[发明专利]基于软件定义网络的DDoS攻击跨层协同防御方法

说明书

本发明公开了一种基于软件定义网络的DDoS攻击跨层协同防御方法，目的是解决南向接口与控制层面通信压力太大及SDN控制器计算压力太大的问题。技术方案是先构建由数据层面和控制层面构成的基于SDN的DDoS攻击跨层协同防御架构，数据层面对数据流进行粗粒度检测得到DDoS攻击异常流量数据，控制层面对DDoS攻击异常流量数据进行细粒度检测，得到最接近僵尸网络的交换机。控制层面的SDN控制器在最接近僵尸网络的交换机上部署DDoS防御策略，数据层面的SDN交换机采用DDoS防御策略进行DDoS防御。本发明通过数据层面与控制层面协同合作，充分利用了SDN可协同防御的优势，解决了SDN南向接口压力大、SDN控制器负担过大的问题，使得交换机能智能地自动进行防御。

技术领域

本发明属于计算机网络安全领域，特别涉及一种基于SDN(Software DefinedNetwork,软件定义网络)的DDoS(Distributed Denial of Service，分布式拒绝服务)攻击跨层协同防御方法。

背景技术

随着计算机网络技术的快速发展，网络攻击破坏行为也日益频繁，计算机网络安全形势日益严峻。其中，DDoS攻击是目前计算机网络中最受关注的安全问题之一。DDoS攻击通常是利用僵尸网络对受害者发送大量的服务请求，造成受害者资源大量消耗，从而无法及时响应合法用户的请求，甚至完全瘫痪。僵尸网络是指受到攻击者集中控制，用来发起DDoS攻击的计算机群。随着网络技术的发展，DDoS攻击流量也在不断增大，使其越来越难以防御。

SDN(Soft Defined Network)即软件定义网络，是一种新型的网络架构。如图1所示，SDN架构由数据层面和控制层面构成，控制层面通过南向接口与数据层面进行通信。数据层面由多个网络设备(SDN交换机、路由器)组成，网络设备负责数据的传输；控制层面包括SDN控制器，控制层面负责对数据层面中网络设备的管理。

SDN交换机上安装有交换机代理,有数据通路，交换机代理对数据通路进行控制。数据包在交换机内部进行转发时，交换机会在数据包上附加元数据，元数据是对网络数据包描述的数据，数据包在交换机内部进行转发时，元数据中包含了所属数据包在交换机内部各模块(即数据包传播路径上的交换机内的软件和硬件)间传递时的目的模块ID；SDN控制器对网络设备进行管理，拥有整个网络的信息。SDN控制器上安装有控制器代理、DDOS攻击防御软件，向下通过南向接口与数据层面的交换机进行通讯。

随着SDN的发展，越来越多的研究开始着眼于利用SDN从网络全局出发来进行DDoS攻击防御，由于SDN控制器拥有整个网络的信息，在检测到DDoS攻击时，SDN控制器能够定位发起DDoS攻击的僵尸网络的位置。

目前基于SDN的DDoS防御方法主要是以控制层面为中心实现的。图1所示为当前主流基于SDN的DDoS防御方法所采用的防御架构，所有的DDoS防御方法都基于SDN控制器上安装的DDoS攻击防御软件实现，而数据层面的交换机只根据SDN控制器下发的具体防御指令进行防御。其经典的防御方法是：

1)数据层面的交换机周期性下发流表，根据流表收集报文，将收集的报文作为待处理报文，通过SDN南向接口发送至SDN控制器；

2)控制层面的SDN控制器接收待处理的报文，由DDoS攻击防御软件判断是否受到DDoS攻击。当判断受到DDoS攻击时，DDoS攻击防御软件对这些报文做出相应处理，将针对该报文相应的防御方法发送给控制器代理，控制器代理通过南向接口向数据层面的交换机下发具体防御指令。

3)交换机代理接收到具体防御指令后，根据具体防御指令修改流表，对DDoS攻击的流量进行防御。

目前基于SDN的DDOS防御方法存在着如下问题：