WO2017035717A1

WO2017035717A1 - 一种分布式拒绝服务DDoS攻击检测方法及相关设备

Info

Publication number: WO2017035717A1
Application number: PCT/CN2015/088458
Authority: WO
Inventors: 徐通; 郑涛; 董平; 孙嘉楠
Original assignee: 华为技术有限公司
Priority date: 2015-08-29
Filing date: 2015-08-29
Publication date: 2017-03-09
Also published as: CN108028828B; CN108028828A

Abstract

本发明实施例公开了一种分布式拒绝服务DDoS攻击检测方法及相关设备，应用于软件定义网络SDN，所述SDN包括控制器和至少一个边界交换机。其中，所述方法包括：监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；以所述当前请求速率为依据，判断所述目标设备是否处于异常状态；若所述目标设备处于异常状态，则查询所述目标设备对应的流表匹配信息；以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。采用本发明，能够提升针对SDN的DDoS攻击检测的准确性。

Description

一种分布式拒绝服务DDoS攻击检测方法及相关设备

技术领域

本发明涉及通信技术领域，尤其涉及一种DDoS攻击检测方法及相关设备。

背景技术

软件定义网络(Software Defined Network，简称“SDN”)是一种通过将网络设备控制面与数据面分离开来，从而实现网络流量的灵活控制的新型网络架构，其为核心网络及应用的创新提供了良好的平台。同时，该SDN网络也面临一些安全问题，如容易遭受分布式拒绝服务(Distributed Denial of Service，简称“DDoS”)攻击。在SDN中，所有新进入SDN的数据流都需要向SDN中的控制器请求处理以获取路由结果，当一段时间内发生给控制器的请求过多时则会导致控制器处理性能下降。若DDoS攻击者伪造并发送大量不同流的数据包，则会恶意消耗控制器处理资源。而且，由于该DDoS攻击在制造大量属于不同流的数据包占用控制器资源的同时，控制器会下发大量的流表项，这就可能导致网络中底层交换设备的流表空间溢出。因此，如何有效实现对SDN网络中的设备的DDoS攻击检测成为亟需解决的难题。

目前，仅存在少量针对SDN遭受DDoS攻击检测的研究，其中，披露了一种利用熵值变化检测SDN中控制器遭受DDoS攻击的方法。由于在网络正常时，数据流的目的IP地址、虚拟局域网(Virtual Local Area Network，简称“VLAN”)号、目的端口或其他字段一般会呈现较强的随机性，此时熵值较大；而在控制器遭受到DDoS攻击时，数据流某个或某些字段的随机性会减小，此时熵值较小，从而能够根据熵值大小确定该控制器是否遭受到DDoS攻击。其中，该熵值用于衡量一个随机变量出现的期望值。

然而，该基于熵值的DDoS攻击检测方法依赖于正常数据流和攻击数据流之间的随机性差异，这就使得当攻击数据流随机性较强时，会出现漏报攻击的情况，当正常数据流随机性不强时，则会误将正常数据流作为攻击数据流，出现误报攻击的情况。也就是说，目前的DDoS攻击检测方法需要依赖于正常数据流和攻击数据流的随机性进行检测，准确性较低。

发明内容

本发明实施例提供一种DDoS攻击检测方法及相关设备，能够提升DDoS攻击检测的准确性，而无需依赖正常数据流和攻击数据流的随机性来进行检测。

第一方面，本发明实施例提供了一种DDoS攻击检测方法，应用于软件定义网络SDN中，所述SDN包括控制器和至少一个边界交换机，包括：

监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；

以所述当前请求速率为依据，判断所述目标设备是否处于异常状态；

若所述目标设备处于异常状态，则查询所述目标设备对应的流表匹配信息；

以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。

结合第一方面，在第一方面的第一种可能的实现方式中，在所述方法还包括：

若确定所述目标设备受到DDoS攻击，则从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，所述目标物理端口为所述至少一个物理端口中所述第一窗口内所述第一请求消息对应的数据流密度最大的物理端口；

对所述目标物理端口传输的目标数据流进行标记，所述目标数据流为所述SDN中交换机与交换机之间的数据流；

将所述标记后的目标数据流重定向至预先与所述目标设备对应的边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。

结合第一方面，或者第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，包括：

监听预设的第一窗口内所述目标边界交换机发送的第一请求消息；

计算所述第一请求消息的请求速率，并将计算出的所述请求速率作为所述目标边界交换机针对所述第一请求消息的当前请求速率。

结合第一方面，或者第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述目标设备为所述控制器；所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，包括：

监听预设的第一窗口内所述SDN中每一个边界交换机发送的第一请求消息；

分别统计得到所述第一窗口内每一个边界交换机发送的第一请求消息的请求速率；

根据每一个边界交换机的请求速率统计得到所述第一窗口内所述SDN中所有边界交换机所确定的边界网络的当前请求速率，并将所述边界网络的当前请求速率作为所述控制器针对所述第一请求消息的当前请求速率。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述以所述当前请求速率为依据，判断所述目标设备是否处于异常状态，包括：

判断所述当前请求速率是否高于预置的与所述目标设备对应的第一阈值，其中，所述第一阈值是根据预设的第二窗口内的第一请求消息的请求速率确定出的；

若高于所述第一阈值，则确定所述目标设备处于异常状态。

结合第一方面，或者第一方面的第一种可能的实现方式，或者第一方面的第二种可能的实现方式，或者第一方面的第三种可能的实现方式，或者第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，所述查询所述目标设备对应的流表匹配信息，包括：

向所述目标设备对应的边界交换机发送流表信息查询指令；

接收所述目标设备对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息；

所述以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击，包括：

以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率；

判断所述当前流表匹配效率是否超过预置的与所述目标设备对应的第二阈值，其中，所述第二阈值是根据预设的第三窗口内的流表匹配信息统计得到的流表匹配效率而确定出的；

若不超过所述第二阈值，则确定所述目标设备受到DDoS攻击。

结合第一方面的第五种可能的实现方式，在第一方面的第六种可能的实现方式中，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率，包括：

根据所述目标边界交换机返回的流表匹配信息，计算所述流表匹配信息对应的流表匹配效率，并将计算出的所述流表匹配效率作为所述目标边界交换机的当前流表匹配效率。

结合第一方面的第五种可能的实现方式，在第一方面的第七种可能的实现方式中，所述目标设备为所述控制器，所述目标设备对应的边界交换机包括所述SDN中的所有边界交换机；所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率，包括：

根据所述SDN中每一个边界交换机返回的流表匹配信息，分别计算每一个边界交换机返回的流表匹配信息对应的流表匹配效率；

计算得到所述每一个边界交换机对应的流表匹配效率的平均值，并将所述平均值作为所述控制器对应的当前流表匹配效率。

结合第一方面的第六种可能的实现方式，或者第一方面的第七种可能的实现方式，在第一方面的第八种可能的实现方式中，所述流表匹配信息包括秒级持续时间和匹配包数；所述计算流表匹配信息对应的流表匹配效率，包括：

将所述匹配包数与所述秒级持续时间的商值作为所述流表匹配信息对应的流表匹配效率。

结合第一方面的第五种可能的实现方式，在第一方面的第九种可能的实现方式中，所述方法还包括：

监听所述目标设备对应的边界交换机的第二请求消息，所述第二请求消息是根据预设的第三窗口内的流表匹配信息生成的；

以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率；

根据所述目标设备对应的历史流表匹配效率，确定出所述目标设备对应的第二阈值。

结合第一方面的第九种可能的实现方式，在第一方面的第十种可能的实现方式中，所述第二请求消息包括原因信息、秒级持续时间和匹配包数；所述以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率，包括：

解析所述原因信息；

若所述原因信息包括闲置超时信息，则将所述匹配包数与目标差值的商值作为所述目标设备对应的历史流表匹配效率，所述目标差值是所述秒级持续时间与所述闲置超时信息对应的闲置时间的差值；

若所述原因信息包括硬性超时信息，则将所述匹配包数与所述秒级持续时间的商值作为所述目标设备对应的历史流表匹配效率。

结合第一方面的第一种可能的实现方式，在第一方面的第十一种可能的实现方式中，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，包括：

以所述第一请求消息为依据，将所述目标边界交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。

结合第一方面的第一种可能的实现方式，在第一方面的第十二种可能的实现方式中，所述目标设备为所述控制器；所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，包括：

获取所述SDN中每一个边界交换机的当前流表匹配效率，并将所述当前流表匹配效率低于所述SDN对应的边界网络的当前流表匹配效率的边界交换机作为目标交换机，所述SDN对应的边界网络是由所述SDN中所述至少一个边界交换机所确定出的；

以所述目标交换机对应的第一请求消息为依据，将所述目标交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。

结合第一方面的第一种可能的实现方式，在第一方面的第十三种可能的实现方式中，所述对所述目标物理端口的目标数据流进行标记，包括：

在所述目标物理端口的目标数据流对应的数据包空闲字段填写所述目标设备对应的边界交换机的硬件地址哈希Hash值；或者，

采用通用封装技术对所述目标物理端口的目标数据流进行数据包封装。

结合第一方面的第一种可能的实现方式，在第一方面的第十四种可能的实现方式中，所述方法还包括：

分别获取所述SDN中的边界交换机和数据过滤设备的地址信息；

获取所述SDN的拓扑结构信息；

根据所述拓扑结构信息为所述边界交换机确定至少一个数据过滤设备，并将确定出的数据过滤设备的地址信息与所述边界交换机的地址信息绑定。

第二方面，本发明实施例提供了一种DDoS攻击检测装置，应用于软件定义网络SDN，所述SDN包括控制器和至少一个边界交换机，包括：

计算模块，用于监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；

异常判断模块，用于以所述当前请求速率为依据，判断所述目标设备是否处于异常状态；

查询模块，用于在所述异常判断模块的判断结果为所述目标设备处于异常状态时，查询所述目标设备对应的流表匹配信息；

攻击确定模块，用于以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。

结合第二方面，在第二方面的第一种可能的实现方式中，所述装置还包括：

端口确定模块，用于在确定所述目标设备受到DDoS攻击时，从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，所述目标物理端口为所述至少一个物理端口中所述第一窗口内所述第一请求消息对应的数据流密度最大的物理端口；

标记模块，用于对所述目标物理端口传输的目标数据流进行标记，所述目标数据流为所述SDN中交换机与交换机之间的数据流；

重定向模块，用于将所述标记后的目标数据流重定向至预先与所述目标设备对应的边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。

结合第二方面，或者第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述计算模块包括：

第一监听单元，用于监听预设的第一窗口内所述目标边界交换机发送的第一请求消息；

第一计算单元，用于计算所述第一请求消息的请求速率，并将计算出的所述请求速率作为所述目标边界交换机针对所述第一请求消息的当前请求速率。

结合第二方面，或者第二方面的第一种可能的实现方式，在第二方面的第三种可能的实现方式中，所述目标设备为所述控制器；所述计算模块包括：

第二监听单元，用于监听预设的第一窗口内所述SDN中每一个边界交换机发送的第一请求消息；

第二计算单元，用于分别统计得到所述第一窗口内每一个边界交换机发送的第一请求消息的请求速率；

所述第二计算单元，还用于根据每一个边界交换机的请求速率统计得到所述第一窗口内所述SDN中所有边界交换机所确定的边界网络的当前请求速率，并将所述边界网络的当前请求速率作为所述控制器针对所述第一请求消息的当前请求速率。

