CN111049859A - 一种基于拓扑分析的攻击流量分流和阻断方法 - Google Patents

一种基于拓扑分析的攻击流量分流和阻断方法 Download PDF

Info

Publication number
CN111049859A
CN111049859A CN201911377376.3A CN201911377376A CN111049859A CN 111049859 A CN111049859 A CN 111049859A CN 201911377376 A CN201911377376 A CN 201911377376A CN 111049859 A CN111049859 A CN 111049859A
Authority
CN
China
Prior art keywords
switch
network
port
message
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911377376.3A
Other languages
English (en)
Inventor
樊明
宋宇波
陈璐
杨慧文
邓峰杰
杨俊杰
胡爱群
蔡宇翔
肖琦敏
潘丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Southeast University
Global Energy Interconnection Research Institute
Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Southeast University
Global Energy Interconnection Research Institute
Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Southeast University, Global Energy Interconnection Research Institute, Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201911377376.3A priority Critical patent/CN111049859A/zh
Publication of CN111049859A publication Critical patent/CN111049859A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/32Flooding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3009Header conversion, routing tables or routing tags
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于拓扑分析的攻击流量分流和阻断方法,首先基于多种发现策略获取网络拓扑,从而得到整个网络的拓扑架构,形成拓扑图。在网络攻击阶段,采用基于K条最短路径分流的方法实现网络流量的分流;同时基于主机行为特征,利用机器学习算法对网络攻击进行溯源,并采用基于流表的报文实时过滤方案实施主动阻断。经测试表明,该方案具有系统开销小、抗压能力好、阻断准确率高的特点,实用价值较强。

