针对分布式反射拒绝服务DRDoS的安全防御方法和控制器技术

本公开提出一种针对分布式反射拒绝服务DRDoS的安全防御方法和控制器。本公开的一种针对DRDoS的安全防御方法包括：控制器获取对受害主机的攻击样本；控制器向溯源交换机库中的各个交换机提供攻击样本的上行消息的信息，根据上行消息在交换机的入口对攻击样本的上行消息溯源；确定发送攻击样本的上行消息的傀儡机；隔离傀儡机。通过这样的方法，能够由控制器向交换机发送攻击样本的上行消息的信息，根据上行消息在交换机的入口对进行攻击溯源，进而对确定的傀儡机进行隔离，提高有害流量溯源的效率和隔离的准确度。

Security Defense Method and Controller for Distributed Reflective Denial of Service DRDoS

【技术实现步骤摘要】
针对分布式反射拒绝服务DRDoS的安全防御方法和控制器
本公开涉及SDN(SoftwareDefinedNetwork，软件定义网络)
，特别是一种针对DRDoS(DistributedReflectionDenialofService，分布式反射拒绝服务)的安全防御方法和控制器。
技术介绍
在计算机网络的发展过程中，网络安全一向都是专家学者们重点关注的课题。SDN架构同样需要面临这些安全问题。分布式拒绝服务(DistributedDenialofService，DDoS)攻击就是很重要的一类需要克服的安全问题。这种攻击的思路是利用分布式的傀儡机群向目标主机发起攻击而耗尽其资源。在互联网中，48％的网络安全威胁都来自于DDoS攻击。DRDoS攻击因为具有传统DDoS攻击所不具备的放大功能而成为DDoS攻击中一类主要的方式。这类攻击中，攻击者利用僵尸网络中的大量被控主机，将IP地址伪装成目标主机，连续向多个反射器(如DNS(DomainNameSystem，域名系统)服务器、NTP服务器(NetworkTimeProtocol，网络时间协议))发送大量请求报文，迫使其提供应答服务。大量应答报文经服务器放大后发送到目标主机，导致短时间内目标主机端口的带宽占用急剧上升，使其无法进行正常工作，甚至宕机。
技术实现思路
专利技术人发现，DRDoS攻击中，由于傀儡机源IP伪造而隐蔽性强等原因，找出傀儡机并及时将它们的有害流量进行隔离会变得很难。传统网络中的数据可视性差、软硬件耦合度高，所以基于传统网络的DRDoS攻击溯源不够灵活，且已有的溯源算法大都需要对数据包做额外的标记或者需要网络中的路由器或主机对网络数据信息进行存储和处理，部署难度大。还有的算法是通过手动查询来进行攻击溯源，可用性差，并且随着人工操作的介入，网络对DRDoS攻击的处理时间将严重滞后，导致有害流量不能及时从网络中被隔离。本公开的一个目的在于提高有害流量溯源的效率和隔离的准确度。根据本公开的一个方面，提出一种针对DRDoS的安全防御方法，包括：控制器获取对受害主机的攻击样本；控制器向溯源交换机库中的各个交换机提供攻击样本的上行消息的信息，根据上行消息在交换机的入口对攻击样本的上行消息溯源；确定发送攻击样本的上行消息的傀儡机；隔离傀儡机。可选地，溯源交换机库包括反射服务器相连的交换机。可选地，控制器向溯源交换机库中的各个交换机提供攻击样本的上行消息的信息，根据上行消息在交换机的入口对攻击样本的上行消息溯源包括：控制器根据攻击样本生成包含攻击样本的上行消息的源地址信息和目的地址信息的流表项并发送给溯源交换机库中的交换机，以便交换机进行匹配操作；根据交换机反馈的匹配成功信息确定上行消息在交换机的入口；根据网络拓扑确定交换机的入口对应的上一跳节点；在上一跳节点为主机的情况下，执行傀儡机判断操作；在上一跳节点为交换机的情况下，执行向上一跳节点发送流表项查找对应的上一跳的操作，直至得到主机节点。可选地，执行傀儡机判断操作包括：判断上行消息的源地址与上一跳节点的地址是否相同；若相同，则上一跳节点为正常主机；若不同，则上一跳节点为傀儡机。可选地，还包括：在上一跳节点为交换机的情况下，将上一跳节点加入溯源交换机库。可选地，隔离傀儡机包括：向与傀儡机连接的交换机下发流隔离表项。通过这样的方法，能够由控制器向交换机发送攻击样本的上行消息的信息，根据上行消息在交换机的入口对进行攻击溯源，进而对确定的傀儡机进行隔离，提高有害流量溯源的效率和隔离的准确度。根据本公开的另一个方面，提出一种控制器，包括：攻击样本获取单元，用于获取对受害主机的攻击样本；攻击溯源单元，用于控制器向溯源交换机库中的各个交换机提供攻击样本的上行消息的信息，根据上行消息在交换机的入口对攻击样本的上行消息溯源；傀儡机确定单元，用于确定发送攻击样本的上行消息的傀儡机；傀儡机隔离单元，用于隔离傀儡机。可选地，溯源交换机库包括反射服务器相连的交换机。可选地，攻击溯源单元包括：流表项生成发送子单元，用于根据攻击样本生成包含攻击样本的上行消息的源地址信息和目的地址信息的流表项并发送给溯源交换机库中的交换机，以便交换机进行匹配操作；入口信息确定子单元，用于根据交换机反馈的匹配成功信息确定攻击样本的上行消息的在交换机的入口；拓扑查询子单元，用于根据网络拓扑确定交换机的入口对应的上一跳节点；节点判断子单元，用于判断上一跳节点的种类：在上一跳节点为主机的情况下，激活傀儡机确定单元执行傀儡机判断操作；在上一跳节点为交换机的情况下，激活流表项生成发送子单元向上一跳节点发送流表项。可选地，傀儡机确定单元用于：判断上行消息的源地址与上一跳节点的地址是否相同；若相同，则上一跳节点为正常主机；若不同，则上一跳节点为傀儡机。可选地，还包括：交换机库补充单元，用于在节点判断子单元确定上一跳节点为交换机的情况下，将上一跳节点加入溯源交换机库。可选地，傀儡机隔离单元用于向与傀儡机连接的交换机下发流隔离表项。根据本公开的又一个方面，提出一种控制器，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器的指令执行上文中任意一种针对DRDoS的安全防御方法。这样的控制器能够向交换机发送攻击样本的上行消息的信息，根据攻击样本的上行消息的信息在交换机的入口对上行消息溯源，进而对确定的傀儡机进行隔离，提高有害流量溯源的效率和隔离的准确度。根据本公开的再一个方面，提出一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现上文中任意一种针对DRDoS的安全防御方法的步骤。通过执行这样的计算机可读存储介质上的指令，能够向交换机发送攻击样本的上行消息的信息，根据攻击样本的上行消息的信息在交换机的入口对上行消息溯源，进而对确定的傀儡机进行隔离，提高有害流量溯源的效率和隔离的准确度。附图说明此处所说明的附图用来提供对本公开的进一步理解，构成本公开的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：图1为本公开的针对DRDoS的安全防御方法的一个实施例的流程图。图2为本公开的针对DRDoS的安全防御方法中溯源方法的一个实施例的流程图。图3为本公开的控制器的一个实施例的示意图。图4为本公开的控制器中攻击溯源单元的一个实施例的示意图。图5为本公开的控制器的另一个实施例的示意图。图6为本公开的控制器的又一个实施例的示意图。具体实施方式下面通过附图和实施例，对本公开的技术方案做进一步的详细描述。本公开的针对DRDoS的安全防御方法的一个实施例的流程图如图1所示。在步骤101中，控制器获取攻击样本。在一个实施例中，控制器可以根据监测数据或现有的安全防御算法确定发生对网络中主机的攻击，并提取攻击样本。在步骤102中，控制器向溯源交换机库中的各个交换机提供攻击样本的上行消息的信息，根据上行消息在交换机的入口对攻击样本的上行消息进行溯源。攻击样本的上行消息指的是从傀儡机发送给反射服务器的消息，当反射服务器收到该上行消息后，生成下行消息(即攻击样本)并发送给受害主机。溯源交换机库中包括与反射服务器相连的各个交换机。反射服务器指的是向受害主机反射攻击样本的服务器，如DNS服务器、NTP服务器等。在一本文档来自技高网...

