[发明专利]基于SDN的物联网DDoS攻击防御方法、装置、设备及介质

说明书

本发明适用网络安全技术领域，提供了一种基于SDN的物联网DDoS攻击防御方法、装置、设备及介质，该方法包括：SDN物联网网关对所在物联网中不同的物联网设备节点发送的网络流量进行收集，将收集的网络流量发送给SDN控制器集群，SDN控制器集群将这些网络流量发送给SDN应用服务器，SDN应用服务器对这些网络流量进行分析，当分析出物联网中存在DDoS攻击时，将分析结果发送给SDN控制器集群，SDN控制器集群根据分析结果，协调SDN物联网网关对物联网中的DDoS攻击进行缓解，从而有效地提高了对物联网环境下DDoS攻击进行防御的效果，提高了防御配置的灵活性，降低了防御成本。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于SDN的物联网DDoS攻击防御方法、装置、设备及介质。

背景技术

分布式拒绝服务(DDoS)攻击是一种常见的网络攻击类型，它借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高了拒绝服务攻击的威力。随着云计算的发展，物联网设备数量巨大，而物联网设备病毒防御能力差、且失效后破坏力强，这些特点为DDoS攻击提供了温床，也就是说，在物联网的环境下，物联网节点数量巨大并且物联网设备影响到现实生活的方方面面，导致物联网环境下的DDoS攻击更加具有威胁性，影响更广泛。

针对DDoS攻击，传统的解决方法包括基于主机或网络的检测、CDN服务、以及基于电信运营商的流量清洗和封IP地址，然而这些方法都没有办法防御物联网环境下的DDoS攻击。此外，华为提供了物联网的敏捷解决方案，该方案主要使用认证管理、授权管理、终端识别等技术加强终端安全，通过授权的VLAN、ACL、QoS和用户组授权等来管理网络，该方案能够加强终端安全，有控制器全局进行策略配置，但其缺点是需要更多的费用购置防御的设备，且使用多种策略配置、环境配置繁琐。

发明内容

本发明的目的在于提供一种基于SDN的物联网DDoS攻击防御方法、装置、设备及介质，旨在解决物联网环境下DDoS攻击的防御效果不佳、成本较高的问题。

一方面，本发明提供了一种基于SDN的物联网DDoS攻击防御方法，所述方法包括下述步骤：

SDN物联网网关对所在物联网中不同物联网设备节点发送的网络流量进行收集，并将所述网络流量发送给SDN控制器集群；

当接收到所述网络流量时，所述SDN控制器集群将所述网络流量发送给SDN应用服务器；

所述SDN应用服务器对所述网络流量进行分析，当分析得到所述物联网中存在DDoS攻击时，将分析结果发送给所述SDN控制器集群；

所述SDN控制器集群根据所述分析结果，协调所述SDN物联网网关对所述物联网中的DDoS攻击进行缓解。

另一方面，本发明提供了一种基于SDN的物联网DDoS攻击防御装置，所述装置包括：

流量收集单元，用于SDN物联网网关对所在物联网中不同的物联网设备节点发送的网络流量进行收集，并将所述网络流量发送给SDN控制器集群；

流量转发单元，用于当接收到所述网络流量时，所述SDN控制器集群将所述网络流量发送给SDN应用服务器；

流量分析单元，用于所述SDN应用服务器对所述网络流量进行分析，当分析得到所述物联网中存在DDoS攻击时，将分析结果发送给所述SDN控制器集群；以及

攻击缓解单元，用于所述SDN控制器集群根据所述分析结果，协调所述SDN物联网网关对所述物联网中的DDoS攻击进行缓解。

另一方面，本发明还提供了一种网络安全设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述物联网DDoS攻击防御方法所述的步骤。