结合第二方面，或者第二方面的第一种可能的实现方式，或者第二方面的第二种可能的实现方式，或者第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，所述异常判断模块包括：

第一判断单元，用于判断所述当前请求速率是否高于预置的与所述目标设备对应的第一阈值，其中，所述第一阈值是根据预设的第二窗口内的第一请求消息的请求速率确定出的；

第一确定单元，用于在所述第一判断单元的判断结果为高于所述第一阈值时，确定所述目标设备处于异常状态。

结合第二方面，或者第二方面的第一种可能的实现方式，或者第二方面的第二种可能的实现方式，或者第二方面的第三种可能的实现方式，或者第二方面的第四种可能的实现方式，在第二方面的第五种可能的实现方式中，所述查询模块包括：

指令发送单元，用于在所述目标设备处于异常状态时，向所述目标设备对应的边界交换机发送流表信息查询指令；

信息接收单元，用于接收所述目标设备对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息；

所述攻击确定模块包括：

效率计算单元，用于以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率；

第二判断单元，用于判断所述当前流表匹配效率是否超过预置的与所述目标设备对应的第二阈值，其中，所述第二阈值是根据预设的第三窗口内的流表匹配信息统计得到的流表匹配效率而确定出的；

第二确定单元，用于在所述第二判断单元的判断结果为所述当前流表匹配效率不超过所述第二阈值时，确定所述目标设备受到DDoS攻击。

结合第二方面的第五种可能的实现方式，在第二方面的第六种可能的实现方式中，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述效率计算单元具体用于：

结合第二方面的第五种可能的实现方式，在第二方面的第七种可能的实现方式中，所述目标设备为所述控制器，所述目标设备对应的边界交换机包括所述SDN中的所有边界交换机；所述效率计算单元具体用于：

根据所述SDN中每一个边界交换机返回的流表匹配信息，分别计算每一个边界交换机返回的流表匹配信息对应的流表匹配效率；计算得到所述每一个边界交换机对应的流表匹配效率的平均值，并将所述平均值作为所述控制器对应的当前流表匹配效率。

结合第二方面的第五种可能的实现方式，在第二方面的第八种可能的实现方式中，所述装置还包括：

效率确定模块，用于监听所述目标设备对应的边界交换机的第二请求消息，并以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率，所述第二请求消息是根据预设的第三窗口内的流表匹配信息生成的；

阈值确定模块，用于根据所述目标设备对应的历史流表匹配效率，确定出所述目标设备对应的第二阈值。

结合第二方面的第八种可能的实现方式，在第二方面的第九种可能的实现方式中，所述第二请求消息包括原因信息、秒级持续时间和匹配包数；所述效率确定模块包括：

解析单元，用于解析所述原因信息；

第三确定单元，用于在所述解析单元解析结果为所述原因信息包括闲置超时信息时，将所述匹配包数与目标差值的商值作为所述目标设备对应的历史流表匹配效率，所述目标差值是所述秒级持续时间与所述闲置超时信息对应的闲置时间的差值；

所述第三确定单元，还用于在所述解析单元解析结果为所述原因信息包括硬性超时信息时，将所述匹配包数与所述秒级持续时间的商值作为所述目标设备对应的历史流表匹配效率。

结合第二方面的第一种可能的实现方式，在第二方面的第十种可能的实现方式中，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述端口确定模块具体用于：

在确定所述目标边界交换机受到DDoS攻击时，以所述第一请求消息为依据，将所述目标边界交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。

结合第二方面的第一种可能的实现方式，在第二方面的第十一种可能的实现方式中，所述目标设备为所述控制器；所述端口确定模块具体用于：

在确定所述控制器受到DDoS攻击时，获取所述SDN中每一个边界交换机的当前流表匹配效率，并将所述当前流表匹配效率低于所述SDN对应的边界网络的当前流表匹配效率的边界交换机作为目标交换机，所述SDN对应的边界网络是由所述SDN中所述至少一个边界交换机所确定出的；

结合第二方面的第一种可能的实现方式，在第二方面的第十二种可能的实现方式中，所述标记模块具体用于：

结合第二方面的第一种可能的实现方式，在第二方面的第十三种可能的实现方式中，所述装置还包括：

获取模块，用于分别获取所述SDN中的边界交换机和数据过滤设备的地址信息；

所述获取模块，还用于获取所述SDN的拓扑结构信息；

绑定确定模块，用于根据所述拓扑结构信息为所述边界交换机确定至少一个数据过滤设备，并将确定出的数据过滤设备的地址信息与所述边界交换机的地址信息绑定。

第三方面，本发明实施例提供了一种网络设备，应用于软件定义网络SDN，所述SDN包括控制器和至少一个边界交换机，包括：通信接口、存储器和处理器，所述处理器分别与所述通信接口及所述存储器连接；其中，

所述存储器用于存储驱动软件；

所述处理器从所述存储器读取所述驱动软件并在所述驱动软件的作用下执行：

通过所述通信接口监听预设的第一窗口内的第一请求消息，并计算所述 SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；

结合第三方面，在第三方面的第一种可能的实现方式中，所述处理器从所述存储器读取所述驱动软件并在所述驱动软件的作用下，还执行以下步骤：

通过所述通信接口将所述标记后的目标数据流重定向至预先与所述目标设备对应的边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。

结合第三方面，或者第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述处理器在执行所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率时，具体执行以下步骤：

结合第三方面，或者第三方面的第一种可能的实现方式，在第三方面的第三种可能的实现方式中，所述目标设备为所述控制器；所述处理器在执行所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率时，具体执行以下步骤：

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，在第三方面的第四种可能的实现方式中，所述处理器在执行所述以所述当前请求速率为依据，判断所述目标设备是否处于异常状态时，具体执行以下步骤：

若高于所述第一阈值，则确定所述目标设备处于异常状态。

结合第三方面，或者第三方面的第一种可能的实现方式，或者第三方面的第二种可能的实现方式，或者第三方面的第三种可能的实现方式，或者第三方面的第四种可能的实现方式，在第三方面的第五种可能的实现方式中，所述处理器在执行所述查询所述目标设备对应的流表匹配信息时，具体执行以下步骤：

通过所述通信接口向所述目标设备对应的边界交换机发送流表信息查询指令；

通过所述通信接口接收所述目标设备对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息；

所述处理器在执行所述以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击时，具体执行以下步骤：

若不超过所述第二阈值，则确定所述目标设备受到DDoS攻击。

结合第三方面的第五种可能的实现方式，在第三方面的第六种可能的实现方式中，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述处理器在执行所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率时，具体执行以下步骤：

结合第三方面的第五种可能的实现方式，在第三方面的第七种可能的实现方式中，所述目标设备为所述控制器，所述目标设备对应的边界交换机包括所述SDN中的所有边界交换机；所述处理器在执行所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率时，具体执行以下步骤：

结合第三方面的第六种可能的实现方式，或者第三方面的第七种可能的实现方式，在第三方面的第八种可能的实现方式中，所述流表匹配信息包括秒级持续时间和匹配包数；所述处理器在执行计算流表匹配信息对应的流表匹配效率时，具体执行以下步骤：

结合第三方面的第五种可能的实现方式，在第三方面的第九种可能的实现方式中，所述处理器还用于执行以下步骤：

结合第三方面的第九种可能的实现方式，在第三方面的第十种可能的实现方式中，所述第二请求消息包括原因信息、秒级持续时间和匹配包数；所述处理器在执行所述以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率时，具体执行以下步骤：

解析所述原因信息；

结合第三方面的第一种可能的实现方式，在第三方面的第十一种可能的实现方式中，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述处理器在执行所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口时，具体执行以下步骤：

结合第三方面的第一种可能的实现方式，在第三方面的第十二种可能的实现方式中，所述目标设备为所述控制器；所述处理器在执行所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口时，具体执行以下步骤：

结合第三方面的第一种可能的实现方式，在第三方面的第十三种可能的实现方式中，所述处理器在执行所述对所述目标物理端口的目标数据流进行标记时，具体执行以下步骤：

结合第三方面的第一种可能的实现方式，在第三方面的第十四种可能的实现方式中，所述处理器从所述存储器读取所述驱动软件并在所述驱动软件的作用下，还执行以下步骤：

通过所述通信接口分别获取所述SDN中的边界交换机和数据过滤设备的地址信息；

获取所述SDN的拓扑结构信息；

根据所述拓扑结构信息为所述边界交换机确定至少一个数据过滤设备，并

将确定出的数据过滤设备的地址信息与所述边界交换机的地址信息绑定。

与现有技术相比，本发明实施例具有以下有益效果：

本发明实施例可通过监听到的第一请求消息计算得到SDN网络中目标设备对应的当前请求速率，并根据该当前请求速率判断该目标设备是否处于异常状态，从而在该目标设备处于异常状态时，通过进一步查询当前流表匹配信息，实现确定该目标设备是否遭受DDoS攻击。本发明实施例的DDoS攻击检测方法无需依赖正常数据流和攻击数据流的随机性，从而提升了DDoS攻击检测的准确性，而且，本发明实施例的DDoS攻击检测方法能够检测交换机及控制器的DDoS攻击，解决了现有技术中无法检测交换机是否受到DDoS攻击的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种SDN系统架构图；

图2是本发明实施例提供的一种DDoS攻击检测方法的流程示意图；

图3是本发明实施例提供的一种DDoS攻击防护方法的流程示意图；

图4是本发明实施例提供的一种DDoS攻击检测和防护方法的应用场景图；

图5是本发明实施例提供的一种DDoS攻击检测和防护方法的流程示意图；

图6是本发明实施例提供的另一种DDoS攻击检测和防护方法的流程示意图；

图7是本发明实施例提供的一种DDoS攻击检测装置的结构示意图；

图8是本发明实施例提供的另一种DDoS攻击检测装置的结构示意图；

图9是本发明实施例提供的一种网络设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应理解，本发明实施例的技术方案可具体应用于软件定义网络SDN中，具体涉及针对SDN的DDoS攻击检测方案，从而能够提升DDoS攻击检测的准确性。

下面对软件定义网络SDN的具体架构进行说明。请参见图1，图1是本发明实施例提供的一种SDN系统架构图。具体的，如图1所示，该SDN中包括控制器、至少一个边界交换机以及内部交换机。其中，该至少一个边界交换机(图1中仅示出两个)确定该SDN中的边界网络。控制器和各交换机(包括边界交换机和内部交换机)之间通过控制链路(如图中虚线所示)进行通信，包括传输交换机产生的请求数据包，以及传输控制器和交换机之间的查询与应答信息等等。此外，该各交换机之间也可通过通信链路(如图中实线所示)进行通信，比如传输当前网络中的用户(包括攻击者)的数据流。

请参见图2，是本发明实施例的一种DDoS攻击检测方法的流程示意图，具体的，本发明实施例的所述方法可具体应用于软件定义网络SDN中，所述SDN包括控制器和至少一个边界交换机，如图2所示，本发明实施例的所述方法可以包括以下步骤：

