[發(fā)明專利]一種軟件定義網(wǎng)絡(luò)中鏈路洪泛攻擊檢測(cè)響應(yīng)機(jī)制有效
| 申請(qǐng)?zhí)枺?/td> | 201910643617.8 | 申請(qǐng)日: | 2019-07-17 |
| 公開(公告)號(hào): | CN110351286B | 公開(公告)日: | 2021-05-18 |
| 發(fā)明(設(shè)計(jì))人: | 于堯;張召;劉樹美;高宵佳 | 申請(qǐng)(專利權(quán))人: | 東北大學(xué) |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06;H04L12/26;H04L12/801 |
| 代理公司: | 大連東方專利代理有限責(zé)任公司 21212 | 代理人: | 姜玉蓉;李洪福 |
| 地址: | 110819 遼寧*** | 國(guó)省代碼: | 遼寧;21 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 軟件 定義 網(wǎng)絡(luò) 中鏈路洪泛 攻擊 檢測(cè) 響應(yīng) 機(jī)制 | ||
1.一種軟件定義網(wǎng)絡(luò)中鏈路洪泛攻擊檢測(cè)響應(yīng)方法,包括:潛在目標(biāo)鏈路識(shí)別模塊、鏈路擁塞監(jiān)控模塊、流量工程模塊以及惡意主機(jī)識(shí)別模塊,其特征在于,至少包括以下步驟:
S1:所述潛在目標(biāo)鏈路識(shí)別模塊通過SDN控制器通過頭部空間分析獲取網(wǎng)絡(luò)拓?fù)渲械牧髀窂剑治鲎R(shí)別網(wǎng)絡(luò)拓?fù)渲泄粽叩哪繕?biāo)鏈路;
S2:所述鏈路擁塞監(jiān)控模塊對(duì)識(shí)別的所述攻擊者的目標(biāo)鏈路進(jìn)行實(shí)時(shí)監(jiān)控,通過監(jiān)控所述潛在目標(biāo)鏈路的利用率是否達(dá)到預(yù)設(shè)的閾值來判斷鏈路是否發(fā)生擁塞;
S3:所述流量工程模塊獲知擁塞鏈路的情況之后通過對(duì)網(wǎng)絡(luò)的鏈路拓?fù)湫畔⒁约柏?fù)載分布信息進(jìn)行收集與分析,對(duì)所述擁塞鏈路的流量從小到大排序,然后將高速率流量進(jìn)行優(yōu)先調(diào)度進(jìn)行調(diào)度,將所述網(wǎng)絡(luò)擁塞的過載態(tài)勢(shì)降低至75%以下;
S4:通過多次重路由所述擁塞鏈路上流量的源主機(jī)信息被記錄下來;所述惡意主機(jī)識(shí)別模塊結(jié)合所述多次重路由記錄的源主機(jī)信息和重路由之后惡意主機(jī)發(fā)送探測(cè)路由命令traceroute的行為對(duì)潛在的惡意主機(jī)進(jìn)行識(shí)別,并將識(shí)別出的惡意主機(jī)進(jìn)行丟包限制;
所述控制器結(jié)合上一個(gè)周期的信息,得到每一個(gè)交換機(jī)在一個(gè)周期T內(nèi)接收的字節(jié)數(shù)和轉(zhuǎn)發(fā)的字節(jié)數(shù),再結(jié)合控制器掌握的網(wǎng)絡(luò)拓?fù)鋱D,得到潛在目標(biāo)鏈路的狀態(tài),通過每條鏈路轉(zhuǎn)發(fā)的流量的字節(jié)數(shù)和周期T的比值求得鏈路的當(dāng)前負(fù)載為:
其中,bt表示鏈路t時(shí)刻轉(zhuǎn)發(fā)的字節(jié)數(shù),bt-T表示時(shí)刻t-T鏈路轉(zhuǎn)發(fā)的字節(jié)數(shù),然后通過鏈路的當(dāng)前負(fù)載load與鏈路帶寬的比值求得鏈路利用率為:
其中,B表示鏈路帶寬。
2.根據(jù)權(quán)利要求1所述的一種軟件定義網(wǎng)絡(luò)中鏈路洪泛攻擊檢測(cè)響應(yīng)方法,其特征還在于:
所述網(wǎng)絡(luò)拓?fù)涓兄@取首先根據(jù)OpenFlow協(xié)議,控制器與交換機(jī)相互發(fā)送hello數(shù)據(jù)包建立通信連接;
