本发明专利技术公开了基于软件定义网络的链路泛洪攻击防御方法及系统,其中方法包括:获取软件定义网络中各个链路的信息;根据各个链路的信息,确定关键链路;确定关键链路是否发生拥堵,对发生拥堵的链路进行缓解;对网络拥堵的时长和数量均超过设定阈值的链路,启动链路泛洪攻击检测;对产生泛洪攻击的链路进行攻击防御和预防。能够在保留软件定义网络灵活性的同时也能有效缓解链路泛洪攻击对网络带来的伤害。害。害。
【技术实现步骤摘要】
基于软件定义网络的链路泛洪攻击防御方法及系统
[0001]本专利技术涉及网络安全
,特别是涉及基于软件定义网络的链路泛洪攻击防御方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提到了与本专利技术相关的
技术介绍
,并不必然构成现有技术。
[0003]在现实的网络环境中,用户经常会遇到各种各样的网络攻击,信息网络的快速发展给人们带来快捷的同时也导致了发动网络攻击所需要的学习成本越来越低,同时我们所使用的电脑系统中也存在很多的漏洞,这就导致了网络攻击形式的多样化,从而也使用户信息安全性以及网络的便利程度都受到不同层次的影响。
[0004]电脑上的防护软件以及网络边界上的防火墙确实可以抵挡一部分网络攻击,但如果攻击者能够绕过防火墙或者并不是直接攻击防火墙内区域,防火墙就会失效。攻击者利用网络性能瓶颈发动的攻击就属于这种类型,比如攻击者可以使用僵尸网络发动DoS攻击或者DDoS攻击会直接导致用户的网络传输被中止。现在对普通DDoS攻击的检测与防御许多厂商已经有了很多解决方案,并且都有了很好的防护效果。
[0005]近年来新出现了一种新型的DDoS攻击,被称为链路洪泛攻击(Link Flooding Attack,LFA)。攻击者利用大量僵尸网络的机器人向目标区域相关联的链路发送低速但数量多的流,造成网络性能的下降。因为并没有直接攻击主机,所以用户很难判断自己受到了攻击,用户会更加倾向于信号不好等因素,目标区域中传统的入侵检测系统以及防火墙也会失去效果。这种攻击的原理类似于传统的DDoS,但与DDoS攻击不同的是发动这种攻击的攻击者的目的并不是直接攻击目标主机,而是希望通过向其所在的主干网络或者与目标区域关联度较大的链路上的其他区域内的主机发送合法低速的数据流来堵塞相关链路,从而使受害的区域内的主机连接不上网络。因为“实际上的接收数据的区域”可能不在检测系统的检测范围之内,而且这种攻击也并不是直接攻击的目标区域(甚至系统都未感知到自己受到了攻击),这样就导致了传统的DDoS检测手段失去了作用。这种攻击会严重影响用户的使用体验,而且如果攻击者攻击的是政府机关或者一些社会基础设施的网络,则可能会导致更为严重的后果。
[0006]软件定义网络(Software
‑
Defined Network,SDN)是美国斯坦福大学Clean
‑
Slate课题研究组提出的一种新型的网络架构,它是一种网络虚拟化的实现方式。其核心技术是将数据平面和控制平面分离,从而实现流量的灵活控制。SDN通过控制与转发分离,将交换设备的控制逻辑集中到控制器中,控制器再通过统一的接口将指令下发到交换设备中。其本质特点就是控制平面和数据平面的开放性以及可编程性。软件定义网络的出现打破了传统网络设备的局限性和封闭性,使网络更加简单,灵活开放。
[0007]软件定义网络的出现给网络带来了新的生机和活力的同时也面临着各种挑战。控制逻辑的集中会消耗控制器极大的资源,而且这种网络架构对使用僵尸网络发动的网络攻击尤其的敏感。当软件定义网络在面对僵尸网络所发动的攻击时,网络中会产生大量的新
的流量。而在SDN中每出现一个新的流量,SDN交换机中如果没有这个新的流的信息,那么其就会将这个流的信息发送给控制器,控制器就会处理这个信息的转发逻辑。但是僵尸网络的规模比较大,所以这会给控制器带来很大的负担。情况严重甚至会导致控制器进入死机并且不可自动恢复的状态,所以僵尸网络发动的DDoS攻击对于软件定义网络而言是致命的。LFA在原理上也属于DDoS的一种,当攻击者发动链路洪泛攻击时,SDN中受影响的交换机同样也会产生大量的Packet_In消息,这对于控制器的负载同样会变得很大。
技术实现思路
[0008]为了解决现有技术的不足,本专利技术提供了基于软件定义网络的链路泛洪攻击防御方法及系统;能够在保留软件定义网络灵活性的同时也能有效缓解链路泛洪攻击对网络带来的伤害。
[0009]第一方面,本专利技术提供了基于软件定义网络的链路泛洪攻击防御方法;
[0010]基于软件定义网络的链路泛洪攻击防御方法,包括:
[0011]获取软件定义网络中各个链路的信息;根据各个链路的信息,确定关键链路;
[0012]确定关键链路是否发生拥堵,对发生拥堵的链路进行缓解;
[0013]对网络拥堵的时长和数量均超过设定阈值的链路,启动链路泛洪攻击检测;
[0014]对产生泛洪攻击的链路进行攻击防御和预防。
[0015]第二方面,本专利技术提供了基于软件定义网络的链路泛洪攻击防御系统;
