[发明专利]一种基于转发路径自迁移的链路型DDoS防御方法及系统

说明书

本发明提出了一种基于转发路径自迁移的链路型DDoS防御方法，应用于SDN，其步骤包括：1)通过收集LLDP报文，构造网络流量矩阵并定位拥塞链路；2)判断拥塞链路是否构成链路泛洪攻击；3)如存在链路泛洪攻击，则识别拥塞链路中的可疑网络流；4)依据约束条件选取与拥塞链路不邻接的可迁移链路集合、选取待迁移的网络流和迁移时间间隔，并生成迁移规则信息；依据迁移规格信息对可疑网络流进行迁移。并将该方法在基于OpenFlow的软件定义网络中实现。该方法通过采用易于维护和迁移的组件式实现对链路式DDoS攻击防御系统的部署。同时提出实现上述方法的系统。

技术领域

本发明属于计算机网络安全领域。具体来说，涉及到一种基于转发路径自迁移的链路型DDoS防御方法及系统。

背景技术

随着网络应用的不断普及和深化，互联网一方面正在深刻影响人们的生活方式，孕育着社会运转的新常态；另一方面也成为国家战略性关键基础设施，支撑着国家重要领域的有效运转。然而，现有网络控制平面与数据平面紧耦合的特性阻碍了网络或服务管理的效率。软件定义网络(Software Defined Network,SDN)中逻辑控制和数据转发分离的设计思想为分布式路由难以有效协同管理的问题带来了新思路。它将路由器和交换机等网络设备的控制功能从数据转发功能中解耦处理的网络架构，由一个可编程的逻辑集中式控制器管理整个网络；由底层转发设备实现数据转发功能。

软件定义网络主要分为应用层、控制平面和数据平面三部分。由于SDN集中控制的特点，使得控制器可以在线获取网络性能指标，并在此基础上及时调配资源、实施全局决策。与此同时，SDN网络灵活的匹配域使得网络中任意给定的源地址和目的地址可以具有多条无环路径，从而实现灵活、细粒度的流量管控。

另一方面，中国互联网络信息中心最新发布的《第37次中国互联网络发展状况统计报告》显示：截至2015年12月，中国网民规模达6.88亿，互联网普及率为50.3％。近年来随着诸如“棱镜门”、SWIFT银行系统风波、2.7亿Gmail和Hotmail账号遭泄露等重大安全事件的不断曝光，网络空间安全成为政府组织和产业、学术界共同关注的焦点。分布式拒绝服务攻击(Distributed Denial of Service,DDoS)仍然是影响网络安全运行的重要威胁之一。

对于传统的DDoS攻击，目前已经有一系列较为有效的防御方法，比如入口过滤机制、控制器代理模型等。它们主要是基于网络流量的统计与数据源的识别，以区分DDoS攻击流量与正常用户流量。然而，近年来一种以Crossfire为代表的链路泛洪攻击(LinkFlooding Attack,LFA)成为了产业界与学术界的关注热点。LFA的攻击目标并非传统DDoS攻击的节点，如服务器、主机等。LFA通过攻击与目标节点连通的一组或多组转发链路，从而降低甚至阻断目标节点的通信能力，从而实现拒绝服务的目的。

链路泛洪攻击的基本原理如下：

(1)链路图的构建与监控：攻击者利用不同的傀儡节点向选定目标节点周边的通信路径发送探测报文，从而构建僵尸网络群到目标节点周边区域的链路图(Link Map)。在此基础上，攻击者通过定期地发送探测报文以确保构建链路图的准确性，一旦实际拓扑结构发生变化，则攻击者构建的链路图也随之进行修改。

(2)目标链路选定：攻击者通过计算链路的流量密度从构建的链路图上选取目标链路。攻击者通过计算链路图中的链路遍历次数，从中选取密度最高的链路。为了保证攻击的有效性，攻击者会选取多个目标链路作为一组，以阻碍目标节点与剩余网络区域的通信。

(3)分配傀儡节点并产生攻击流量：在选定目标链路后，攻击者将依据不同目标链路的带宽计算泛洪所需的傀儡机，并依据拓扑结构和泛洪目标链路所需的傀儡机数量对控制的傀儡机进行分组。每个傀儡机会向对多条目标链路发送数据流，从而保证总流量可以达到泛洪的目标。与此同时，傀儡机通过产生低流量的数据流实现攻击流与合法数据流相混淆，以防止不被检测。

发明内容