[发明专利]一种SDN控制器的DDoS攻击防御方法及防御系统有效
| 申请号: | 201910124530.X | 申请日: | 2019-02-20 |
| 公开(公告)号: | CN109617931B | 公开(公告)日: | 2020-11-06 |
| 发明(设计)人: | 徐小琼;孙罡;董刘扬;虞红芳;许都;徐世中 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/801 |
| 代理公司: | 成都正华专利代理事务所(普通合伙) 51229 | 代理人: | 陈选中 |
| 地址: | 611731 四川省成*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种SDN控制器DDoS攻击的防御方法及防御系统,首先通过两阶段对攻击进行检测,从而判断DDoS攻击是否存在,在攻击发生的时候通过攻击定位的方法筛选出可疑的交换机集合,在攻击发生后,通过缓解攻击将恶意的Packet‑in消息丢弃,并通过设置合适的流表项Timeout值来保护交换机流表空间。本发明解决了在满足OpenFlow策略下,精确地检测可疑的Packet‑in消息的问题,尽快地对SDN控制器进行攻击防御,使得正常的数据包能够获得较好的服务质量,从而恢复网络的正常状态且确保正常的数据包处理。本发明检测速度快、检测精度高、结构简单,具有很强的推广应用价值。 | ||
| 搜索关键词: | 一种 sdn 控制器 ddos 攻击 防御 方法 系统 | ||
【主权项】:
1.一种SDN控制器的DDoS攻击防御方法,其特征在于,包括如下步骤:(S1)通过SDN控制器实时监控SDN网络状态,获取交换机的Packet‑in消息到达率以及Packet‑in消息的信息熵;(S2)根据所述交换机的Packet‑in消息到达率以及Packet‑in消息的信息熵,检测当前网络状态是否存在DDoS攻击,若有,则进入步骤(S3),反之,则给所述Packet‑in消息建立最大值的流表项Timeout=Tmax,并进入步骤(S4),其中,Timeout为交换机流表项超时值,Tmax为Packet‑in消息对应的流表项最大Timeout值;(S3)根据检测结果进行攻击定位,并根据攻击定位结果判断所述Packet‑in消息是否来自可疑交换机集合S_switch,若是,则丢弃所述Packet‑in消息,结束攻击防御,反之,则给所述Packet‑in消息建立动态的流表项Timeout=Tdym,并进入步骤(S4),其中,Timeout为交换机流表项超时值,Tdym为Packet‑in消息对应的流表项动态Timeout值;(S4)将Timeout=Tmax的流表项或Timeout=Tdym的流表项返回至SDN交换机进行转发,从而实现对SDN控制器的DDoS攻击防御。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910124530.X/,转载请声明来源钻瓜专利网。
