本發明專利技術涉及一種惡意攻擊檢測方法及控制器,應用于包括控制器和交換機的開放流網絡架構中,其中,該方法包括:所述控制器接收所述交換機上報的報文上報消息,所述控制器確定滿足上報速率條件的第一端口遭到惡意攻擊,其中,所述第一端口為連接所述交換機與主機的端口,所述上報速率條件是指端口對應的報文上報消息的上報速率不小于預定的速率閥值且持續了第一時間長度。本發明專利技術實施例提供的惡意攻擊檢測方法及控制器可以從網絡源頭上檢測到端口遭到的惡意攻擊行為,從而及時找出應對所遭受到惡意攻擊的策略。
【技術實現步驟摘要】
惡意攻擊檢測方法及控制器
本專利技術涉及通信
,尤其涉及一種惡意攻擊檢測方法及控制器。
技術介紹
隨著OpenFlow(開放流,以下簡稱OF)網絡在實際場景中的廣泛應用,它必然也會面臨傳統網絡的遇到惡意攻擊的問題。典型的惡意攻擊包括淹沒攻擊、dos攻擊等,大部分的惡意攻擊是通過生成大量數據流使網絡發生擁堵或使目標服務器癱瘓,最常見的情況是攻擊還在網絡的承受范圍內但目標服務器已經癱瘓。在傳統網絡中,對網絡擁堵的承受程度只能依賴交換機的健壯性,但由于網絡中可能會有各種不同類型的交換機,而它們的安全策略會有所不同,因此對網絡擁堵的承受程度具有不確定性;而針對目標服務器的攻擊則只能依賴服務器上安裝的防火墻和防護軟件,但惡意攻擊所生成的大量數據流已經耗費了網絡帶寬,使網絡具有滯后性。目前,OF網絡還沒有應對惡意攻擊的策略。
技術實現思路
技術問題有鑒于此,本專利技術要解決的技術問題是有效檢測出OF網絡遭到惡意攻擊。解決方案為了解決上述技術問題,根據本專利技術一實施例,提供了一種惡意攻擊檢測方法,應用于包括控制器和交換機的開放流網絡架構中,包括:所述控制器接收所述交換機上報的報文上報消息;以及所述控制器確定滿足上報速率條件的第一端口遭到惡意攻擊,其中,所述第一端口為連接所述交換機與主機的端口,所述上報速率條件是指端口對應的報文上報消息的上報速率不小于預定的速率閥值且持續了第一時間長度。對于上述惡意攻擊檢測方法,在一種可能的實現方式中,在所述控制器接收所述交換機上報的報文上報消息之后,該方法還包括:所述控制器將接收到的所述報文上報消息進行存儲;在所述控制器確定滿足上報速率條件的第一端口遭到惡意攻擊之后,該方法還包括:所述控制器清除所存儲的所述第一端口對應的報文上報消息以及指示所述交換機清除所述第一端口對應的流表項。對于上述惡意攻擊檢測方法,在一種可能的實現方式中,在所述控制器清除所述第一端口對應的報文上報消息以及指示所述交換機清除所述第一端口對應的流表項之后,還包括:所述控制器下發新的流表項至所述交換機,所述新的流表項用于通知所述交換機直接丟棄從所述第一端口接收到的報文。對于上述惡意攻擊檢測方法,在一種可能的實現方式中,當所述新的流表項老化后,所述控制器重新接收到所述交換機上報的對應于所述第一端口的報文上報消息,其中,流表項老化包括所述流表項在預定的第二時間長度內無匹配的報文或該所述流表項已經持續了所述控制器預定的第三時間長度。為了解決上述技術問題,根據本專利技術另一實施例,提供了一種控制器,應用于包括控制器和交換機的開放流網絡架構中,所述控制器包括:接收模塊,用于接收所述交換機上報的報文上報消息;以及處理模塊,與所述接收模塊連接,用于確定滿足上報速率條件的第一端口遭到惡意攻擊,其中,所述第一端口為連接所述交換機與主機的端口,所述上報速率條件是指端口對應的報文上報消息的上報速率不小于預定的速率閥值且持續了第一時間長度。對于上述控制器,在一種可能的實現方式中,還包括:存儲模塊,與所述接收模塊和所述處理模塊連接,用于將接收模塊接收到的所述報文上報消息進行存儲;所述處理模塊還用于清除所述第一端口對應的報文上報消息以及指示所述交換機清除所述第一端口對應的流表項。對于上述控制器,在一種可能的實現方式中,還包括:發送模塊,與所述處理模塊連接,用于下發新的流表項至所述交換機,所述新的流表項用于通知所述交換機直接丟棄從所述第一端口接收到的報文。對于上述控制器,在一種可能的實現方式中,當所述新的流表項老化后,所述接收模塊重新接收到所述交換機上報的對應于所述第一端口的報文上報消息,其中,流表項老化包括所述流表項在預定的第二時間長度內無匹配的報文或該所述流表項已經持續了所述控制器預定的第三時間長度。有益效果本專利技術實施例提供的惡意攻擊檢測方法及控制器,控制器通過接收交換機上報的報文上報消息,根據某一連接主機的端口對應的報文上報消息的上報速率是否超過了設定的速率閥值且持續了預定的時間長度來確定該端口是否遭到惡意攻擊。如果該端口對應的報文上報消息的上報速率超過了設定的速率閥值且持續了預定的時間長度,則可確定該端口遭到惡意攻擊。本專利技術實施例提供的惡意攻擊檢測方法,可以從網絡源頭上檢測到端口遭到的惡意攻擊行為,從而及時找出應對所遭受到惡意攻擊的策略。根據下面參考附圖對示例性實施例的詳細說明,本專利技術的其它特征及方面將變得清楚。附圖說明包含在說明書中并且構成說明書的一部分的附圖與說明書一起示出了本專利技術的示例性實施例、特征和方面,并且用于解釋本專利技術的原理。