Description

一种基于拓扑分析的攻击流量分流和阻断方法
技术领域
本发明涉及一种网络攻击防护技术方法,特别是一种基于拓扑分析的攻击流量分流和阻断方法。
背景技术
网络攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。网络攻击具有手段多样,隐蔽性强的特点,而且一旦取得成功,就会使网络中成千上万的网络设备处于瘫痪状态,严重威胁社会和国家安全。诸如分布式拒绝服务攻击等网络攻击主要是通过产生大量网络数据造成网络阻塞,消耗网络带宽资源,导致网络整体性能大幅下降。所以,如何有效对抗网络攻击流量成为目前网络攻击防护的研究重点之一。
常见的网络攻击流量对抗方式包括常见的响应措施包括丢弃数据包、限制流速以及重定向流量等等,丢弃数据包方式主要根据IP地址和端口号去判决攻击流量并实施丢弃操作,但存在合法数据被丢弃的问题;限制流速的方法则是不对数据进行丢弃操作,而是对具有攻击特征的流量进行速率限制以的方式实现攻击阻断,同时避免误丢弃合法数据,但是并不能根本上阻断攻击行为;重定向流量的方法则是将攻击流量转发到其他设备进行处理,但该方法无法减少攻击流量对整个网络的负载压力。
发明内容
发明目的是:为了克服现有技术中存在的不足,本发明提供了一种基于拓扑分析的攻击流量分流和阻断方法,用于解决现有的网络攻击流量对网络造成的拥堵及相应对抗机制阻断效率不高的问题。
技术方案:为实现上述目的,本发明采用的技术方案为:
本发明提出的一种基于拓扑分析的攻击流量分流和阻断方法,采用软件定义网络的网络体系架构,由控制器和交换机构成;控制器负责整个网络的报文数据转发及控制,交换机按照控制器的下发的转发规则对报文数据进行转发;控制器通过OpenFlow协议的流表项向交换机传递转发规则,通过简单网络管理协议对交换机进行管理控制。
一种基于拓扑分析的攻击流量分流和阻断方法,包括以下步骤:
步骤1、在初始阶段,完成基于多种发现策略的网络拓扑获取:采用基于物理设备信息拓扑发现策略、基于链路层信息拓扑发现策略、基于网络层协议拓扑发现策略以及基于应用层协议拓扑发现策略发现网络中各个交换机以及网络终端的设备信息,并获取设备间的连接状态,从而获得整个网络的拓扑架构;
步骤2、在网络攻击阶段,采用基于K条最短路径分流的方法实现网络流量的分流;首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径;其次计算这K条路径的剩余带宽;最后将流量按各路径剩余带宽的比例分配到各路径上。
步骤3、在网络攻击阶段,在进行网络流量的分流同时,交换机完成攻击终端的溯源及流量阻断;首先通过提取流量的特征实现攻击终端的溯源定位;其次根据网络拓扑信息进行阻断点的选择;最后向阻断点所在的控制器下发阻断指令实现阻断。
本发明的进一步改进在于:所述步骤1按照以下步骤顺序进行:
步骤1.1:采用基于物理设备信息拓扑发现策略实现网络中交换机的发现及设备信息获取:交换机上电启动时向控制器发起连接请求;控制器收到请求后,向该交换机发送FEATURE_REQUEST类型的消息并等待回复;接着,交换机将其特征信息封装至FEATURE_REPLY消息中,发送至控制器;最终控制器收到消息,记录交换机的特征信息,包括交换机ID、端口属性和缓冲区数量或其他特征信息,完成交换机的发现过程;
步骤1.2:采用基于链路层信息拓扑发现策略实现网络中交换机的连接状态:控制器监控网络的链路层协议流量,通过解析交换机从设备各个端口定期广播的泛洪链路层发现协议和广播域发现协议数据包,从中提取协议数据包中包含的发送方交换机ID以及端口号;
步骤1.3:采用基于网络层协议拓扑发现策略实现网络终端的发现及设备信息获取,交换机预先并无存放用于网络终端数据转发的匹配流表项;当初次收到来自网络终端的网络层协议报文时,首先会将报文转发至控制器,由控制器通过泛洪机制建立该报文各交换机的转发规则,并下发告知交换机建立匹配的流表项。
步骤1.4:采用基于应用层协议拓扑发现策略实现网络终端的连接状态:控制器向网络终端相邻的交换机发送SNMP协议报文,获取交换机各端口的连接信息,从而得到网络终端的连接状态;
步骤1.5:控制器根据上述信息构造拓扑图,拓扑图由节点和链路构成;节点数据由设备类型、设备标识和连接端口构成,其定义如下:
Node={type,ID/IP,port}
其中Node表示节点;type表示设备类型,设备类型分为交换机和其他网络设备;ID/IP表示设备标识,当设备类型为交换机时存放交换机ID信息,当设备类型为其他网络设备时存放网络设备的IP地址;port表示连接端口;
链路数据由数据输出节点和数据接收节点构成,其定义如下:
Linklist={SendNode,RecvNode}
其中Linklist表示链路;SendNode表示数据输出节点,结构类型为Node类型;RecvNode表示数据接收节点,结构类型为Node类型。
本发明的进一步改进在于:所述步骤1.3中基于网络层协议拓扑发现策略实现网络终端的发现及设备信息获取的具体步骤如下:
a)当网络终端向目标地址发送网络层协议报文,首先经过相邻交换机;相邻交换机检查内部流表项发现并无匹配的流表项,将该报文的源地址、目的地址、报文类型和交换机ID号,收到该数据报文的端口号信息上报至控制器;
b)当控制器收到交换机上报的信息后,命令交换机泛洪该数据报文至所有相邻的交换机;
c)相邻的交换机收到该数据报文后,检查内部流表项发现并无匹配的流表项,也将该报文的源地址、目的地址、报文类型、交换机ID号,收到该数据报文的端口号信息上报至控制器;
d)重复步骤b)和c)直到该消息泛洪到目的地址所在机器,目的地址所在机器收到该数据报文后返回应答报文;
e)交换机收到应答报文后将该报文的源地址、目的地址、报文类型、交换机ID号,收到应答报文的端口号等信息上报至控制器;同时经由收到该网络层协议报文的端口号返回该应答报文;
f)控制器收到交换机上报的信息后,获得交换机应答报文输入端口信息,该端口也是该交换机转发该协议报文的输出端口;
g)重复步骤e)和f)直到应答报文返回至网络终端;
