[发明专利]适于解决网络安全的SDN系统的工作方法

权利要求书

1.一种融合DDoS威胁过滤与路由优化的SDN系统的工作方法，其特征在于包括如下步骤：

步骤S100，网络初始化；

步骤S200，分布式DDoS威胁监测；以及

步骤S300，威胁处理和/或路由优化；

所述步骤S200中分布式DDoS威胁监测的方法包括：

依次对链路层和网际层地址的欺骗行为，网际层和传输层标志位设置异常行为，以及

应用层和传输层的泛洪式攻击行为进行检测；

若上述过程中任一检测判断出报文存在相应行为时，则将该报文转入步骤S300。

2.根据权利要求1所述的SDN系统的工作方法，其特征在于，

对链路层和网际层地址的欺骗行为进行检测的方法包括：

通过欺骗报文检测模块对欺骗行为进行检测，即

首先，通过欺骗报文检测模块调用网络设备信息绑定表；

其次，通过欺骗报文检测模块将封装在Packet-In消息中报文的类型进行解析，以获得相应的源、目的IP地址、MAC地址以及上传此Packet-In消息的交换机DPID号和端口号，并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对；

若报文中的上述信息匹配，则将报文进行下一检测；

若报文中的上述信息不匹配，则将报文转入步骤S300；

所述网际层和传输层标志位设置异常行为进行检测的方法包括：

通过破坏报文检测模块对标志位设置异常行为进行检测，即

对报文的各标志位进行检测，以判断各标志位是否符合TCP/IP协议规范；

若报文的各标志位符合，则将报文转入进行下一检测；

若报文的各标志位不符合，则将报文转入步骤S300；

所述应用层和传输层的泛洪式攻击行为进行检测的方法包括：

通过异常报文检测模块对泛洪式攻击行为进行检测，即

在异常报文检测模块构建用于识别泛洪式攻击报文的哈希表，并根据该哈希表中设定的阀值判断报文是否具有泛洪式攻击行为，且将判断结果转入步骤S300。

3.根据权利要求2所述的SDN系统的工作方法，其特征在于，所述步骤S300中威胁处理和/或路由优化的方法包括：

若报文具有欺骗行为，且攻击威胁在OpenFlow域中，则所述IDS决策服务器适于通过控制器屏蔽主机；以及当攻击威胁不在OpenFlow域中，则通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤；

若报文具有异常行为，则所述IDS决策服务器通过控制器对攻击程序或攻击主机的流量进行屏蔽；

若报文具有泛洪式攻击行为，则所述IDS决策服务器通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤；和/或

根据链路负载系数计算出优化路径，即检测两相邻节点的链路剩余带宽，获得该链路的负载系数，在根据该负载系数和初始化的网络拓扑图获得任意两点的最优路径，所述控制器根据该最优路径得出对应的转发流表并下发各交换机。

4.根据权利要求3所述的SDN系统的工作方法，其特征在于，所述IDS决策服务器屏蔽发送报文的程序和/或主机的方法包括：

首先，构建计数用的相应哈希表及设定相应阈值，即

单位时间内，所述IDS决策服务器中构建对欺骗行为进行计数的第一哈希表，标志位设置异常行为进行计数的第二哈希表，以及对泛洪式攻击行为进行计数的第三哈希表；

同时设定第一、第二、第三哈希表中的第一、第二、第三阀值；

其次，屏蔽发送该报文的程序和/或主机，即

针对转入IDS决策服务器的报文的行为，利用相应哈希表进行计数，当计数值超过相应阀值时，屏蔽发送该报文的程序和/或主机。