[发明专利]一种SDN控制器集群的网络攻击应对方法

说明书

本发明实施例提供的一种SDN控制器集群的网络攻击应对方法，应用于所述SDN控制器集群中的管理装置，接收SDN控制器上报的该SDN控制器的异常信息；任一SDN控制器的异常信息为该SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息，且在监测到所述异常信息时，所述SDN控制器停止与所述异常信息对应的交换设备之间的消息交互，将所述异常信息对应的交换设备作为异常交换设备，从该SDN控制器的负载中迁出，并停止对所述异常交换设备的路由请求的响应。本方案可以实现提高SDN控制器集群安全性的效果。

技术领域

本发明涉及软件定义网络技术领域，特别是涉及一种SDN控制器集群的网络攻击应对方法。

背景技术

SDN(Software Defined Network，软件定义网络)实现了软件化、可编程的新型网络架构。在以SDN为基础架构的网络体系中，SDN控制器是核心模块，负责承担上层应用的业务需求，其南向接口会与其所连接的交换机及其他交换设备之间交换大量的控制以及请求消息，达到控制底层网络拓扑的数据转发的目的。SDN控制器一旦发生故障或受到攻击，将导致网络的控制平面瘫痪，最终引起网络服务中断、网络资源消耗等问题，这也使得SDN控制器集群容易成为网络攻击的主要目标。

目前，许多主流的SDN控制器的解决方案，例如Open Daylight(控制器平台，可以作为SDN管理平面)、FloodLight(基于Java开发的SDN控制器)以及ONOS(面向服务提供商和企业骨干网的SDN控制器)等均已支持SDN控制器以集群的形式共存，集群化可以在一定程度上减少单个SDN控制器出现单点故障所造成的网络系统故障，提高网络系统的可靠性与安全性。但是，集群化的SDN控制器的部署方式，无法应对由大规模异常交换设备引起的大网络攻击，如：攻击者可控制异常交换设备，针对单个控制器发动大规模攻击，导致该控制器瘫痪，甚至直接消耗整个控制器集群的网络资源。

因此，如何提高SDN控制器集群的安全性，是亟待解决的问题。

发明内容

本发明实施例的目的在于提供一种SDN控制器集群的网络攻击应对方法，以实现提高SDN控制器集群安全性的效果。具体技术方案如下：

第一方面，本发明实施例提供了一种SDN控制器集群的网络攻击应对方法，应用于所述SDN控制器集群中的管理装置，所述SDN控制器集群还包括：多个SDN控制器、以及针对每个SDN控制器，作为该SDN控制器负载的交换设备，所述方法包括：

接收所述SDN控制器上报的该SDN控制器的异常信息；其中，任一SDN控制器的异常信息为所述SDN控制器对该SDN控制器与相应的交换设备之间的流量进行实时监测得到的用于表明流量异常的信息，且在监测到所述异常信息时，所述SDN控制器停止与所述异常信息对应的交换设备之间的消息交互；

将所述异常信息对应的交换设备作为异常交换设备，从所述异常信息对应的SDN控制器的负载中迁出，并停止对所述异常交换设备的路由请求的响应。

第二方面，本发明实施例提供了一种电子设备，该设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行上述存储器上所存放的计算机程序时，实现上述第一方面提供的一种SDN控制器集群的网络攻击应对方法。