最终,控制器获得了网络终端至目的地址所在机器间途径的交换机ID、数据输入端口、数据转发输出端口、相邻交换机ID的拓扑信息。并根据拓扑信息建立控制转发的流表项发送至相应交换机。
本发明的进一步改进在于:步骤1.4中基于应用层协议拓扑发现策略实现网络终端的连接状态的具体步骤如下:
h)控制器发送SNMP协议的get-request报文去提取相应交换机的MIB库信息,查询ipNetToMediaPhysAddress组、ipNetToMediaIfIndex组、ifInOctets组和ifOutOctets组,其中ipNetToMediaPhysAddress组包含交换机所连设备的IP地址和MAC地址,ipNetToMediaIfIndex组包含交换机所连设备的MAC地址和所在端口,ifInOctets组包含交换机各个端口收到的总字节数、ifOutOctets组包含交换机各个端口发送的总字节数;
i)交换机收到get-request报文后返回get-response报文;
j)控制器从返回的get-response报文得到交换机所连设备的IP地址和
MAC地址、交换机所连设备的MAC地址和所在端口、交换机各个端口收到的总字节数、交换机各个端口发送的总字节数;进而得到各个端口所连设备的IP地址和接收发送的总流量。
本发明的进一步改进在于:所述步骤2按照以下步骤顺序进行:
步骤2.1:首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径:利用Dijkstra算法计算出第1条最短路径P1,在此基础上依次算出其他的K-1条最短路径:P2,P3,…,Pi,…,PK。在求Pi+1时,将Pi上除了终止节点外的所有节点都视为偏离节点,并计算每个偏离节点到终止节点的最短路径,再与之前的Pi上起始节点到偏离节点的路径拼接,构成候选路径,进而进行最短偏离路径的求解;
步骤2.2:其次计算这K条路径的剩余带宽,每条路径的剩余带宽计算方法如下:计算路径上所有交换机各端口的剩余带宽,将该路径上交换机各端口最小的剩余带宽数值作为该路径的剩余带宽;
步骤2.3:将流量按各路径剩余带宽的比例分配到各路径上:控制器根据K条最短路径剩余带宽的比例,将流量数据包按照其比例切片,分别发送到K条路径。
本发明的进一步改进在于:所述步骤2.2中端口的剩余带宽计算方法如下:
通过简单网络管理协议定期访问网络内交换机,获取交换机及各端口的流量统计信息,将两个不同时间点采集到的端口总流量相减,再除以时间间隔,计算得到该端口的当前传输速率即为该端口的当前流量带宽;再将端口的额定带宽减去当前流量带宽即可得到端口的剩余带宽;
其计算公式如下所述:
Figure BDA0002341342390000071
其中,RemainBWport表示端口的剩余带宽,SpecifiedBWport表示端口的额定带宽,b[t2]表示t2时刻端口的总流量,b[t1]表示t1时刻端口的总流量。
进一步改进在于;步骤2.3中给:第i条路径分配的切片长度计算公式如下所述:
Figure BDA0002341342390000072
其中,pi表示给第i条路径分配的切片长度,RemainBWi表示第i条路径的剩余带宽大小,
Figure BDA0002341342390000073
表示所有K条路径的总剩余带宽,p表示该数据包的总长度。
本发明的进一步改进在于:所述步骤3按照以下步骤顺序进行:
步骤3.1:攻击终端的溯源:提取流量的特征,通过机器学习得到的方式识别攻击终端并得到其IP地址,从而实现攻击终端的溯源;
步骤3.2:阻断点的选择:在确定攻击终端的IP地址后,在拓扑图数据中得到对应节点信息,根据其节点信息遍历拓扑图中的链路数据,得到与攻击终端相邻的交换机节点信息,将其设为阻断点;
步骤3.3:攻击终端网络流量的阻断:控制器向阻断点所在的交换机发送OpenFlow协议的“Controller-to-Switch”消息,该消息包含针对攻击终端的流表项,其规则为在攻击终端所接入的端口号上对攻击终端IP的数据报文执行丢弃操作,从而实现攻击终端网络流量的阻断。
本发明的进一步改进在于:所述步骤3.1中流量特征的选取具体如下所述:
所提取的流量特征为基于源地址的四元组和基于目的地的四元组;所述基于源地址的四元组和基于目的地的四元组合称为溯源八元组来表示某一个主机行为特征,将其作为判定是否异常的依据,从而实现攻击终端的溯源;所述基于源地址的四元组包括源地址总流表数、接收数据包总数、接收字节总数和源IP地址的熵;所述基于目的地址的四元组包括目的地址总流表数、发送数据包总数、发送字节总数和目的IP地址的熵,其八元组的计算方法如下:
源地址总流表数flowInCountSrc=n
接收数据包总数
Figure BDA0002341342390000081
接收字节总数
Figure BDA0002341342390000082
目的IP地址的熵
Figure BDA0002341342390000083
目的地址总流表数flowOutCountDst=m
发送数据包总数
Figure BDA0002341342390000084
发送字节总数
Figure BDA0002341342390000085
源IP地址的熵
Figure BDA0002341342390000086
其中,n表示源地址为该IP的流表项总数,pi表示这n个流表项中第i个目的IP地址出现的概率,pkgsIn和bytesIn分别表示该IP接收到的数据包数和字节数;m表示目的地址为该IP的流表项总数,pi表示这m个流表项中第i个源IP地址出现的概率,pkgsOut和bytesOut分别表示该IP发出的数据包数和字节数。
有益效果:
本发明提供了一种基于拓扑分析的攻击流量分流和阻断方法,本发明利用软件定义网络技术,提出了一种在软件定义网络环境下软件定义网络的控制器基于拓扑分析选择合适的交换机下发控制流表项,实现攻击流量的分流与阻断,从而缓解整个网络在遭受攻击时的拥堵现象,提高网络的传输效率;该方法首先采用基于K条最短路径分流的方法,实现基于带宽的拓扑管理,使得整个网络可以动态地根据流量变化来进行拓扑更新,得以在面临攻击时充分利用网络资源来分散和吸收攻击流量;同时基于主机行为进行攻击溯源,并采用报文实时过滤方案实施主动阻断。本发明有效地对网络攻击进行了分流和阻断,提高了网络的抗压性和可用性。
