申请/专利权人：北京远禾科技有限公司

申请日：2023-09-22

公开（公告）日：2024-03-29

公开（公告）号：CN117118738B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/40;H04L41/16;G06F18/2411;G06F18/243

优先权：

专利状态码：有效-授权

法律状态：2024.03.29#授权;2023.12.12#实质审查的生效;2023.11.24#公开

摘要：本发明主要在SDN架构下设计了一套DDoS攻击风险量化防御方法及系统，目的在于如何快速应对攻击以及确保DDoS攻击检测的识别率，在用户拥有正常服务体验的前提下，处理来自DDoS攻击的威胁。本发明使用SDN网络架构，相较于大多数在SDN上DDoS攻击检测研究均是在控制器上进行判断与解析，本发明将初步的判断与解析设置在交换机上，由SDN架构中的数据转发层就率先对流量进行初步的处理，该层位于处理数据包流量的第一线，因此在此层实施初步的攻击风险量化处理便能有效且快速的应对攻击流量，进而配合上机器学习进行攻击识别，能够形成两阶段的攻击防御，这样既确保了较高的攻击识别率，又能使用户的正常访问流量不受影响。

主权项：1.一种软件定义网络中的DDoS攻击风险量化防御方法，其特征在于：所述软件定义网络包括应用层、控制层和数据转发层，其中应用层包括机器学习缓解服务器和资料收集模块，控制层包括网络控制器和路由控制模块，数据转发层包括若干交换机，每个交换机上均设置有熵判断模块；所述方法包括第一阶段攻击风险量化处理阶段和第二阶段机器学习攻击识别阶段，具体包括如下步骤：其中，第一阶段攻击风险量化处理阶段包括：步骤1：接收到数据包后，判断数据包类型是ARP数据包还是IP数据包，若数据包为ARP数据包则进入步骤2，若数据包为IP数据包则进入步骤5；步骤2：当接收到ARP数据包时，首先比对系统中IP地址来源表，判断所述ARP数据包来源是否记录于系统中，若是则进入步骤3，若否则将所述ARP数据包的源IP记录于系统中并协助转发至目的地址，结束识别判断；步骤3：判断所述ARP数据包数量是否小于上限PktNumA，若小于则将所述ARP数据包协助转发至目的地址，结束识别判断；若大于或等于则进入步骤4；步骤4：熵判断模块判断所述ARP数据包是否为正常，若是则将所述ARP数据包协助转发至目的地址，结束识别判断；若否则进一步判断是否为攻击数据包，若是则直接丢弃数据包，若否则将所述ARP数据包协助转发至目的地址，结束识别判断；步骤5：熵判断模块判断所述IP数据包是否为攻击数据包，若是则直接丢弃数据包，并将源IP地址列入黑名单，若否则进入步骤6；步骤6：熵判断模块判断所述IP数据包是否为正常，若是则由路由控制模块寻找最佳转发路径转发所述IP数据包，若判断为疑似攻击则由路由控制模块寻找最差转发路径转发所述IP数据包；第二阶段机器学习攻击识别阶段，具体包括：资料收集模块定时向网络控制器请求数据转发层的数据资料，并交由机器学习缓解服务器采用机器学习算法判断是否有攻击发生，当系统判断有攻击时，发送识别结果让网络控制器把攻击源列入黑名单，后续来自攻击源的数据包流量一律丢弃处理；当执行完第一阶段攻击识别后会开始第二阶段的攻击判断，此时下一轮进来的数据包流量会开始下一轮的第一阶段攻击识别并不断循环，第二阶段会对数据包流量定时进行高精度的攻击判断；其中，所述熵判断模块对数据包判断是否为正常还包括对于判断为疑似攻击或攻击流量的数据包进行判断是否存在误判，具体包括：检测所述判断为疑似攻击或攻击流量的数据包数量占数据总流量的比率，若比率大于等于阈值PT，则将结果判断为不存在误判，若小于阈值则将结果修改为正常流量；或者，检测所述判断为疑似攻击或攻击流量的数据包每5秒钟的访问次数，判断所述访问次数是否大于等于阈值PktNumc，若是则将结果判断为不存在误判，若否则将结果修改为正常流量；或者，检测所述判断为疑似攻击或攻击流量的数据包每5秒钟的访问次数，判断所述访问次数是否大于等于阈值PktNumc，若否则将结果修改为正常流量，若是则进一步检测所述判断为疑似攻击或攻击流量的数据包来源首次访问时间，并根据首次访问时间距离当前检测时间的长短动态设置阈值X，当所述判断为疑似攻击或攻击流量的数据包从首次访问时间到当前检测时间的访问次数大于等于所述阈值X时，将结果判断为不存在误判；其中，熵判断模块对数据包进行量化分级后，交由路由控制模块寻找转发路径，具体包括：基于每条路径的负载率，从所述数据包到业务提供服务器的所有转发路径中进行挑选，对判定为正常流量的数据包，选择负载率最低的路径为最佳转发路径；对判定为疑似攻击的数据包，选择负载率最高的路径为最差转发路径；选择完转发路径后，依据选择的路径将负责率更新，使之后的数据包能够以最新的负载率为依据进行路径选择。

全文数据：

权利要求：

百度查询： 北京远禾科技有限公司 一种软件定义网络中的DDoS攻击风险量化防御方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD