[发明专利]一种减轻DDoS攻击的方法、可编程交换机及SDN控制器

说明书

本发明提供一种减轻DDoS攻击的方法、可编程交换机及SDN控制器，该方法包括：将INT头添加至交换机转发的数据包中，数据包达到目的交换机后，将INT报文发送至SDN控制器，SDN控制器将INT报文中对应的开关状态转化为三维张量；基于CNN和图卷积神经网络构建DDoS攻击检测模型，通过所述DDoS攻击检测模型提取三维张量中时间特征和空间特征，确定包含攻击流的交换机，并确定攻击流在网络中的转发路径；发布对应的丢弃策略来缓解DDoS攻击，将源和目的IP添加至白名单中，并由SDN控制器将白名单发布至所有交换机。通过该方案可以准确找到DDoS攻击路径，减轻分布式拒绝服务攻击,并保障合法网络流量的访问。

技术领域

本发明涉及网络安全领域，尤其涉及一种减轻DDoS攻击的方法、可编程交换机及SDN控制器。

背景技术

分布式拒绝服务(DDoS)是一种容易发起且极具破坏性的网络攻击，攻击者通常会入侵互联网中易受攻击的节点，然后将这些节点转化为僵尸网络，并使用这些大规模分布的主机创建带有伪造IP地址的大量数据包，对受害服务器发起访问攻击。DDoS可以快速消耗受害服务器的资源并使其崩溃，从而使受害服务器无法响应正常请求。近年来，DDoS攻击越来越频繁，苹果、亚马逊、阿里巴巴等许多大型互联网公司的服务器都遭受了DDoS攻击，由此给互联网公司和整个社会造成了巨大的经济损失。

研究人员为检测和减轻DDoS攻击做了大量的工作，但DDoS攻击的检测和防御仍然面临着一些挑战，如伪造IP地址、伪造流量模式、加密消息等。现有的一些方法中，有对交换机上的流量进行速率限制，该方法不区分合法流量和攻击流量，还有将所有网络流量定向到外部主机进行清理，这需要额外的硬件，并将带来不可预测的延迟。这些方法都难以准确找到DDoS攻击流在网络中的具体路径，导致后续防御效果差。

发明内容

有鉴于此，本发明实施例提供了一种减轻DDoS攻击的方法、可编程交换机及SDN控制器，以解决无法准确找到DDoS攻击路径，导致网络防御效果差的问题。

在本发明实施例的第一方面，提供了一种减轻DDoS攻击的方法，包括：

将INT头添加至交换机转发的数据包中，数据包达到目的交换机后，将INT报文发送至SDN控制器，SDN控制器将INT报文中对应的开关状态转化为三维张量；

基于CNN和图卷积神经网络构建DDoS攻击检测模型，通过所述DDoS攻击检测模型提取三维张量中时间特征和空间特征，确定包含攻击流的交换机，并确定攻击流在网络中的转发路径；

发布对应的丢弃策略来缓解DDoS攻击，将源和目的IP添加至白名单中，并由SDN控制器将白名单发布至所有交换机。

在本发明实施例的第二方面，提供了一种可编程交换机，包括：

添加模块，用于将INT头添加至交换机转发的数据包中，若数据包达到目的交换机，将INT报文发送至SDN控制器；

丢弃模块，用于基于SDN控制器发布的白名单及包含攻击流的交换机，执行对应的丢弃策略来缓解DDoS攻击。

在本发明实施例的第三方面，提供了一种SDN控制器，包括：

数据转化模块，用于将目的交换发送的INT报文中对应的开关状态转化为三维张量；

分析检测模块，用于基于CNN和图卷积神经网络构建的DDoS攻击检测模型，提取三维张量中时间特征和空间特征，确定包含攻击流的交换机，并确定攻击流在网络中的转发路径。