附图说明
图1是本发明的基于拓扑分析的攻击流量分流和阻断方法的流程图;
图2是本发明的基于网络层协议拓扑发现策略实现网络终端的发现及设备信息获取的流程图。
具体实施方式
下面结合附图对本发明作更进一步的说明。
本实施例的一种基于拓扑分析的攻击流量分流和阻断方法,包括以下步骤:
步骤1、在初始阶段,完成基于多种发现策略的网络拓扑获取:采用基于物理设备信息拓扑发现策略、基于链路层信息拓扑发现策略、基于网络层协议拓扑发现策略以及基于应用层协议拓扑发现策略发现网络中各个交换机以及网络终端的设备信息,并获取设备间的连接状态,从而获得整个网络的拓扑架构。具体包括以下步骤:
步骤1.1、采用基于物理设备信息拓扑发现策略实现网络中交换机的发现及设备信息获取:交换机上电启动时向控制器发起连接请求;控制器收到请求后,向该交换机发送FEATURE_REQUEST类型的消息并等待回复;接着,交换机将其特征信息:交换机ID、端口属性和缓冲区数量等封装至FEATURE_REPLY消息中,发送至控制器;最终控制器收到消息,记录交换机的特征信息,包括交换机ID、端口属性和缓冲区数量等,完成交换机的发现过程。
步骤1.2、采用基于链路层信息拓扑发现策略实现网络中交换机的连接状态:控制器监控网络的链路层协议流量,通过解析交换机从设备各个端口定期广播的泛洪链路层发现协议(LLDP,Link Layer Discovery Protocol)和广播域发现协议(BDDP,BroadcastDomain Discovery Protocol)数据包,从中提取协议数据包中包含的发送方交换机ID以及端口号;
步骤1.3、采用基于网络层协议拓扑发现策略实现网络终端的发现及设备信息获取,交换机预先并无存放用于网络终端数据转发的匹配流表项。当初次收到来自网络终端的网络层协议报文时,首先会将报文转发至控制器,由控制器通过泛洪机制建立该报文各交换机的转发规则,并下发告知交换机建立匹配的流表项。其具体步骤如下:
a)当网络终端向目标地址发送网络层协议报文,首先经过相邻交换机。相邻交换机检查内部流表项发现并无匹配的流表项,将该报文的源地址、目的地址、报文类型、交换机ID号,收到该数据报文的端口号等信息上报至控制器;
b)当控制器收到交换机上报的信息后,命令交换机泛洪该数据报文至所有相邻的交换机;
c)相邻的交换机收到该数据报文后,检查内部流表项发现并无匹配的流表项,也将该报文的源地址、目的地址、报文类型、交换机ID号,收到该数据报文的端口号等信息上报至控制器;
d)重复步骤b)和c)直到该消息泛洪到目的地址所在机器,目的地址所在机器收到该数据报文后返回应答报文;
e)交换机收到应答报文后将该报文的源地址、目的地址、报文类型、交换机ID号,收到应答报文的端口号等信息上报至控制器;同时经由收到该网络层协议报文的端口号返回该应答报文;
f)控制器收到交换机上报的信息后,获得交换机应答报文输入端口信息,该端口也是该交换机转发该协议报文的输出端口;
g)重复步骤e)和f)直到应答报文返回至网络终端;
最终,控制器获得了网络终端至目的地址所在机器间途径的交换机ID、数据输入端口、数据转发输出端口、相邻交换机ID等拓扑信息。并根据拓扑信息建立控制转发的流表项发送至相应交换机。
步骤1.4、采用基于应用层协议拓扑发现策略实现网络终端的连接状态:控制器向网络终端相邻的交换机发送SNMP协议报文,获取交换机各端口的连接信息,从而得到网络终端的连接状态,其具体步骤如下:
h)控制器发送SNMP协议的get-request报文去提取相应交换机的MIB库信息,查询ipNetToMediaPhysAddress组、ipNetToMediaIfIndex组、ifInOctets组和ifOutOctets组,其中ipNetToMediaPhysAddress组包含交换机所连设备的IP地址和MAC地址,ipNetToMediaIfIndex组包含交换机所连设备的MAC地址和所在端口,ifInOctets组包含交换机各个端口收到的总字节数、ifOutOctets组包含交换机各个端口发送的总字节数;
i)交换机收到get-request报文后返回get-response报文。
j)控制器从返回的get-response报文得到交换机所连设备的IP地址和MAC地址、交换机所连设备的MAC地址和所在端口、交换机各个端口收到的总字节数、交换机各个端口发送的总字节数。进而得到各个端口所连设备的IP地址和接收发送的总流量。
步骤1.5:控制器根据上述信息构造拓扑图,拓扑图由节点和链路构成。
节点数据由设备类型、设备标识和连接端口构成,其定义如下:
Node={type,ID/IP,port},
其中Node表示节点;type表示设备类型,设备类型分为交换机和其他网络设备;ID/IP表示设备标识,当设备类型为交换机时存放交换机ID信息,当设备类型为其他网络设备时存放网络设备的IP地址;port表示连接端口。
链路数据由数据输出节点和数据接收节点构成,其定义如下:
Linklist={SendNode,RecvNode}
其中Linklist表示链路;SendNode表示数据输出节点,结构类型为Node类型;RecvNode表示数据接收节点,结构类型为Node类型。
步骤2:在网络攻击阶段,采用基于K条最短路径分流的方法实现网络流量的分流。首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径;其次计算这K条路径的剩余带宽;最后将流量按各路径剩余带宽的比例分配到各路径上。其具体步骤如下:
步骤2.1、首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径:利用Dijkstra算法计算出第1条最短路径P1,在此基础上依次算出其他的K-1条最短路径:P2,P3,…,Pi,…,PK。在求Pi+1时,将Pi上除了终止节点外的所有节点都视为偏离节点,并计算每个偏离节点到终止节点的最短路径,再与之前的Pi上起始节点到偏离节点的路径拼接,构成候选路径,进而进行最短偏离路径的求解。
