[发明专利]恶意攻击的检测方法和装置

权利要求书

1.一种恶意攻击的检测方法，其特征在于，包括：

控制器接收第一交换机发送的Packet-in消息，所述Packet-in消息中包括第一交换机未查找到流表项的数据包的源主机标识和目的主机标识；

控制器判断SDN网络中不存在所述目的主机标识指示的主机时，向第一交换机发送异常流表项；所述异常流表项中包括源主机标识；

控制器接收第一交换机发送的触发次数；所述触发次数由第一交换机在异常流表项超时后发送，且所述触发次数是所述异常流表项的触发次数；

控制器根据所述触发次数判断所述源主机标识指示的源主机是否存在恶意攻击。

2.根据权利要求1所述的方法，其特征在于，控制器根据所述触发次数判断所述源主机标识指示的源主机是否存在恶意攻击包括：

控制器根据所述触发次数以及所述异常流表项的老化时间计算异常流表项的触发速率；

控制器判断所述触发速率是否大于速率阈值，如果大于，则控制器判断所述源主机存在恶意攻击；否则，控制器判断所述源主机不存在恶意攻击。

3.根据权利要求1所述的方法，其特征在于，控制器根据所述触发次数判断所述源主机标识指示的源主机是否存在恶意攻击包括：

控制器判断所述触发次数是否大于次数阈值，如果大于，则控制器判断所述源主机存在恶意攻击；否则，控制器判断所述源主机不存在恶意攻击。

4.根据权利要求1至3任一项所述的方法，其特征在于，控制器向第一交换机发送异常流表项之前，还包括：

控制器判断是否已经向第一交换机下发了所述源主机标识指示的源主机的异常流表项；如果否，控制器执行向第一交换机发送异常流表项的步骤。

5.根据权利要求1所述的方法，其特征在于，还包括：

控制器确定第一交换机中最后一张流表是包括源主机标识匹配域的精配表时，向第一交换机发送第一指示，所述第一指示用于指示第一交换机将所述精配表配置为只匹配源主机标识匹配域的精配表，以便第一交换机将所述异常流表项存储在最后一张流表中。

6.根据权利要求1所述的方法，其特征在于，还包括：

控制器确定第一交换机中最后一张流表是精配表，且第一交换机中存在包括源主机标识匹配域的通配表时，向第一交换机发送第二指示，所述第二指示用于指示第一交换机将所述包括源主机标识匹配域的通配表调整为最为一张流表，以便第一交换机将所述异常流表项存储在最后一张流表中。

7.根据权利要求1所述的方法，其特征在于，所述异常流表项的优先级是所述第一交换机中流表项的最低优先级。

8.根据权利要求1所述的方法，其特征在于，还包括：

控制器根据所述触发次数判断所述源主机标识指示的源主机存在恶意攻击时，向第一交换机发送第三指示，所述第三指示用于指示第一交换机抑制来自所述源主机的数据包。

9.一种恶意攻击的检测方法，其特征在于，包括：

第一交换机确定未查找到数据包对应的流表项时，向控制器发送Packet-in消息，所述Packet-in消息中包括所述数据包的源主机标识和目的主机标识；

第一交换机接收并保存异常流表项；所述异常流表项在控制器判断SDN网络中不存在所述目的主机标识指示的主机时发送；

第一交换机在所述异常流表项的老化时间内记录所述异常流表项的触发次数，在所述异常流表项超时后将所述触发次数发送给控制器，以便控制器根据所述触发次数判断所述源主机标识指示的源主机是否存在恶意攻击。

10.根据权利要求9所述的方法，其特征在于，还包括：

第一交换机接收控制器发送的第一指示，根据所述第一指示将本地最后一张精配表配置为只匹配源主机标识匹配域的精配表；或者，

第一交换机接收控制器发送的第二指示，根据所述第二指示将包括源主机标识匹配域的通配表调整为最为一张流表。