本發明涉及一種DDoS攻擊的移動目標防御方法，屬于網絡信息安全技術領域。提出了一種SDN環境下基于端址跳變的DDoS防御方法，使用基于信息熵的DDoS檢測方法，通過分析發送給SDN控制器數據包信息，根據正常網絡環境與DDoS攻擊網絡環境中數據包目的地址的隨機性變化判斷是否遭受DDoS攻擊，SDN控制器通過下發流表過濾惡意流量，并在隨機地址端口表中選取虛擬IP地址及端口進行通信，實現服務器端址跳變躲避DDoS攻擊。實驗表明，該方法不僅能快速檢測出DDoS攻擊，并且能夠有效緩解DDoS攻擊帶來的影響。

技術領域

本發明涉及一種DDoS攻擊的移動目標防御方法，特別是一種DDoS攻擊的SDN移動目標防御方法，屬于網絡信息安全技術領域。

背景技術

移動目標防御技術是近年來出現的網絡安全領域的革命性技術，MTD(Movingtarget defense，MTD)是一種主動防御技術，它通過多樣的、動態改變的構建部署機制及策略來增加攻擊者的攻擊難度和代價，其中端址跳變技術作為移動目標防御中一個主要的研究方向，已經越來越受到研究人員的關注。軟件定義網絡(SDN)是對傳統網絡技術的一種顛覆性創新，其最大的特點是實現了數據轉發層和控制層的解耦，分布式拒絕服務攻擊(Distributed Denial of Service attacks，DDoS)發起簡單且危害強，因為SDN架構的特點，使得DDoS攻擊對SDN架構的網絡是致命的。因此如何準確有效的檢測出DDoS攻擊以及對攻擊進行主動防御是SDN安全問題的重點研究方向。

發明內容

為了克服現有技術的不足，本發明的提供一種DDoS攻擊的移動目標防御方法。

本發明采用的技術方案如下：一種DDoS攻擊的移動目標防御方法，包括如下步驟：

(1)構建由控制器、多個OpenFlow交換機、多個客戶端和多個服務器構成的網絡系統；

(2)端址跳變模塊以及DDoS攻擊檢測模塊部署在SDN控制器上，每臺服務器通過OpenFlow交換機接入網絡；

(3)DDoS的攻擊檢測模塊是部署在SDN控制器上，在SDN環境中每條新的網絡數據流途經入口交換機時需要通過Packet-in消息上傳至控制器進行路由計算，通過分析發送給SDN控制器數據包信息，解析數據包的目的IP地址計算其熵值大小來判斷是否有攻擊產生。根據正常網絡環境與DDoS攻擊網絡環境中數據包目的地址的隨機性變化快速檢測出DDoS攻擊；

(4)DDoS攻擊檢測模塊檢測到攻擊，將根據數據包的目的IP地址對其所在的交換機下發阻斷流表過濾攻擊流量，同時將該IP地址加入到黑名單中，控制器將向受攻擊的服務器所在的OpenFlow交換機發送新的流表項，對受攻擊服務器實施端址跳變以躲避DDoS攻擊，

(5)端址跳變模塊部署在SDN控制器上，通信數據流所經過的每一跳OpenFlow交換機都會根據匹配的隨機地址端口表對數據包中的源和目的IP地址與源和目的端口進行隨機修改。在兩臺主機的通信過程中，端址跳變過程如下所示：

1)主機A通過交換機1、交換機2和交換機3到達主機B，源IP：rIPa，源端口：rPORTa，目的IP：rIPb，目的端口：rPORTb；

2)到達交換機1，從交換機1發送Packet-in數據包給SDN控制器，SDN控制器判斷是否目的地址直接連接到當前交換機，SDN控制器收到錯誤消息，即目的地址未直接連接到當前交換機，根據當前時隙所生成的隨機地址端口表，由SDN控制器下發流表項，把流表項輸出到交換機，修改源IP：vIP1，源端口：vPORT1，目的IP：vIP2，目的端口：vPORT2，將數據包轉發到下一跳；