S101：监听当前SDN中预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率。

需要说明的是，本发明实施例的所述方法可具体应用于网络设备如该SDN中的控制器或者其他独立设置的检测设备中，本发明实施例不做限定。

其中，所述第一请求消息为所述SDN中的目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流，如PacketIN数据流。该第一请求消息具体为该SDN中控制器和交换机之间的数据流。所述目标设备可以具体为该SDN中的控制器或者任一边界交换机，即本发明实施例能够实现对SDN网络中的控制器的DDoS攻击检测，也可以实现对该SDN中边界交换机的DDoS攻击检测，还可以实现同时对该SDN中的控制器和边界交换机的DDoS攻击进行检测。

具体的，所述第一窗口可以是指时间窗或数量窗，也即，该当前请求速率是根据当前某一时间窗内的第一请求消息计算出的，或者根据当前某一数量窗口内的第一请求消息计算出的。

可选的，所述目标设备可以为所述至少一个边界交换机中的目标边界交换机；则所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，可以具体为：监听预设的第一窗口内所述目标边界交换机发送的第一请求消息；计算所述第一请求消息的请求速率，并将计算出的所述请求速率作为所述目标边界交换机针对所述第一请求消息的当前请求速率。也就是说，在对边界交换机进行DDoS攻击检测时，可通过监听该SDN网络中该目标边界交换机的在当前时间窗或数量窗内发送给控制器的第一请求消息，如PacketIN消息，来计算得到该目标边界交换机在该时间窗或数量窗对该第一请求消息的请求速率即当前请求速率。其中，该目标边界交换机可以是该SDN中的任一边界交换机。

可选的，所述目标设备还可以为该SDN网络中的控制器；则所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，可以具体为：监听预设的第一窗口内所述SDN中每一个边界交换机发送的第一请求消息；分别统计得到所述第一窗口内每一个边界交换机发送的第一请求消息的请求速率；根据每一个边界交换机的请求速率统计得到所述第一窗口内所述SDN中所有边界交换机所确定的边界网络的当前请求速率，并将所述边界网络的当前请求速率作为所述控制器对应的当前请求速率。也就是说，在对控制器进行DDoS攻击检测时，可通过监听该SDN网络中该每一个边界交换机的在当前时间窗或数量窗内向控制器发送的第一请求消息，如PacketIN消息，分别计算得到该每一个边界交换机在该时间窗或数量窗对该第一请求消息的请求速率，并根据每一个边界交换机的请求速率，比如将每一个边界交换机的请求速率的和作为该边界交换机对应的边界网络的当前请求速率，从而计算机到控制对应的当前请求速率(即该边界网络的当前请求速率)。

S102：以所述当前请求速率为依据，判断所述目标设备是否处于异常状态。

具体实施例中，可通过检测该目标设备的当前请求速率是否满足预设规则，来判断该目标设备是否处于异常状态。

可选的，所述以所述当前请求速率为依据，判断所述目标设备是否处于异常状态，可以具体为：判断所述当前请求速率是否高于预置的与所述目标设备对应的第一阈值；若高于所述第一阈值，则确定所述目标设备处于异常状态。其中，所述第一阈值可以是根据预设的第二窗口内的第一请求消息的请求速率确定出的。该第二窗口也可以是指时间窗或数量窗，即可通过监听一定时间窗或数量窗内的第一请求消息，并计算得到该窗口内第一请求消息对应的历史请求速率，从而根据该历史请求速率确定出该第一阈值。进一步的，该目标设备可为边界交换机或控制器，该边界交换机对应的第一阈值为根据监听到的该边界交换机在第二窗口内的第一请求消息而计算出的历史请求速率确定出的，该控制器对应的第一阈值则为根据监听到的该SDN中每一个边界交换机在第二窗口内的第一请求消息而计算出的边界网络的历史请求速率确定出的。

进一步可选的，还可预先设置为连续多次统计到第一窗口对应的当前请求速率均高于该第一阈值时，再确定该目标设备处于异常状态。具体的，可统计第一窗口对应的当前请求速率，并判断该当前请求速率是否高于预置的与所述目标设备对应的第一阈值；若高于所述第一阈值，则继续监听该第一窗口内的第一请求消息，统计该第一窗口对应的新的当前请求速率，并判断该新的当前请求速率是否高于该第一阈值；重复执行该监听该第一窗口内的第一请求消息，统计该第一窗口对应的新的当前请求速率的步骤，直至连续m次判断得到该当前请求速率高于该第一阈值，则可确定该目标设备处于异常状态。

S103：若所述目标设备处于异常状态，则查询所述目标设备对应的流表匹配信息。

具体的，所述目标设备对应的流表匹配信息可包括根据所述第一窗口内监听到的该目标设备对应的第一请求消息生成的流表匹配信息，还可以进一步包括该第一窗口前就已经存在于该目标设备对应的边界交换机内的流表匹配信息，具体可以为当前一定时间窗或数量窗的流表匹配信息。该流表匹配信息中可包括秒级持续时间duration_sec和匹配包数packet_count等字段信息。

S104：以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。

具体实施例中，所述查询所述目标设备对应的流表匹配信息，可以具体为：向所述目标设备对应的边界交换机发送流表信息查询指令；接收所述目标设备对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息。进一步的，所述以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击，可以具体为：以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率；判断所述当前流表匹配效率是否超过预置的与所述目标设备对应的第二阈值；若不超过所述第二阈值，则确定所述目标设备受到DDoS攻击。

其中，所述第二阈值是根据预设的第三窗口内的流表匹配信息统计得到的流表匹配效率而确定出的。该第三窗口也可以是指时间窗口或数量窗口，即可根据一定时间窗或数量窗内的流表匹配信息确定出该第二阈值。进一步的，该目标设备可为边界交换机或控制器，该边界交换机对应的第二阈值为根据该边界交换机在第三窗口内的流表匹配信息而计算出的流表匹配效率确定出的，该控制器对应的第二阈值则为根据该SDN中每一个边界交换机在第三窗口内的流表匹配信息而计算出的边界网络的流表匹配效率确定出的。

可选的，所述目标设备可以为所述至少一个边界交换机中的目标边界交换机；所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率，可以具体为：根据所述目标边界交换机返回的流表匹配信息，计算所述流表匹配信息对应的流表匹配效率，并将计算出的所述流表匹配效率作为所述目标边界交换机的当前流表匹配效率。

可选的，所述目标设备还可以为所述控制器，所述目标设备对应的边界交换机包括所述SDN中的所有边界交换机；则所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率，可以具体为：根据所述SDN中每一个边界交换机返回的流表匹配信息，分别计算每一个边界交换机返回的流表匹配信息对应的流表匹配效率；计算得到所述每一个边界交换机对应的流表匹配效率的平均值，并将所述平均值作为所述控制器对应的当前流表匹配效率。

进一步可选的，所述流表匹配信息包括秒级持续时间和匹配包数；则计算流表匹配信息对应的流表匹配效率，可以具体为：将所述匹配包数与所述秒级持续时间的商值作为所述流表匹配信息对应的流表匹配效率。

进一步的，还可根据目标设备对应的边界交换机的历史流表请求速率设置得到该第二阈值。具体的，可监听所述目标设备对应的边界交换机的第二请求消息，所述第二请求消息是根据预设的第三窗口内的流表匹配信息生成的；以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率；根据所述目标设备对应的历史流表匹配效率，确定出所述目标设备对应的第二阈值。具体的，所述第二请求消息可包括原因信息、秒级持续时间和匹配包数；所述以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率，可以具体为：解析所述原因信息；若所述原因信息包括闲置超时信息，则将所述匹配包数与目标差值的商值作为所述目标设备对应的历史流表匹配效率，所述目标差值是所述秒级持续时间与所述闲置超时信息对应的闲置时间的差值；若所述原因信息包括硬性超时信息，则将所述匹配包数与所述秒级持续时间的商值作为所述目标设备对应的历史流表匹配效率。

具体实施例中，若判断结果为该目标设备没有受到DDoS攻击，则控制器可进行常规的负载均衡优化。若判断结果为该目标设备受到DDoS攻击，则可按照预设的防护规则进一步对该DDoS攻击进行防护。

在本发明实施例中，可通过监听到的第一请求消息计算得到SDN网络中目标设备对应的当前请求速率，并根据该当前请求速率判断该目标设备是否处于异常状态，从而在该目标设备处于异常状态时，通过进一步查询当前流表匹配信息，实现确定该目标设备是否遭受DDoS攻击。本发明实施例的DDoS攻击检测方法无需依赖正常数据流和攻击数据流的随机性，从而提升了DDoS攻击检测的准确性，而且，本发明实施例的DDoS攻击检测方法能够检测交换机及控制器的DDoS攻击，解决了现有技术中无法检测交换机是否受到DDoS攻击的问题。

进一步的，在检测到当前SDN受到DDoS攻击，如SDN中的控制器或交换机受到DDoS攻击之后，则可按照预先配置的防护规则对该DDoS攻击进行防护。具体的，请参见图3，是本发明实施例的提供的一种DDoS攻击防护方法的流程示意图，如图3所示，本发明实施例的所述防护方法包括以下步骤：

S201：若确定目标设备受到DDoS攻击，则从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口。

其中，每个边界交换机包括至少一个物理端口，所述目标物理端口为所述至少一个物理端口中所述第一窗口内所述第一请求消息对应的数据流密度最大的物理端口，也即该第一窗口内单位时间第一请求消息请求数量最多的物理端口。

可选的，所述目标设备可以为所述至少一个边界交换机中的目标边界交换机，即检测到该SDN网络中受到DDoS攻击的设备为边界交换机时，则所述从目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，可以具体为：以所述第一请求消息为依据，将所述目标边界交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。

可选的，所述目标设备还可以为所述SDN中的控制器，即检测到该SDN 网络中受到DDoS攻击的设备为控制器时，所述从目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，可以具体为：获取所述SDN中每一个边界交换机的当前流表匹配效率，并将所述当前流表匹配效率低于所述SDN对应的边界网络的当前流表匹配效率的边界交换机作为目标交换机，所述SDN对应的边界网络是由所述SDN中所述至少一个边界交换机所确定出的；以所述目标交换机对应的第一请求消息为依据，将所述目标交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。

S202：对所述目标物理端口传输的目标数据流进行标记。

其中，所述目标数据流可以具体为所述软件定义网络SDN中交换机与交换机之间的数据流，即该SDN网络中用户(包括攻击者)的数据流。

可选的，所述对所述目标物理端口的目标数据流进行标记，可以具体为：在所述目标物理端口的目标数据流对应的数据包空闲字段填写所述目标设备对应的边界交换机的硬件地址哈希Hash值；或者，采用通用封装技术对所述目标物理端口的目标数据流进行数据包封装。此外，还可将该标记的目标数据流的优先级设置为最高，以便于及时的将该目标数据流重定向至与目标设备绑定的数据过滤设备。

S203：将所述标记后的目标数据流重定向至预先与所述目标设备对应的边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。

具体实施例中，可分别获取所述SDN中的边界交换机和数据过滤设备的地址信息；获取所述SDN的拓扑结构信息；根据所述拓扑结构信息为所述边界交换机确定至少一个数据过滤设备，并将确定出的数据过滤设备的地址信息与所述边界交换机的地址信息绑定。具体的，可为每一个边界交换机绑定至少一个数据过滤设备，比如根据该SDN网络的拓扑结构和/或各个数据过滤设备的负载情况为该每一个边界交换机绑定数据过滤设备，用于当目标设备受到DDoS攻击时对该目标设备对应的边界交换机重定向的数据流进行处理，从而实现DDoS攻击防护。

