019-11-05 | 2019-11-05 | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830469A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111277609A (zh) * | 2020-02-24 | 2020-06-12 | 深圳供电局有限公司 | 一种sdn网络监控方法及系统 |
| CN112217680A (zh) * | 2020-10-19 | 2021-01-12 | 中国信息通信研究院 | 基于软件定义广域网的控制器能力基准测试方法和装置 |
| CN112367213A (zh) * | 2020-10-12 | 2021-02-12 | 中国科学院计算技术研究所 | 面向sdn网络的策略异常检测方法、系统、装置及存储介质 |
| CN112416976A (zh) * | 2020-11-18 | 2021-02-26 | 简和网络科技(南京)有限公司 | 基于分布式多级协同的分布式拒绝服务攻击监控系统及方法 |
| CN112532519A (zh) * | 2020-12-21 | 2021-03-19 | 安徽皖通邮电股份有限公司 | 一种采用BGP Flow Specification略控制数据流量行为的方法 |
| CN113132361A (zh) * | 2021-03-31 | 2021-07-16 | 福建奇点时空数字科技有限公司 | 一种基于博弈奖惩机制的SDN网络抗DDos方法 |
| CN113489711A (zh) * | 2021-07-01 | 2021-10-08 | 中国电信股份有限公司 | DDoS攻击的检测方法、系统、电子设备和存储介质 |
| CN113709175A (zh) * | 2021-09-03 | 2021-11-26 | 杭州安恒信息技术股份有限公司 | 一种出口链路的防护方法、装置、设备和介质 |
| CN113746654A (zh) * | 2020-05-29 | 2021-12-03 | 中国移动通信集团河北有限公司 | 一种IPv6地址管理和流量分析的方法和装置 |
| CN114039795A (zh) * | 2021-11-26 | 2022-02-11 | 郑州信大信息技术研究院有限公司 | 软件定义路由器及基于该软件定义路由器的数据转发方法 |
| CN114531270A (zh) * | 2021-12-31 | 2022-05-24 | 网络通信与安全紫金山实验室 | 针对分段路由标签探测的防御方法及装置 |
| CN114584345A (zh) * | 2022-01-26 | 2022-06-03 | 北京邮电大学 | 轨道交通网络安全处理方法、装置及设备 |
| CN114978563A (zh) * | 2021-02-26 | 2022-08-30 | 中国移动通信集团广东有限公司 | 一种封堵ip地址的方法及装置 |
| CN114978604A (zh) * | 2022-04-25 | 2022-08-30 | 西南大学 | 一种用于软件定义业务感知的安全网关系统 |
| CN115412363A (zh) * | 2022-09-13 | 2022-11-29 | 杭州迪普科技股份有限公司 | 异常流量日志处理方法和装置 |
| CN115776406A (zh) * | 2022-12-01 | 2023-03-10 | 广西壮族自治区信息中心 | 安全防护方法、装置、电子设备及存储介质 |
| US20230139002A1 (en) * | 2021-10-29 | 2023-05-04 | Cisco Technology, Inc. | SASE Based Method of Preventing Exhausting Attack in Wireless Mesh Networks |
| CN118400198A (zh) * | 2024-06-27 | 2024-07-26 | 杭州海康威视数字技术股份有限公司 | 基于sdn驱动的集成学习访问控制方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
| CN105516091A (zh) * | 2015-11-27 | 2016-04-20 | 武汉邮电科学研究院 | 一种基于sdn控制器的安全流过滤器及过滤方法 |
| CN108289104A (zh) * | 2018-02-05 | 2018-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
| CN108650131A (zh) * | 2018-05-10 | 2018-10-12 | 合肥工业大学 | 用于sdn网络中多控制器部署的处理系统 |
| CN108683682A (zh) * | 2018-06-04 | 2018-10-19 | 上海交通大学 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
-
2019
- 2019-11-05 CN CN201911071789.9A patent/CN110830469A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162759A (zh) * | 2015-07-17 | 2015-12-16 | 哈尔滨工程大学 | 一种基于网络层流量异常的SDN网络DDoS攻击检测方法 |
| CN105516091A (zh) * | 2015-11-27 | 2016-04-20 | 武汉邮电科学研究院 | 一种基于sdn控制器的安全流过滤器及过滤方法 |
| CN108289104A (zh) * | 2018-02-05 | 2018-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
