[发明专利]一种OpenFlow控制器抵御DDoS攻击的方法

权利要求书

1.一种OpenFlow控制器抵御DDoS攻击的方法，所述的OpenFlow控制器包括：流信息收集模块、流量检测模块和流量过滤模块，能够收集和分析流信息、下发流表，并以此来控制OpenFlow交换机的转发行为，其特征在于该方法包括以下步骤：

S1：OpenFlow控制器获取全网拓扑信息，根据网络中OpenFlow交换机和主机的数量计算限速队列的速率值；

S2：在OpenFlow交换机上配置匹配流协议字段的转移流表，同时在限速队列中进行随机早期检测，获取DDoS攻击情况；

S3：到达OpenFlow交换机的新流通过转移流表传输到与该OpenFlow交换机相邻的OpenFlow交换机。

2.根据权利要求1所述的一种OpenFlow控制器抵御DDoS攻击的方法，其特征在于，所述的步骤S1具体为：

S101：计算OpenFlow控制器与OpenFlow交换机连接的每个端口的平均处理速率c：

其中，C表示OpenFlow控制器的处理速率，K表示与前述OpenFlow控制器连接的OpenFlow交换机的数量；

S102：将OpenFlow交换机的平均排队长度设为1个报文，计算限速队列的速率值V，计算公式为：

其中，L为平均报文长度。

3.根据权利要求2所述的一种OpenFlow控制器抵御DDoS攻击的方法，其特征在于，步骤S2中所述的随机早期检测具体为：

S201：设置随机早期检测算法所需的4个预设参数，包括队列长度最小门限THmin，队列长度最大门限THmax，用于计算平均队列长度的比例值Wq和平均队列长度在最小门限和最大门限之间时最大报文丢弃概率Pmax；

S202：检测DDos攻击，包括：

S202-1：OpenFlow控制器以周期T向所有OpenFlow交换机发送流表查询信息，收到统计信息后提取每项流表的信息并将其存储于控制器中；

S202-2：计算出报文数的平均增长量，判断平均增长量是否异常；当平均增长量正常时，继续检测；当平均增长量异常时，判定为受到DDoS攻击，OpenFlow控制器下发一个高优先级流表，将受到DDoS攻击的端口的报文全部丢弃。

4.根据权利要求3所述的一种OpenFlow控制器抵御DDoS攻击的方法，其特征在于，步骤201所述的最大门限THmax是最小门限值THmin的3倍，最小门限值THmin的值为5个报文，最大报文丢弃概率Pmax为0.1，用于计算平均队列长度的比例值Wq为0.002。

5.根据权利要求3所述的一种OpenFlow控制器抵御DDoS攻击的方法，其特征在于，步骤S202-2中，高优先级流表设有超时时间Ttimeout，超时时间Ttimeout结束后，高优先级流表失效。

6.根据权利要求5所述的一种OpenFlow控制器抵御DDoS攻击的方法，其特征在于，所述的超时时间Ttimeout初始化为60秒。

7.根据权利要求3所述的一种OpenFlow控制器抵御DDoS攻击的方法，其特征在于，步骤S202-2之后还包括：高优先级流表失效前10s时，以5s为间隔查询该流表丢弃的报文数，若丢弃报文数的增长量异常，则高优先级流表的生存时间延长30s。

8.根据权利要求3所述的一种OpenFlow控制器抵御DDoS攻击的方法，其特征在于，步骤S202-2中判断平均增长量是否异常的方法为：预先设定阈值N，当多个周期的平均增长量持续超过阈值N时，判定平均增长量异常。