當(dāng)連接建立完成后,所述控制器向所述交換機(jī)下發(fā)特征請(qǐng)求數(shù)據(jù)包features_request的數(shù)據(jù)包獲取所述交換機(jī)的基本信息,其中包括交換機(jī)編號(hào)dpid以及交換機(jī)的各個(gè)端口號(hào)port_no,其中所述交換機(jī)編號(hào)dpid為所述交換機(jī)在網(wǎng)絡(luò)中的唯一標(biāo)識(shí);所述控制器將攜帶dpid以及port_no信息的LLDP數(shù)據(jù)包通過packet_out消息向?qū)?yīng)交換機(jī)的端口發(fā)送,交換機(jī)接收到LLDP數(shù)據(jù)包后向控制器發(fā)送packet_in消息詢問控制器如何處理,最后控制器結(jié)合packet_in消息報(bào)頭的交換機(jī)編號(hào)dpid、交換機(jī)的入端口號(hào)in_port以及LLDP報(bào)文中的dpid和port_no得出一條鏈路信息;
直到控制器與其控制的所有路由器進(jìn)行通信并獲取其相關(guān)信息為止,所述控制器獲取的網(wǎng)絡(luò)中的交換機(jī)以及相應(yīng)的終端設(shè)備組成的網(wǎng)絡(luò)拓?fù)鋱D通過NetworkX存儲(chǔ)成圖等待鏈路擁塞判斷模塊以及流量工程模塊調(diào)用。
3.根據(jù)權(quán)利要求1所述的一種軟件定義網(wǎng)絡(luò)中鏈路洪泛攻擊檢測(cè)響應(yīng)方法,其特征還在于:
所述潛在目標(biāo)鏈路識(shí)別模塊根據(jù)獲取的網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息來構(gòu)建網(wǎng)絡(luò)鏈路的集合Link Map,然后根據(jù)所述Link Map規(guī)劃攻擊;通過計(jì)算網(wǎng)絡(luò)中流路徑的交集來進(jìn)行潛在目標(biāo)鏈路的識(shí)別選擇并結(jié)合控制器掌控的全局網(wǎng)絡(luò)視圖和頭部空間分析網(wǎng)絡(luò)拓?fù)涓兄@取;所述流路徑表示一個(gè)流量進(jìn)行過的路徑。
4.根據(jù)權(quán)利要求1所述的一種軟件定義網(wǎng)絡(luò)中鏈路洪泛攻擊檢測(cè)響應(yīng)方法,其特征還在于:
所述鏈路擁塞監(jiān)控模塊通過Ryu控制器掌握的全網(wǎng)視圖以及周期性獲取網(wǎng)絡(luò)鏈路狀態(tài)來判斷潛在目標(biāo)鏈路是否發(fā)生擁塞。
5.根據(jù)權(quán)利要求1所述的一種軟件定義網(wǎng)絡(luò)中鏈路洪泛攻擊檢測(cè)響應(yīng)方法,其特征還在于:
所述流量工程模塊引入了第三方包NetworkX來進(jìn)行網(wǎng)絡(luò)拓?fù)湟晥D的存儲(chǔ),實(shí)現(xiàn)最佳轉(zhuǎn)發(fā)路徑的計(jì)算,需要對(duì)擁塞鏈路的流量進(jìn)行從大到小排序,從而實(shí)現(xiàn)高效的緩解擁塞態(tài)勢(shì)。
6.根據(jù)權(quán)利要求3所述的一種軟件定義網(wǎng)絡(luò)中鏈路洪泛攻擊檢測(cè)響應(yīng)方法,其特征還在于:
所述控制器獲取流路徑的過程為:
為獲取網(wǎng)絡(luò)中潛在目標(biāo)鏈路集合,本發(fā)明使用頭部空間分析HSA來獲取網(wǎng)絡(luò)中的流路徑;
在進(jìn)行頭部空間分析時(shí),一個(gè)數(shù)據(jù)包的包頭部被看作為一個(gè)0和1的序列,包頭部空間表示為{0,1}L,其中L表示分組的長(zhǎng)度,并且以bit為單位;網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)設(shè)備T,通過T來表示交換機(jī)的轉(zhuǎn)發(fā)過程;
當(dāng)一個(gè)包頭部h到達(dá)時(shí),轉(zhuǎn)發(fā)到交換機(jī)的端口p,表示為:
T(h,p)→{(h1,p1),(h2,p2,...)};
按照{(diào)switch,rule}的序列來建立一對(duì)節(jié)點(diǎn)之間的流路徑,其中rule表示交換機(jī)中數(shù)據(jù)包的處理規(guī)則,則流路徑可以表示為:
FPi=(s1,r1)→...→(sn-1,rn-1)→(sn,rn);
