基于软件定义网络的DDoS攻击防御方法

本发明涉及一种基于软件定义网络的ddos攻击防御方法。

背景技术：

1、现有的ddos攻击的检测方法主要是基于熵值的检测和基于机器学习的检测为主，防御方法以qos策略、流量过滤、负载均衡为主流。

2、检测方法中，基于熵值的检测是选取一定数量的流表元素作为熵值的判断依据，例如选取源ip地址、源端口和目的端口等，熵值即代表无规律性，当许多不同ip的设备向目标设备发起攻击时，便会新增许多流表，相应的源ip地址等元素增多，熵值增大，当熵值超多阈值时，判断系统遭遇了ddos攻击。基于机器学习的检测是收集流量源地址、目的地址、协议类型、端口号等数据，从中提取有用的特征，然后进行数据清洗、归一化、降维等处理，对处理后的数据使用机器学习算法进行训练，将通过评估的模型应用于实时网络流量数据，以此来检测ddos攻击。

3、现有技术在检测方法方面存在误判，当网络访问进入高峰期，也会引起熵值的增大，选取的参考值不同，熵值变化也不同，因此依据熵值的检测存在一定程度的误判；机器学习的检测效果依据于所选算法和训练的模型，由于数据偏差、特征选取不当和数据噪声等因素，检测结果也存在一定的误差。

4、防御方法中，qos策略使得转发设备优先转发业务流量，保障其不受攻击流量干扰；流量过滤提取攻击流量特征，下发流表，丢弃攻击流量，排除攻击流量的干扰；负载均衡将流量调度到不同路径，确保高流量不会使得网络陷入瘫痪。但在防御方法方面，qos策略和负载均衡只能降低攻击流量对网络的影响，并不能将攻击流量丢弃，存在网络资源浪费的现象。

技术实现思路

1、为了解决上述技术问题，本发明提供一种配置简单、安全性高的基于软件定义网络的ddos攻击防御方法。

2、本发明解决上述技术问题的技术方案是：一种基于软件定义网络的ddos攻击防御方法，包括以下步骤：

3、步骤一：进行sflow持续监测，判断网络流量速度是否大于设置阈值，若否，则保持持续监测；若是，则执行基础防御，对网络中的流量进行限速操作，然后进入步骤二；

4、步骤二：判断流量类型，若是攻击流量，则进入步骤三，若是业务流量，则进入步骤四，若是普通流量，则进入步骤五；

5、步骤三：收集流量特征，设计流表，进行ddos防御，进入步骤六；

6、步骤四：进行优先级设计，配置meter表，配置qos，进入步骤六；

7、步骤五：保持限速状态，判断ddos防御是否结束，若没有结束，则继续保持限速状态，若结束，则恢复网络，进入步骤六；

8、步骤六：防御结束。

9、上述基于软件定义网络的ddos攻击防御方法，所述步骤一中，执行基础防御是为了防止网络流量的速率超过网络可承受的阈值，导致网络瘫痪，当网络流量速度超过设置阈值时，启动基础防御策略，该基础防御策略通过在边界交换机上部署新的流规则来限制边界交换机的数据流入速率；基础防御是基于openflow1.3协议中的meter表实现的，meter表的主要功能为流量控制，实现流量的测速、标记操作，将meter表添加到flow entry的action域，并且指定band的速率为5000kbps，对超出该速率的流量执行drop操作，即可实现限速。

10、上述基于软件定义网络的ddos攻击防御方法，所述步骤二中，业务流量是指网络中存在的已知正常流量；当网络中的流量速度超出了规定的阈值，则认为可能是攻击流量，此时执行基础限速，保证流量不会使得网络拥堵及瘫痪，进而分析此流量的行为，如果行为异常，即可判定为攻击流量，需要执行防御模块。

11、上述基于软件定义网络的ddos攻击防御方法，所述步骤二中，流量均为tcp握手连接，且均没有得到回复，并持续发出连接申请，这是典型的ddos攻击流量的特征，自然划归为攻击流量；分析流量行为，不存在异常，就是正常流量。

12、上述基于软件定义网络的ddos攻击防御方法，所述步骤三中，ddos防御是为了防范网络中的攻击流量，ddos防御需要传入ip地址、mac地址、所使用的协议以及攻击流量进入的交换机名称，借助sflow控制器的网络流量可视化功能和onos控制器的流量检测功能来提供所需的信息，ddos防御是基于openflow1.3协议的流表概念实现的，sflow技术提供攻击流量的共同特征，将特征信息作为flow entry的selector参数，为攻击流量设计流表，acton域的操作为drop，即可实现攻击流量的防御。

13、上述基于软件定义网络的ddos攻击防御方法，所述步骤四中，为了保证网络中的关键业务流量具有稳定的带宽和延迟，配置qos，通过指定端口队列和流表优先级控制手段，为关键业务流量提供服务质量保障；qos的配置综合运用端口队列、流表匹配、meter表限速方面的知识，为数据流指定端口队列，配置qos时指明的参数越小的队列越先转发，只有上一级队列的数据转发结束后才转发下一级队列的数据；同时使用meter表为队列指定转发速率，确保各个数据流获得相对应的转发速率。

14、上述基于软件定义网络的ddos攻击防御方法，所述步骤五中，执行防御模块后，如果防御模块执行完毕，将输出流表下达的信息及防御结束的提示，表示当前防御结束。

15、本发明的有益效果在于：本发明的防御策略主要包括基础限速、攻击防御和qos配置三部分，基础限速保证网络不会因为高强度的流量而陷入瘫痪；攻击防御模块则通过下发流表将攻击流量阻隔在边缘设备，确保攻击流量不会流入网络；qos配置保障了交换机优先转发业务流量，保证业务流量的服务质量。实验结果表明，本发明提出的防御策略，利用sdn的可编程性和灵活性，结合实时流量分析和防御策略的动态调整，实现了对ddos攻击的主动防御，减轻了ddos攻击对网络的影响，同时该策略还具有高效性、自适应性等特性。

技术特征：

1.一种基于软件定义网络的ddos攻击防御方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于软件定义网络的ddos攻击防御方法，其特征在于：所述步骤一中，执行基础防御是为了防止网络流量的速率超过网络可承受的阈值，导致网络瘫痪，当网络流量速度超过设置阈值时，启动基础防御策略，该基础防御策略通过在边界交换机上部署新的流规则来限制边界交换机的数据流入速率；基础防御是基于openflow1.3协议中的meter表实现的，meter表的主要功能为流量控制，实现流量的测速、标记操作，将meter表添加到flow entry的action域，并且指定band的速率为5000kbps，对超出该速率的流量执行drop操作，即可实现限速。

3.根据权利要求1所述的基于软件定义网络的ddos攻击防御方法，其特征在于：所述步骤二中，业务流量是指网络中存在的已知正常流量；当网络中的流量速度超出了规定的阈值，则认为可能是攻击流量，此时执行基础限速，保证流量不会使得网络拥堵及瘫痪，进而分析此流量的行为，如果行为异常，即可判定为攻击流量，需要执行防御模块。

4.根据权利要求3所述的基于软件定义网络的ddos攻击防御方法，其特征在于：所述步骤二中，流量均为tcp握手连接，且均没有得到回复，并持续发出连接申请，这是典型的ddos攻击流量的特征，自然划归为攻击流量；分析流量行为，不存在异常，就是正常流量。

5.根据权利要求1所述的基于软件定义网络的ddos攻击防御方法，其特征在于：所述步骤三中，ddos防御是为了防范网络中的攻击流量，ddos防御需要传入ip地址、mac地址、所使用的协议以及攻击流量进入的交换机名称，借助sflow控制器的网络流量可视化功能和onos控制器的流量检测功能来提供所需的信息，ddos防御是基于openflow1.3协议的流表概念实现的，sflow技术提供攻击流量的共同特征，将特征信息作为flow entry的selector参数，为攻击流量设计流表，acton域的操作为drop，即可实现攻击流量的防御。

6.根据权利要求1所述的基于软件定义网络的ddos攻击防御方法，其特征在于：所述步骤四中，为了保证网络中的关键业务流量具有稳定的带宽和延迟，配置qos，通过指定端口队列和流表优先级控制手段，为关键业务流量提供服务质量保障；qos的配置综合运用端口队列、流表匹配、meter表限速方面的知识，为数据流指定端口队列，配置qos时指明的参数越小的队列越先转发，只有上一级队列的数据转发结束后才转发下一级队列的数据；同时使用meter表为队列指定转发速率，确保各个数据流获得相对应的转发速率。

7.根据权利要求1所述的基于软件定义网络的ddos攻击防御方法，其特征在于：所述步骤五中，执行防御模块后，如果防御模块执行完毕，将输出流表下达的信息及防御结束的提示，表示当前防御结束。

技术总结
本发明公开了一种基于软件定义网络的DDoS攻击防御方法，包括以下步骤：进行sFlow持续监测，当网络流量速度大于设置阈值，执行基础防御，对网络中的流量进行限速操作；判断流量类型，若是攻击流量，则收集流量特征，设计流表，进行DDos防御，若是业务流量，则进行优先级设计，配置meter表，配置QoS，若是普通流量，则保持限速状态，并判断DDoS防御是否结束，若没有结束，则继续保持限速状态，若结束，则恢复网络；防御结束。本发明利用SDN的可编程性和灵活性，结合实时流量分析和防御策略的动态调整，实现了对DDoS攻击的主动防御，减轻了DDoS攻击对网络的影响，同时该策略还具有高效性、自适应性等特性。

技术研发人员：宋晓建,陈青辉,文鸿,邹沛
受保护的技术使用者：湖南工业大学
技术研发日：
技术公布日：2024/1/22