步骤2.2:其次计算这K条路径的剩余带宽,每条路径的剩余带宽计算方法如下:计算路径上所有交换机各端口的剩余带宽,将该路径上交换机各端口最小的剩余带宽数值作为该路径的剩余带宽。
端口的剩余带宽计算方法如下:通过简单网络管理协议定期访问网络内交换机,获取交换机及各端口的流量统计信息,将两个不同时间点采集到的端口总流量相减,再除以时间间隔,计算得到该端口的当前传输速率即为该端口的当前流量带宽;再将端口的额定带宽减去当前流量带宽即可得到端口的剩余带宽。其计算公式如下所述:
Figure BDA0002341342390000141
其中,RemainBWport表示端口的剩余带宽,SpecifiedBWport表示端口的额定带宽,b[t2]表示t2时刻端口的总流量,b[t1]表示t1时刻端口的总流量。
步骤2.3、将流量按各路径剩余带宽的比例分配到各路径上:控制器根据K条最短路径剩余带宽的比例,将流量数据包按照其比例切片,分别发送到K条路径,其中给第i条路径分配的切片长度计算公式如下所述:
Figure BDA0002341342390000142
其中,pi表示给第i条路径分配的切片长度,RemainBWi表示第i条路径的剩余带宽大小,
Figure BDA0002341342390000151
表示所有K条路径的总剩余带宽,p表示该数据包的总长度。
步骤3:在网络攻击阶段,在进行网络流量的分流同时,交换机完成攻击终端的溯源及流量阻断。首先通过提取流量的特征实现攻击终端的溯源定位;其次根据网络拓扑信息进行阻断点的选择;最后向阻断点所在的控制器下发阻断指令实现阻断。其具体步骤如下:
步骤3.1:攻击终端的溯源:提取流量的特征,通过机器学习的方式识别攻击终端并得到其IP地址;所提取的流量特征为基于源地址的四元组和基于目的地的四元组;所述基于源地址的四元组和基于目的地的四元组合称为溯源八元组来表示某一个主机行为特征,将其作为判定是否异常的依据,从而实现攻击终端的溯源;所述基于源地址的四元组包括源地址总流表数、接收数据包总数、接收字节总数和源IP地址的熵;所述基于目的地址的四元组包括目的地址总流表数、发送数据包总数、发送字节总数和目的IP地址的熵,其八元组的计算方法如下:
其八元组的计算方法见表1和表2。
表1基于源地址的4元组
Figure BDA0002341342390000152
Figure BDA0002341342390000161
其中,n表示源地址为该IP的流表项总数,pi表示这n个流表项中第i个目的IP地址出现的概率,pkgsIn和bytesIn分别表示该IP接收到的数据包数和字节数。
表2基于目的地址的4元组
Figure BDA0002341342390000162
其中,m表示目的地址为该IP的流表项总数,pi表示这m个流表项中第i个源IP地址出现的概率,pkgsOut和bytesOut分别表示该IP发出的数据包数和字节数。
其中,m表示目的地址为该IP的流表项总数,pi表示这m个流表项中第i个源IP地址出现的概率,pkgsOut和bytesOut分别表示该IP发出的数据包数和字节数。
步骤3.2、阻断点的选择:在确定攻击终端的IP地址后,在拓扑图数据中得到对应节点信息,根据其节点信息遍历拓扑图中的链路数据,得到与攻击终端相邻的交换机节点信息,将其设为阻断点。
步骤3.3、攻击终端网络流量的阻断:控制器向阻断点所在的交换机发送OpenFlow协议的“Controller-to-Switch”消息,该消息包含针对攻击终端的流表项,其规则为在攻击终端所接入的端口号上对攻击终端IP的数据报文执行丢弃操作,从而实现攻击终端网络流量的阻断。
实施例1
图1所示为本发明的基于拓扑分析的攻击流量分流和阻断方法的流程图。
如图1所示:本实施例采用软件定义网络的网络体系架构,包括控制器和交换机。控制器采用Ryu搭建,支持OpenFlow协议;交换机采用Open vSwitch搭建,和控制器间通过OpenFlow协议与控制器进行交互。其中控制器负责整个网络的报文数据转发及控制,交换机按照控制器的下发的转发规则对报文数据进行转发。控制器通过OpenFlow协议的流表项向交换机传递转发规则,通过简单网络管理协议对交换机进行管理控制。本专利所提方法首先通过多种发现策略获取网络拓扑,当有基于流量的网络攻击到来时采用基于K条最短路径分流的方法实现网络流量的分流,同时对攻击终端进行溯源阻断。
该方法具体包括以下步骤:
101、在初始阶段,完成基于多种发现策略的网络拓扑获取:采用基于物理设备信息拓扑发现策略、基于链路层信息拓扑发现策略、基于网络层协议拓扑发现策略以及基于应用层协议拓扑发现策略发现网络中各个交换机以及网络终端的设备信息,并获取设备间的连接状态,从而获得整个网络的拓扑架构。
1011、采用基于物理设备信息拓扑发现策略实现网络中交换机的发现及设备信息获取:交换机上电启动时向控制器发起连接请求;控制器收到请求后,向该交换机发送FEATURE_REQUEST类型的消息并等待回复;接着,交换机将其特征信息(交换机ID、端口属性和缓冲区数量等)封装至FEATURE_REPLY消息中,发送至控制器;最终,控制器收到消息,记录交换机的特征信息,包括交换机ID、端口属性和缓冲区数量等,完成交换机的发现过程。
1012、采用基于链路层信息拓扑发现策略实现网络中交换机的连接状态:控制器监控网络的链路层协议流量,通过解析交换机从设备各个端口定期广播的泛洪链路层发现协议(LLDP,Link Layer Discovery Protocol)和广播域发现协议(BDDP,BroadcastDomain Discovery Protocol)数据包,从中提取协议数据包中包含的发送方交换机ID以及端口号。
