本發(fā)明提供一種減輕DDoS攻擊的方法、可編程交換機(jī)及SDN控制器，該方法包括：將INT頭添加至交換機(jī)轉(zhuǎn)發(fā)的數(shù)據(jù)包中，數(shù)據(jù)包達(dá)到目的交換機(jī)后，將INT報(bào)文發(fā)送至SDN控制器，SDN控制器將INT報(bào)文中對(duì)應(yīng)的開(kāi)關(guān)狀態(tài)轉(zhuǎn)化為三維張量；基于CNN和圖卷積神經(jīng)網(wǎng)絡(luò)構(gòu)建DDoS攻擊檢測(cè)模型，通過(guò)所述DDoS攻擊檢測(cè)模型提取三維張量中時(shí)間特征和空間特征，確定包含攻擊流的交換機(jī)，并確定攻擊流在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)路徑；發(fā)布對(duì)應(yīng)的丟棄策略來(lái)緩解DDoS攻擊，將源和目的IP添加至白名單中，并由SDN控制器將白名單發(fā)布至所有交換機(jī)。通過(guò)該方案可以準(zhǔn)確找到DDoS攻擊路徑，減輕分布式拒絕服務(wù)攻擊,并保障合法網(wǎng)絡(luò)流量的訪問(wèn)。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種減輕DDoS攻擊的方法、可編程交換機(jī)及SDN控制器。

背景技術(shù)

分布式拒絕服務(wù)(DDoS)是一種容易發(fā)起且極具破壞性的網(wǎng)絡(luò)攻擊，攻擊者通常會(huì)入侵互聯(lián)網(wǎng)中易受攻擊的節(jié)點(diǎn)，然后將這些節(jié)點(diǎn)轉(zhuǎn)化為僵尸網(wǎng)絡(luò)，并使用這些大規(guī)模分布的主機(jī)創(chuàng)建帶有偽造IP地址的大量數(shù)據(jù)包，對(duì)受害服務(wù)器發(fā)起訪問(wèn)攻擊。DDoS可以快速消耗受害服務(wù)器的資源并使其崩潰，從而使受害服務(wù)器無(wú)法響應(yīng)正常請(qǐng)求。近年來(lái)，DDoS攻擊越來(lái)越頻繁，蘋(píng)果、亞馬遜、阿里巴巴等許多大型互聯(lián)網(wǎng)公司的服務(wù)器都遭受了DDoS攻擊，由此給互聯(lián)網(wǎng)公司和整個(gè)社會(huì)造成了巨大的經(jīng)濟(jì)損失。

研究人員為檢測(cè)和減輕DDoS攻擊做了大量的工作，但DDoS攻擊的檢測(cè)和防御仍然面臨著一些挑戰(zhàn)，如偽造IP地址、偽造流量模式、加密消息等。現(xiàn)有的一些方法中，有對(duì)交換機(jī)上的流量進(jìn)行速率限制，該方法不區(qū)分合法流量和攻擊流量，還有將所有網(wǎng)絡(luò)流量定向到外部主機(jī)進(jìn)行清理，這需要額外的硬件，并將帶來(lái)不可預(yù)測(cè)的延遲。這些方法都難以準(zhǔn)確找到DDoS攻擊流在網(wǎng)絡(luò)中的具體路徑，導(dǎo)致后續(xù)防御效果差。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供了一種減輕DDoS攻擊的方法、可編程交換機(jī)及SDN控制器，以解決無(wú)法準(zhǔn)確找到DDoS攻擊路徑，導(dǎo)致網(wǎng)絡(luò)防御效果差的問(wèn)題。

在本發(fā)明實(shí)施例的第一方面，提供了一種減輕DDoS攻擊的方法，包括：

將INT頭添加至交換機(jī)轉(zhuǎn)發(fā)的數(shù)據(jù)包中，數(shù)據(jù)包達(dá)到目的交換機(jī)后，將INT報(bào)文發(fā)送至SDN控制器，SDN控制器將INT報(bào)文中對(duì)應(yīng)的開(kāi)關(guān)狀態(tài)轉(zhuǎn)化為三維張量；

基于CNN和圖卷積神經(jīng)網(wǎng)絡(luò)構(gòu)建DDoS攻擊檢測(cè)模型，通過(guò)所述DDoS攻擊檢測(cè)模型提取三維張量中時(shí)間特征和空間特征，確定包含攻擊流的交換機(jī)，并確定攻擊流在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)路徑；

發(fā)布對(duì)應(yīng)的丟棄策略來(lái)緩解DDoS攻擊，將源和目的IP添加至白名單中，并由SDN控制器將白名單發(fā)布至所有交換機(jī)。

在本發(fā)明實(shí)施例的第二方面，提供了一種可編程交換機(jī)，包括：

添加模塊，用于將INT頭添加至交換機(jī)轉(zhuǎn)發(fā)的數(shù)據(jù)包中，若數(shù)據(jù)包達(dá)到目的交換機(jī)，將INT報(bào)文發(fā)送至SDN控制器；

丟棄模塊，用于基于SDN控制器發(fā)布的白名單及包含攻擊流的交換機(jī)，執(zhí)行對(duì)應(yīng)的丟棄策略來(lái)緩解DDoS攻擊。

在本發(fā)明實(shí)施例的第三方面，提供了一種SDN控制器，包括：

數(shù)據(jù)轉(zhuǎn)化模塊，用于將目的交換發(fā)送的INT報(bào)文中對(duì)應(yīng)的開(kāi)關(guān)狀態(tài)轉(zhuǎn)化為三維張量；

分析檢測(cè)模塊，用于基于CNN和圖卷積神經(jīng)網(wǎng)絡(luò)構(gòu)建的DDoS攻擊檢測(cè)模型，提取三維張量中時(shí)間特征和空間特征，確定包含攻擊流的交換機(jī)，并確定攻擊流在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)路徑。