一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统与流程

本发明适用于在forces架构中检测与防御ddos攻击的方法及系统，能保证网络中某台主机在遭到ddos攻击时，可以经由攻击检测插件黑名单功能，利用控制件直接进行阻止，否则，利用sflow网络流量监控技术，及时检测出攻击并进行缓解，同时将ddos攻击源数据信息添加至攻击检测插件的黑名单中，从而保证了整个网络的持续正常运行、提供服务。

背景技术：

分布式拒绝服务攻击(ddos)是当今网络中最突出和最重要的攻击之一，是传统拒绝服务攻击(dos)的升级，攻击者常通过创建大量受到其攻击的计算机，指定并控制他们发起大规模攻击。这种攻击易发起，破坏力大，类型多，却难以防御和追踪，其强度足以使目标服务器的资源、带宽等耗尽，失去正常的服务能力。近年来，随着各种设备普及智能化，ddos攻击已不局限于传统系统，开始向云计算中心，物联网系统，智能家居等方面发展，除了可能遭到来自外网的ddos攻击以外，也有可能遭到来自内网中其他主机发动的ddos攻击，因此，用户除正常防御外，服务器做好及时的检测和缓解也很重要。

当今通信与网络业务日新月异，从单业务多网体制向多业务单网体制的多网融合已是必然趋势，转发与控制分离(forces)技术无疑是实现开放架构网络的重要技术手段。forces架构，与传统网络不同，是一个三层体系结构，由控制层，转发层和基础设施层组成，以forces协议为南向接口，连接控制层和基础设施层，实现网络集中控制，满足整体需求，增强了安全性，对防御ddos攻击提供了强有力的帮助。

目前，ddos攻击检测方法大体分两类，有基于签名的检测，如bro，是一种实时网络入侵检测系统，可以通过监控入侵者的网络流量工作，但当受到算法复杂的dos攻击时，便不奏效；同时，有基于异常的检测，如multops技术，是根据数据包的比例失调与否检测攻击流量，该方法假定输入与输出流量成比例，但这并不符合实际。而基于forces架构下ddos攻击检测的方法，目前尚未发现准确且高效的方法。

攻击检测插件技术，是维护网络安全的第一道防线，分别可以在网络层，应用层和数据库安装攻击检测插件来保证网络安全，其中，攻击检测插件的黑名单功能，主要为了防止疑似攻击的流量进入该网络，造成巨大破坏力，合理运用黑名单功能，可以减少检测攻击的时间，迅速做出反应，且更具准确性。

网络遭到ddos攻击时，会影响网络整体性能，没有对流量的充分理解，就不可能确定流量划分策略。因此，网络亟需一个可视、可控的网络异常监控系统。采样流(sflow)是一种基于数据流随机进行采样的开源网络异常检测技术，面向端口，可以用于高速监控数据网络中的流量，该监控工具主要由两方面构成，sflowagent和sflowcollector，sflowagent作为客户端，常内嵌于转发设备中，主要通过sflowagent获取设备接口统计和数据信息，封装成sflow报文，发送给sflowcollector进行分析，汇总，从而采取后续行动，用户可以设定规则，即可以根据用户要求对流量进行采样、统计、分析，从而实时展现网络传输流的性能和潜在问题，采取相对应的解决方案。相比于其他网络流统计技术，sflow具有资源占用少，实现成本低，采集器灵活部署，实时等优势。

现如今，防御ddos攻击是研究热点，在forces架构中，安全问题是不得不考虑的重中之重。

技术实现要素：

针对该问题，本发明提出了一种基于forces架构中利用sflow防御ddos攻击的方法及系统，能够较好缓解ddos攻击对整个网络的影响。除日常防御ddos攻击外，还解决了如何实现准确且快速的ddos攻击检测以及如何降低ddos攻击对全网的影响，使得在forces架构下，能够在某台主机遭到ddos攻击时，系统能够及时检测出，并采取措施进行缓解，保证正常服务。

本发明所采用的技术方案：一种基于forces架构中利用sflow防御ddos攻击的方法，包括如下步骤：

(1)当转发件收到数据包时，先通过控制件发往控制层的攻击检测插件，对黑名单列表中包特征进行匹配，若该数据信息存在于黑名单列表中，则由控制件直接下发指令，阻止攻击流量进一步转发；

(2)在步骤(1)处理无效后，sflow将数据信息封装成报文，发往sflowcollector分析，汇聚三个转发件的sflowagent上攻击流量所占用的带宽之和，根据当前网络总带宽，按照比例设定带宽阈值，并对比大小；

(3)若汇聚之和超过带宽阈值，则判定该主机遭到了ddos攻击，并立刻通知forces控制件，向转发件下发流表，将攻击包进行丢弃，并将攻击包的数据信息发往攻击检测插件，更新其黑名单列表。