【技术保护点】
1.一种针对分布式反射拒绝服务DRDoS的安全防御方法，包括：控制器获取对受害主机的攻击样本；所述控制器向溯源交换机库中的各个交换机提供所述攻击样本的上行消息的信息，根据所述上行消息在交换机的入口对所述攻击样本的上行消息溯源；确定发送所述攻击样本的上行消息的傀儡机；隔离所述傀儡机。

【技术特征摘要】
1.一种针对分布式反射拒绝服务DRDoS的安全防御方法，包括：控制器获取对受害主机的攻击样本；所述控制器向溯源交换机库中的各个交换机提供所述攻击样本的上行消息的信息，根据所述上行消息在交换机的入口对所述攻击样本的上行消息溯源；确定发送所述攻击样本的上行消息的傀儡机；隔离所述傀儡机。2.根据权利要求1所述的方法，其中，所述溯源交换机库包括反射服务器相连的交换机。3.根据权利要求1或2所述的方法，其中，所述控制器向溯源交换机库中的各个交换机提供所述攻击样本的上行消息的信息，根据所述上行消息在交换机的入口对所述攻击样本的上行消息溯源包括：所述控制器根据所述攻击样本生成包含攻击样本的所述上行消息的源地址信息和目的地址信息的流表项并发送给所述溯源交换机库中的交换机，以便所述交换机进行匹配操作；根据交换机反馈的匹配成功信息确定所述上行消息在所述交换机的入口；根据网络拓扑确定所述交换机的入口对应的上一跳节点；在所述上一跳节点为主机的情况下，执行傀儡机判断操作；在所述上一跳节点为交换机的情况下，执行向所述上一跳节点发送所述流表项查找对应的上一跳的操作，直至得到主机节点。4.根据权利要求3所述的方法，其中，所述执行傀儡机判断操作包括：判断所述上行消息的源地址与所述上一跳节点的地址是否相同；若相同，则所述上一跳节点为正常主机；若不同，则所述上一跳节点为傀儡机。5.根据权利要求3所述的方法，还包括：在所述上一跳节点为交换机的情况下，将所述上一跳节点加入所述溯源交换机库。6.根据权利要求1或2所述的方法，其中，所述隔离傀儡机包括：向与所述傀儡机连接的交换机下发流隔离表项。7.一种控制器，包括：攻击样本获取单元，用于获取对受害主机的攻击样本；攻击溯源单元，用于所述控制器向溯源交换机库中的各个交换机提供所述攻击样本的上行消息的信息，根据所述上行消息在交...

【专利技术属性】
技术研发人员：邢晓东，杜璟彦，白雪，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11