基于流量重路由链路泛洪攻击缓解方法、设备及存储介质技术

本发明专利技术涉及计算机网络与网络空间安全领域，公开了一种基于流量重路由的链路泛洪攻击缓解方法、设备及存储介质。所述方法包括：步骤1、寻找拥塞链路；步骤2、搜索修复路径；步骤3、流量重路由。该方法通过SDN控制器运行相关简单高效的算法，改变拥塞数据包的转发路径，实现对拥塞链路的流量重路由，缓解链路泛洪攻击，有效降低防御成本。有效降低防御成本。有效降低防御成本。

【技术实现步骤摘要】
基于流量重路由链路泛洪攻击缓解方法、设备及存储介质


[0001]本专利技术涉及计算机网络与网络空间安全领域，具体地，涉及一种基于流量重路由的链路泛洪攻击缓解方法、设备及存储介质。

技术介绍

[0002]国家计算机网络应急技术处理协调中心发布的数据显示：分布式拒绝服务攻击(Distributed denial of service,DDoS)是目前互联网用户面临的较常见、影响较严重的网络安全威胁之一。近年来，以链路泛洪攻击(Link Flooding Attack,LFA)为代表的链路型DDoS攻击成为工业界和学术界关注的热点。
[0003]目前，针对LFA的防御方法主要有：1、通过部署高性能的流量和数据处理设备，对异常的请求和流量进行分析、识别和过滤，实现资源隔离；2、在满足正常服务的前提下，设定限制流量类型、请求频率、数据包特征、业务间隔时间等用户规则；3、对大数据进行分析和建模，对合法用户模型化，使用这些模型的特征进行过滤，实现LFA流量的精确清洗；4、通过堆砌带宽资源和硬件资源来对抗LFA攻击。目前已有的上述应对LFA攻击的主要方法，需要服务的提供方支出高额的硬件成本、部署成本、计算成本及运维成本，严重受限于对于网络基础设施和云平台的技术实力，并且由于现有技术的检测精度与运行效率受限，这些方法在实际使用的过程中，并不能有效地防御LFA攻击。
[0004]软件定义网络(Software Defined Network，SDN)的兴起为LFA的检测和防御提供了新的思路。SDN是一种新型的网络架构，通过将物理设备的控制平面和数据平面分离开来，使用一个可编程的逻辑集中式控制器管理整个网络，利用底层转发设备实现数据转发功能。SDN控制器能够在线获取网络的性能指标，并且能够及时地调配资源，实现全局的决策。同时，SDN灵活的匹配域使得网络中任意给定的源地址和目的地址可以具有多条无环路径，从而实现灵活的、精细的流量管控。
[0005]因此，急需要提供一种基于流量重路由的链路泛洪攻击缓解方法来解决上述技术难题。