进一步的，若在预设的一定时间窗(或数量窗)之后，该目标设备仍然处于DDoS攻击状态，则可根据新接收到的第一请求消息和流表匹配信息，确定出该目标设备对应的边界交换机中的多个物理端口中除上一次确定的目标物理端口以外的该第一请求消息对应的数据流密度最大的物理端口作为新的目标物理端口，并对该新的目标物理端口的目标数据流进行标记后重定向至该绑定的数据过滤设备。以此类推，从而实现将攻击较集中的端口数据流逐步重定向至数据过滤设备，以实现DDoS攻击的防护。

当遭到DDoS攻击的目标设备在进行此次重定向防护后恢复正常状态，不再处于异常状态，则可停止攻击数据流密度最大的目标物理端口的数据流标记和重定向处理。

在本发明实施例中，可在检测到SDN网络中的目标设备如交换机或者控制器受到DDoS攻击时，通过确定出该目标设备对应的边界交换机中受到DDoS攻击的数据流密度最大的目标物理端口，并对该目标物理端口的目标数据流进行标记后重定向至该绑定的数据过滤设备，来实现对该目标设备的DDoS攻击的防护。相对于现有技术中配置多个控制器，在当前使用的控制器的数据处理量超过预设数据量阈值时，再启用其他的空闲控制器，并利用数据包报头分析的方法对超过阈值控制器收到的数据包进行攻击特征的提取，从而采取下发流表在交换机端丢弃、拦截、阻断数据流的防护方式，本发明实施例的技术方案能够通过将攻击较集中的数据流重定向至绑定的数据过滤设备，不仅能够对该目标设备的DDoS攻击进行有效防护，还解决了上述现有技术的防护方法中易造成正常数据流误伤以及流表空间溢出的问题。

请参见图4，是本发明实施例提供的一种DDoS攻击检测和防护的应用场景图。具体的，如图4所示，本发明实施例的SDN中包括控制器、边界交换机X、边界交换机Y、内部交换机以及分别与边界交换机X和Y绑定的数据过滤设备(这里假设该边界交换机X和Y绑定同一个数据过滤设备，图4中仅示出了边界交换机X与该数据过滤设备的连接关系)，其中，该边界交换机X和Y确定该SDN对应的边界网络。该控制器和各交换机(包括边界交换机和内部交换机)之间通过控制链路(如图中虚线所示)进行通信，包括传输交换机产生的请求数据包，以及传输控制器和交换机之间的查询与应答信息等等。该各交换机之间可通过通信链路(如图中实线所示)进行通信，比如传输当前网络中的用户(包括攻击者)的数据流。以下分别以目标设备为交换机和控制器为例，对本发明实施例的DDoS攻击检测和防护方法进行详细说明。

结合图4，并一并参见图5，是本发明实施例提供的一种DDoS攻击检测和防护方法的流程示意图，在本发明实施例中，该目标设备为SDN网络中的边界交换机，即需要对某一边界交换机(以下称为目标边界交换机)进行DDoS攻击检测和防护时，如图5所示，本发明实施例的DDoS攻击检测和防护方法包括：

S301：预置目标边界交换机对应的第一阈值和第二阈值。

具体实施例中，可通过监听一段时间如一周内该目标边界交换机(该目标边界交换机为SDN中的任一边界交换机，即既可以为边界交换机X，也可以为边界交换机Y，还可同时监听该边界交换机X和Y，本发明实施例以将边界交换机X作为目标边界交换机，对边界交换机X进行监听为例进行说明)发送给控制器的第一请求消息如PacketIN消息，用以计算该目标边界交换机对该PacketIN消息的历史请求速率，从而根据该历史请求速率为该目标边界交换机设置第一阈值。由于边界交换机和内部交换机都会产生源地址为自身地址的PacketIN消息，即边界交换机X只会产生源地址为自身地址的PacketIN消息，而不会产生源地址为内网交换机的地址的PacketIN消息。因此，当控制器收到PacketIN请求消息时，可通过判断该PacketIN的源地址是否为边界交换机X的地址来进行统计。具体的，当控制器监听PacketIN消息的源地址为内网交换机的地址时，则不作统计处理；当监听到的PacketIN消息的源地址为该边界交换机X的地址时，则进行统计，记录该消息的源地址、到达时间和到达数量。根据记录的该边界交换机X的PacketIN消息，可选取一个或多个预设窗口如数量窗N(第二窗口)，例如N＝100，计算每收到100个PacketIN消息时该边界交换机X的请求速率即历史请求速率(N/t，该t为该数量窗对应的时间，即收到该N个PacketIN消息的时间，不同窗口的t值一般不同)。也就是说，该统计的用于计算请求速率的PacketIN消息为该目标边界交换机发送给控制器的、且源地址为该目标边界交换机的PacketIN消息。进一步的，可根据一段时间内计算得到的该边界交换机X的多个历史请求速率，并结合其硬件条件、业务特点等实际情况，来为该边界交换机X设置得到用于确定该边界交换机X是否处于异常状态对应的第一阈值。

此外，还可通过预设的第三窗口内的流表匹配信息统计得到的流表匹配效率确定出该第二阈值，比如通过监听一段时间如一周内由该边界交换机X发送给控制器的FlowRemoved流表删除消息(第二请求消息)，用以计算该目标边界交换机的历史流表匹配效率，从而根据该历史流表匹配效率为该目标边界交换机设置用于确定该目标边界交换机是否处于DDoS攻击状态的第二阈值。其中，该FlowRemoved消息是根据该边界交换机X对应的流表匹配信息生成的，具体为该边界交换机X删除其内部某条数据流表时对应产生的消息。具体的，当监听到的FlowRemoved消息的源地址为内网交换机的地址时，则不提取记录该消息内容；当监听到的FlowRemoved消息的源地址为该边界交换机X的地址时，则提取该消息中的原因reason、秒级持续时间duration_sec和匹配包数packet_count字段内的信息。若原因reason字段内的信息为闲置超时IDLE_TIMEOUT，则该数据流的历史流表匹配效率的计算方法可为，流表匹配效率＝匹配包数packet_count÷(秒级持续时间duration_sec-闲置时间idle time)；若原因reason字段内的信息为硬性超时HARD_TIMEOUT或删除DELETE，则该数据流的流表匹配效率的计算方法可为，流表匹配效率＝匹配包数packet_count÷秒级持续时间duration_sec。根据该边界交换机X在预设窗口如预设数量窗N(第三窗口)内的多个历史流表匹配效率，统计处理得到该边界交换机X的历史流表匹配效率分布，并结合其安全风险、业务特点等实际情况，则可为该边界交换机X设置得到该第二阈值。

S302：监听预设的第一窗口内所述目标边界交换机发送的第一请求消息。

S303：计算所述第一请求消息的请求速率，并将计算出的所述请求速率作为所述目标边界交换机针对所述第一请求消息的当前请求速率。

具体实施例中，可实时监听该边界交换机X发送给控制器的PacketIN消息即第一请求消息，记录该消息的源地址、到达时间和到达数量。确定预设的第一窗口如数量窗口N，比如N＝100，即可在控制器每接收到100个到来自于该边界交换机X的PacketIN消息时，计算一次该边界交换机X的请求速率即当前请求速率。

S304：判断所述当前请求速率是否高于所述第一阈值。

S305：若高于所述第一阈值，则确定所述目标边界交换机处于异常状态。

具体实施例中，可在该边界交换机X的当前请求速率连续m次高于该第一阈值时将该边界交换机X的状态确定为异常状态，其中，m为大于0的整数。具体的，可将该边界交换机X的当前请求速率与该边界交换机X对应的第一阈值进行比较，若该目标边界交换机的当前请求速率高于(或等于)该第一阈值，该边界交换机X对应的计数器加一，若该边界交换机X低于该第一阈值，则将该计数器清零。当检测到该边界交换机X对应的计数器累计到m时，则可确定该目标边界交换机处于异常状态。

S306：向所述目标边界交换机发送流表信息查询指令。

S307：接收所述目标边界交换机响应所述流表信息查询指令返回的流表匹配信息，并计算所述目标边界交换机对应的当前流表匹配效率。

具体实施例中，当检测到该边界交换机X处于异常状态时，为了进一步确定该异常是由突发大业务量导致，还是由DDoS攻击导致，控制器可向处于异常状态的边界交换机X发送流表信息查询指令(该指令为OpenFlow协议规定的标准信令)，用于查询其内部流表当前的匹配信息即边界交换机X对应的流表匹配信息，包括秒级持续时间duration_sec和匹配包数packet_count信息等。以确定该异常是否由攻击导致。

根据查询结果，则可计算得到当前处于异常状态的该边界交换机X的当前流表匹配效率，如：当前流表匹配效率＝匹配包数packet_count÷秒级持续时间duration_sec。

S308：判断所述当前流表匹配效率是否超过所述第二阈值。

S309：若不超过所述第二阈值，则确定所述目标边界交换机受到DDoS攻击。

具体实施例中，可将计算出的该边界交换机X的当前流表匹配效率和该边界交换机X对应的第二阈值进行比较，若该当前流表匹配效率高于该第二阈值，则可表明该边界交换机X未遭到DDoS攻击，该异常可能由突发大业务量导致；若该当流表匹配效率低于或等于该第二阈值，则可表明该边界交换机X遭到DDoS攻击。

当确定该边界交换机X遭到DDoS攻击时，则可根据攻击相关检测信息，包括该m个窗口N内的PacketIN统计消息、流表匹配信息等，进一步实现DDoS攻击的防护；若未遭到DDoS攻击，则该控制器可进行常规的复杂均衡等优化。

S310：以所述第一请求消息为依据，将所述目标边界交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。

其中，该目标边界交换机包括至少一个物理端口。如图4所示，假设该目标边界交换机即边界交换机X包括A、B、C和D四个物理端口。具体的，当确定该边界交换机X遭到DDoS攻击时，则可根据产生该异常告警的m个窗口N内的PacketIN统计消息，确定出该四个物理端口中PacketIN消息所占比例最大的物理端口即目标物理端口，比如为端口D。

S311：对所述目标物理端口的目标数据流进行标记。

具体实施例中，当确定出攻击数据流密度最大的目标物理端口如上述的端口D之后，控制器即可下发重定向流表指令到该边界交换机X，该流表指令对应的匹配域规则为所有由端口D进入的目标数据流(具体可以是交换机与交换机之间的数据流)的优先级为最高级，动作为对由端口D进入的数据流进行统一标记，例如在数据包空闲字段填写该边界交换机X的硬件地址哈希Hash值或采用通用封装技术进行数据包封装。此外，还可下发流表指令到该边界交换机X和与其绑定的数据过滤设备之间的交换机(若没有中间交换机则不发送该流表指令)，其流表指令对应的匹配域规则为所有空闲字段为该边界交换机X的硬件地址Hash值或采用通用封装技术的数据包，优先级为最高级，动作为转发到该绑定的数据过滤设备。

S312：将所述标记后的目标数据流重定向至预先与所述目标边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。