1013、采用基于网络层协议拓扑发现策略实现网络终端的发现及设备信息获取,交换机预先并无存放用于网络终端数据转发的匹配流表项。当初次收到来自网络终端的网络层协议报文时,首先会将报文转发至控制器,由控制器通过泛洪机制建立该报文各交换机的转发规则,并下发告知交换机建立匹配的流表项。然后控制器获得了网络终端至目的地址所在机器间途径的交换机ID、数据输入端口、数据转发输出端口、相邻交换机ID等拓扑信息。并根据拓扑信息建立控制转发的流表项发送至相应交换机。
1014、采用基于应用层协议拓扑发现策略实现网络终端的连接状态:控制器利用Net-SNMP向网络终端相邻的交换机发送SNMP协议报文,获取交换机各端口的连接信息,从而得到网络终端的连接状态。
1015、控制器根据上述信息构造拓扑图,拓扑图由节点和链路构成。节点数据由设备类型、设备标识和连接端口构成,其定义如下:
Node={type,ID/IP,port}
其中Node表示节点;type表示设备类型,设备类型分为交换机和其他网络设备;ID/IP表示设备标识,当设备类型为交换机时存放交换机ID信息,ID为一32bit的唯一整数;当设备类型为其他网络设备时存放网络设备的IP地址,IP地址为一32bit的二进制数;port表示连接端口,port的取值范围为1-65535。
链路数据由数据输出节点和数据接收节点构成,其定义如下:
Linklist={SendNode,RecvNode}
其中Linklist表示链路;SendNode表示数据输出节点,结构类型为Node类型;RecvNode表示数据接收节点,结构类型为Node类型。
102、在网络攻击阶段,采用基于K条最短路径分流的方法实现网络流量的分流。首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径;其次计算这K条路径的剩余带宽;最后将流量按各路径剩余带宽的比例分配到各路径上。
1021、首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径:利用Dijkstra算法计算出第1条最短路径P1,在此基础上依次算出其他的K-1条最短路径:P2,P3,…,Pi,…,PK。在求Pi+1时,将Pi上除了终止节点外的所有节点都视为偏离节点,并计算每个偏离节点到终止节点的最短路径,再与之前的Pi上起始节点到偏离节点的路径拼接,构成候选路径,进而进行最短偏离路径的求解。
1022、其次计算这K条路径的剩余带宽,每条路径的剩余带宽计算方法如下:计算路径上所有交换机各端口的剩余带宽,将该路径上交换机各端口最小的剩余带宽数值作为该路径的剩余带宽。
端口的剩余带宽计算方法如下:通过简单网络管理协议定期访问网络内交换机,获取交换机及各端口的流量统计信息,将两个不同时间点采集到的端口总流量相减,再除以时间间隔,计算得到该端口的当前传输速率即为该端口的当前流量带宽;再将端口的额定带宽减去当前流量带宽即可得到端口的剩余带宽。其计算公式如下所述:
Figure BDA0002341342390000201
其中,RemainBWport表示端口的剩余带宽,SpecifiedBWport表示端口的额定带宽,b[t2]表示t2时刻端口的总流量,b[t1]表示t1时刻端口的总流量。
1023、将流量按各路径剩余带宽的比例分配到各路径上:控制器根据K条最短路径剩余带宽的比例,将流量数据包按照其比例切片,分别发送到K条路径。其中给第i条路径分配的切片长度计算公式如下所述:
Figure BDA0002341342390000211
其中,pi表示给第i条路径分配的切片长度,RemainBWi表示第i条路径的剩余带宽大小,
Figure BDA0002341342390000212
表示所有K条路径的总剩余带宽,p表示该数据包的总长度。
103、在网络攻击阶段,在进行网络流量的分流同时,交换机完成攻击终端的溯源及流量阻断。首先通过提取流量的特征实现攻击终端的溯源定位;其次根据网络拓扑信息进行阻断点的选择;最后向阻断点所在的控制器下发阻断指令实现阻断。
1031、攻击终端的溯源:提取流量的特征,通过机器学习的方式识别攻击终端并得到其IP地址,从而实现攻击终端的溯源。
1032、阻断点的选择:在确定攻击终端的IP地址后,在拓扑图数据中得到对应节点信息,根据其节点信息遍历拓扑图中的链路数据,得到与攻击终端相邻的交换机节点信息,将其设为阻断点。
1033、攻击终端网络流量的阻断:控制器向阻断点所在的交换机发送OpenFlow协议的“Controller-to-Switch”消息,该消息包含针对攻击终端的流表项,其规则为在攻击终端所接入的端口号上对攻击终端IP的数据报文执行丢弃操作,从而实现攻击终端网络流量的阻断。
如图2所示:图2是的基于网络层协议拓扑发现策略实现网络终端的发现及设备信息获取的流程图,即上文步骤1013的具体流程。交换机预先并无存放用于网络终端数据转发的匹配流表项,当初次收到来自网络终端的网络层协议报文时,首先会将报文转发至控制器,由控制器通过泛洪机制建立该报文各交换机的转发规则,并下发告知交换机建立匹配的流表项。其具体步骤如下:
201、当网络终端向目标地址发送网络层协议报文,首先经过相邻交换机。相邻交换机检查内部流表项发现并无匹配的流表项,将该报文的源地址、目的地址、报文类型、交换机ID号,收到该数据报文的端口号等信息上报至控制器;
202、当控制器收到交换机上报的信息后,命令交换机泛洪该数据报文至所有相邻的交换机;相邻的交换机收到该数据报文后,检查内部流表项发现有无匹配的流表项。如果没有的话转入步骤203,将该报文的源地址、目的地址、报文类型、交换机ID号,收到该数据报文的端口号等信息上报至控制器;如果有的话则转入步骤204,目的地址所在机器收到该数据报文后返回应答报文。
205、交换机收到应答报文后将该报文的源地址、目的地址、报文类型、交换机ID号,收到应答报文的端口号等信息上报至控制器;同时经由收到该网络层协议报文的端口号返回该应答报文;直到应答报文返回至网络终端。
最终,控制器获得了网络终端至目的地址所在机器间途径的交换机ID、数据输入端口、数据转发输出端口、相邻交换机ID等拓扑信息。并根据拓扑信息建立控制转发的流表项发送至相应交换机。

