[发明专利]恶意攻击检测方法及控制器

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种恶意攻击检测方法及控制器。

背景技术

随着OpenFlow（开放流，以下简称OF）网络在实际场景中的广泛应用，它必然也会面临传统网络的遇到恶意攻击的问题。典型的恶意攻击包括淹没攻击、dos攻击等，大部分的恶意攻击是通过生成大量数据流使网络发生拥堵或使目标服务器瘫痪，最常见的情况是攻击还在网络的承受范围内但目标服务器已经瘫痪。

在传统网络中，对网络拥堵的承受程度只能依赖交换机的健壮性，但由于网络中可能会有各种不同类型的交换机，而它们的安全策略会有所不同，因此对网络拥堵的承受程度具有不确定性；而针对目标服务器的攻击则只能依赖服务器上安装的防火墙和防护软件，但恶意攻击所生成的大量数据流已经耗费了网络带宽，使网络具有滞后性。

目前，OF网络还没有应对恶意攻击的策略。

发明内容

技术问题

有鉴于此，本发明要解决的技术问题是有效检测出OF网络遭到恶意攻击。

解决方案

为了解决上述技术问题，根据本发明一实施例，提供了一种恶意攻击检测方法，应用于包括控制器和交换机的开放流网络架构中，包括：

所述控制器接收所述交换机上报的报文上报消息；以及

所述控制器确定满足上报速率条件的第一端口遭到恶意攻击，

其中，所述第一端口为连接所述交换机与主机的端口，所述上报速率条件是指端口对应的报文上报消息的上报速率不小于预定的速率阀值且持续了第一时间长度。

对于上述恶意攻击检测方法，在一种可能的实现方式中，在所述控制器接收所述交换机上报的报文上报消息之后，该方法还包括：

所述控制器将接收到的所述报文上报消息进行存储；

在所述控制器确定满足上报速率条件的第一端口遭到恶意攻击之后，该方法还包括：

所述控制器清除所存储的所述第一端口对应的报文上报消息以及指示所述交换机清除所述第一端口对应的流表项。

对于上述恶意攻击检测方法，在一种可能的实现方式中，在所述控制器清除所述第一端口对应的报文上报消息以及指示所述交换机清除所述第一端口对应的流表项之后，还包括：

所述控制器下发新的流表项至所述交换机，所述新的流表项用于通知所述交换机直接丢弃从所述第一端口接收到的报文。

对于上述恶意攻击检测方法，在一种可能的实现方式中，当所述新的流表项老化后，所述控制器重新接收到所述交换机上报的对应于所述第一端口的报文上报消息，

其中，流表项老化包括所述流表项在预定的第二时间长度内无匹配的报文或该所述流表项已经持续了所述控制器预定的第三时间长度。

为了解决上述技术问题，根据本发明另一实施例，提供了一种控制器，应用于包括控制器和交换机的开放流网络架构中，所述控制器包括：

接收模块，用于接收所述交换机上报的报文上报消息；以及

处理模块，与所述接收模块连接，用于确定满足上报速率条件的第一端口遭到恶意攻击，

其中，所述第一端口为连接所述交换机与主机的端口，所述上报速率条件是指端口对应的报文上报消息的上报速率不小于预定的速率阀值且持续了第一时间长度。

对于上述控制器，在一种可能的实现方式中，还包括：

存储模块，与所述接收模块和所述处理模块连接，用于将接收模块接收到的所述报文上报消息进行存储；

所述处理模块还用于清除所述第一端口对应的报文上报消息以及指示所述交换机清除所述第一端口对应的流表项。

对于上述控制器，在一种可能的实现方式中，还包括：

发送模块，与所述处理模块连接，用于下发新的流表项至所述交换机，所述新的流表项用于通知所述交换机直接丢弃从所述第一端口接收到的报文。

对于上述控制器，在一种可能的实现方式中，当所述新的流表项老化后，所述接收模块重新接收到所述交换机上报的对应于所述第一端口的报文上报消息，

其中，流表项老化包括所述流表项在预定的第二时间长度内无匹配的报文或该所述流表项已经持续了所述控制器预定的第三时间长度。

有益效果