[发明专利]适于保障网络安全、网络通信质量的SDN系统的工作方法

权利要求书

1.一种融合DDoS威胁过滤与路由优化的SDN系统的工作方法，包括如下步骤：

步骤S100，网络初始化；

步骤S200，分布式DDoS威胁监测；以及

步骤S300，威胁处理和路由优化；

所述步骤S100中网络初始化所涉及的装置包括：控制器、IDS决策服务器和分布式的IDS设备；

网络初始化的步骤如下：

步骤S101，所述IDS决策服务器与各IDS设备建立专用的SSL通信信道；

步骤S102，所述控制器构建网络设备信息绑定表，并且将网络设备信息绑定表实时更新到各IDS设备中；

步骤S104，所述控制器下发镜像策略的流表，即将OF交换机所有拖载有主机的端口流量镜像转发给网域内对应的IDS设备；以及

步骤S105，所述控制器下发DDoS威胁识别规则给每个网域中对应的各IDS设备；

所述步骤S200中分布式DDoS威胁监测的方法包括：

依次对链路层和网际层地址的欺骗行为，网际层和传输层标志位设置异常行为，以及

应用层和传输层的泛洪式攻击行为进行检测；

若上述过程中任一检测判断出报文存在相应行为时，则将该报文转入步骤S300；

对链路层和网际层地址的欺骗行为进行检测的方法包括：

通过欺骗报文检测模块对欺骗行为进行检测，即

首先，通过欺骗报文检测模块调用网络设备信息绑定表；

其次，通过欺骗报文检测模块将封装在Packet-In消息中报文的类型进行解析，以获得相应的源、目的IP地址、MAC地址以及上传此Packet-In消息的交换机DPID号和端口号，并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对；

若报文中的上述信息匹配，则将报文进行下一检测；

若报文中的上述信息不匹配，则将报文转入步骤S300；

所述网际层和传输层标志位设置异常行为进行检测的方法包括：

通过破坏报文检测模块对标志位设置异常行为进行检测，即

对报文的各标志位进行检测，以判断各标志位是否符合TCP/IP协议规范；

若报文的各标志位符合，则将报文转入进行下一检测；

若报文的各标志位不符合，则将报文转入步骤S300；

所述应用层和传输层的泛洪式攻击行为进行检测的方法包括：

通过异常报文检测模块对泛洪式攻击行为进行检测，即

在异常报文检测模块构建用于识别泛洪式攻击报文的哈希表，并根据该哈希表中设定的阀值判断报文是否具有泛洪式攻击行为，且将判断结果转入步骤S300；

所述步骤S300中威胁处理和路由优化的方法包括：

若报文具有欺骗行为，且攻击威胁在OpenFlow域中，则所述IDS决策服务器适于通过控制器屏蔽主机；以及当攻击威胁不在OpenFlow域中，则通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤；

若报文具有异常行为，则所述IDS决策服务器通过控制器对攻击程序或攻击主机的流量进行屏蔽；

若报文具有泛洪式攻击行为，则所述IDS决策服务器通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤；和

根据链路负载系数计算出优化路径，即检测两相邻节点的链路剩余带宽，获得该链路的负载系数，在根据该负载系数和初始化的网络拓扑图获得任意两点的最优路径，所述控制器根据该最优路径得出对应的转发流表并下发各交换机；

当一个报文到达交换机的时候，首先对交换机中所带的流表进行匹配；如果匹配成功，就按照流表指定的动作执行转发规则；如果匹配失败，则交换机将该报文封装在Packet In消息中，发送给控制器，并且交换机将此报文存在本地缓存中；等待控制器作出决策，如何处理此报文；

所述IDS决策服务器屏蔽发送报文的程序和主机的方法包括：

首先，构建计数用的相应哈希表及设定相应阈值，即

单位时间内，所述IDS决策服务器中构建对欺骗行为进行计数的第一哈希表，标志位设置异常行为进行计数的第二哈希表，以及对泛洪式攻击行为进行计数的第三哈希表；

同时设定第一、第二、第三哈希表中的第一、第二、第三阀值；

其次，屏蔽发送该报文的程序和主机，即

针对转入IDS决策服务器的报文的行为，利用相应哈希表进行计数，当计数值超过相应阀值时，屏蔽发送该报文的程序和主机。