[发明专利]一种OpenFlow控制器抵御DDoS攻击的方法

说明书

一种OpenFlow控制器抵御DDoS攻击的方法，所述的OpenFlow控制器包括：流信息收集模块、流量检测模块和流量过滤模块，能够收集和分析流信息、下发流表，并以此来控制OpenFlow交换机的转发行为，本发明的方法不仅能够预防控制器遭受DDoS攻击，而且能够降低UDP大流对控制器资源的冗余消耗；无需修改现有的OpenFlow交换机；利用OpenFlow交换机的RED队列和限速机制，能明显减少攻击报文的数目；能够快速滤除DDoS攻击流量，保证控制器为收到的报文及时提供服务；是一种轻量级的易部署机制，可针对不同的DDoS攻击类型做出扩展，从而显著提高方法的健壮性。

技术领域

本发明属于网络通信领域，具体地说是提出一种OpenFlow控制器抵御DDoS攻击的方法。

背景技术

软件定义网络(Software Defined Networking，SDN)是一种新型网络架构，它将控制逻辑从数据平面中抽象出来成为控制平面，为网络管理者提供了更为灵活的编程方式，为解决传统TCP/IP网络中问题(如流量工程、准入控制、负载均衡等)提出了新的解决思路。OpenFlow作为SDN的一种南向接口标准，已经得到实际应用，符合OpenFlow标准的SDN网络被称为OpenFlow网络。作为承载控制平面功能的控制器，它在SDN中具有非常重要的地位，也是网络攻击者的首选目标。一旦控制器失效，将引发网络的单点故障，造成整个OpenFlow网络的瘫痪。

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是当今互联网面临的最主要的威胁之一。DDoS攻击通过调用分布于网络中的大量傀儡机向被攻击的目标服务器发起请求，该服务器因处理这些伪造请求而大量消耗资源，使得合法用户的请求无法及时得到网络服务。鉴于SDN控制器在网络中的作用，它将成为DDoS攻击的首选目标。因此，解决SDN控制器在DDoS攻击下的安全问题至关重要。

发明内容

本发明针对DDoS对OpenFlow控制器的攻击问题，提出了一种OpenFlow控制器抵御DDoS攻击的方法。

本发明的技术方案是：

一种OpenFlow控制器抵御DDoS攻击的方法，所述的OpenFlow控制器包括：流信息收集模块、流量检测模块和流量过滤模块，能够收集和分析流信息、下发流表，并以此来控制OpenFlow交换机的转发行为，该方法包括以下步骤：

S1：OpenFlow控制器获取全网拓扑信息，根据网络中OpenFlow交换机和主机的数量计算限速队列的速率值；

S2：在OpenFlow交换机上配置匹配流协议字段的转移流表，同时在限速队列中进行随机早期检测，获取DDoS攻击情况；

S3：到达OpenFlow交换机的新流通过转移流表传输到与该OpenFlow交换机相邻的OpenFlow交换机。

进一步地，所述的步骤S1具体为：

S101：计算OpenFlow控制器与OpenFlow交换机连接的每个端口的平均处理速率c：

其中，C表示OpenFlow控制器的处理速率，K表示与前述OpenFlow控制器连接的OpenFlow交换机的数量；

S102：将OpenFlow交换机的平均排队长度设为1个报文，计算限速队列的速率值V，计算公式为：

其中，L为平均报文长度。

进一步地，步骤S2中所述的随机早期检测具体为：