具体的，在进行边界交换机X与数据过滤设备的绑定时，可根据网络部署记录或拓扑分析，获取该边界交换机X和数据过滤设备的地址信息，例如设备的硬件地址和IP地址。此外，根据该边界交换机X和数据过滤设备之间的拓扑关系，通过最短路径或负载均衡等方法，计算该边界交换机X和数据过滤设备之间的信息交互代价，选择出信息交互代价较小(如与该边界交换机X之间路径最短、中间节点最少和/或负载较轻)的至少一个数据过滤设备，并将该选择出的数据过滤设备的地址信息与该边界交换机X进行绑定。

进一步的，可保持实时监听该目标边界交换机的攻击相关检测信息(包括PacketIN统计消息、流表匹配信息等)，并根据该攻击相关检测信息确定该边界交换机X是否仍在遭受DDoS攻击。若仍遭受DDoS攻击，则可根据新的攻击相关检测信息，确定出该边界交换机X的四个物理端口中除端口D之外当前攻击数据流最为密集的物理端口，比如为端口C，并将该端口C的目标数据流重定向至该绑定的数据过滤设备。若不再受到DDoS攻击，如在进行此次重定向防护后该边界交换机X不再处于异常状态，则可停止数据流标记和重定向处理，具体可按照预设时间间隔依次删除该边界交换机X上的重定向流表指令，或者还可根据数据过滤设备进行处理后的检测结果决定是否删除该边界交换机X上的重定向流表指令。

在本发明实施例中，可通过监听到的第一请求消息计算得到SDN网络中的交换机的当前请求速率，并根据该当前请求速率判断该交换机是否处于异常状态，从而在该交换机处于异常状态时，通过进一步查询当前流表匹配信息，实现检测该交换机是否遭受DDoS攻击，而无需依赖正常数据流和攻击数据流的随机性，从而提升了DDoS攻击检测的准确性。此外，本发明实施例还解决了现有技术中无法检测交换机是否受到DDoS攻击的问题。进一步的，本发明实施例还可在检测到SDN网络中的某一交换机受到DDoS攻击时，通过确定出该交换机中受到DDoS攻击的数据流密度最大的目标物理端口，并对该目标物理端口的目标数据流进行标记后重定向至与该交换机绑定的数据过滤设备，来实现对该交换机的DDoS攻击的有效防护，并解决了现有的DDoS攻击防护中造成的正常数据流误伤以及流表空间溢出的问题。

请参见图6，是本发明实施例提供的另一种DDoS攻击检测和防护方法的流程示意图，在本发明实施例中，该目标设备为SDN网络中的控制器，即需要对控制器进行DDoS攻击检测和防护时，如图6所示，本发明实施例的DDoS 攻击检测和防护方法包括：

S401：预置控制器对应的第一阈值和第二阈值。

具体实施例中，可通过监听该SDN网络中每一个边界交换机发送给控制器的第一请求消息如PacketIN消息，用以计算该控制器对应的历史请求速率，从而根据该历史请求速率为该控制器设置第一阈值。具体的，如图4所示，可根据每一个边界交换机(包括交换机X和Y)在预设窗口如预设数量窗N(第二窗口)发送的PacketIN消息分别统计得到交换机X和Y的历史请求速率分布，将所有边界交换机即交换机X和Y的历史请求速率分布作求和处理，从而得到交换机X和Y确定的边界网络的历史请求速率分布，则可将该边界网络的历史请求速率作为该控制器对应的历史请求速率。其中，该边界交换机的历史请求速率的计算方法可参照上述实施例的相关描述，此处不再赘述。进一步的，可根据该边界网络的历史请求速率分布，结合控制器的硬件条件、网络业务特点等实际情况，来为该控制器设置得到用于确定该控制器是否处于异常状态对应的第一阈值。

此外，还可通过监听由该每一个边界交换机发送给控制器的FlowRemoved消息(第二请求消息)，用以计算每一个边界交换机的历史流表匹配效率，从而根据该历史流表匹配效率为该控制器设置用于确定该控制器是否处于DDoS攻击状态的第二阈值。具体的，根据每一个边界交换机的历史流表匹配效率信息，则可统计得到每一个边界交换机的历史流表匹配效率分布，将所有边界交换机的历史匹配效率分布作平均处理，即可得到边界网络的历史流表匹配效率分布。根据边界网络的历史流表匹配效率分布，结合控制器的安全风险、业务特点等实际情况，则可为该控制器设置得到该第二阈值。其中，该边界交换机的历史流表匹配效率的计算方法可参照上述实施例的相关描述，此处不再赘述。

S402：监听预设的第一窗口内当前SDN中每一个边界交换机发送的第一请求消息。

S403：分别统计得到所述第一窗口内每一个边界交换机发送的第一请求消息的请求速率。

S404：根据每一个边界交换机的请求速率统计得到所述第一窗口内所述 SDN中所有边界交换机所确定的边界网络的当前请求速率，并将所述边界网络的当前请求速率作为所述控制器针对所述第一请求消息的当前请求速率。

具体实施例中，可实时监听该每一个边界交换机发送给控制器的PacketIN消息即第一请求消息，记录该消息的源地址、到达时间和到达数量。确定预设的第一窗口如数量窗口N，则可在控制器每接收N个到来自于该SDN中的边界交换机的PacketIN消息，即在所有边界交换机发送的PacketIN消息的和为N时，计算一次该控制器对应的当前请求速率(也即边界网络的当前请求速率)。

S405：判断所述当前请求速率是否高于所述第一阈值。

S406：若高于所述第一阈值，则确定所述控制器处于异常状态。

具体实施例中，可在该控制器对应的当前请求速率连续m次高于该控制器对应的第一阈值时将该控制器的状态确定为异常状态，其中，m为大于0的整数。具体的，可将该控制器对应的当前请求速率与该控制器对应的第一阈值进行比较，若该控制器的当前请求速率高于(或等于)该第一阈值，该控制器对应的计数器加一，若该控制器低于该第一阈值，则将该计数器清零。当检测到该控制器对应的计数器累计到m时，则可确定该控制器处于异常状态。

S407：向所述控制器对应的边界交换机发送流表信息查询指令。

S408：接收所述控制器对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息，并计算所述控制器对应的当前流表匹配效率。

其中，该控制器对应的边界交换机为该SDN中的所有边界交换机。

具体实施例中，若检测到该控制器处于异常状态，则控制器可向该SDN中的每一个边界交换机(包括边界交换机X和Y)发送流表信息查询指令，用于查询其内部流表当前的匹配信息即该控制器对应的流表匹配信息，包括秒级持续时间duration_sec和匹配包数packet_count信息等，并根据查询结果计算得到该每一个边界交换机的当前流表匹配效率，如：当前流表匹配效率＝匹配包数packet_count÷秒级持续时间duration_sec。并对该每一个边界交换机的当前流表匹配效率进行平均处理，得到处于异常状态的边界网络的当前流表匹配效率，则可将该边界网络的当前流表匹配效率作为该控制器对应的当前流表匹配效率。

S409：判断所述当前流表匹配效率是否超过所述第二阈值。

S410：若不超过所述第二阈值，则确定所述控制器受到DDoS攻击。

具体实施例中，可将计算出的该控制器对应的当前流表匹配效率和该控制器对应的第二阈值进行比较，若该控制器对应的当前流表匹配效率高于该第二阈值，则可表明该控制器未遭到DDoS攻击；若该当流表匹配效率低于或等于该第二阈值，则可表明该控制器遭到DDoS攻击。

当确定该控制器遭到DDoS攻击时，则可根据攻击相关检测信息，包括该m个窗口N内的PacketIN统计消息、流表匹配信息等，进一步实现DDoS攻击的防护；若未遭到DDoS攻击，则该控制器可进行常规的复杂均衡等优化。

S411：获取所述SDN中每一个边界交换机的当前流表匹配效率，并将所述当前流表匹配效率低于所述边界网络的当前流表匹配效率的边界交换机作为目标交换机。

S412：以所述目标交换机对应的第一请求消息为依据，将所述目标交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。

其中，该目标交换机包括至少一个物理端口。具体的，当确定该控制器遭到DDoS攻击时，则可确定得到当前流表匹配效率低于边界网络的当前流表匹配效率(即控制器对应的当前流表匹配效率)的边界交换机即目标交换机，假设该确定出的流表匹配效率较低的目标交换机为边界交换机X，则可根据产生该异常告警的m个窗口N内的PacketIN统计消息，确定出该边界交换机X的各个物理端口中PacketIN消息所占比例最大的物理端口即目标物理端口。如图4所示，假设该边界交换机X包括A、B、C和D四个物理端口，且该确定出的目标物理端口为端口D。

S413：对所述目标物理端口的目标数据流进行标记。

具体实施例中，当确定出攻击数据流密度最大的目标物理端口如上述的端口D之后，控制器即可下发重定向流表指令到该目标交换机即边界交换机X，该流表指令对应的匹配域规则为所有由端口D进入的目标数据流(具体可以是交换机与交换机之间的数据流)的优先级为最高级，动作为对由端口D进入的数据流进行统一标记，例如在数据包空闲字段填写该边界交换机X的硬件地址哈希Hash值或采用通用封装技术进行数据包封装。此外，还可下发流表指令到该目标交换机和与其绑定的数据过滤设备之间的交换机，其流表指令对应的匹配域规则为所有空闲字段为该目标交换机的硬件地址Hash值或采用通用封装技术的数据包，优先级为最高级，动作为转发到该绑定的数据过滤设备。

S414：将所述标记后的目标数据流重定向至预先与所述目标交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。

具体的，该目标交换机和数据过滤设备的绑定方式可参照上述实施例中的相关描述，此处不再赘述。

进一步的，可保持实时监听每一个边界交换机的攻击相关检测信息(包括PacketIN统计消息、流表匹配信息等)，并根据该攻击相关检测信息确定该控制器是否仍在遭受DDoS攻击。若仍遭受DDoS攻击，则可根据新的攻击相关检测信息，确定出该流表匹配效率低于边界网络的流表匹配效率的目标交换机如边界交换机X的四个物理端口中除上一次数据流密度最大的端口D之外当前攻击数据流最为密集的物理端口，比如为端口C，并将该端口C的目标数据流重定向至该绑定的数据过滤设备。若不再受到DDoS攻击，如在进行此次重定向防护后该控制器不再处于异常状态，则可停止数据流标记和重定向处理，具体可按照预设时间间隔依次删除该边界交换机X上的重定向流表指令，或者还可根据数据过滤设备进行处理后的检测结果决定是否删除该边界交换机X上的重定向流表指令。

需要说明的是，在该SDN网络中，可预先为每一个边界交换机和控制器分别预置得到其对应的第一阈值和第二阈值，从而可同时对该每一个边界交换机和控制器进行DDoS攻击检测和防护，此处不再赘述。

