本發明實施例公開了一種惡意攻擊的檢測方法及裝置，方法包括：控制器接收第一交換機發送的Packet?in消息，所述Packet?in消息中包括第一交換機未查找到流表項的數據包的源主機標識和目的主機標識；控制器判斷SDN網絡中不存在所述目的主機標識指示的主機時，向第一交換機發送異常流表項；所述異常流表項中包括源主機標識；控制器接收第一交換機發送的觸發次數；所述觸發次數由第一交換機在異常流表項超時后發送，且所述觸發次數是所述異常流表項的觸發次數；控制器根據所述觸發次數判斷所述源主機標識指示的源主機是否存在惡意攻擊。本發明實施例能夠檢測主機的惡意攻擊，且能夠降低控制器的數據處理量，提高控制器性能。

技術領域

本發明涉及通信領域，尤其涉及惡意攻擊的檢測方法和裝置。

背景技術

軟件定義網絡(SDN，Software Defined Networking)網絡的基本思想是實現了控制面和轉發面的分離。SDN網絡中一般包括控制器(Controller)、交換機(Switch)和主機(Host)；其中，控制器用于基于全網視圖制定路由策略，將路由策略通過流表項的方式下發交換機，以便交換機將流表項保存至流表，從而控制器通過對交換機中流表的控制實現對整個網絡的集中控制；交換機用于根據交換機本地的流表項轉發主機的數據包。

SDN網絡內，主機通常的通信場景如圖1所示，其中，主機A向與其連接的交換機1發送數據包，假設數據包的目的主機為SDN網絡內的主機B；交換機1在本地的流表中查找該數據包的流表項，如果交換機1查找到該數據包的流表項，根據該流表項轉發該數據包；如果交換機1未查找到該數據包的流表項，向控制器發送Packet-in消息；控制器為該數據包選擇轉發路徑，將轉發路徑通過流表項的方式下發至轉發路徑上的所有交換機；交換機1以及轉發路徑上的交換機根據下發的流表項轉發該數據包。

由于控制器已經向轉發路徑上的所有交換機下發了主機A和主機B之間通信的流表項，則后續主機A發送目的主機為主機B的數據包時，交換機1直接根據流表項轉發該數據包即可，交換機1將不會再產生Packet-in消息。

而如果主機發送的數據包的目的主機是SDN網絡外的主機C時，通信場景如圖2所示，其中，

主機A向與其連接的交換機1發送數據包，假設數據包的目的主機為主機C，且SDN網絡中不包括所述主機C；

交換機1在交換機本地的流表中查找該數據包的流表項，由于主機C并不在SDN網絡中，則交換機1無法查找到該數據包的流表項，向控制器發送Packet-in消息；

控制器接收所述Packet-in消息，在SDN網絡中尋找所述主機C，由于主機C并不在SDN網絡中，控制器無法找到主機C，則控制器丟棄該Packet-in消息，不下發該數據包的流表項給交換機1。

如果之后主機A再發送目的主機為主機C的數據包，交換機1和控制器都會重復上述步驟，最終由控制器丟棄Packet-in消息。

基于以上SDN網絡中主機的通信方法，可以認為圖1所示場景下的Packet-in消息為正常Packet-in消息，而圖2所示場景下的Packet-in消息為無效Packet-in消息。如果SDN網絡中有主機對控制器進行惡意攻擊，發送大量目的主機不在SDN網絡中甚至目的主機不存在的數據包，與之連接的交換機會產生大量無效Packet-in消息發送至控制器，控制器需要消耗大量的處理資源處理這些無效Packet-in消息、查找所述不在SDN網絡中甚至不存在的目的主機，從而影響控制器對正常Packet-in消息的處理。

為此，需要對SDN網絡中主機針對控制器的惡意攻擊進行檢測，目前對主機惡意攻擊的檢測方法是：控制器統計單位時間內接收到的每個主機作為源主機時對應產生的Packet-in消息個數，通過所述個數計算每個主機作為源主機產生Packet-in消息的速率，根據所述速率確定每個主機是否對控制器進行惡意攻擊。