Claims (9)

1.一种基于拓扑分析的攻击流量分流和阻断方法,包括以下步骤:
步骤1、在初始阶段,完成基于多种发现策略的网络拓扑获取:采用基于物理设备信息拓扑发现策略、基于链路层信息拓扑发现策略、基于网络层协议拓扑发现策略以及基于应用层协议拓扑发现策略发现网络中各个交换机以及网络终端的设备信息,并获取设备间的连接状态,从而获得整个网络的拓扑架构;
步骤2、在网络攻击阶段,采用基于K条最短路径分流的方法实现网络流量的分流;首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径;其次计算这K条路径的剩余带宽;最后将流量按各路径剩余带宽的比例分配到各路径上;
步骤3、在网络攻击阶段,在进行网络流量的分流同时,交换机完成攻击终端的溯源及流量阻断;首先通过提取流量的特征实现攻击终端的溯源定位;其次根据网络拓扑信息进行阻断点的选择;最后向阻断点所在的控制器下发阻断指令实现阻断。
2.根据权利要求1所述的基于拓扑分析的攻击流量分流和阻断方法,其特征在于:所述步骤1按照以下步骤顺序进行:
步骤1.1:采用基于物理设备信息拓扑发现策略实现网络中交换机的发现及设备信息获取:交换机上电启动时向控制器发起连接请求;控制器收到请求后,向该交换机发送FEATURE_REQUEST类型的消息并等待回复;接着,交换机将其特征信息封装至FEATURE_REPLY消息中,发送至控制器;最终控制器收到消息,记录交换机的特征信息,包括交换机ID、端口属性和缓冲区数量或其他特征信息,完成交换机的发现过程;
步骤1.2:采用基于链路层信息拓扑发现策略实现网络中交换机的连接状态:控制器监控网络的链路层协议流量,通过解析交换机从设备各个端口定期广播的泛洪链路层发现协议和广播域发现协议数据包,从中提取协议数据包中包含的发送方交换机ID以及端口号;
步骤1.3:采用基于网络层协议拓扑发现策略实现网络终端的发现及设备信息获取,交换机预先并无存放用于网络终端数据转发的匹配流表项;当初次收到来自网络终端的网络层协议报文时,首先会将报文转发至控制器,由控制器通过泛洪机制建立该报文各交换机的转发规则,并下发告知交换机建立匹配的流表项;
步骤1.4:采用基于应用层协议拓扑发现策略实现网络终端的连接状态:控制器向网络终端相邻的交换机发送SNMP协议报文,获取交换机各端口的连接信息,从而得到网络终端的连接状态;
步骤1.5:控制器根据上述信息构造拓扑图,拓扑图由节点和链路构成;节点数据由设备类型、设备标识和连接端口构成,其定义如下:
Node={type,ID/IP,port}
其中Node表示节点;type表示设备类型,设备类型分为交换机和其他网络设备;ID/IP表示设备标识,当设备类型为交换机时存放交换机ID信息,当设备类型为其他网络设备时存放网络设备的IP地址;port表示连接端口;链路数据由数据输出节点和数据接收节点构成,其定义如下:
Linklist={SendNode,RecvNode}
其中Linklist表示链路;SendNode表示数据输出节点,结构类型为Nod类型;RecvNode表示数据接收节点,结构类型为Node类型。
3.根据权利要求2所述的基于拓扑分析的攻击流量分流和阻断方法,其特征在于:所述步骤1.3中基于网络层协议拓扑发现策略实现网络终端的发现及设备信息获取的具体步骤如下:
a)当网络终端向目标地址发送网络层协议报文,首先经过相邻交换机;相邻交换机检查内部流表项发现并无匹配的流表项,将该报文的源地址、目的地址、报文类型和交换机ID号,收到该数据报文的端口号信息上报至控制器;
b)当控制器收到交换机上报的信息后,命令交换机泛洪该数据报文至所有相邻的交换机;
c)相邻的交换机收到该数据报文后,检查内部流表项发现并无匹配的流表项,也将该报文的源地址、目的地址、报文类型、交换机ID号,收到该数据报文的端口号信息上报至控制器;
d)重复步骤b)和c)直到该消息泛洪到目的地址所在机器,目的地址所在机器收到该数据报文后返回应答报文;
e)交换机收到应答报文后将该报文的源地址、目的地址、报文类型、交换机ID号,收到应答报文的端口号等信息上报至控制器;同时经由收到该网络层协议报文的端口号返回该应答报文;
f)控制器收到交换机上报的信息后,获得交换机应答报文输入端口信息,该端口也是该交换机转发该协议报文的输出端口;
g)重复步骤e)和f)直到应答报文返回至网络终端;最终,控制器获得了网络终端至目的地址所在机器间途径的交换机ID、数据输入端口、数据转发输出端口、相邻交换机ID的拓扑信息。并根据拓扑信息建立控制转发的流表项发送至相应交换机。
4.根据权利要求2所述的基于拓扑分析的攻击流量分流和阻断方法,其特征在于:步骤1.4中基于应用层协议拓扑发现策略实现网络终端的连接状态的具体步骤如下:
h)控制器发送SNMP协议的get-request报文去提取相应交换机的MIB库信息,查询ipNetToMediaPhysAddress组、ipNetToMediaIfIndex组、ifInOctets组和ifOutOctets组,其中ipNetToMediaPhysAddress组包含交换机所连设备的IP地址和MAC地址,ipNetToMediaIfIndex组包含交换机所连设备的MAC地址和所在端口,ifInOctets组包含交换机各个端口收到的总字节数、ifOutOctets组包含交换机各个端口发送的总字节数;
i)交换机收到get-request报文后返回get-response报文;
j)控制器从返回的get-response报文得到交换机所连设备的IP地址和MAC地址、交换机所连设备的MAC地址和所在端口、交换机各个端口收到的总字节数、交换机各个端口发送的总字节数;进而得到各个端口所连设备的IP地址和接收发送的总流量。
5.根据权利要求1所述的基于拓扑分析的攻击流量分流和阻断方法,其特征在于:所述步骤2按照以下步骤顺序进行:
步骤2.1:首先计算网络中由攻击点到被攻击目标所有路径中的K条最短路径:利用Dijkstra算法计算出第1条最短路径P1,在此基础上依次算出其他的K-1条最短路径:P2,P3,…,Pi,…,PK。在求Pi+1时,将Pi上除了终止节点外的所有节点都视为偏离节点,并计算每个偏离节点到终止节点的最短路径,再与之前的Pi上起始节点到偏离节点的路径拼接,构成候选路径,进而进行最短偏离路径的求解;
步骤2.2:其次计算这K条路径的剩余带宽,每条路径的剩余带宽计算方法如下:计算路径上所有交换机各端口的剩余带宽,将该路径上交换机各端口最小的剩余带宽数值作为该路径的剩余带宽;
步骤2.3:将流量按各路径剩余带宽的比例分配到各路径上:控制器根据K条最短路径剩余带宽的比例,将流量数据包按照其比例切片,分别发送到K条路径。
6.根据权利要求5所述的基于拓扑分析和攻击流量分流和阻断方法,其特征在于:步骤2.2中端口的剩余带宽计算方法如下:
通过简单网络管理协议定期访问网络内交换机,获取交换机及各端口的流量统计信息,将两个不同时间点采集到的端口总流量相减,再除以时间间隔,计算得到该端口的当前传输速率即为该端口的当前流量带宽;再将端口的额定带宽减去当前流量带宽即可得到端口的剩余带宽;
其计算公式如下所述:
Figure FDA0002341342380000061
其中,RemainBWport表示端口的剩余带宽,SpecifiedBWport表示端口的额定带宽,b[t2]表示t2时刻端口的总流量,b[t1]表示t1时刻端口的总流量。
7.根据权利要求5所述的基于拓扑分析和攻击流量分流和阻断方法,其特征在于:步骤2.3中给:第i条路径分配的切片长度计算公式如下所述:
Figure FDA0002341342380000062
其中,pi表示给第i条路径分配的切片长度,RemainBWi表示第i条路径的剩余带宽大小,
Figure FDA0002341342380000063
表示所有K条路径的总剩余带宽,p表示该数据包的总长度。
8.根据权利要求1所述的基于拓扑分析的攻击流量分流和阻断方法,其特征在于:所述步骤3按照以下步骤顺序进行:
步骤3.1:攻击终端的溯源:提取流量的特征,通过机器学习的方式识别攻击终端并得到其IP地址,从而实现攻击终端的溯源;
步骤3.2:阻断点的选择:在确定攻击终端的IP地址后,在拓扑图数据中得到对应节点信息,根据其节点信息遍历拓扑图中的链路数据,得到与攻击终端相邻的交换机节点信息,将其设为阻断点;
步骤3.3:攻击终端网络流量的阻断:控制器向阻断点所在的交换机发送OpenFlow协议的“Controller-to-Switch”消息,该消息包含针对攻击终端的流表项,其规则为在攻击终端所接入的端口号上对攻击终端IP的数据报文执行丢弃操作,从而实现攻击终端网络流量的阻断。
9.根据权利要求8所述的基于拓扑分析的攻击流量分流和阻断方法,其特征在于:所述步骤3.1中流量特征的选取具体如下所述:
所提取的流量特征为基于源地址的四元组和基于目的地的四元组;通过机器学习所述基于源地址的四元组和基于目的地的四元组合称为溯源八元组来表示某一个主机行为特征,将其作为判定是否异常的依据,从而实现攻击终端的溯源;所述基于源地址的四元组包括源地址总流表数、接收数据包总数、接收字节总数和源IP地址的熵;所述基于目的地址的四元组包括目的地址总流表数、发送数据包总数、发送字节总数和目的IP地址的熵,其八元组的计算方法如下:
源地址总流表数flowInCountSrc=n
接收数据包总数
Figure FDA0002341342380000071
接收字节总数
Figure FDA0002341342380000072
目的IP地址的熵
Figure FDA0002341342380000073
目的地址总流表数flowOutCountDst=m
发送数据包总数
Figure FDA0002341342380000074
发送字节总数
Figure FDA0002341342380000075
源IP地址的熵
Figure FDA0002341342380000076
其中:
n表示源地址为该IP的流表项总数,pi表示这n个流表项中第个目的IP地址出现的概率,pkgsIn和bytesIn分别表示该IP接收到的数据包数和字节数;m表示目的地址为该IP的流表项总数,pi表示这m个流表项中第i个源IP地址出现的概率,pkgsOut和bytesOut分别表示该IP发出的数据包数和字节数。
CN201911377376.3A 2019-12-27 2019-12-27 一种基于拓扑分析的攻击流量分流和阻断方法 Pending CN111049859A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911377376.3A CN111049859A (zh) 2019-12-27 2019-12-27 一种基于拓扑分析的攻击流量分流和阻断方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911377376.3A CN111049859A (zh) 2019-12-27 2019-12-27 一种基于拓扑分析的攻击流量分流和阻断方法