技术实现思路

[0006]本专利技术的目的是提供一种基于流量重路由链路泛洪攻击缓解方法，该方法通过SDN控制器运行相关简单高效的算法，改变拥塞数据包的转发路径，实现对拥塞链路的流量重路由，缓解链路泛洪攻击，有效降低防御成本。
[0007]为了实现上述目的，本专利技术提供了一种基于流量重路由链路泛洪攻击缓解方法，该方法包括：
[0008]步骤1、寻找拥塞链路，根据在发生链路泛洪攻击后网络中各条链路的带宽利用率、流量等实时信息，从网络拓扑中寻找到拥塞链路，提取拥塞链路中的流量和数据包的目的地址分布等特征；
[0009]步骤2、搜索修复路径，根据网络的拓扑结构、链路的约束条件和链路带宽利用率
等信息，使用网络流算法搜索并筛选得到剩余容量较多的多条修复路径；
[0010]步骤3、流量重路由，根据拥塞链路在重路由前的数据包的目的地址分布、流量信息、链路的带宽利用率和链路的约束条件等信息，将修复路径的流量分配问题转化为最优化问题，并以最大链路带宽利用率最小为目标，使用贪心算法给各条修复路径分配拥塞流量，求得最优解，根据分配结果，通过SDN控制器修改路由器中的路由表，实现拥塞流量重路由，最终实现缓解链路泛洪攻击。
[0011]优选地，步骤1包括：
[0012]对于一个给定的网络，根据网络中SDN交换机分布、服务器的分布、通信链路位置、通信业务等信息，构建网络拓扑模型G＝(V；E)，获得各节点v、各节点之间的链路e以及各条链路的流量T(e)、容量C(e)、带宽利用率U(e)等信息；其中，V表示网络中节点的集合，E表示网路中链路的集合；
[0013]首先，设定链路出现拥塞情况的带宽利用率阈值为U
th
，对网络中的各条链路的带宽利用率进行监测，将各条链路的带宽利用率和阈值进行比较；当该链路的带宽利用率超过阈值，则认为该条链路被LFA攻击并且该链路出现了严重拥塞，输出拥塞链路P
c
，根据相关链路信息，使用网络流算法搜索修复链路；否则，继续对网路中的链路进行监测。
[0014]优选地，步骤2包括：
[0015]当发现网络中出现拥塞链路时，首先根据网络中的链路信息，计算出网路中路径的带宽利用率；其中，从故障链路的起始节点s经过多个中间节点(v1,v2,
…
,v
n
),n∈(1,
…
,|V|)，其中|V|表示网络中节点的个数，到达目标节点d的前向路径定义如下：
[0016]P
s,d
＝(s,v1,v2,
…
,v
n
,d)
ꢀꢀ
(1)
[0017]认为前向路径的带宽利用率为前向路径中任意两相邻节点之间的链路的带宽利用率的最大值，前向路径的带宽利用率计算公式如下：
[0018][0019]根据当前网络中的链路、流量、容量、带宽利用率等方面的信息，设定网络流算法的规则，相关约束条件如下：
[0020][0021]其中，式(3)表示对于网络拓扑中的任意一条链路的两个节点x,y，从节点x到节点y的流量不能超过该条链路的容量。式(4)表示对于网络拓扑中的任意一条链路的两个节点x,y，从节点x到节点y的流量f(x,y)等于从节点y到节点x的流量f(y,x)的相反数。式(5)表示对于非起始节点、非目的节点的任意节点x而言，所有相邻节点流入到x节点的流量之和等于x节点流出到所有相邻节点的流量之和，体现了网络流的守恒性。
[0022]将公式(3)～(5)作为约束条件，使用网络流算法，以网络拓扑、现有链路在重路由前的流量、容量、带宽利用率等信息作为输入，以修复路径在重路由前的剩余容量最大为目标，寻找最优路径。每轮运行网络流算法，首先将不满足相关约束条件的路径移除；然后从
故障链路的起始节点开始，逐步优化路径；在对当前的节点，考虑到邻居链路的情况，计算当前链路的剩余容量；之后，比较上步计算得到的剩余容量和当前的剩余容量，将较小的值作为当前路径的剩余容量；采用上述步骤进行搜索，直到搜索过程扩展到目标节点，输出修复链路。每运行完一次网络流算法，则将这轮搜索到的修复链路从链路集合中移除。多次重复上述步骤，多次运行网络流算法，搜索得到多条剩余容量较大的修复路径。
[0023]根据网络流算法搜索得到的修复路径的跳数、带宽利用率、容量等方面的信息，设定修复路径筛选的规则，相关约束条件如下：
[0024][0025]其中，式(6)表示修复路径的跳数不得多于设定的修复路径最大跳数n
max
