技術領域

本發明涉及網絡安全領域，特別是涉及一種DDoS威脅過濾與鏈路重配的SDN架構及工作方法。

背景技術

當前，高速廣泛連接的網絡已經成為現代社會的重要基礎設施。然而，隨著互聯網規模的膨脹，傳統規范體系的缺陷也日益呈現出來。

國家計算機網絡應急技術處理協調中心(CNCERT/CC)最新發布的報告表明：黑客活動日趨頻繁，網站后門、網絡釣魚、Web惡意掛馬等攻擊事件呈大幅增長趨勢，國家、企業的網絡安全性面臨著嚴峻挑戰。

其中，分布式拒絕服務攻擊(Distributed?Denial?of?Service，DDoS)仍然是影響互聯網運行安全最主要的威脅之一。在過去的幾年里，DDoS攻擊的數目、大小、類型都大幅上漲。

軟件定義網絡(Software?Defined?Network，SDN)具有可實時更新路由策略與規則、支持深層次的數據包分析等特性，因而可針對復雜網絡環境中的DDoS威脅提供更迅速準確的網絡監控及防御功能。

發明內容

本發明的目的是提供一種SDN架構及其工作方法，以解決現有網絡中大量DDoS攻擊所造成的網絡安全問題，并且將檢測與決策分離，有效的減輕了控制器的負擔；同時，在威脅處理后重新規劃路由路徑，以實現對鏈路帶寬的充分利用，均衡各OF交換機的數據量。

為了解決上述技術問題，本發明提供了一種SDN架構，包括：控制器、IDS決策服務器和分布式的IDS設備；當任一IDS設備檢測到具有DDoS攻擊特征的報文時，即上報至IDS決策服務器，通過該IDS決策服務器制定出與所述報文對應的處理策略，并將處理策略下發至控制器以進行威脅處理，以及所述控制器在威脅處理后重新規劃路由路徑。

優選的，為了在IDS設備中實現DDoS檢測，所述IDS設備內包括：欺騙報文檢測模塊，對鏈路層和網際層地址的欺騙行為進行檢測；破壞報文檢測模塊，對網際層和傳輸層標志位設置的異常行為進行檢測；異常報文檢測模塊，對應用層和傳輸層泛洪式攻擊行為進行檢測；通過所述欺騙報文檢測模塊、破壞報文檢測模塊、異常報文檢測模塊依次對報文進行檢測；且若任一檢測模塊檢測出報文存在上述相應行為時，則將該報文轉入IDS決策服務器。

優選的，所述IDS決策服務器適于當報文具有欺騙行為，且攻擊威脅在OpenFlow域中，則通過控制器屏蔽攻擊主機；或當攻擊威脅不在OpenFlow域中，則通過控制器將該報文所對應的OF交換機接入端口流量重定向至流量清洗中心進行過濾；所述IDS決策服務器還適于當報文具有異常行為，則通過控制器對攻擊程序或攻擊主機的流量進行屏蔽；以及當報文具有泛洪式攻擊行為，則所述IDS決策服務器適于通過控制器將該報文所對應的OF交換機接入端口流量重定向至流量清洗中心進行過濾。

優選的，所述控制器內設一屏蔽計時模塊，所述屏蔽計時模塊內設有步進時間，該步進時間適于限定屏蔽攻擊主機時間，且跟隨主機屏蔽次數而遞增。

進一步，實現鏈路帶寬的重新調整，所述控制器適于在屏蔽攻擊主機后，重新規劃路由路徑；即檢測兩相鄰節點的鏈路剩余帶寬，獲得該鏈路的負載系數，再根據該負載系數調整路由路徑，并將該路由路徑得出對應的轉發流表并下發各OF交換機。

另一方面，本發明還提供了一種SDN架構的工作方法，以解決對DDoS攻擊的分布式監測，在制定相應威脅處理策略的技術問題。

為了解決上述技術問題，本發明還提供了一種SDN架構的工作方法，包括如下步驟：

步驟S100，網絡初始化；步驟S200，分布式DDoS威脅監測；步驟S300，威脅處理；步驟S400，重新規劃路由路徑。

優選的，為了更好的實現網絡配置，所述SDN架構包括：控制器、IDS決策服務器和分布式的IDS設備；網絡初始化的步驟如下：步驟S101，所述IDS決策服務器與各IDS設備建立專用的SSL通信信道；步驟S102，所述控制器構建網絡設備信息綁定表，并且將網絡設備信息綁定表實時更新到各IDS設備中；步驟S104，所述控制器下發鏡像策略的流表，即將OF交換機所有拖載有主機的端口流量鏡像轉發給網域內對應的IDS設備；以及步驟S105，所述控制器下發DDoS威脅識別規則給IDS設備。

優選的，所述步驟S200中分布式DDoS威脅監測的方法包括：依次對鏈路層和網際層地址的欺騙行為，網際層和傳輸層標志位設置異常行為，以及應用層和傳輸層的泛洪式攻擊行為進行檢測；若上述過程中任一檢測判斷出報文存在相應行為時，則將該報文轉入步驟S300。