在本发明实施例中，可通过监听到的第一请求消息计算得到SDN网络中控制器对应的当前请求速率，并根据该当前请求速率判断该控制器是否处于异常状态，从而在该控制器处于异常状态时，通过进一步查询当前流表匹配信息，实现检测该控制器是否遭受DDoS攻击，而无需依赖正常数据流和攻击数据流的随机性，从而提升了DDoS攻击检测的准确性。进一步的，本发明实施例还可在检测到SDN网络中的控制器受到DDoS攻击时，通过确定出该流表匹配效率较低的目标交换机中受到DDoS攻击的数据流密度最大的目标物理端口，并对该目标物理端口的目标数据流进行标记后重定向至与该目标交换机绑定的数据过滤设备，来实现对该控制器的DDoS攻击的有效防护，并解决了现有的DDoS攻击防护中造成的正常数据流误伤以及流表空间溢出的问题。

请参见图7，是本发明实施例提供的一种DDoS攻击检测装置的结构示意图，所述装置可应用于软件定义网络SDN，所述SDN包括控制器和至少一个边界交换机。具体的，所述DDoS攻击检测装置包括计算模块11、异常判断模块12、查询模块13以及攻击确定模块14。其中，

所述计算模块11，用于监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流。

需要说明的是，本发明实施例的所述装置可具体设置于网络设备如该SDN中的控制器或其他独立设置的检测设备中，本发明实施例不做限定。

所述异常判断模块12，用于以所述当前请求速率为依据，判断所述目标设备是否处于异常状态。

具体实施例中，在计算模块11计算得到该目标设备对应的当前请求速率之后，异常判断模块12可通过检测该目标设备的当前请求速率是否满足预设规则，比如该当前请求速率是否超过某一预设的第一阈值，来判断该目标设备是否处于异常状态。

所述查询模块13，用于在所述异常判断模块12的判断结果为所述目标设备处于异常状态时，查询所述目标设备对应的流表匹配信息。

所述攻击确定模块14，用于以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。

具体实施例中，攻击确定模块14可通过检测该查询模块13获取的流表匹配信息是否满足预设的匹配规则，比如该流表匹配信息对应的流表匹配效率是否超过某一预设的第二阈值，来确定该目标设备是否受到DDoS攻击。

进一步的，若攻击确定模块14确定该目标设备没有受到DDoS攻击，则该控制器可进行常规的负载均衡优化。若攻击确定模块14确定该目标设备受到DDoS攻击，则可按照预设的防护规则进一步对该DDoS攻击进行防护。

进一步的，请参见图8，是本发明实施例提供的另一种DDoS攻击检测装置的结构示意图，具体的，本发明实施例的所述装置包括上述的DDoS攻击检测装置的计算模块11、异常判断模块12、查询模块13以及攻击确定模块14。进一步的，在本发明实施例中，所述装置还可包括：

端口确定模块15，用于在确定所述目标设备受到DDoS攻击时，从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，所述目标物理端口为所述至少一个物理端口中所述第一窗口内所述第一请求消息对应的数据流密度最大的物理端口。

标记模块16，用于对所述目标物理端口传输的目标数据流进行标记。

重定向模块17，用于将所述标记后的目标数据流重定向至预先与所述目标设备对应的边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。

进一步的，在可选的实施例中，所述目标设备可以为所述至少一个边界交换机中的目标边界交换机；则所述计算模块11可包括(图中未示出)：

第一监听单元111，用于监听预设的第一窗口内所述目标边界交换机发送的第一请求消息；

第一计算单元112，用于计算所述第一请求消息的请求速率，并将计算出的所述请求速率作为所述目标边界交换机针对所述第一请求消息的当前请求速率。

具体实施例中，第一监听单元111可实时监听该目标边界交换机发送给控制器的第一请求消息如PacketIN消息，并记录该消息的源地址、到达时间和到达数量。则第一计算单元112可在第一监听单元11监听到预设的第一窗口如数量窗口N个到来自于该目标边界交换机的PacketIN消息时，计算一次该目标边界交换机的请求速率即当前请求速率。

进一步的，在可选的实施例中，所述目标设备还可以为所述控制器；则所述计算模块11可包括(图中未示出)：

第二监听单元113，用于监听预设的第一窗口内所述SDN中每一个边界交换机发送的第一请求消息；

第二计算单元114，用于分别统计得到所述第一窗口内每一个边界交换机发送的第一请求消息的请求速率；

所述第二计算单元115，还用于根据每一个边界交换机的请求速率统计得到所述第一窗口内所述SDN中所有边界交换机所确定的边界网络的当前请求速率，并将所述边界网络的当前请求速率作为所述控制器针对所述第一请求消息的当前请求速率。

具体实施例中，第二监听单元113可实时监听该SDN中的每一个边界交换机发送给控制器的PacketIN消息即第一请求消息，记录该消息的源地址、到达时间和到达数量。第二计算单元114可在第二监听单元113每监听到预设的第一窗口如数量窗口N个到来自于该SDN中的边界交换机的PacketIN消息时，即在所有边界交换机发送的PacketIN消息的数量和为N时，计算每个边界交换机对该PacketIN消息的请求速率，并将每个边界交换机的请求速率的和作为该控制器对应的当前请求速率(也即边界网络的当前请求速率)。

进一步的，所述异常判断模块12可具体包括(图中未示出)：

第一判断单元121，用于判断所述当前请求速率是否高于预置的与所述目标设备对应的第一阈值，其中，所述第一阈值是根据预设的第二窗口内的第一请求消息的请求速率确定出的；

第一确定单元122，用于在所述第一判断单元121的判断结果为高于所述第一阈值时，确定所述目标设备处于异常状态。

具体的，第一确定单元122可在该目标设备对应的当前请求速率连续m次高于该目标设备对应的第一阈值时将该目标设备的状态确定为异常状态，其中，m为大于0的整数。

进一步的，所述查询模块13可具体包括(图中未示出)：

指令发送单元131，用于在所述目标设备处于异常状态时，向所述目标设备对应的边界交换机发送流表信息查询指令；

信息接收单元132，用于接收所述目标设备对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息；

所述攻击确定模块14可具体包括(图中未示出)：

效率计算单元141，用于以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率；

第二判断单元142，用于判断所述当前流表匹配效率是否超过预置的与所述目标设备对应的第二阈值，其中，所述第二阈值是根据预设的第三窗口内的流表匹配信息统计得到的流表匹配效率而确定出的；

第二确定单元143，用于在所述第二判断单元142的判断结果为所述当前流表匹配效率不超过所述第二阈值时，确定所述目标设备受到DDoS攻击。

进一步的，在可选的实施例中，所述目标设备可以为所述至少一个边界交换机中的目标边界交换机；所述效率计算单元141可具体用于：

所述端口确定模块15可具体用于：

其中，该目标边界交换机包括至少一个物理端口。具体的，当攻击确定模块14确定该目标边界交换机遭到DDoS攻击时，则端口确定模块15可根据产生该异常告警的m个窗口N内的PacketIN统计消息，确定出该至少一个物理端口中PacketIN消息所占比例最大的物理端口作为目标物理端口。

进一步的，在可选的实施例中，所述目标设备还可以为所述控制器，所述目标设备对应的边界交换机包括所述SDN中的所有边界交换机；所述效率计算单元141还可具体用于：

所述端口确定模块15可具体用于：

其中，该目标交换机包括至少一个物理端口。具体的，当攻击确定模块14确定该控制器遭到DDoS攻击时，则端口确定模块15可确定得到当前流表匹配效率低于边界网络的当前流表匹配效率(即控制器对应的当前流表匹配效率)的边界交换机即目标交换机，并可根据产生该异常告警的m个窗口N内的PacketIN统计消息，确定出该目标交换机的各个物理端口中PacketIN消息所占比例最大的物理端口作为目标物理端口。

进一步可选的，所述标记模块16可具体用于：

进一步的，在可选的实施例中，所述装置还包括(图中未示出)：

效率确定模块18，用于监听所述目标设备对应的边界交换机的第二请求消息，并以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率，所述第二请求消息是根据预设的第三窗口内的流表匹配信息生成的；

阈值确定模块19，用于根据所述目标设备对应的历史流表匹配效率，确定出所述目标设备对应的第二阈值。

进一步可选的，所述第二请求消息包括原因信息、秒级持续时间和匹配包数；所述效率确定模块18可包括(图中未示出)：

解析单元181，用于解析所述原因信息；

第三确定单元182，用于在所述解析单元181解析结果为所述原因信息包括闲置超时信息时，将所述匹配包数与目标差值的商值作为所述目标设备对应的历史流表匹配效率，所述目标差值是所述秒级持续时间与所述闲置超时信息对应的闲置时间的差值；

所述第三确定单元182，还用于在所述解析单元181解析结果为所述原因信息包括硬性超时信息时，将所述匹配包数与所述秒级持续时间的商值作为所述目标设备对应的历史流表匹配效率。

进一步的，在可选的实施例中，所述装置还可包括(图中未示出)：

获取模块20，用于分别获取所述SDN中的边界交换机和数据过滤设备的地址信息；

所述获取模块20，还用于获取所述SDN的拓扑结构信息；

绑定确定模块21，用于根据所述拓扑结构信息为所述边界交换机确定至少一个数据过滤设备，并将确定出的数据过滤设备的地址信息与所述边界交换机的地址信息绑定。

具体的，在进行边界交换机与数据过滤设备的绑定时，获取模块20可根据网络部署记录或拓扑分析，获取该边界交换机和数据过滤设备的地址信息，例如设备的硬件地址和IP地址。此外，绑定确定模块21还可根据该边界交换机和数据过滤设备之间的拓扑关系，通过最短路径或负载均衡等方法，计算该边界交换机和数据过滤设备之间的信息交互代价，选择出信息交互代价较小(如与该边界交换机之间路径最短、中间节点最少和/或负载较轻)的至少一个数据过滤设备，并将该选择出的数据过滤设备的地址信息与该边界交换机X进行绑定。

在本发明实施例中，可通过监听到的第一请求消息计算得到SDN网络中目标设备对应的当前请求速率，并根据该当前请求速率判断该目标设备是否处于异常状态，从而在该目标设备处于异常状态时，通过进一步查询当前流表匹配信息，实现确定该目标设备是否遭受DDoS攻击。本发明实施例的DDoS攻击检测方法无需依赖正常数据流和攻击数据流的随机性，从而提升了DDoS攻击检测的准确性，而且，本发明实施例的DDoS攻击检测方法能够检测交换机及控制器的DDoS攻击，解决了现有技术中无法检测交换机是否受到DDoS攻击的问题。进一步的，当检测到SDN网络中的目标设备如交换机或者控制器受到DDoS攻击时，通过确定出该目标设备对应的边界交换机受到DDoS攻击的数据流密度最大的目标物理端口，并对该目标物理端口的目标数据流进行标记后重定向至该绑定的数据过滤设备，使得能够实现对该目标设备的DDoS攻击的防护。相对于现有技术中配置多个控制器，在当前使用的控制器的数据处理量超过预设数据量阈值时，再启用其他的空闲控制器，并利用数据包报头分析的方法对超过阈值控制器收到的数据包进行攻击特征的提取，从而采取下发流表在交换机端丢弃、拦截、阻断数据流的防护方式，本发明实施例的技术方案能够通过将攻击较集中的数据流重定向至绑定的数据过滤设备，不仅能够对该目标设备的DDoS攻击进行有效防护，还解决了上述现有技术的防护方法中易造成正常数据流误伤以及流表空间溢出的问题。

