(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111507854.5 (22)申请日 2021.12.10 (71)申请人 济南大学 地址 250022 山东省济南市 市中区南 辛庄 西路336号 (72)发明人 荆山　解集润　赵川　魏亮　 陈贞翔　 (74)专利代理 机构 济南圣达知识产权代理有限 公司 372 21 代理人 黄海丽 (51)Int.Cl. H04L 9/40(2022.01) H04L 45/00(2022.01) (54)发明名称 基于软件定义网络的链路泛洪攻击防御方 法及系统 (57)摘要 本发明公开了基于软件定义网络的链路泛 洪攻击防御方法及系统， 其中方法包括： 获取软 件定义网络中各个链路的信息； 根据各个链路的 信息， 确定关键链路； 确定关键链路是否发生拥 堵， 对发生拥堵的链路进行缓解； 对网络拥堵的 时长和数量均超 过设定阈值的链路， 启动链路泛 洪攻击检测； 对产生泛洪攻击的链路进行攻击防 御和预防。 能够在保留软件定义网络灵活性的同 时也能有效缓解链路泛洪攻击对网络带来的伤 害。 权利要求书2页 说明书9页 附图3页 CN 114205147 A 2022.03.18 CN 114205147 A 1.基于软件定义网络的链路泛洪攻击防御方法， 其特 征是， 包括： 获取软件定义网络中各个链路的信息； 根据各个链路的信息， 确定关键链路； 确定关键链路是否发生拥堵， 对发生拥堵的链路进行缓解； 对网络拥堵的时长和数量均超过设定阈值的链路， 启动链路泛洪攻击检测； 对产生泛洪攻击的链路进行攻击防御和预防。 2.如权利要求1所述的基于软件定义网络的链路泛洪攻击防御 方法， 其特征是， 根据 各 个链路的信息， 确定关键链路； 具体包括： 根据各个链路的信息， 计算链路关键度； 选择链路关键度大于设定阈值的链路， 作为关键链路。 3.如权利要求1所述的基于软件定义网络的链路泛洪攻击防御 方法， 其特征是， 确定关 键链路是否发生拥堵， 对发生拥堵的链路进行缓解； 具体包括： 根据设定的链路容量警戒值来进行确定关键链路是否发生拥堵； 对发生拥堵的链路采 用负载均衡的方式进行缓解。 4.如权利要求1所述的基于软件定义网络的链路泛洪攻击防御 方法， 其特征是， 确定关 键链路是否发生拥堵， 对发生拥堵的链路进行缓解； 具体包括： (1)： 记录超出链路容量警戒值的链路编号， 将拥堵链路编号加入拥堵名单中， 并且同 时调整软件定义网络中链路的权值； 并将权值以及链路编号上传到软件定义网络的控制 器； (2)： 控制器使用最短链路算法， 重新计算软件定义网络中的最短路径， 同时启用备用 链路； 将备用链路编号加入拥堵名单中； (3)： 将计算过后的最短路径转 化成流表命令下发到对应的交换机； (4)： 检查网络拥堵状况， 若拥堵重复(1)～(3)； (5)： 同一链路引起的拥堵名单在三分钟内数量超过设定的初始阈值B_Max， 启动链路 洪泛攻击检测。 5.如权利要求1所述的基于软件定义网络的链路泛洪攻击防御 方法， 其特征是， 对 网络 拥堵的时长和数量均超过设定阈值的链路， 启动链路泛洪攻击检测； 具体包括： 先把拥塞链路与危险链路名单相比较， 如果拥塞链路存在于危险链路名单中， 就直接 进入分类步骤， 否则就再检查拥塞链路是否存在于临时危险链路名单， 检查后如果拥塞链 路存在于临 时危险链路名单， 就进入分类步骤， 如果不存在就将其加入临 时危险链路名单， 然后返回继续负载均衡； 分类步骤： 对流经当前链路的流量以及因为当前链路拥 塞而启用的备用链路的流量均 分别输入第一分类 器和第二分类 器中， 并根据两个分类 器的分类结果， 给 出对应的响应。 6.如权利要求5所述的基于软件定义网络的链路泛洪攻击防御 方法， 其特征是， 第 一分 类器为随机森林模型； 第二分类 器为支持向量机模型； 当第一分类器的分类结果为正常， 第二分类器的分类结果为正常， 则返回继续负载均 衡， 重置拥塞名单； 当第一分类器的分类结果为正常， 第二分类器的分类结果为异常， 当前链路的标签为 非危险链路， 则执 行的动作为返回负载均衡， 将当前链路添加到危险主机名单中； 当第一分类器的分类结果为异常， 第二分类器的分类结果为正常， 当前链路的标签为权　利　要　求　书 1/2 页 2 CN 114205147 A 2非危险链路， 则执 行的动作为返回负载均衡， 将当前链路添加到危险主机名单中； 当第一分类器的分类结果为正常， 第二分类器的分类结果为异常， 当前链路的标签为 危险链路， 则执 行的动作为将当前链路添加到黑名单中； 当第一分类器的分类结果为异常， 第二分类器的分类结果为正常， 当前链路的标签为 危险链路， 则执 行的动作为将当前链路添加到黑名单中； 当第一分类器的分类结果为异常， 第二分类器的分类结果为异常， 当前链路的标签为 非危险链路， 则执行 的动作为将当前链路添加到黑名单中； 将当前链路添加到危险主机名 单中； 当第一分类器的分类结果为异常， 第二分类器的分类结果为异常， 当前链路的标签为 危险链路， 则执 行的动作为将当前链路添加到黑名单中。 7.如权利要求1所述的基于软件定义网络的链路泛洪攻击防御 方法， 其特征是， 对产生 泛洪攻击的链路进行攻击防御和预防； 具体包括： 根据流量的来源区分防御， 对于同一软件定义网络控制器控制下的网络区域内的流 量， 根据源主机IP设定的黑名单进行防御； 对于非同一软件定义网络控制器控制下的网络 区域内的流 量， 使用双向黑名单进行防御； 或者， 对产生泛洪攻击的链路进行攻击防御和预防； 还 包括： 将控制器下发的缓解指令流的优先级设置为最高级， 优先保证指令流的下发； 对指令 链路增加备用链路的方式进行 预防。 8.基于软件定义网络的链路泛洪攻击防御系统， 其特 征是， 包括： 关键链路确定模块， 其被配置为： 获取软件定义网络 中各个链路的信 息； 根据各个链路 的信息， 确定关键链路； 负载均衡模块， 其被配置为： 确定关键链路是否发生拥堵， 对发生拥堵的链路进行缓 解； 攻击检测模块， 其被配置为： 对 网络拥堵的时长和数量均超过设定阈值的链路， 启动链 路泛洪攻击检测； 缓解防御模块， 其被 配置为： 对产生泛洪攻击的链路进行攻击防御和预防。 9.一种电子设备， 其特 征是， 包括： 存储器， 用于非暂时性存 储计算机可读指令； 以及 处理器， 用于运行 所述计算机可读指令， 其中， 所述计算机可读指令被所述处理器运行时， 执行上述权利要求1 ‑7任一项所述的 方法。 10.一种存储介质， 其特征是， 非暂时性地存储计算机可读指令， 其中， 当所述非暂时性 计算机可读指令由计算机执 行时， 执行权利要求1 ‑7任一项所述方法的指令 。权　利　要　求　书 2/2 页 3 CN 114205147 A 3