[发明专利]一种Crossfire链路洪泛攻击的SND移动目标防御方法

权利要求书

1.一种Crossfire链路洪泛攻击的SDN移动目标防御方法，其特征在于，包括按顺序进行的下列步骤：

1)对于给定的一个网络拓扑，将其构建为基于关系序偶集合的网络模型；

2)拥塞监控组件对步骤1)中构建出的网络模型进行监控，并根据监控结果判断网络模型是否出现严重拥塞链路，若判断结果为“是”，则利用SDN控制器动态调整网络配置和网络行为：若判断结果为“否”，则继续监控。

2.根据权利要求1所述的Crossfire链路洪泛攻击的SDN移动目标防御方法，其特征在于，所述的步骤1)中构建基于关系序偶集合的网络模型的方法如下：

1-1)获取给定网络拓扑中的SDN交换机分布信息、服务器分布信息、通信链路位置信息和通信业务信息；

1-2)计算交换机或者路由器的节点与通信链路的流量矩阵D_(p+q)×(p+q)，用来表示通信链路的节点流量信息；若流量矩阵D_(p+q)×(p+q)中的元素d_ij等于0，则表示节点v_i和节点v_j之间不存在通信链路；否则，d_ij表示节点v_i和节点v_j之间直连通信链路的流量大小；

1-3)将通信业务与其经过的链路组成关系序偶，将节点与和其直接相连的链路组成关系序偶，将可疑实体与被洪泛链路组成关系序偶，将可疑节点与被洪泛链路组成关系序偶，从而将给定网络拓扑构建为基于关系序偶集合的网络模型，并不断对关系序偶进行更新。

3.根据权利要求2所述的Crossfire链路洪泛攻击的SDN移动目标防御方法，其特征在于，所述步骤2)中利用SDN控制器动态调整网络配置和网络行为时包括如下步骤：

2-1)获取流量信息，根据目标地址分类，并测量出每个目的主机的流量带宽；

2-2)判断所有目的主机是否同时拥塞，若是，表明属于同时拥塞阶段，链路未被攻击，则执行步骤2-4)；若否，则执行步骤2-3)；

2-3)根据每个拥塞链路的目的主机带宽负载一致性对目的主机分类，对分类排名中达到拥塞链路带宽门限的目的主机进行重路由；

2-4)判断是否首次链路阻塞，若是，则执行步骤2-1)；若否，则执行步骤2-5)；

2-5)将拥塞链路的流量信息与重路由之前的流量信息相关联；

2-6)判断已重路由的链路流量中消失的源地址在当前拥塞链路中是否出现过，若是，则执行步骤2-7)；若否，则执行步骤2-8)；

2-7)更新这些源地址相应的可疑等级；

2-8)重路由，并且对新的拓扑链路进行拥塞监控。

4.根据权利要求3所述的Crossfire链路洪泛攻击的SDN移动目标防御方法，其特征在于，在步骤2)中，所述的重路由的方法为：

Ⅰ)按路由将拥塞流量分组，排除源速率应当受限的流量；

Ⅱ)监测拥塞流量是否达到重路由阈值，若判断结果为否，则继续监控，若判断结果为“是”，则为每个需要重路由的流量组寻找新的链路e，并进入下一步；新的链路e应满足两个条件：①与拥塞链路不相连，②带宽能满足流量负载；

Ⅲ)判断是否找到满足条件的e，若无法找到一条满足条件的e，且一个组内所有的流量均未重路由，则暂时存储未重路由的流量信息；若找到满足条件的e，则重路由流量，并记录重路由流量及相应链路；

Ⅳ)检查所有的拥塞流量组以确定每个组内所有流量都已被重路由。

5.根据权利要求4所述的Crossfire链路洪泛攻击的SDN移动目标防御方法，其特征在于，所述网络模型中拥塞链路的判断方法为：拥塞监控组件每隔s秒测量链路带宽并统计拥塞链路的各分组流量负载，将链路流量负载等于其带宽容量150％时的负载值作为拥塞阈值，链路负载达到其带宽容量的90％时，则认为链路发生严重拥塞。