[发明专利]融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法

摘要

本发明公开了一种融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法，本SDN网络架构，包括应用平面、数据平面和控制平面；其中数据平面，当位于数据平面中任一IDS设备检测到攻击威胁时，通知应用平面进入到攻击类型分析流程；应用平面，用于对攻击类型进行分析，并根据攻击类型定制相应的攻击威胁处理策略；控制平面，为应用平面提供攻击威胁处理接口，并为数据平面提供最优路径计算和/或攻击威胁识别接口。本发明可使网络在遭受大规模DDoS威胁时，能够根据链路的实时状况实现路由优化的流量转发，同时迅速准确的进行DDoS威胁识别和处理响应，全面保障网络通信质量。

主权项

一种融合DDoS威胁过滤与路由优化的SDN系统的工作方法，包括如下步骤：步骤S100，网络初始化；步骤S200，分布式DDoS威胁监测；以及步骤S300，威胁处理和/或路由优化；所述步骤S100中网络初始化所涉及的装置包括：控制器、IDS决策服务器和分布式的IDS设备；网络初始化的步骤如下：步骤S101，所述IDS决策服务器与各IDS设备建立专用的SSL通信信道；步骤S102，所述控制器构建网络设备信息绑定表，并且将网络设备信息绑定表实时更新到各IDS设备中；步骤S104，所述控制器下发镜像策略的流表，即将OF交换机所有拖载有主机的端口流量镜像转发给网域内对应的IDS设备；以及步骤S105，所述控制器下发DDoS威胁识别规则给每个网域中对应的各IDS设备；所述步骤S200中分布式DDoS威胁监测的方法包括：依次对链路层和网际层地址的欺骗行为，网际层和传输层标志位设置异常行为，以及应用层和传输层的泛洪式攻击行为进行检测；若上述过程中任一检测判断出报文存在相应行为时，则将该报文转入步骤S300；对链路层和网际层地址的欺骗行为进行检测的方法包括：通过欺骗报文检测模块对欺骗行为进行检测，即首先，通过欺骗报文检测模块调用网络设备信息绑定表；其次，通过欺骗报文检测模块将封装在Packet‑In消息中报文的类型进行解析，以获得相应的源、目的IP地址、MAC地址以及上传此Packet‑In消息的交换机DPID号和端口号，并将上述各信息分别与网络设备信息绑定表中的相应信息进行比对；若报文中的上述信息匹配，则将报文进行下一检测；若报文中的上述信息不匹配，则将报文转入步骤S300；所述网际层和传输层标志位设置异常行为进行检测的方法包括：通过破坏报文检测模块对标志位设置异常行为进行检测，即对报文的各标志位进行检测，以判断各标志位是否符合TCP/IP协议规范；若报文的各标志位符合，则将报文转入进行下一检测；若报文的各标志位不符合，则将报文转入步骤S300；所述应用层和传输层的泛洪式攻击行为进行检测的方法包括：通过异常报文检测模块对泛洪式攻击行为进行检测，即在异常报文检测模块构建用于识别泛洪式攻击报文的哈希表，并根据该哈希表中设定的阀值判断报文是否具有泛洪式攻击行为，且将判断结果转入步骤S300。