[发明专利]基于软件定义网络的DDoS攻击跨层协同检测方法

说明书

本发明公开了基于软件定义网络的DDoS攻击跨层协同检测方法，目的是提高对DDoS攻击的检测效率。技术方案是构建由数据层面和控制层面构成的基于SDN的DDoS攻击跨层协同检测架构，数据层面的SDN交换机上有数据通路、交换机代理、DDoS攻击感知模块、特征提取模块；控制层面的SDN控制器上有控制器代理、事件管理器、DDoS攻击分类模块、僵尸网络溯源模块。数据层面对数据流进行粗粒度检测得到DDoS攻击异常流量数据，控制层面对DDoS攻击异常流量数据进行细粒度检测。本发明通过数据层面与控制层面协同合作，解决了SDN南向接口压力大、SDN控制器负担过大的问题，既能检测出DDoS攻击类型，又能检测出可能接近僵尸网络的交换机集合，提高了DDoS攻击检测的速度和准确度。

技术领域

本发明涉及计算机网络安全领域，特别涉及一种基于SDN(Soft ware DefinedNetwork,软件定义网络)的DDoS(Distributed Denial of Service，分布式拒绝服务)攻击跨层协同检测方法。

背景技术

随着计算机网络技术的快速发展，网络攻击破坏行为也日益频繁，计算机网络安全形势日益严峻。其中，DDoS攻击是目前计算机网络中最受关注的安全问题之一。DDoS攻击通常是利用僵尸网络对受害者发送大量的服务请求，造成受害者资源大量消耗，从而无法及时响应合法用户的请求，甚至完全瘫痪。随着网络技术的发展，DDoS攻击流量的也在不断增大，使其越来越难以检测。

SDN(Soft Defined Network)即软件定义网络，是一种新型的网络架构。如图1所示，SDN架构由数据层面和控制层面构成，控制层面通过南向接口数据层面进行通信。数据层面由多个网络设备(SDN交换机、路由器)组成，网络设备负责数据的传输；控制层面包括SDN控制器，控制层面负责对数据层面中网络设备的管理。

网络设备中的SDN交换机上安装有交换机代理，具有数据通路；交换机代理对SDN交换机进行管理，对SDN交换机中的数据通路进行控制，SDN交换机上的硬件计数器对所有经过该交换机数据通路的数据包和比特数进行记录。

SDN控制器上安装有控制器代理、DDOS攻击检测软件；控制器代理对SDN控制器进行管理，SDN控制器向下通过南向接口与数据层面的交换机进行通讯。

随着SDN的发展，越来越多的研究开始着眼于利用SDN从网络全局出发来进行DDoS攻击检测。

目前基于SDN的DDoS攻击检测方法主要是以控制层面为中心，由SDN控制器上的DDoS攻击检测软件完成，主要步骤如下：

1)数据层面的交换机中的交换机代理周期性地不断从数据通路收集报文或各类统计信息，将收集的报文或各类统计信息上传至控制层面的SDN控制器，作为SDN控制器的待检测数据；

2)控制层面从交换机接收待检测数据，由DDoS攻击检测软件对待检测数据进行检测，判断是否受到DDoS攻击，形成检测结果，将检测结果发送给控制器代理；控制器代理将检测结果反馈给数据层面的交换机。

然而，现有的基于SDN的DDOS攻击检测方法存在着如下技术问题：

1)控制层面的SDN控制器需要不断从数据层面的交换机获取待检测数据进行攻击检测，这就导致了SDN南向接口压力和检测延迟的增大；

2)目前基于SDN的DDOS攻击检测以控制层面为核心，数据层面过于简化导致所有检测工作均需在控制平面完成，数据层面与控制层面智能协作的优势未得到很好地应用，导致控制层面的SDN控制器工作负载过重导致拥塞，而数据层面资源则有所浪费。

鉴于此，如何提供一种基于软件定义网络的DDoS攻击跨层协同检测方法，充分利用控制层面与数据层面各自优势进行协同合作，减少SDN南向接口压力和SDN控制器负担过大，有效提高对DDoS攻击检测的效率成为本领域研究人员亟待解决的问题。

发明内容