进一步的，请参见图9，是本发明实施例提供的一种网络设备的结构示意图，该网络设备可应用于软件定义网络SDN，所述SDN包括控制器和至少一个边界交换机。具体的，本发明实施例的所述网络设备包括：通信接口300、存储器200和处理器100，所述处理器100分别与所述通信接口300及所述存储器200连接。所述存储器200可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。所述通信接口300、存储器200以及处理器100之间可以通过总线进行数据连接，也可以通过其他方式数据连接。本实施例中以总线连接进行说明。其中，

所述存储器200用于存储驱动软件；

所述处理器100从所述存储器200读取所述驱动软件并在所述驱动软件的作用下执行：

通过所述通信接口300监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；

需要说明的是，本发明实施例的所述网络设备可以具体为该SDN中的控制器或者其他独立设置的检测设备。

进一步的，所述处理器100从所述存储器读取所述驱动软件并在所述驱动软件的作用下，还执行以下步骤：

通过所述通信接口300将所述标记后的目标数据流重定向至预先与所述目标设备对应的边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。

可选的，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述处理器100在执行所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率时，具体执行以下步骤：

可选的，所述目标设备为所述控制器；所述处理器100在执行所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率时，具体执行以下步骤：

进一步的，所述处理器100在执行所述以所述当前请求速率为依据，判断所述目标设备是否处于异常状态时，具体执行以下步骤：

若高于所述第一阈值，则确定所述目标设备处于异常状态。

进一步可选的，所述处理器100在执行所述查询所述目标设备对应的流表匹配信息时，具体执行以下步骤：

通过所述通信接口300向所述目标设备对应的边界交换机发送流表信息查询指令；

通过所述通信接口300接收所述目标设备对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息；

所述处理器100在执行所述以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击时，具体执行以下步骤：

若不超过所述第二阈值，则确定所述目标设备受到DDoS攻击。

可选的，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述处理器100在执行所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率时，具体执行以下步骤：

可选的，所述目标设备为所述控制器，所述目标设备对应的边界交换机包括所述SDN中的所有边界交换机；所述处理器100在执行所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率时，具体执行以下步骤：

进一步可选的，所述流表匹配信息包括秒级持续时间和匹配包数；所述处理器100在执行计算流表匹配信息对应的流表匹配效率时，具体执行以下步骤：

进一步的，所述处理器100还用于执行以下步骤：

进一步可选的，所述第二请求消息包括原因信息、秒级持续时间和匹配包数；所述处理器100在执行所述以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率时，具体执行以下步骤：

解析所述原因信息；

可选的，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述处理器100在执行所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口时，具体执行以下步骤：

可选的，所述目标设备为所述控制器；所述处理器100在执行所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口时，具体执行以下步骤：

进一步可选的，所述处理器100在执行所述对所述目标物理端口的目标数据流进行标记时，具体执行以下步骤：

通过所述通信接口300分别获取所述SDN中的边界交换机和数据过滤设备的地址信息；

获取所述SDN的拓扑结构信息；

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述该作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

一种分布式拒绝服务DDoS攻击检测方法，应用于软件定义网络SDN中，所述SDN包括控制器和至少一个边界交换机，其特征在于，包括：

监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；

以所述当前请求速率为依据，判断所述目标设备是否处于异常状态；

若所述目标设备处于异常状态，则查询所述目标设备对应的流表匹配信息；

以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。
根据权利要求1所述的方法，其特征在于，在所述方法还包括：

若确定所述目标设备受到DDoS攻击，则从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，所述目标物理端口为所述至少一个物理端口中所述第一窗口内所述第一请求消息对应的数据流密度最大的物理端口；

对所述目标物理端口传输的目标数据流进行标记，所述目标数据流为所述SDN中交换机与交换机之间的数据流；

将所述标记后的目标数据流重定向至预先与所述目标设备对应的边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。
根据权利要求1或2所述的方法，其特征在于，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，包括：

监听预设的第一窗口内所述目标边界交换机发送的第一请求消息；

计算所述第一请求消息的请求速率，并将计算出的所述请求速率作为所述目标边界交换机针对所述第一请求消息的当前请求速率。
根据权利要求1或2所述的方法，其特征在于，所述目标设备为所述控制器；所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，包括：

监听预设的第一窗口内所述SDN中每一个边界交换机发送的第一请求消息；

分别统计得到所述第一窗口内每一个边界交换机发送的第一请求消息的请求速率；

根据每一个边界交换机的请求速率统计得到所述第一窗口内所述SDN中所有边界交换机所确定的边界网络的当前请求速率，并将所述边界网络的当前请求速率作为所述控制器针对所述第一请求消息的当前请求速率。
根据权利要求1-4任一项所述的方法，其特征在于，所述以所述当前请求速率为依据，判断所述目标设备是否处于异常状态，包括：

判断所述当前请求速率是否高于预置的与所述目标设备对应的第一阈值，其中，所述第一阈值是根据预设的第二窗口内的第一请求消息的请求速率确定出的；

若高于所述第一阈值，则确定所述目标设备处于异常状态。
根据权利要求1-5任一项所述的方法，其特征在于，所述查询所述目标设备对应的流表匹配信息，包括：

向所述目标设备对应的边界交换机发送流表信息查询指令；

接收所述目标设备对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息；

所述以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击，包括：

以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率；

判断所述当前流表匹配效率是否超过预置的与所述目标设备对应的第二阈值，其中，所述第二阈值是根据预设的第三窗口内的流表匹配信息统计得到的流表匹配效率而确定出的；

若不超过所述第二阈值，则确定所述目标设备受到DDoS攻击。
根据权利要求6所述的方法，其特征在于，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率，包括：

根据所述目标边界交换机返回的流表匹配信息，计算所述流表匹配信息对应的流表匹配效率，并将计算出的所述流表匹配效率作为所述目标边界交换机的当前流表匹配效率。
根据权利要求6所述的方法，其特征在于，所述目标设备为所述控制器，所述目标设备对应的边界交换机包括所述SDN中的所有边界交换机；所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率，包括：

根据所述SDN中每一个边界交换机返回的流表匹配信息，分别计算每一个边界交换机返回的流表匹配信息对应的流表匹配效率；

计算得到所述每一个边界交换机对应的流表匹配效率的平均值，并将所述平均值作为所述控制器对应的当前流表匹配效率。
根据权利要求7或8所述的方法，其特征在于，所述流表匹配信息包括秒级持续时间和匹配包数；所述计算流表匹配信息对应的流表匹配效率，包括：

将所述匹配包数与所述秒级持续时间的商值作为所述流表匹配信息对应的流表匹配效率。
根据权利要求6所述的方法，其特征在于，所述方法还包括：

监听所述目标设备对应的边界交换机的第二请求消息，所述第二请求消息是根据预设的第三窗口内的流表匹配信息生成的；

以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率；

根据所述目标设备对应的历史流表匹配效率，确定出所述目标设备对应的第二阈值。
根据权利要求10所述的方法，其特征在于，所述第二请求消息包括原因信息、秒级持续时间和匹配包数；所述以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率，包括：

解析所述原因信息；

若所述原因信息包括闲置超时信息，则将所述匹配包数与目标差值的商值作为所述目标设备对应的历史流表匹配效率，所述目标差值是所述秒级持续时间与所述闲置超时信息对应的闲置时间的差值；

若所述原因信息包括硬性超时信息，则将所述匹配包数与所述秒级持续时间的商值作为所述目标设备对应的历史流表匹配效率。
根据权利要求2所述的方法，其特征在于，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，包括：

以所述第一请求消息为依据，将所述目标边界交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。
根据权利要求2所述的方法，其特征在于，所述目标设备为所述控制器；所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，包括：

获取所述SDN中每一个边界交换机的当前流表匹配效率，并将所述当前流表匹配效率低于所述SDN对应的边界网络的当前流表匹配效率的边界交换机作为目标交换机，所述SDN对应的边界网络是由所述SDN中所述至少一个边界交换机所确定出的；

以所述目标交换机对应的第一请求消息为依据，将所述目标交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。
根据权利要求2所述的方法，其特征在于，所述对所述目标物理端口的目标数据流进行标记，包括：

在所述目标物理端口的目标数据流对应的数据包空闲字段填写所述目标设备对应的边界交换机的硬件地址哈希Hash值；或者，

采用通用封装技术对所述目标物理端口的目标数据流进行数据包封装。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

分别获取所述SDN中的边界交换机和数据过滤设备的地址信息；

获取所述SDN的拓扑结构信息；

根据所述拓扑结构信息为所述边界交换机确定至少一个数据过滤设备，并将确定出的数据过滤设备的地址信息与所述边界交换机的地址信息绑定。
一种分布式拒绝服务DDoS攻击检测装置，应用于软件定义网络SDN，所述SDN包括控制器和至少一个边界交换机，其特征在于，包括：

计算模块，用于监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；

异常判断模块，用于以所述当前请求速率为依据，判断所述目标设备是否处于异常状态；

查询模块，用于在所述异常判断模块的判断结果为所述目标设备处于异常状态时，查询所述目标设备对应的流表匹配信息；

攻击确定模块，用于以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。
根据权利要求16所述的装置，其特征在于，所述装置还包括：

端口确定模块，用于在确定所述目标设备受到DDoS攻击时，从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，所述目标物理端口为所述至少一个物理端口中所述第一窗口内所述第一请求消息对应的数据流密度最大的物理端口；

标记模块，用于对所述目标物理端口传输的目标数据流进行标记，所述目标数据流为所述SDN中交换机与交换机之间的数据流；

重定向模块，用于将所述标记后的目标数据流重定向至预先与所述目标设备对应的边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。
根据权利要求16或17所述的装置，其特征在于，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述计算模块包括：

第一监听单元，用于监听预设的第一窗口内所述目标边界交换机发送的第一请求消息；

第一计算单元，用于计算所述第一请求消息的请求速率，并将计算出的所述请求速率作为所述目标边界交换机针对所述第一请求消息的当前请求速率。
根据权利要求16或17所述的装置，其特征在于，所述目标设备为所述控制器；所述计算模块包括：

第二监听单元，用于监听预设的第一窗口内所述SDN中每一个边界交换机发送的第一请求消息；

第二计算单元，用于分别统计得到所述第一窗口内每一个边界交换机发送的第一请求消息的请求速率；

所述第二计算单元，还用于根据每一个边界交换机的请求速率统计得到所述第一窗口内所述SDN中所有边界交换机所确定的边界网络的当前请求速率，并将所述边界网络的当前请求速率作为所述控制器针对所述第一请求消息的当前请求速率。
根据权利要求16-19任一项所述的装置，其特征在于，所述异常判断模块包括：

第一判断单元，用于判断所述当前请求速率是否高于预置的与所述目标设备对应的第一阈值，其中，所述第一阈值是根据预设的第二窗口内的第一请求消息的请求速率确定出的；

第一确定单元，用于在所述第一判断单元的判断结果为高于所述第一阈值时，确定所述目标设备处于异常状态。
根据权利要求16-20任一项所述的装置，其特征在于，所述查询模块包括：

指令发送单元，用于在所述目标设备处于异常状态时，向所述目标设备对应的边界交换机发送流表信息查询指令；

信息接收单元，用于接收所述目标设备对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息；

所述攻击确定模块包括：

效率计算单元，用于以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率；

第二判断单元，用于判断所述当前流表匹配效率是否超过预置的与所述目标设备对应的第二阈值，其中，所述第二阈值是根据预设的第三窗口内的流表匹配信息统计得到的流表匹配效率而确定出的；