| CN108650131A (zh) * | 2018-05-10 | 2018-10-12 | 合肥工业大学 | 用于sdn网络中多控制器部署的处理系统 |
| CN108683682A (zh) * | 2018-06-04 | 2018-10-19 | 上海交通大学 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 王琴: "一种基于SDN架构的海量DDOS攻击解决方案研究", 《现代信息科技》 * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111277609A (zh) * | 2020-02-24 | 2020-06-12 | 深圳供电局有限公司 | 一种sdn网络监控方法及系统 |
| CN113746654B (zh) * | 2020-05-29 | 2024-01-12 | 中国移动通信集团河北有限公司 | 一种IPv6地址管理和流量分析的方法和装置 |
| CN113746654A (zh) * | 2020-05-29 | 2021-12-03 | 中国移动通信集团河北有限公司 | 一种IPv6地址管理和流量分析的方法和装置 |
| CN112367213A (zh) * | 2020-10-12 | 2021-02-12 | 中国科学院计算技术研究所 | 面向sdn网络的策略异常检测方法、系统、装置及存储介质 |
| CN112367213B (zh) * | 2020-10-12 | 2022-02-25 | 中国科学院计算技术研究所 | 面向sdn网络的策略异常检测方法、系统、装置及存储介质 |
| CN112217680A (zh) * | 2020-10-19 | 2021-01-12 | 中国信息通信研究院 | 基于软件定义广域网的控制器能力基准测试方法和装置 |
| CN112217680B (zh) * | 2020-10-19 | 2022-12-02 | 中国信息通信研究院 | 基于软件定义广域网的控制器能力基准测试方法和装置 |
| CN112416976A (zh) * | 2020-11-18 | 2021-02-26 | 简和网络科技(南京)有限公司 | 基于分布式多级协同的分布式拒绝服务攻击监控系统及方法 |
| CN112532519A (zh) * | 2020-12-21 | 2021-03-19 | 安徽皖通邮电股份有限公司 | 一种采用BGP Flow Specification略控制数据流量行为的方法 |
| CN114978563B (zh) * | 2021-02-26 | 2024-05-24 | 中国移动通信集团广东有限公司 | 一种封堵ip地址的方法及装置 |
| CN114978563A (zh) * | 2021-02-26 | 2022-08-30 | 中国移动通信集团广东有限公司 | 一种封堵ip地址的方法及装置 |
| CN113132361A (zh) * | 2021-03-31 | 2021-07-16 | 福建奇点时空数字科技有限公司 | 一种基于博弈奖惩机制的SDN网络抗DDos方法 |
| CN113132361B (zh) * | 2021-03-31 | 2022-11-22 | 厦门美域中央信息科技有限公司 | 一种基于博弈奖惩机制的SDN网络抗DDos方法 |
| CN113489711A (zh) * | 2021-07-01 | 2021-10-08 | 中国电信股份有限公司 | DDoS攻击的检测方法、系统、电子设备和存储介质 |
| CN113709175A (zh) * | 2021-09-03 | 2021-11-26 | 杭州安恒信息技术股份有限公司 | 一种出口链路的防护方法、装置、设备和介质 |
| US20230139002A1 (en) * | 2021-10-29 | 2023-05-04 | Cisco Technology, Inc. | SASE Based Method of Preventing Exhausting Attack in Wireless Mesh Networks |
| CN114039795A (zh) * | 2021-11-26 | 2022-02-11 | 郑州信大信息技术研究院有限公司 | 软件定义路由器及基于该软件定义路由器的数据转发方法 |
| CN114039795B (zh) * | 2021-11-26 | 2023-06-23 | 郑州信大信息技术研究院有限公司 | 软件定义路由器及基于该软件定义路由器的数据转发方法 |
| CN114531270A (zh) * | 2021-12-31 | 2022-05-24 | 网络通信与安全紫金山实验室 | 针对分段路由标签探测的防御方法及装置 |
| CN114531270B (zh) * | 2021-12-31 | 2023-11-03 | 网络通信与安全紫金山实验室 | 针对分段路由标签探测的防御方法及装置 |
| CN114584345A (zh) * | 2022-01-26 | 2022-06-03 | 北京邮电大学 | 轨道交通网络安全处理方法、装置及设备 |
| CN114584345B (zh) * | 2022-01-26 | 2023-04-28 | 北京邮电大学 | 轨道交通网络安全处理方法、装置及设备 |
| CN114978604A (zh) * | 2022-04-25 | 2022-08-30 | 西南大学 | 一种用于软件定义业务感知的安全网关系统 |
| CN115412363A (zh) * | 2022-09-13 | 2022-11-29 | 杭州迪普科技股份有限公司 | 异常流量日志处理方法和装置 |
| CN115776406B (zh) * | 2022-12-01 | 2023-10-10 | 广西壮族自治区信息中心 | 安全防护方法、装置、电子设备及存储介质 |
