一種基于多級(jí)交互驗(yàn)證機(jī)制的SDN動(dòng)態(tài)目標(biāo)防御方法，包括以下步驟：S1、客戶端向轉(zhuǎn)發(fā)設(shè)備發(fā)送連接請(qǐng)求；S2、轉(zhuǎn)發(fā)設(shè)備向客戶端發(fā)送端口驗(yàn)證；S3、客戶端正確給出端口驗(yàn)證答案，則轉(zhuǎn)發(fā)設(shè)備向服務(wù)器發(fā)送連接請(qǐng)求，若客戶端未給出端口驗(yàn)證的正確答案且連續(xù)回答失敗多次后，轉(zhuǎn)發(fā)設(shè)備不向服務(wù)器發(fā)送連接請(qǐng)求；S4、服務(wù)器收到轉(zhuǎn)發(fā)設(shè)備發(fā)送的連接請(qǐng)求后，隨機(jī)生成一道驗(yàn)證難題發(fā)送至客戶端；S5、客戶端給出驗(yàn)證難題的正確答案，則服務(wù)器同意轉(zhuǎn)發(fā)設(shè)備的連接請(qǐng)求，服務(wù)器通過(guò)轉(zhuǎn)發(fā)設(shè)備與客戶端進(jìn)行數(shù)據(jù)連接，反之服務(wù)器與客戶端不建立數(shù)據(jù)連接。本發(fā)明中，通過(guò)生成多級(jí)困難問(wèn)題實(shí)現(xiàn)對(duì)客戶端請(qǐng)求的動(dòng)態(tài)管理，增加攻擊者的攻擊開(kāi)銷和攻擊難度。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于多級(jí)交互驗(yàn)證機(jī)制的SDN動(dòng)態(tài)目標(biāo)防御方法。

背景技術(shù)

針對(duì)SDN控制器的DoS攻擊是傳統(tǒng)DoS攻擊的一種衍生攻擊技術(shù)，在傳統(tǒng)的DoS攻擊中，攻擊者定向發(fā)送大量無(wú)效數(shù)據(jù)請(qǐng)求到指定目標(biāo)，造成目標(biāo)服務(wù)器過(guò)載，從而達(dá)到攻擊目的，同樣，在SDN中，由于控制器作為SDN網(wǎng)絡(luò)的“大腦”，承擔(dān)著網(wǎng)絡(luò)請(qǐng)求策略指定等核心功能，因此攻擊者也可以通過(guò)類似攻擊方式大量消耗控制器計(jì)算資源，影響正常數(shù)據(jù)請(qǐng)求處理，從而使整個(gè)SDN網(wǎng)絡(luò)癱瘓，隨著SDN技術(shù)廣泛應(yīng)用，針對(duì)控制器的DoS攻擊態(tài)勢(shì)逐年上升，造成的損失也逐漸增加，因此，提出一種針對(duì)SDN控制器的DoS攻擊防御方案迫在眉睫。

發(fā)明內(nèi)容

(一)發(fā)明目的

為解決背景技術(shù)中存在的技術(shù)問(wèn)題，本發(fā)明提出一種基于多級(jí)交互驗(yàn)證機(jī)制的SDN動(dòng)態(tài)目標(biāo)防御方法，當(dāng)客戶端請(qǐng)求連接時(shí)，首先需要通過(guò)轉(zhuǎn)發(fā)設(shè)備，轉(zhuǎn)發(fā)設(shè)備會(huì)對(duì)客戶端進(jìn)行端口驗(yàn)證，端口驗(yàn)證通過(guò)后轉(zhuǎn)發(fā)設(shè)備會(huì)向服務(wù)器發(fā)送連接請(qǐng)求，服務(wù)器接收到連接請(qǐng)求后，隨機(jī)產(chǎn)生一個(gè)驗(yàn)證難題發(fā)送給客戶端解決，客戶端在解決該問(wèn)題后將答案發(fā)送回服務(wù)器進(jìn)行驗(yàn)證，如果答案被成功驗(yàn)證，完成后續(xù)交互，否則不會(huì)有任何后續(xù)的交互。通過(guò)轉(zhuǎn)發(fā)設(shè)備和服務(wù)器生成多級(jí)困難問(wèn)題實(shí)現(xiàn)對(duì)客戶端請(qǐng)求的動(dòng)態(tài)管理，能減少網(wǎng)絡(luò)負(fù)載以及網(wǎng)絡(luò)攻擊流量，增加攻擊者的攻擊開(kāi)銷和攻擊難度。