[0016]基于软件定义网络的链路泛洪攻击防御系统,包括:
[0017]关键链路确定模块,其被配置为:获取软件定义网络中各个链路的信息;根据各个链路的信息,确定关键链路;
[0018]负载均衡模块,其被配置为:确定关键链路是否发生拥堵,对发生拥堵的链路进行缓解;
[0019]攻击检测模块,其被配置为:对网络拥堵的时长和数量均超过设定阈值的链路,启动链路泛洪攻击检测;
[0020]缓解防御模块,其被配置为:对产生泛洪攻击的链路进行攻击防御和预防。
[0021]第三方面,本专利技术还提供了一种电子设备,包括:
[0022]存储器,用于非暂时性存储计算机可读指令;以及
[0023]处理器,用于运行所述计算机可读指令,
[0024]其中,所述计算机可读指令被所述处理器运行时,执行上述第一方面所述的方法。
[0025]第四方面,本专利技术还提供了一种存储介质,非暂时性地存储计算机可读指令,其中,当所述非暂时性计算机可读指令由计算机执行时,执行第一方面所述方法的指令。
[0026]第五方面,本专利技术还提供了一种计算机程序产品,包括计算机程序,所述计算机程序当在一个或多个处理器上运行的时候用于实现上述第一方面所述的方法。
[0027]与现有技术相比,本专利技术的有益效果是:
[0028]本专利技术基于软件定义网络架构,在获取网络视图以及流量数据上较为便捷,可以根据自身需求有针对性地设计流量路由方法,具有较强的灵活性;通过对当前链路的使用带宽和通过此条边的链路条数进行加权来确定潜在的危险链路,同时根据标准化后的可使用度和剩余带宽作为边的权值来进行负载均衡,剩余带宽可直接用链路总带宽减去当前负
载,避免带来过多的系统开销。并且引入动态特征作为权值可以更好的适应复杂的网络环境,提高当前系统的鲁棒性;在使用算法检测攻击之前,流量数据会和危险链路名单比较,这样节省了算法的时间,同时提升了系统的准确度,保证了模型训练的高效性和准确性;使用随机森林和支持向量机算法来检测攻击,两个算法的结合使用能有效保障检测结果的正确性;防御方法中根据流量来源来使用双向黑名单,减少了数据计算量,减轻了系统开销,提高了系统稳定性。
附图说明
[0029]构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于软件定义网络的链路泛洪攻击防御方法,其特征是,包括:获取软件定义网络中各个链路的信息;根据各个链路的信息,确定关键链路;确定关键链路是否发生拥堵,对发生拥堵的链路进行缓解;对网络拥堵的时长和数量均超过设定阈值的链路,启动链路泛洪攻击检测;对产生泛洪攻击的链路进行攻击防御和预防。2.如权利要求1所述的基于软件定义网络的链路泛洪攻击防御方法,其特征是,根据各个链路的信息,确定关键链路;具体包括:根据各个链路的信息,计算链路关键度;选择链路关键度大于设定阈值的链路,作为关键链路。3.如权利要求1所述的基于软件定义网络的链路泛洪攻击防御方法,其特征是,确定关键链路是否发生拥堵,对发生拥堵的链路进行缓解;具体包括:根据设定的链路容量警戒值来进行确定关键链路是否发生拥堵;对发生拥堵的链路采用负载均衡的方式进行缓解。4.如权利要求1所述的基于软件定义网络的链路泛洪攻击防御方法,其特征是,确定关键链路是否发生拥堵,对发生拥堵的链路进行缓解;具体包括:(1):记录超出链路容量警戒值的链路编号,将拥堵链路编号加入拥堵名单中,并且同时调整软件定义网络中链路的权值;并将权值以及链路编号上传到软件定义网络的控制器;(2):控制器使用最短链路算法,重新计算软件定义网络中的最短路径,同时启用备用链路;将备用链路编号加入拥堵名单中;(3):将计算过后的最短路径转化成流表命令下发到对应的交换机;(4):检查网络拥堵状况,若拥堵重复(1)~(3);(5):同一链路引起的拥堵名单在三分钟内数量超过设定的初始阈值B_Max,启动链路洪泛攻击检测。5.如权利要求1所述的基于软件定义网络的链路泛洪攻击防御方法,其特征是,对网络拥堵的时长和数量均超过设定阈值的链路,启动链路泛洪攻击检测;具体包括:先把拥塞链路与危险链路名单相比较,如果拥塞链路存在于危险链路名单中,就直接进入分类步骤,否则就再检查拥塞链路是否存在于临时危险链路名单,检查后如果拥塞链路存在于临时危险链路名单,就进入分类步骤,如果不存在就将其加入临时危险链路名单,然后返回继续负载均衡;分类步骤:对流经当前链路的流量以及因为当前链路拥塞而启用的备用链路的流量均分别输入第一分类器和第二分类器中,并根据两个分类器的分类结果,给出对应的响应。6.如权利要求5所述的基于软件定义网络的链路泛洪攻击防御方法,其特征是,第一分类器为随机森林模型;第二分类器为支持向量机模型;当第一分类器的分类结果为正常,第二分类器的分类结果为正常,则返回继续负载均衡,重置拥塞名单;当第一...
【专利技术属性】
技术研发人员:荆山,解集润,赵川,魏亮,陈贞翔,
申请(专利权)人:济南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。