本發(fā)明公開(kāi)了一種檢測(cè)基于流表超時(shí)機(jī)制的分布式拒絕服務(wù)攻擊的方法，包括四個(gè)步驟：步驟1：可疑表創(chuàng)建：為軟件定義網(wǎng)絡(luò)檢測(cè)基于超時(shí)機(jī)制的分布式拒絕服務(wù)攻擊創(chuàng)建一個(gè)可疑表，可疑表由若干個(gè)可疑表項(xiàng)構(gòu)成。步驟2：獲取當(dāng)前網(wǎng)絡(luò)狀態(tài)快照：創(chuàng)建軟件定義網(wǎng)絡(luò)流表在當(dāng)前檢測(cè)周期中的快照。步驟3：可疑表更新：對(duì)比步驟2中的流表快照，更新每一個(gè)可疑表項(xiàng)。步驟4：攻擊檢測(cè)：迭代步驟2和3，觀察可疑表，直至檢測(cè)到基于流表超時(shí)機(jī)制的分布式拒絕服務(wù)攻擊。

技術(shù)領(lǐng)域

本發(fā)明涉及一種在軟件定義網(wǎng)絡(luò)中檢測(cè)基于流表超時(shí)機(jī)制的分布式拒絕服務(wù)攻擊的方法，涉及了分布式拒絕服務(wù)攻擊檢測(cè)、軟件定義網(wǎng)絡(luò)領(lǐng)域，可以用于避免軟件定義網(wǎng)絡(luò)中流表超時(shí)機(jī)制引起的分布式拒絕服務(wù)攻擊。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)的管理變得越來(lái)越復(fù)雜。

軟件定義網(wǎng)絡(luò)作為一種新型的大規(guī)模網(wǎng)絡(luò)架構(gòu)，通過(guò)將傳統(tǒng)網(wǎng)絡(luò)中的控制邏輯和轉(zhuǎn)發(fā)設(shè)備分離，實(shí)現(xiàn)可編程網(wǎng)絡(luò)，從全局提供了一個(gè)虛擬的網(wǎng)絡(luò)操作系統(tǒng)，為網(wǎng)絡(luò)控制和管理提供了諸多便捷。

盡管軟件定義網(wǎng)絡(luò)帶來(lái)了諸多便利，軟件定義網(wǎng)絡(luò)也引入了很嚴(yán)重的安全威脅和漏洞。在諸多漏洞中，最嚴(yán)重的就是由軟件定義網(wǎng)絡(luò)集中式控制邏輯引起的分布式拒絕服務(wù)攻擊?，F(xiàn)有的很多關(guān)于軟件定義網(wǎng)絡(luò)中分布式拒絕服務(wù)攻擊檢測(cè)的研究重點(diǎn)在于控制平面，但很少有關(guān)心軟件定義網(wǎng)絡(luò)中數(shù)據(jù)平面的分布式拒絕服務(wù)攻擊檢測(cè)。由于軟件定義網(wǎng)絡(luò)中數(shù)據(jù)平面和控制平面的分離，數(shù)據(jù)平面同樣可能受到分布式拒絕服務(wù)攻擊。具體而言，軟件定義網(wǎng)絡(luò)數(shù)據(jù)平面中的流表存儲(chǔ)能力非常有限。

在軟件定義網(wǎng)絡(luò)中，流表的超時(shí)機(jī)制指明了網(wǎng)絡(luò)流量對(duì)應(yīng)的流表項(xiàng)在流表中的存在時(shí)間，因此，存在一種數(shù)據(jù)平面的分布式拒絕服務(wù)攻擊，攻擊者周期性地發(fā)送攻擊流量，在第一個(gè)周期占用多個(gè)流表項(xiàng)，隨后，在這些流表項(xiàng)即將超時(shí)之前重新發(fā)送相同的攻擊流量，實(shí)現(xiàn)對(duì)于流表的長(zhǎng)期占據(jù)?？紤]數(shù)據(jù)平面中流表存儲(chǔ)能力非常有限，這種類型的分布式拒絕服務(wù)攻擊會(huì)對(duì)正常用戶的流量造成很大影響。

在軟件定義網(wǎng)絡(luò)中，流表有兩種超時(shí)機(jī)制，硬超時(shí)和空閑超時(shí)。硬超時(shí)在流量到來(lái)時(shí)，不會(huì)刷新對(duì)應(yīng)的流表項(xiàng)的超時(shí)字段，所以不存在以上提到的分布式拒絕服務(wù)攻擊；另外，軟件定義網(wǎng)絡(luò)面臨各種傳統(tǒng)和新型的分布式拒絕服務(wù)攻擊，其攻擊方式區(qū)別于基于空閑超時(shí)的分布式拒絕服務(wù)攻擊，因此，該方法只適合軟件定義網(wǎng)絡(luò)中利用空閑超時(shí)漏洞的分布式拒絕服務(wù)攻擊檢測(cè)。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)中軟件定義網(wǎng)絡(luò)中利用空閑超時(shí)漏洞的分布式拒絕服務(wù)攻擊，長(zhǎng)期占用數(shù)據(jù)平面有限流表資源的缺陷，提供一種在軟件定義網(wǎng)絡(luò)中檢測(cè)基于流表超時(shí)機(jī)制的分布式拒絕服務(wù)攻擊的方法。

本發(fā)明提供了一種在軟件定義網(wǎng)絡(luò)中檢測(cè)基于流表超時(shí)機(jī)制的分布式拒絕服務(wù)攻擊的方法：

本發(fā)明在軟件定義網(wǎng)絡(luò)中檢測(cè)基于流表超時(shí)機(jī)制的分布式拒絕服務(wù)攻擊的方法，持續(xù)獲取軟件定義網(wǎng)絡(luò)在每個(gè)檢測(cè)周期的流表項(xiàng)快照，并把到目前為止可疑的流表項(xiàng)保存在可疑表中，最終檢測(cè)警報(bào)響起時(shí)，保存在可疑表中的有效表項(xiàng)對(duì)應(yīng)的流即分布式拒絕服務(wù)攻擊流量，包括四個(gè)步驟：

步驟1：可疑表創(chuàng)建：為軟件定義網(wǎng)絡(luò)檢測(cè)基于流表超時(shí)機(jī)制的分布式拒絕服務(wù)攻擊創(chuàng)建一個(gè)可疑表，可疑表由若干個(gè)可疑表項(xiàng)構(gòu)成，每一個(gè)表項(xiàng)對(duì)應(yīng)一個(gè)五元組：<匹配項(xiàng)，最后訪問(wèn)，時(shí)間戳，標(biāo)志，計(jì)數(shù)器>。在第一個(gè)檢測(cè)周期前，可疑表為空。

步驟2：獲取當(dāng)前網(wǎng)絡(luò)狀態(tài)快照：創(chuàng)建軟件定義網(wǎng)絡(luò)流表在當(dāng)前檢測(cè)周期i中的快照；快照中每一個(gè)流表項(xiàng)有兩個(gè)字段需要關(guān)注：匹配項(xiàng)字段以及最后訪問(wèn)字段。這兩個(gè)字段和可疑表項(xiàng)中對(duì)應(yīng)的兩個(gè)字段相關(guān)聯(lián)。

步驟3：可疑表更新：對(duì)比步驟2中的流表快照，更新每一個(gè)可疑表項(xiàng)。