(二)技術(shù)方案

2、本發(fā)明提出了一種基于多級(jí)交互驗(yàn)證機(jī)制的SDN動(dòng)態(tài)目標(biāo)防御方法，包括以下步驟：S1、客戶端向轉(zhuǎn)發(fā)設(shè)備發(fā)送連接請(qǐng)求；S2、轉(zhuǎn)發(fā)設(shè)備向客戶端發(fā)送端口驗(yàn)證；S3、客戶端正確給出端口驗(yàn)證答案，則轉(zhuǎn)發(fā)設(shè)備向服務(wù)器發(fā)送連接請(qǐng)求，若客戶端未給出端口驗(yàn)證的正確答案且連續(xù)回答失敗多次后，轉(zhuǎn)發(fā)設(shè)備不向服務(wù)器發(fā)送連接請(qǐng)求；S4、服務(wù)器收到轉(zhuǎn)發(fā)設(shè)備發(fā)送的連接請(qǐng)求后，隨機(jī)生成一道驗(yàn)證難題發(fā)送至客戶端；S5、客戶端給出驗(yàn)證難題的正確答案，則服務(wù)器同意轉(zhuǎn)發(fā)設(shè)備的連接請(qǐng)求，服務(wù)器通過(guò)轉(zhuǎn)發(fā)設(shè)備與客戶端進(jìn)行數(shù)據(jù)連接，若客戶端給出驗(yàn)證難題的答案不正確，服務(wù)器再次隨機(jī)生成一道不同的驗(yàn)證難題，若客戶端連續(xù)回答問(wèn)題失敗多次且次數(shù)超過(guò)服務(wù)器的設(shè)定回答問(wèn)題次數(shù)后，服務(wù)器不再向客戶端發(fā)送驗(yàn)證難題并拒絕轉(zhuǎn)發(fā)設(shè)備的連接請(qǐng)求，服務(wù)器與客戶端不建立數(shù)據(jù)連接。

優(yōu)選的，提出SDN動(dòng)態(tài)目標(biāo)防御系統(tǒng)，其特征在于，包括客戶端、轉(zhuǎn)發(fā)設(shè)備和服務(wù)器；轉(zhuǎn)發(fā)設(shè)備與客戶端數(shù)據(jù)連接，服務(wù)器與客戶端以及轉(zhuǎn)發(fā)設(shè)備均數(shù)據(jù)連接；轉(zhuǎn)發(fā)設(shè)備包括端口驗(yàn)證模塊、惡意IP統(tǒng)計(jì)模塊、惡意IP數(shù)據(jù)過(guò)濾模塊和端口轉(zhuǎn)發(fā)模塊；端口驗(yàn)證模塊用來(lái)向客戶端發(fā)送端口驗(yàn)證問(wèn)題并接收客戶端發(fā)送的端口驗(yàn)證問(wèn)題答案；當(dāng)客戶端連續(xù)多次給出的端口驗(yàn)證問(wèn)題答案均為錯(cuò)誤答案后，惡意IP統(tǒng)計(jì)模塊記錄此客戶端的IP；惡意IP數(shù)據(jù)過(guò)濾模塊用來(lái)過(guò)濾掉惡意IP統(tǒng)計(jì)模塊統(tǒng)計(jì)的客戶端發(fā)送的所有數(shù)據(jù)；端口轉(zhuǎn)發(fā)模塊用來(lái)與服務(wù)器建立數(shù)據(jù)傳輸?shù)亩丝谶B接，當(dāng)客戶端正確回答出端口驗(yàn)證問(wèn)題后，端口轉(zhuǎn)發(fā)模塊與服務(wù)器進(jìn)行數(shù)據(jù)連接；服務(wù)器包括難題生成模塊、難題發(fā)送模塊、答案接收模塊、答案比對(duì)模塊和開(kāi)放端口模塊；服務(wù)器接收到轉(zhuǎn)發(fā)設(shè)備的連接請(qǐng)求后，難題生成模塊隨機(jī)生成一道驗(yàn)證難題；難題發(fā)送模塊用來(lái)將驗(yàn)證難題發(fā)送給客戶端；答案接收模塊用來(lái)接收客戶端給出的答案；答案比對(duì)模塊用來(lái)將客戶給出的答案與標(biāo)準(zhǔn)答案進(jìn)行比對(duì)，若客戶端給出的答案正確，則同意轉(zhuǎn)發(fā)設(shè)備的連接請(qǐng)求，并將開(kāi)放端口模塊與轉(zhuǎn)發(fā)設(shè)備的端口轉(zhuǎn)發(fā)模塊進(jìn)行端口連接，實(shí)現(xiàn)數(shù)據(jù)傳輸。