的限制，数据包的传输时间和传输过程经过的跳数成正相关，转发路径中的跳数越少，则数据包的传输时间越短，通过限制转发的跳数能够缩短流量重路由所需要花费的时间，也可以防止数据包的转发链路成环；式(7)表示修复路径在进行流量重路由前的带宽利用率需要在设定的范围内，否则将移除这条路径；式(8)表示修本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量重路由链路泛洪攻击缓解方法，其特征在于，所述方法包括：步骤1、寻找拥塞链路，根据在发生链路泛洪攻击后网络中各条链路的带宽利用率、流量等实时信息，从网络拓扑中寻找到拥塞链路，提取拥塞链路中的流量和数据包的目的地址分布等特征；步骤2、搜索修复路径，根据网络的拓扑结构、链路的约束条件和链路带宽利用率等信息，使用网络流算法搜索并筛选得到剩余容量较多的多条修复路径；步骤3、流量重路由，根据拥塞链路在重路由前的数据包的目的地址分布、流量信息、链路的带宽利用率和链路的约束条件等信息，将修复路径的流量分配问题转化为最优化问题，并以最大链路带宽利用率最小为目标，使用贪心算法给各条修复路径分配拥塞流量，求得最优解，根据分配结果，通过SDN控制器修改路由器中的路由表，实现拥塞流量重路由，最终实现缓解链路泛洪攻击。2.根据权利要求1所述的方法，其特征在于，步骤1包括：对于一个给定的网络，根据网络中SDN交换机分布、服务器的分布、通信链路位置、通信业务等信息，构建网络拓扑模型G＝(V；E)，获得各节点v、各节点之间的链路e以及各条链路的流量T(e)、容量C(e)、带宽利用率U(e)等信息；其中，V表示网络中节点的集合，E表示网路中链路的集合；首先，设定链路出现拥塞情况的带宽利用率阈值为U
th
，对网络中的各条链路的带宽利用率进行监测，将各条链路的带宽利用率和阈值进行比较；当该链路的带宽利用率超过阈值，则认为该条链路被LFA攻击并且该链路出现了严重拥塞，输出拥塞链路P
c
，根据相关链路信息，使用网络流算法搜索修复链路；否则，继续对网路中的链路进行监测。3.根据权利要求1所述的方法，其特征在于，步骤2包括：当发现网络中出现拥塞链路时，首先根据网络中的链路信息，计算出网路中路径的带宽利用率；其中，从故障链路的起始节点s经过多个中间节点(v1，v2，
…
，v
n
)，n∈(1，...，|V|)，其中|V|表示网络中节点的个数，到达目标节点d的前向路径定义如下：P
s，d
＝(s，v1，v2，
…
，v
n
，d)
ꢀꢀꢀꢀ
(1)认为前向路径的剩余容量为前向路径中任意两相邻节点之间的链路的剩余容量的最小值，前向路径的剩余容量计算公式如下：根据当前网络中的链路、流量、容量、带宽利用率等方面的信息，设定网络流算法的规则，相关约束条件如下：其中，式(3)表示对于网络拓扑中的任意一条链路的两个节点x，y，从节点x到节点y的流量不能超过该条链路的容量；式(4)表示对于网络拓扑中的任意一条链路的两个节点x，y，从节点x到节点y的流量f(x，y)等于从节点y到节点x的流量f(y，x)的相反数；式(5)表示
对于非起始节点、非目的节点的任意节点x而言，所有相邻节点流入到x节点的流量之和等于x节点流出到所有相邻节点的流量之和，体现了网络流的守恒性；将公式(3)～(5)作为约束条件，使用网络流算法，以网络拓扑、现有链路在重路由前的流量、容量、带宽利用率等信息作为输入，以修复路径在重路由前的剩余容量最大为目标，寻找最优路径；每轮运行网络流算法，首先将不满足相关约束条件的路径移除；然后从故障链路的起始节点开始，逐步优化路径；在对当前的节点，考虑到邻居链路的情况，计算当前链路的剩余容量；之后，比较上步计算得到的剩余容量和当前的剩余容量，将较小的值作为当前路径的剩余容量；采用上述步骤进行搜索，直到搜索过程扩展到目标节点，输出修复链路；每运行完一次网络流算法，则将这轮搜索到的修复链路从链路集合中移除；多次重复上述步骤，多次运行网络流算法，搜索得到多条剩余容量较大的修复路径；根据网络流算法搜索得到的修复路径的跳数、带宽利用率、容量等方面的信息，设定修复路径筛选的规则，相关约束条件如下：其中，式(6)表示修复路径的跳数不得多于设定的修复路径最大跳数n
max
的限制，数据包的传输时间和传输过程经过的跳数成正相关，转发路径中的跳数越少，则数据包的传输时间越短，通过限制转发的跳数能够缩短流量重路由所需要花费的时间，也可以防止数据包的转发链路成环；...

【专利技术属性】
技术研发人员：陈双武，程思雨，承孝敏，童孝伟，杨坚，张勇东，
申请(专利权)人：长三角信息智能创新研究院，
类型：发明
国别省市：