[发明专利]一种软件定义网络中链路洪泛攻击检测响应机制

说明书

本发明提供一种软件定义网络中链路洪泛攻击检测响应机制，包括：潜在目标链路识别模块、链路拥塞监控模块、流量工程模块以及恶意主机识别模块，包括以下步骤：所述潜在目标链路识别模块通过SDN控制器通过头部空间分析获取网络拓扑中的流路径，分析识别网络拓扑中攻击者的目标链路；所述链路拥塞监控模块对识别的所述攻击者的目标链路进行实时监控；所述流量工程模块获知拥塞链路的情况之后通过对网络的链路拓扑信息以及负载分布信息进行收集与分析，通过多次重路由对拥塞链路进行缓解，同时源主机信息被记录下来恶意主机识别模块分析出源主机中的恶意主机。本发明提出的链路洪泛攻击的检测响应系统能够适用于各种规模的网络场景。

技术领域

本发明涉及链路洪泛攻击检测响应技术领域，具体而言，尤其涉及一种软件定义网络中链路洪泛攻击检测响应机制。

背景技术

SDN(Software-Defined Networking，软件定义网络)起源于美国斯坦福大学NickMcKeown教授的Clean Slate项目。为了利用网络中的大规模真实流量和应用来进行试验，Nick McKeown教授等人提出了软件定义网络的架构的概念，并在此基础上，研究如何进行逻辑控制和数据转发的分离，以及提高网络的灵活性、可靠性、效率和网络安全问题。SDN概念的提出使得各科研所、企业、厂商对于下一代网络的研究有了明确的方向。但由于各自发展以及需求不同，每个研究团体对于SDN网络架构加入了自己相应的需求和理解，实现方式多种多样，甚至是参差不齐，这种情况虽然使得SDN有了多样性并且有了多种可能性，但是也造成了标准的难以统一。Nick McKeown教授和他的团队在2008年的SIGCOMM会议上提出OpenFlow：Enabling Innovation in Campus Networks[1]，从此OpenFlow协议正式进入人们的视线，并于2009年12发布具有里程碑意义的OpenFlow1.0版本。通过一个集中式的控制器，方便地定义基于网络流的安全控制策略，并应用到网络设备中，从而实现对整个网络通信的安全控制和管理。

SDN出现的最初的思想是解放底层设备，让网络设备更加经济、方便管理和规划。从广义层面来看，具有控制层与转发层相分离的网络架构，并且作为控制层核心的控制器通过通信接口对数据层面进行集中控制，应用层利用相应的API接口编写应用来满足自身的需求等条件，这种网络就能被称为一种SDN。

目前许多SDN研究人员和设备制造商以及企业对SDN架构的需求和理解总会根据自己的认知和了解，导致实现方式多种多样，但是SDN的基本架构是一致的。2012年开放网络基金协会(Open Networking Foundation，ONF)[2]提出SDN三层模式，受到了业界的广泛认同，并将之作为标准。ONF作为一个非盈利组织，其建立的目的就是对网络架构进行创新，进而推动网络技术发展。SDN架构包括三个层面：数据层(基础设施层)、控制层、应用层和两个通信接口：南向接口和北向接口。整个架构主要由逻辑集中的控制器和分布式的转发设备构成，应用层应用可以根据网络管理者自身的业务需求通过控制器来制定相关策略、下达控制指令并与数据层的转发设备进行交互。其中负责控制器和应用层通信交互的是北向接口协议，负责管理配置数据层和控制层交互的是南向接口协议。

应用层主要是由多个SDN应用组成，通过北向接口也控制器进行通信交互。SDN应用程序通过可编程逻辑来对网络业务进行管理并将之下发给控制器，控制器接受应用层制定的策略并将之转化为自己的逻辑，然后生成控制信息下发到数据层，交换机完成控制器下发的控制命令。通过这样的过程，SDN的网络管理人员通过在应用层的可编程特性来进行网络的实施管理。

发明内容

根据上述提出的技术问题，而提供一种软件定义网络中链路洪泛攻击检测响应机制。本发明主要利用一种软件定义网络中链路洪泛攻击检测响应机制，包括：潜在目标链路识别模块、链路拥塞监控模块、流量工程模块以及恶意主机识别模块，其特征在于，至少包括以下步骤：

步骤S1：所述潜在目标链路识别模块通过SDN控制器通过头部空间分析获取网络拓扑中的流路径，分析识别网络拓扑中攻击者的目标链路；