[发明专利]一种SDN数据中心中防御DDoS攻击的方法

权利要求书

1.一种SDN数据中心中防御DDoS攻击的方法，其特征在于，包括如下步骤：

(1)流量带宽检测与反馈：流量信息收集服务器作为旁路设备外挂于SDN网络的核心层，各SDN交换机定时将转发至不同目的服务器的流量信息发送至流量信息收集服务器，由流量信息收集服务器汇总出某一时刻发往每台服务器的流量信息；当发现发往某台服务器的流量大小超过阈值时，则认为这台服务器遭到了DDoS攻击，立即通知控制器；

(2)流量清洗平台攻击流量与合法访问流量分离

(2.1)控制器接收到某台服务器遭到DDoS攻击的消息后，向交换机下发流表，将转发至攻击目标的所有流量牵引至流量清洗平台；

(2.2)流量清洗平台对包进行深度检测，将正常访问的数据包分离出来并重新发往目标服务器，最后将正常访问的数据包与DDoS攻击数据包分开送往蜜罐节点；

(3)蜜罐节点攻击流量特征提取、反馈禁止流表：蜜罐节点对正常访问的数据包和DDoS攻击数据包进行对比并提取攻击流的特征，根据特征生成访问控制列表并发送至控制器；控制器根据收到的访问控制列表生成新的流表并下发至交换机，使得DDoS攻击数据包在进入交换机后被丢弃，从而达到减轻DDoS攻击，减轻服务器、流量清洗平台和蜜罐节点压力的效果。

2.根据权利要求1所述的一种SDN数据中心中防御DDoS攻击的方法，其特征在于，所述步骤(2.2)具体为：

流量清洗平台根据其自身数据库中存储的畸形攻击包特征，对转发来的数据包进行匹配，对于畸形的攻击包进行丢弃并将攻击包的信息发送至蜜罐节点；

对于经过第一轮过滤剩下的包，将其分为TCP和UDP两类；

针对TCP连接，流量清洗平台代替服务器进行响应回复，但并不为连接请求分配内存和CPU资源，若能收到客户端再次发来的ACK确认，则认为此连接是由正常用户发起的，并将连接转交至真正的服务器，同时将正常用户信息发送至蜜罐节点；若超时仍然无法收到客户端的ACK确认，则认为此连接是由DDoS攻击者发起的虚假连接请求，随后将攻击包的信息发送至蜜罐节点并删除连接；

对于UDP类型的包，流量清洗平台对其进行报文分析，当发现有大量的包内容很长或是相似度很高甚至相同，则认为这些包是DDoS攻击的包，随后将这些包的特征及正常UDP信息发送至蜜罐节点并将这些包丢弃，正常的UDP包发送至目标服务器。