圖1示出根據本專利技術一實施例的惡意攻擊檢測方法的流程圖;圖2示出根據本專利技術另一實施例的惡意攻擊檢測方法的流程圖;圖3示出根據本專利技術一實施例的惡意攻擊檢測方法的消息時序圖;圖4示出現有的OF網絡架構報文轉發方法的示意圖;圖5示出根據本專利技術一實施例的報文轉發方法的示意圖;圖6示出根據本專利技術一實施例的控制器的結構框圖;圖7示出根據本專利技術另一實施例的控制器的結構框圖;圖8示出根據本專利技術又一實施例的控制器的結構框圖。具體實施方式以下將參考附圖詳細說明本專利技術的各種示例性實施例、特征和方面。附圖中相同的附圖標記表示功能相同或相似的元件。盡管在附圖中示出了實施例的各種方面,但是除非特別指出,不必按比例繪制附圖。在這里專用的詞“示例性”意為“用作例子、實施例或說明性”。這里作為“示例性”所說明的任何實施例不必解釋為優于或好于其它實施例。另外,為了更好的說明本專利技術,在下文的具體實施方式中給出了眾多的具體細節。本領域技術人員應當理解,沒有某些具體細節,本專利技術同樣可以實施。在一些實例中,對于本領域技術人員熟知的方法、手段、元件和電路未作詳細描述,以便于凸顯本專利技術的主旨。現有的OF網絡主要由OFSwitch(OF交換機,下簡稱交換機)和OFController(OF控制器,下簡稱控制器)構成。交換機包含有流表,類似于普通交換機的路由表,但不同的是交換機自己不能維護流表,所有經過交換機的報文都會與流表進行匹配。如果一個報文找到了匹配的流表項,那么就會執行這個流表項對應的action(操作),例如,一個操作可能是命令報文從某個規定端口轉發,這時就會在OF網絡中產生數據流。如果沒有找到匹配的流表項,那么交換機就會將這個報文打包成報文上報消息,例如Packetin消息,然后上報給控制器。控制器接收到該報文上報消息后,通過例如增加和刪除流表項的方式來決定該報文上報消息對應的報文該如何處理。控制器主要通過增加和刪除流表項來控制著交換機的流表。實施例1圖1示出根據本專利技術一實施例的惡意攻擊檢測方法的流程圖。該方法主要應用于包括控制器和交換機的OF網絡架構中。如圖1所示,該惡意攻擊檢測方法主要可以包括以下步驟:步驟S100、控制器接收交換機上報的報文上報消息,步驟S120、控制器確定滿足上報速率條件的第一端口遭到惡意攻擊,其中,第一端口為連接交換機與主機的端口,上報速率條件是指端口對應的報文上報消息的上報速率不小于預定的速率閥值且持續了第一時間長度。具體地,OF網絡中的控制器對交換機連接host(主機)的端口進行管理。控制器可以在鏈路發現時并獲取到全局拓撲,包括發現交換機連接交換機的端口信息,而在主機需要與網絡通信時則可以發現交換機連接主機的端口本文檔來自技高網...
【技術保護點】
一種惡意攻擊檢測方法,應用于包括控制器和交換機的開放流網絡架構中,其特征在于,所述方法包括:所述控制器接收所述交換機上報的報文上報消息;以及所述控制器確定滿足上報速率條件的第一端口遭到惡意攻擊,其中,所述第一端口為連接所述交換機與主機的端口,所述上報速率條件是指端口對應的報文上報消息的上報速率不小于預定的速率閥值且持續了第一時間長度。
【技術特征摘要】
1.一種惡意攻擊檢測方法,應用于包括控制器和交換機的開放流網絡架構中,其特征在于,所述方法包括:所述控制器接收所述交換機上報的報文上報消息;以及所述控制器確定滿足上報速率條件的第一端口遭到惡意攻擊,其中,所述報文上報消息為:在所述交換機的端口接收到主機發送的報文,且在所述交換機上沒有找到對應于所述報文轉發的流表項的情況下,所述交換機構造的對應于所述報文的消息,所述第一端口為連接所述交換機與主機的端口,所述上報速率條件是指端口對應的報文上報消息的上報速率不小于預定的速率閥值且持續了第一時間長度。2.根據權利要求1所述的惡意攻擊檢測方法,其特征在于,在所述控制器接收所述交換機上報的報文上報消息之后,還包括:所述控制器將接收到的所述報文上報消息進行存儲;在所述控制器確定滿足上報速率條件的第一端口遭到惡意攻擊之后,所述方法還包括:所述控制器清除所存儲的所述第一端口對應的報文上報消息以及指示所述交換機清除所述第一端口對應的流表項。3.根據權利要求1或2所述的惡意攻擊檢測方法,其特征在于,在所述控制器清除所述第一端口對應的報文上報消息以及指示所述交換機清除所述第一端口對應的流表項之后,還包括:所述控制器下發新的流表項至所述交換機,所述新的流表項用于通知所述交換機直接丟棄從所述第一端口接收到的報文。4.根據權利要求3所述的惡意攻擊檢測方法,其特征在于,當所述新的流表項老化后,所述控制器重新接收到所述交換機上報的對應于所述第一端口的報文上報消息,其中,流表項老化包括所述流表項在預定的...
【專利技術屬性】
技術研發人員:李慶,
申請(專利權)人:華為技術有限公司,
類型:發明
國別省市:廣東;44
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。