第二确定单元，用于在所述第二判断单元的判断结果为所述当前流表匹配效率不超过所述第二阈值时，确定所述目标设备受到DDoS攻击。
根据权利要求21所述的装置，其特征在于，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述效率计算单元具体用于：

根据所述目标边界交换机返回的流表匹配信息，计算所述流表匹配信息对应的流表匹配效率，并将计算出的所述流表匹配效率作为所述目标边界交换机的当前流表匹配效率。
根据权利要求21所述的装置，其特征在于，所述目标设备为所述控制器，所述目标设备对应的边界交换机包括所述SDN中的所有边界交换机；所述效率计算单元具体用于：

根据所述SDN中每一个边界交换机返回的流表匹配信息，分别计算每一个边界交换机返回的流表匹配信息对应的流表匹配效率；计算得到所述每一个边界交换机对应的流表匹配效率的平均值，并将所述平均值作为所述控制器对应的当前流表匹配效率。
根据权利要求21所述的装置，其特征在于，所述装置还包括：

效率确定模块，用于监听所述目标设备对应的边界交换机的第二请求消息，并以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率，所述第二请求消息是根据预设的第三窗口内的流表匹配信息生成的；

阈值确定模块，用于根据所述目标设备对应的历史流表匹配效率，确定出所述目标设备对应的第二阈值。
根据权利要求24所述的装置，其特征在于，所述第二请求消息包括原因信息、秒级持续时间和匹配包数；所述效率确定模块包括：

解析单元，用于解析所述原因信息；

第三确定单元，用于在所述解析单元解析结果为所述原因信息包括闲置超时信息时，将所述匹配包数与目标差值的商值作为所述目标设备对应的历史流表匹配效率，所述目标差值是所述秒级持续时间与所述闲置超时信息对应的闲置时间的差值；

所述第三确定单元，还用于在所述解析单元解析结果为所述原因信息包括硬性超时信息时，将所述匹配包数与所述秒级持续时间的商值作为所述目标设备对应的历史流表匹配效率。
根据权利要求17所述的装置，其特征在于，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述端口确定模块具体用于：

在确定所述目标边界交换机受到DDoS攻击时，以所述第一请求消息为依据，将所述目标边界交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。
根据权利要求17所述的装置，其特征在于，所述目标设备为所述控制器；所述端口确定模块具体用于：

在确定所述控制器受到DDoS攻击时，获取所述SDN中每一个边界交换机的当前流表匹配效率，并将所述当前流表匹配效率低于所述SDN对应的边界网络的当前流表匹配效率的边界交换机作为目标交换机，所述SDN对应的边界网络是由所述SDN中所述至少一个边界交换机所确定出的；

以所述目标交换机对应的第一请求消息为依据，将所述目标交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。
根据权利要求17所述的装置，其特征在于，所述标记模块具体用于：

在所述目标物理端口的目标数据流对应的数据包空闲字段填写所述目标设备对应的边界交换机的硬件地址哈希Hash值；或者，

采用通用封装技术对所述目标物理端口的目标数据流进行数据包封装。
根据权利要求17所述的装置，其特征在于，所述装置还包括：

获取模块，用于分别获取所述SDN中的边界交换机和数据过滤设备的地址信息；

所述获取模块，还用于获取所述SDN的拓扑结构信息；

绑定确定模块，用于根据所述拓扑结构信息为所述边界交换机确定至少一个数据过滤设备，并将确定出的数据过滤设备的地址信息与所述边界交换机的地址信息绑定。
一种网络设备，应用于软件定义网络SDN，所述SDN包括控制器和至少一个边界交换机，其特征在于，包括：通信接口、存储器和处理器，所述处理器分别与所述通信接口及所述存储器连接；其中，

所述存储器用于存储驱动软件；

所述处理器从所述存储器读取所述驱动软件并在所述驱动软件的作用下执行：

通过所述通信接口监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率，所述第一请求消息为所述目标设备对应的边界交换机发送给所述控制器的需要所述控制器处理的请求数据流；

以所述当前请求速率为依据，判断所述目标设备是否处于异常状态；

若所述目标设备处于异常状态，则查询所述目标设备对应的流表匹配信息；

以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击。
根据权利要求30所述的网络设备，其特征在于，所述处理器从所述存储器读取所述驱动软件并在所述驱动软件的作用下，还执行以下步骤：

若确定所述目标设备受到DDoS攻击，则从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口，所述目标物理端口为所述至少一个物理端口中所述第一窗口内所述第一请求消息对应的数据流密度最大的物理端口；

对所述目标物理端口传输的目标数据流进行标记，所述目标数据流为所述SDN中交换机与交换机之间的数据流；

通过所述通信接口将所述标记后的目标数据流重定向至预先与所述目标设备对应的边界交换机绑定的数据过滤设备，以使所述数据过滤设备对所述标记后的目标数据流进行处理。
根据权利要求30或31所述的网络设备，其特征在于，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述处理器在执行所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率时，具体执行以下步骤：

监听预设的第一窗口内所述目标边界交换机发送的第一请求消息；

计算所述第一请求消息的请求速率，并将计算出的所述请求速率作为所述目标边界交换机针对所述第一请求消息的当前请求速率。
根据权利要求30或31所述的网络设备，其特征在于，所述目标设备为所述控制器；所述处理器在执行所述监听预设的第一窗口内的第一请求消息，并计算所述SDN中的目标设备针对所述第一请求消息的当前请求速率时，具体执行以下步骤：

监听预设的第一窗口内所述SDN中每一个边界交换机发送的第一请求消息；

分别统计得到所述第一窗口内每一个边界交换机发送的第一请求消息的请求速率；

根据每一个边界交换机的请求速率统计得到所述第一窗口内所述SDN中所有边界交换机所确定的边界网络的当前请求速率，并将所述边界网络的当前请求速率作为所述控制器针对所述第一请求消息的当前请求速率。
根据权利要求30-33任一项所述的网络设备，其特征在于，所述处理器在执行所述以所述当前请求速率为依据，判断所述目标设备是否处于异常状态时，具体执行以下步骤：

判断所述当前请求速率是否高于预置的与所述目标设备对应的第一阈值，其中，所述第一阈值是根据预设的第二窗口内的第一请求消息的请求速率确定出的；

若高于所述第一阈值，则确定所述目标设备处于异常状态。
根据权利要求30-34任一项所述的网络设备，其特征在于，所述处理器在执行所述查询所述目标设备对应的流表匹配信息时，具体执行以下步骤：

通过所述通信接口向所述目标设备对应的边界交换机发送流表信息查询指令；

通过所述通信接口接收所述目标设备对应的边界交换机响应所述流表信息查询指令返回的流表匹配信息；

所述处理器在执行所述以所述流表匹配信息为依据，确定所述目标设备是否受到DDoS攻击时，具体执行以下步骤：

以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率；

判断所述当前流表匹配效率是否超过预置的与所述目标设备对应的第二阈值，其中，所述第二阈值是根据预设的第三窗口内的流表匹配信息统计得到的流表匹配效率而确定出的；

若不超过所述第二阈值，则确定所述目标设备受到DDoS攻击。
根据权利要求35所述的网络设备，其特征在于，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述处理器在执行所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率时，具体执行以下步骤：

根据所述目标边界交换机返回的流表匹配信息，计算所述流表匹配信息对应的流表匹配效率，并将计算出的所述流表匹配效率作为所述目标边界交换机的当前流表匹配效率。
根据权利要求35所述的网络设备，其特征在于，所述目标设备为所述控制器，所述目标设备对应的边界交换机包括所述SDN中的所有边界交换机；所述处理器在执行所述以所述流表匹配信息为依据，计算所述目标设备对应的当前流表匹配效率时，具体执行以下步骤：

根据所述SDN中每一个边界交换机返回的流表匹配信息，分别计算每一个边界交换机返回的流表匹配信息对应的流表匹配效率；

计算得到所述每一个边界交换机对应的流表匹配效率的平均值，并将所述平均值作为所述控制器对应的当前流表匹配效率。
根据权利要求36或37所述的网络设备，其特征在于，所述流表匹配信息包括秒级持续时间和匹配包数；所述处理器在执行计算流表匹配信息对应的流表匹配效率时，具体执行以下步骤：

将所述匹配包数与所述秒级持续时间的商值作为所述流表匹配信息对应的流表匹配效率。
根据权利要求35所述的网络设备，其特征在于，所述处理器还用于执行以下步骤：

监听所述目标设备对应的边界交换机的第二请求消息，所述第二请求消息是根据预设的第三窗口内的流表匹配信息生成的；

以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率；

根据所述目标设备对应的历史流表匹配效率，确定出所述目标设备对应的第二阈值。
根据权利要求39所述的网络设备，其特征在于，所述第二请求消息包括原因信息、秒级持续时间和匹配包数；所述处理器在执行所述以所述第二请求消息为依据，计算所述目标设备对应的历史流表匹配效率时，具体执行以下步骤：

解析所述原因信息；

若所述原因信息包括闲置超时信息，则将所述匹配包数与目标差值的商值作为所述目标设备对应的历史流表匹配效率，所述目标差值是所述秒级持续时间与所述闲置超时信息对应的闲置时间的差值；

若所述原因信息包括硬性超时信息，则将所述匹配包数与所述秒级持续时间的商值作为所述目标设备对应的历史流表匹配效率。
根据权利要求31所述的网络设备，其特征在于，所述目标设备为所述至少一个边界交换机中的目标边界交换机；所述处理器在执行所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口时，具体执行以下步骤：

以所述第一请求消息为依据，将所述目标边界交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。
根据权利要求31所述的网络设备，其特征在于，所述目标设备为所述控制器；所述处理器在执行所述从所述目标设备对应的边界交换机的至少一个物理端口中确定出目标物理端口时，具体执行以下步骤：

获取所述SDN中每一个边界交换机的当前流表匹配效率，并将所述当前流表匹配效率低于所述SDN对应的边界网络的当前流表匹配效率的边界交换机作为目标交换机，所述SDN对应的边界网络是由所述SDN中所述至少一个边界交换机所确定出的；

以所述目标交换机对应的第一请求消息为依据，将所述目标交换机的至少一个物理端口中所述第一请求消息对应的数据流密度最大的物理端口确定为目标物理端口。
根据权利要求31所述的网络设备，其特征在于，所述处理器在执行所述对所述目标物理端口的目标数据流进行标记时，具体执行以下步骤：

在所述目标物理端口的目标数据流对应的数据包空闲字段填写所述目标设备对应的边界交换机的硬件地址哈希Hash值；或者，

采用通用封装技术对所述目标物理端口的目标数据流进行数据包封装。
根据权利要求31所述的网络设备，其特征在于，所述处理器从所述存储器读取所述驱动软件并在所述驱动软件的作用下，还执行以下步骤：

通过所述通信接口分别获取所述SDN中的边界交换机和数据过滤设备的地址信息；

获取所述SDN的拓扑结构信息；

根据所述拓扑结构信息为所述边界交换机确定至少一个数据过滤设备，并将确定出的数据过滤设备的地址信息与所述边界交换机的地址信息绑定。