技術領域

本發明涉及通信技術領域，尤其涉及一種惡意攻擊檢測方法及控制器。

背景技術

隨著OpenFlow（開放流，以下簡稱OF）網絡在實際場景中的廣泛應用，它必然也會面臨傳統網絡的遇到惡意攻擊的問題。典型的惡意攻擊包括淹沒攻擊、dos攻擊等，大部分的惡意攻擊是通過生成大量數據流使網絡發生擁堵或使目標服務器癱瘓，最常見的情況是攻擊還在網絡的承受范圍內但目標服務器已經癱瘓。

在傳統網絡中，對網絡擁堵的承受程度只能依賴交換機的健壯性，但由于網絡中可能會有各種不同類型的交換機，而它們的安全策略會有所不同，因此對網絡擁堵的承受程度具有不確定性；而針對目標服務器的攻擊則只能依賴服務器上安裝的防火墻和防護軟件，但惡意攻擊所生成的大量數據流已經耗費了網絡帶寬，使網絡具有滯后性。

目前，OF網絡還沒有應對惡意攻擊的策略。

發明內容

技術問題

有鑒于此，本發明要解決的技術問題是有效檢測出OF網絡遭到惡意攻擊。

解決方案

為了解決上述技術問題，根據本發明一實施例，提供了一種惡意攻擊檢測方法，應用于包括控制器和交換機的開放流網絡架構中，包括：

所述控制器接收所述交換機上報的報文上報消息；以及

所述控制器確定滿足上報速率條件的第一端口遭到惡意攻擊，

其中，所述第一端口為連接所述交換機與主機的端口，所述上報速率條件是指端口對應的報文上報消息的上報速率不小于預定的速率閥值且持續了第一時間長度。

對于上述惡意攻擊檢測方法，在一種可能的實現方式中，在所述控制器接收所述交換機上報的報文上報消息之后，該方法還包括：

所述控制器將接收到的所述報文上報消息進行存儲；

在所述控制器確定滿足上報速率條件的第一端口遭到惡意攻擊之后，該方法還包括：

所述控制器清除所存儲的所述第一端口對應的報文上報消息以及指示所述交換機清除所述第一端口對應的流表項。

對于上述惡意攻擊檢測方法，在一種可能的實現方式中，在所述控制器清除所述第一端口對應的報文上報消息以及指示所述交換機清除所述第一端口對應的流表項之后，還包括：

所述控制器下發新的流表項至所述交換機，所述新的流表項用于通知所述交換機直接丟棄從所述第一端口接收到的報文。

對于上述惡意攻擊檢測方法，在一種可能的實現方式中，當所述新的流表項老化后，所述控制器重新接收到所述交換機上報的對應于所述第一端口的報文上報消息，

其中，流表項老化包括所述流表項在預定的第二時間長度內無匹配的報文或該所述流表項已經持續了所述控制器預定的第三時間長度。

為了解決上述技術問題，根據本發明另一實施例，提供了一種控制器，應用于包括控制器和交換機的開放流網絡架構中，所述控制器包括：

接收模塊，用于接收所述交換機上報的報文上報消息；以及

處理模塊，與所述接收模塊連接，用于確定滿足上報速率條件的第一端口遭到惡意攻擊，

其中，所述第一端口為連接所述交換機與主機的端口，所述上報速率條件是指端口對應的報文上報消息的上報速率不小于預定的速率閥值且持續了第一時間長度。

對于上述控制器，在一種可能的實現方式中，還包括：

存儲模塊，與所述接收模塊和所述處理模塊連接，用于將接收模塊接收到的所述報文上報消息進行存儲；

所述處理模塊還用于清除所述第一端口對應的報文上報消息以及指示所述交換機清除所述第一端口對應的流表項。

對于上述控制器，在一種可能的實現方式中，還包括：

發送模塊，與所述處理模塊連接，用于下發新的流表項至所述交換機，所述新的流表項用于通知所述交換機直接丟棄從所述第一端口接收到的報文。

對于上述控制器，在一種可能的實現方式中，當所述新的流表項老化后，所述接收模塊重新接收到所述交換機上報的對應于所述第一端口的報文上報消息，

其中，流表項老化包括所述流表項在預定的第二時間長度內無匹配的報文或該所述流表項已經持續了所述控制器預定的第三時間長度。

有益效果