| CN115776406A (zh) * | 2022-12-01 | 2023-03-10 | 广西壮族自治区信息中心 | 安全防护方法、装置、电子设备及存储介质 |
| CN118400198A (zh) * | 2024-06-27 | 2024-07-26 | 杭州海康威视数字技术股份有限公司 | 基于sdn驱动的集成学习访问控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110830469A (zh) | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 | |
| EP3248358B1 (en) | Packet capture for anomalous traffic flows | |
| US9930057B2 (en) | Dynamic deep packet inspection for anomaly detection | |
| US11140187B2 (en) | Learning internal ranges from network traffic data to augment anomaly detection systems | |
| EP3223486B1 (en) | Distributed anomaly detection management | |
| EP3223487B1 (en) | Network-based approach for training supervised learning classifiers | |
| US10764310B2 (en) | Distributed feedback loops from threat intelligence feeds to distributed machine learning systems | |
| US10581901B2 (en) | Increased granularity and anomaly correlation using multi-layer distributed analytics in the network | |
| US10009364B2 (en) | Gathering flow characteristics for anomaly detection systems in presence of asymmetrical routing | |
| US10389741B2 (en) | Edge-based detection of new and unexpected flows | |
| US10862910B2 (en) | Predicting and mitigating layer-2 anomalies and instabilities | |
| US10659333B2 (en) | Detection and analysis of seasonal network patterns for anomaly detection | |
| CN105493450B (zh) | 动态检测网络中的业务异常的方法和系统 | |
| US7742406B1 (en) | Coordinated environment for classification and control of network traffic | |
| US10389606B2 (en) | Merging of scored records into consistent aggregated anomaly messages | |
| US20170279685A1 (en) | Adjusting anomaly detection operations based on network resources | |
| US7545748B1 (en) | Classification and management of network traffic based on attributes orthogonal to explicit packet attributes | |
| US20170279831A1 (en) | Use of url reputation scores in distributed behavioral analytics systems | |
| Cabaj et al. | SDN Architecture Impact on Network Security. | |
| US9166990B2 (en) | Distributed denial-of-service signature transmission | |
| US11546266B2 (en) | Correlating discarded network traffic with network policy events through augmented flow | |
| CN113037731B (zh) | 基于sdn架构和蜜网的网络流量控制方法及系统 | |
| CN100393047C (zh) | 一种入侵检测系统与网络设备联动的系统及方法 | |
| Tran et al. | ODL-ANTIFLOOD: A comprehensive solution for securing OpenDayLight controller | |
| TWI797962B (zh) | 基於SASE的IPv6雲邊緣網路安全連線方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200221 |
|
| RJ01 | Rejection of invention patent application after publication |