进一步的，所述带宽阈值设定为网络总带宽的10％-25％。

本发明的另一目的是提供一种基于forces架构中利用sflow防御ddos攻击的系统，包括forces架构，在forces架构的控制层部署攻击检测插件，转发层三个转发件上部署sflowagent；利用攻击检测插件中黑名单功能阻止攻击流量，即转发件收到数据包后，先通过控制件发往控制层的攻击检测插件，对其黑名单列表中包特征进行匹配，若该数据信息存在于黑名单列表中，则由控制件直接下发指令，阻止攻击流量进一步转发；否则，sflow收集三个转发件上sflowagent信息，汇总，对比阈值，从而执行后续动作。

进一步的，还包括：一个sflow自适应的阈值调整机制，根据网络总带宽按照比例设定带宽阈值。

进一步的，所述带宽阈值设定为网络总带宽的10％-25％。

本发明的有益积极效果：

1、本发明是在forces架构下，首次利用sflow监控工具防御ddos攻击的方法，与传统的防御ddos攻击的方法不同。该方法充分发挥了forces架构的优势，利用控制件进行集中控制，动态控制流量的转发与丢弃，同时，利用攻击检测插件黑名单功能直接识别并由控制件操作阻止ddos攻击，加快了攻击检测与缓解的时间。

2、本发明的突出优点是利用sflow实时监测分析流量及网络占用带宽，动态调整阈值，与传统在一个转发件上部署sflowagent不同，本发明采用汇聚sflowagent流量之和所占带宽，对比阈值，从而较好实现对ddos攻击的检测与缓解。

附图说明

图1是sflow防御ddos攻击流程图；

图2是攻击检测过程数据包走向图；

图3是sflow处理数据包走向图。

具体实施方式

图1为sflow防御ddos攻击流程图，其工作流程需要经过以下几个步骤，下面结合附图详细展开描述。

首先，进行forces架构的建链过程。forces协议运行需要经历两个阶段，控制件ce与转发件fe开始建立链接之前的阶段，称为建链前阶段，ce与fe建立链接期间和建立了链接之后的阶段，成为建链后阶段。通常，用户或上层应用系统将在建链前阶段对forces控制接口(包括协议层pl和传输映射层tml)进行静态或动态配置。fe通过发送建链请求给ce，如果ce允许，ce将继续访问fe的属性和能力，并提供fe初始化的配置，此时，ce与fe的链接完全建立。链接建立后，ce可以在用户或应用系统的支配下，与fe进行交互，fe可以根据其逻辑功能块的配置来处理或转发数据包。另一方面，在链接建立之后，fe将被持续更新或查询。

接下来，在forces架构中控制层部署攻击检测插件和sflowcollector，在转发层的转发件上部署sflowagent，与传统sflowcollector只统计一个转发件上流量信息，再对比阈值不同，本系统设计了新方法，本发明在网络转发层的三个转发件上部署了sflowagent。此时，就需要考虑冗余数据包问题，由于网络中转发件之间会相互连接，为了避免数据包冗余，需要配置每个转发件，以至于来自转发件的每个数据包都不会被sflowagent重复计数。另一方面，由于sflow有flow采样和counter采样两种方式，本发明以1：500设置flow采样率，意味着每500个数据包通过每个转发件，就将1个数据包捆绑在数据报中，发送到sflowcollector进行分析，统计，以30s的时间间隔设定counter采样。同时，设定流规则，将流规则与阈值相关联，在超过阈值时，触发相应事件。由于sflow获取的流信息是使用snmp中定义的ifindex对各接口进行标记，而forces有自己的标记方式，因此对forces端口号和ifindex端口号进行映射，从而有效的进行数据流收发。

如图2所示，当转发件有大量数据包通过时，sflow通过flow采样和counter采样两种方式，将数据报发送至sflowcollector进行分析，同时发往攻击检测插件，与黑名单列表中包特征进行匹配，若该数据信息存在于黑名单列表中，则通知控制件直接下发流表，阻止攻击流量进一步转发，ddos攻击得到阻止，保障了整个网络继续提供安全服务。

当某台主机遭到了ddos攻击时，转发件中转发至其的流量必然增加，占用带宽也会随之增大，因此，若数据信息未存在于黑名单中，则立刻采取后续操作。如图3所示，即在黑名单没有阻止攻击包后，sflow立刻汇聚三个转发件的sflowagent上攻击流量所有信息，及当前网络总带宽，封装成报文，发往sflowcollector分析，汇总，同时，以网络总带宽的10％-25％设定阈值(该数值可以根据实验服务器的性能、历史访问情况设定，可以根据用户需求选择大小)，若汇聚之和超过带宽阈值，则判定该主机遭到了ddos攻击，并立刻通知forces控制件，向转发件下发流表，将攻击包进行丢弃并将攻击包的数据信息发往攻击检测插件中，更新黑名单列表。