Publications (1)

Publication Number Publication Date
CN111049859A true CN111049859A (zh) 2020-04-21

Family

ID=70239288

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911377376.3A Pending CN111049859A (zh) 2019-12-27 2019-12-27 一种基于拓扑分析的攻击流量分流和阻断方法

Country Status (1)

Country Link
CN (1) CN111049859A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111614512A (zh) * 2020-04-27 2020-09-01 国网山东省电力公司电力科学研究院 基于层级关联的资产学习方法、装置、设备及智能变电站
CN111901241A (zh) * 2020-08-07 2020-11-06 上海格尔安全科技有限公司 一种无线自组网中基于链路状态协议的多路径业务均衡的路由方法
CN112995041A (zh) * 2021-04-21 2021-06-18 北京国科天迅科技有限公司 网络通信方法、装置、电子设备及存储介质
CN113300801A (zh) * 2021-07-27 2021-08-24 奥特酷智能科技(南京)有限公司 基于安全gPTP的时间同步方法及系统
CN113923148A (zh) * 2021-10-26 2022-01-11 中国人民解放军国防科技大学 基于SRv6和带宽测量的带宽保证网络传输方法
WO2022042133A1 (zh) * 2020-08-26 2022-03-03 华为技术有限公司 一种通信方法及相关装置
CN114389990A (zh) * 2022-01-07 2022-04-22 中国人民解放军国防科技大学 基于深度强化学习的最短路阻断方法和装置
CN115174141A (zh) * 2022-05-27 2022-10-11 贵州华谊联盛科技有限公司 一种基于图与链路流量分析的入侵检测与链路动态可视化方法
WO2023160693A1 (zh) * 2022-02-28 2023-08-31 华为技术有限公司 一种攻击阻断方法及相关装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108259367A (zh) * 2018-01-11 2018-07-06 重庆邮电大学 一种基于软件定义网络的服务感知的流策略定制方法
US20180241636A1 (en) * 2017-02-17 2018-08-23 At&T Intellectual Property I, L.P. Multi-Tier Fault Tolerant Network Design With Quality of Service Considerations
CN108809857A (zh) * 2018-05-23 2018-11-13 中国石油大学(华东) 一种基于sdn的流量监控与业务服务质量保障策略的方法
CN109922048A (zh) * 2019-01-31 2019-06-21 国网山西省电力公司长治供电公司 一种串行分散隐藏式威胁入侵攻击检测方法和系统
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180241636A1 (en) * 2017-02-17 2018-08-23 At&T Intellectual Property I, L.P. Multi-Tier Fault Tolerant Network Design With Quality of Service Considerations
CN108259367A (zh) * 2018-01-11 2018-07-06 重庆邮电大学 一种基于软件定义网络的服务感知的流策略定制方法
CN108809857A (zh) * 2018-05-23 2018-11-13 中国石油大学(华东) 一种基于sdn的流量监控与业务服务质量保障策略的方法
CN109922048A (zh) * 2019-01-31 2019-06-21 国网山西省电力公司长治供电公司 一种串行分散隐藏式威胁入侵攻击检测方法和系统
CN110336830A (zh) * 2019-07-17 2019-10-15 山东大学 一种基于软件定义网络的DDoS攻击检测系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨慧文: "基于软件定义网络的DDoS防护系统", 《中国优秀硕士学位论文全文数据库(电子期刊) 信息科技辑》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111614512A (zh) * 2020-04-27 2020-09-01 国网山东省电力公司电力科学研究院 基于层级关联的资产学习方法、装置、设备及智能变电站
CN111901241A (zh) * 2020-08-07 2020-11-06 上海格尔安全科技有限公司 一种无线自组网中基于链路状态协议的多路径业务均衡的路由方法
WO2022042133A1 (zh) * 2020-08-26 2022-03-03 华为技术有限公司 一种通信方法及相关装置
CN112995041A (zh) * 2021-04-21 2021-06-18 北京国科天迅科技有限公司 网络通信方法、装置、电子设备及存储介质
CN113300801A (zh) * 2021-07-27 2021-08-24 奥特酷智能科技(南京)有限公司 基于安全gPTP的时间同步方法及系统
CN113923148A (zh) * 2021-10-26 2022-01-11 中国人民解放军国防科技大学 基于SRv6和带宽测量的带宽保证网络传输方法
CN113923148B (zh) * 2021-10-26 2022-11-22 中国人民解放军国防科技大学 基于SRv6和带宽测量的带宽保证网络传输方法
CN114389990A (zh) * 2022-01-07 2022-04-22 中国人民解放军国防科技大学 基于深度强化学习的最短路阻断方法和装置
WO2023160693A1 (zh) * 2022-02-28 2023-08-31 华为技术有限公司 一种攻击阻断方法及相关装置
CN115174141A (zh) * 2022-05-27 2022-10-11 贵州华谊联盛科技有限公司 一种基于图与链路流量分析的入侵检测与链路动态可视化方法

Similar Documents

Publication Publication Date Title
CN111049859A (zh) 一种基于拓扑分析的攻击流量分流和阻断方法
CN108289104B (zh) 一种工业SDN网络DDoS攻击检测与缓解方法
US11394743B2 (en) SDN-based DDoS attack prevention method, apparatus, and system
CN106982206B (zh) 一种基于ip地址自适应转换的恶意扫描防御方法及系统
US6628623B1 (en) Methods and systems for determining switch connection topology on ethernet LANs
US9306794B2 (en) Algorithm for long-lived large flow identification
US20130259052A1 (en) Communication system, forwarding node, received packet process method, and program
CN109067758B (zh) 一种基于多路径的sdn网络数据传输隐私保护系统及其方法
CN101321088A (zh) 一种统计ip数据流信息的方法及装置
CN113992539B (zh) 网络安全动态路由跳变方法及系统
CN102006242A (zh) 路由器的选路方法及路由器
Hong et al. Dynamic threshold for DDoS mitigation in SDN environment
US10805169B2 (en) Topology determining method, message response method, controller, and switch
WO2016029345A1 (zh) 网络流的信息统计方法和装置
CN110233834A (zh) 网络系统、攻击报文的拦截方法、装置和设备
Lu et al. A novel path‐based approach for single‐packet IP traceback
US9270593B2 (en) Prediction based methods for fast routing of IP flows using communication/network processors
Yin et al. SNMP-based network topology discovery algorithm and implementation
Craig et al. Bloomflow: Openflow extensions for memory efficient, scalable multicast with multi-stage bloom filters
Pu Pro^NDN: MCDM-Based Interest Forwarding and Cooperative Data Caching for Named Data Networking
KR20220029142A (ko) Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법
Zhou et al. Research on network topology discovery algorithm for Internet of Things based on multi-protocol
Khan et al. Minimizing latency due to flow table overflow by early eviction of flow entries in SDN
Sanjeetha et al. Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks
CN115412368B (zh) 一种抵抗DDoS攻击的SDN协同控制方法与系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200421