這里詳細(xì)的描述一下SDN網(wǎng)絡(luò)中獲取流路徑的詳細(xì)步驟, 首先尋找流路徑的起點(diǎn),利用OpenFlow控制器掌控的全網(wǎng)拓?fù)洌@取網(wǎng)絡(luò)的路由信息,假設(shè)交換機(jī)s1為頭結(jié)點(diǎn);
讀取流表中的數(shù)據(jù)包的頭部信息,并將這些信息轉(zhuǎn)化成二進(jìn)制向量,并計(jì)算頭結(jié)點(diǎn)的目的IP地址IP_Dst(h)和s1的源IP地址IP_Src(s1)的交集,其中x表示通配符,z表示位交集的空集;兩個(gè)包頭部的交集是逐次對(duì)每一位進(jìn)行交集,如果任何一位返回z,則所有位的交集都是空集;所述頭結(jié)點(diǎn)的目的IP地址和s1的源IP地址的交集的結(jié)果不是空集,將s1添加到流路徑,根據(jù)網(wǎng)絡(luò)拓?fù)鋪慝@取中s1的下一跳交換機(jī),將s1的目的IP地址與其下一跳的源IP,所述交換機(jī)s2求交集;倘若不是空集,則將s2添加到流路徑。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于東北大學(xué),未經(jīng)東北大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910643617.8/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 一種基于應(yīng)用軟件散布的軟件授權(quán)與保護(hù)方法及系統(tǒng)
- 一種用于航空機(jī)載設(shè)備的軟件在線加載系統(tǒng)及方法
- 軟件構(gòu)建方法、軟件構(gòu)建裝置和軟件構(gòu)建系統(tǒng)
- 惡意軟件檢測(cè)方法及裝置
- 一種基于軟件基因的軟件同源性分析方法和裝置
- 軟件引入系統(tǒng)、軟件引入方法及存儲(chǔ)介質(zhì)
- 軟件驗(yàn)證裝置、軟件驗(yàn)證方法以及軟件驗(yàn)證程序
- 使用靜態(tài)和動(dòng)態(tài)惡意軟件分析來擴(kuò)展惡意軟件的動(dòng)態(tài)檢測(cè)
- 一種工業(yè)控制軟件構(gòu)建方法和軟件構(gòu)建系統(tǒng)
- 可替換游戲軟件與測(cè)驗(yàn)軟件的裝置與方法
- 網(wǎng)絡(luò)和網(wǎng)絡(luò)終端
- 網(wǎng)絡(luò)DNA
- 網(wǎng)絡(luò)地址自適應(yīng)系統(tǒng)和方法及應(yīng)用系統(tǒng)和方法
- 網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)至網(wǎng)絡(luò)橋接器
- 一種電力線網(wǎng)絡(luò)中根節(jié)點(diǎn)網(wǎng)絡(luò)協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡(luò)定位方法、存儲(chǔ)介質(zhì)及移動(dòng)終端
- 網(wǎng)絡(luò)裝置、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)方法以及網(wǎng)絡(luò)程序
- 從重復(fù)網(wǎng)絡(luò)地址自動(dòng)恢復(fù)的方法、網(wǎng)絡(luò)設(shè)備及其存儲(chǔ)介質(zhì)
- 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練方法、裝置及存儲(chǔ)介質(zhì)
- 網(wǎng)絡(luò)管理方法和裝置
- 一種ISIS協(xié)議LSP洪泛和同步方法
- 一種基于增量部署SDN網(wǎng)絡(luò)的鏈路洪泛攻擊的防御方法
- 減少網(wǎng)絡(luò)中鏈路狀變化的洪泛
- 內(nèi)部網(wǎng)關(guān)協(xié)議洪泛最小化
- 一種流量隔離方法、裝置及設(shè)備、存儲(chǔ)介質(zhì)
- 路由收斂的方法、裝置、通信設(shè)備以及存儲(chǔ)介質(zhì)
- 減小泛洪拓?fù)浯笮〉南到y(tǒng)和方法
- 用于備份泛洪拓?fù)浞蛛x的系統(tǒng)和方法
- 網(wǎng)絡(luò)鏈路或節(jié)點(diǎn)故障的恢復(fù)系統(tǒng)和方法
- 快速泛洪拓?fù)浔Wo(hù)
