一種基于SDN架構的DDOS攻擊防御網絡安全方法，包括：SDN交換機接受來自客戶機的資源請求，將接收到的請求數據包進行第一層DDOS檢測處理，將不能確定數據包合法的數據包交由清洗服務器進行處理；清洗服務器對SDN交換機轉發而來的數據包進行細粒度處理，通過算法對數據包進行分析處理，將處理過的數據包再一次轉發給SDN交換機，SDN交換機根據清洗服務器的檢測結果對數據包作第二次處理；Web服務器為客戶機請求資源的目標服務器，當清洗服務器對交換機轉發的數據包進行處理后，經“清洗”過的數據包會通過SDN交換機轉發給用戶請求資源訪問的Web服務器，Web服務器接受到數據包，并進行相應處理。

技術領域

本發明涉及網絡安全技術領域，具體地說，是一種基于SDN架構的DDOS攻擊防御網絡安全方法。

背景技術

DOS(Denial of Service，拒絕服務)攻擊是指攻擊者利用大量的數據“淹沒”目標主機，耗盡目標主機的可用資源直至主機系統崩潰，最終導致目標主機無法為正常用戶提供服務(例如WEB頁面服務)。早期的拒絕服務攻擊主要是針對處理能力比較弱的單機，如個人PC，或是窄帶寬連接的網站。對擁有高帶寬連接，高性能設備的服務器則影響不大，這主要是因為早期的DOS攻擊者往往是單兵作戰，很難在短時間內單獨制造出“大量”的攻擊數據。但在1999年底，伴隨著DDOS(Distributed Denial of Service，分布式拒絕服務)攻擊的出現，這種高性能服務器高枕無憂的局面就再也不存在了。DDOS攻擊是指攻擊者借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動攻擊，從而成倍上千地提高拒絕服務攻擊的數量。借助數百，甚至數千臺被植入攻擊守護進程的攻擊主機同時發起的集團作戰行為，在這種幾百，幾千對一的較量中，網絡服務提供商所面對的破壞力是空前巨大的。

一般情況下，DDoS攻擊會經歷三個階段，這三個階段主要包括：

目標確認階段，黑客會在互聯網上瞄準一個公司或者大型企業網絡的IP地址。這個被鎖定的IP地址可能代表了企業的Web服務器，DNS(Domain Name Server，域名服務器)，網關服務器等等；

準備階段，在這個階段，黑客會隨機性的入侵互聯網上大量的沒有良好防護系統的計算機。入侵的方式主要是植入病毒，被成功入侵的計算機我們常稱之為傀儡機，當傀儡機的數量達到一定的程度后，這些傀儡機便成為黑客進行DDoS攻擊的重要手段了。大批量的傀儡機一般成為“僵尸網絡”；

攻擊實施階段，黑客會將攻擊命令發送到所有被入侵的計算機(也就是傀儡機)上，并命令這些計算機利用預先植入的攻擊工具不斷向攻擊目標發送大量的數據包，造成設備上的處理進程一值被這些無關信息所占據。最后使得受害主機或者服務器消耗大量處理資源來處理這些突增的請求而無法正常響應合法用戶的請求，從而造成服務器甚至整個網絡的癱瘓。

截止到目前，國內外行內專家以及各大知名互聯網公司已對網絡中的DDOS攻擊檢測進行了大量深入研究，并且也提出來應對DDOS的解決方案，但是這些方案仍然不能很有效的防御DDOS，在過去的幾年里，DDOS攻擊的數目、大小、類型仍然呈現激增態勢發展。

發明內容

本發明的目的是提供一種基于SDN架構的DDOS攻擊防御網絡安全系統和方法，解決了現有技術中存在的問題。

截止到目前，針對于SDN架構的DDOS攻擊的檢測和防御手段還處于初級起步階段。就現階段而言，國內研究SDN架構下的DDOS防御采用的是傳統網絡防御DDOS類似的手段和方法，無法在SDN架構下達到防御的預期效果。本發明采用傳統防御手段與SDN架構下的防御手段相結合的方式衍生出的新型防御DOOS的技術，旨在解決SDN架構下的DDOS攻擊的檢測與防御，以保證整個網絡的正常運行。

本發明采用的具體技術方案如下：