[发明专利]一种SDN控制器的DDoS攻击防御方法及防御系统

说明书

本发明提供了一种SDN控制器DDoS攻击的防御方法及防御系统，首先通过两阶段对攻击进行检测，从而判断DDoS攻击是否存在，在攻击发生的时候通过攻击定位的方法筛选出可疑的交换机集合，在攻击发生后，通过缓解攻击将恶意的Packet‑in消息丢弃，并通过设置合适的流表项Timeout值来保护交换机流表空间。本发明解决了在满足OpenFlow策略下，精确地检测可疑的Packet‑in消息的问题，尽快地对SDN控制器进行攻击防御，使得正常的数据包能够获得较好的服务质量，从而恢复网络的正常状态且确保正常的数据包处理。本发明检测速度快、检测精度高、结构简单，具有很强的推广应用价值。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种SDN控制器的DDoS攻击防御方法及防御系统。

背景技术

SDN作为新兴技术，利用SDN能够有效地解决传统网络中存在的一些问题，譬如，解决传统网络中的流量工程、安全等问题，但SDN架构中引入的新特性同时也带来了全新的挑战。在SDN大规模商业应用之前，仍有大量问题亟待解决，其中最重要的就是SDN安全问题，而控制平面作为SDN的核心，一旦控制平面出现安全问题，会对全网造成影响，甚至可能造成全网瘫痪。

在SDN网络中，OpenFlow协议负责建立SDN控制器和交换机之间的安全信道，并进行通信，OpenFlow交换机将流表作为数据转发的依据，当交换机接收到报文后依次查找流表中的流表项，若当前报文能匹配该流表项，则执行相应的转发操作，若未能在交换机流表中匹配到相应的流表项，则按交换机中存在的table-miss的流表项进行处理，对于table-miss流表项交换机通常发送Packet-in消息给控制器进行后续处理。然而，交换机由于报文缓存空间不同对上报到控制器的Packet-in消息有两种不同的处理方式：一种是当交换机中有足够报文缓存空间时，交换机把报文存储在交换机中，仅把报文头部信息打包成Packet-in消息发送给SDN控制器，SDN控制器通过Flow-mod消息下发相应的流表项到交换机中，然后交换机根据下发的流表项对报文进行处理；另一种是当交换机报文缓存空间不足时，交换机把整个报文发送给控制器，而不仅仅只是包含数据报文的头部信息。

DDoS攻击者利用SDN的上述特性对控制器发起攻击，如图3所示，攻击者通过攻击SDN中的一个或多个主机节点来伪造大量table-miss的攻击流，这些伪造的攻击流无法在与之相连的OpenFlow交换机流表中找到匹配的流表项进行转发，从而交换机将触发大量的Packet-in消息到SDN控制器。通常，攻击者将根据OpenFlow规范中定义的匹配字段伪造新的数据包，目前较常见的伪造攻击报文主要基于源\目IP地址、源\目MAC地址、源\目端口号以及协议字段，洪泛的Packet-in消息流请求到达控制器，它们将消耗控制器的资源(即CPU，内存，带宽)以进行流表项规则的计算和建立，如果没有任何保护，控制器的资源可能会被泛洪请求所饱和，合法请求可能会被丢弃，因此SDN最关键的部分是控制器，所以它也是整个SDN网络的单点故障。

DDoS攻击是对SDN网络最具有威胁的攻击之一，攻击者通过发送大量的报文用于耗尽目标主机或者服务器资源，从而导致目标服务器负载过高不能为合法用户提供相应的服务甚至瘫痪，同时，SDN由于其集中控制特性，对SDN控制器的DDoS攻击成为了SDN控制面最主要的安全问题。为了SDN控制器受到DDoS攻击时保证整个网络服务的可用性，已经有些关于SDN控制器DDoS安全的研究，例如，最简单的Packet-in消息速率检测机制，若控制器端的Packet-in消息数目超过一定的阈值则认为存在DDoS攻击，但是这种方法会导致较高的误报率。

发明内容

针对现有技术中的上述不足，本发明提供的一种SDN控制器的DDoS攻击防御方法及防御系统解决了在满足OpenFlow的策略下，如何精准地检测可疑的Packet-in消息，并实时地对SDN控制器进行攻击防御的问题。

为了达到以上目的，本发明采用的技术方案为：本方案提供一种SDN控制器的DDoS攻击防御方法，包括如下步骤：