技術領域

本發明涉及網絡安全領域，特別是涉及一種集威脅處理和路由優化于一體的SDN 系統的工作方法。

背景技術

當前，高速廣泛連接的網絡已經成為現代社會的重要基礎設施。然而，隨著互聯 網規模的膨脹，傳統規范體系的缺陷也日益呈現出來。

國家計算機網絡應急技術處理協調中心(CNCERT/CC)最新發布的報告表明：黑客活 動日趨頻繁，網站后門、網絡釣魚、Web惡意掛馬等攻擊事件呈大幅增長趨勢，國家、 企業的網絡安全性面臨著嚴峻挑戰。

其中，分布式拒絕服務攻擊(Distributed Denial of Service，DDoS)仍然是影響 互聯網運行安全最主要的威脅之一。在過去的幾年里，DDoS攻擊的數目、大小、類型 都大幅上漲。

軟件定義網絡(Software Defined Network，SDN)具有可實時更新路由策略與規則、 支持深層次的數據包分析等特性，因而可針對復雜網絡環環境中的DDoS威脅提供更迅 速準確的網絡監控及防御功能。

發明內容

本發明的目的是提供一種集威脅處理和路由優化于一體的SDN架構及工作方法,以 解決現有網絡中大量DDoS攻擊所造成的網絡安全問題，以實現快速、高效、全面地識 別與防御DDoS攻擊。

為了解決上述技術問題，本發明提供了一種SDN網絡架構，包括：應用平面、數 據平面和控制平面；其中

數據平面，當位于數據平面中任一IDS設備檢測到DDoS攻擊特征的報文時，即通 過SSL通信信道上報至應用平面；

應用平面，用于對攻擊類型進行分析，并根據攻擊類型定制相應的攻擊威脅處理 策略；

控制平面，為應用平面提供攻擊威脅處理接口，并為數據平面提供最優路徑計算 和/或攻擊威脅識別接口。

優選的，為了在IDS設備中實現DDoS檢測，所述IDS設備內包括：欺騙報文檢測 模塊，對鏈路層和網際層地址的欺騙行為進行檢測；破壞報文檢測模塊，對網際層和 傳輸層標志位設置的異常行為進行檢測；異常報文檢測模塊，對應用層和傳輸層泛洪 式攻擊行為進行檢測；通過所述欺騙報文檢測模塊、破壞報文檢測模塊、異常報文檢 測模塊依次對報文進行檢測；且若任一檢測模塊檢測出報文存在上述相應行為時，則 將該報文轉入應用平面。

優選的，所述應用平面適于當報文具有欺騙行為，且攻擊威脅在OpenFlow域中， 則通過控制平面中的控制器屏蔽主機；或當攻擊威脅不在OpenFlow域中，則通過控制 器將該報文所對應的交換機接入端口流量重定向至流量清洗中心進行過濾；

所述應用平面還適于當報文具有異常行為，則通過控制器對攻擊程序或攻擊主機 的流量進行屏蔽；以及

當報文具有泛洪式攻擊行為，則所述應用平面適于通過控制器將該報文所對應的 交換機接入端口流量重定向至流量清洗中心進行過濾。

本發明的有益效果：本發明將DDoS威脅監測、威脅防護、路由優化等業務功能模 塊分別部署于數據平面、控制平面和應用平面。可使網絡在遭受大規模DDoS威脅時， 能夠根據鏈路的實時狀況實現路由優化的流量轉發，同時迅速準確的進行DDoS威脅識 別和處理響應，全面保障網絡通信質量。

又一方面，本發明還提供了一種DDoS威脅過濾SDN系統的工作方法，以解決防御 DDoS攻擊的技術問題。

為了解決上述技術問題，所述DDoS威脅過濾SDN系統的工作方法包括：當任一 IDS設備檢測到具有DDoS攻擊特征的報文時，即通過SSL通信信道上報至IDS決策服 務器；所述IDS決策服務器根據上報信息，制定出與具有DDoS攻擊特征的報文對應的 處理策略，然后將該報文通過控制器屏蔽或者將該報文所對應的交換機接入端口流量 重定向到流量清洗中心進行過濾。

優選的，為了在IDS設備中實現DDoS檢測，所述IDS設備內包括：欺騙報文檢測 模塊，對鏈路層和網際層地址的欺騙行為進行檢測；破壞報文檢測模塊，對網際層和 傳輸層標志位設置的異常行為進行檢測；異常報文檢測模塊，對應用層和傳輸層泛洪 式攻擊行為進行檢測；通過所述欺騙報文檢測模塊、破壞報文檢測模塊、異常報文檢 測模塊依次對報文進行檢測；且若任一檢測模塊檢測出報文存在上述相應行為時，則 將該報文轉入IDS決策服務器。