CN109450941B - 一种抗DDoS的SDN控制器消息调度方法 - Google Patents
一种抗DDoS的SDN控制器消息调度方法 Download PDFInfo
- Publication number
- CN109450941B CN109450941B CN201811592318.8A CN201811592318A CN109450941B CN 109450941 B CN109450941 B CN 109450941B CN 201811592318 A CN201811592318 A CN 201811592318A CN 109450941 B CN109450941 B CN 109450941B
- Authority
- CN
- China
- Prior art keywords
- message
- queue
- openflow
- user request
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/50—Queue scheduling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种抗DDoS的SDN控制器消息调度方法,通过分析网络中出现DDoS时,SDN控制器接收到的OpenFlow消息的出现频率及重要性,将SDN控制器接收到的OpenFlow消息分为用户请求消息及网络管理消息两类。SDN控制器接收到OpenFlow消息时,判断其类型,若为用户请求消息,则将其存入用户请求消息队列,若为网络管理消息,则将其存入网络管理消息队列。处理OpenFlow消息时,SDN控制器优先处理网络管理消息队列中的消息。本发明设计的方案为抗DDoS的控制器消息调度方法,能够避免因网络管理消息得不到及时处理出现的网络错误。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种抗DDoS的SDN控制器消息调度方法。
背景技术
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是严重威胁网络安全的问题之一,其利用大量终端平台同时请求单一或少数目标的资源,达到耗尽目标资源,使目标不能提供正常服务的目的,具有易于发起、难以防御、危害性大的特点。软件定义网络(Software Defined Network,SDN)是一种控制与转发相分离的网络架构,其将网络中的控制功能逻辑性地集中在了统一的控制器上,具有集中化的控制、开放的网络接口、支持网络虚拟化等优点。SDN已经应用于数据中心、物联网、广域网等领域,得到了学术界及工业界的广泛认可,被认为是有可能取代传统网络的网络架构之一。作为一种新型的网络架构,SDN同样面临着严峻的威胁,DDoS就是SDN面临的严重网络安全问题之一。
与传统网络不同,SDN解耦了传统网络设备的转发功能与控制功能,SDN的这种结构使得出现DDoS时,不但SDN网络设备会受到DDoS的影响,SDN控制器也将收到大量的网络设备发送的OpenFlow消息。鉴于SDN控制器正是通过处理网络设备发送的OpenFlow消息管控网络设备,同时上述OpenFlow消息具有不同的类型、来自不同的网络设备、实现不同的功能,因此上述OpenFlow消息具有不同的重要程度。如果不能合理地分配上述OpenFlow消息的处理顺序,会导致控制器不能接收某些重要的OpenFlow消息(如网络拓扑变化消息、网络设备错误消息等),使得控制器不能及时掌握网络的变化情况,影响SDN控制器对网络的管控能力。在SDN中出现DDoS时,使用合理的控制器消息调度方法能够避免因某些OpenFlow消息得不到及时处理导致的网络错误,延长SDN网络的生存时间。
发明内容
为解决现有技术中存在的问题,本发明提供了一种抗DDoS的SDN控制器消息调度方法,通过分析出现DDoS时SDN控制器收到的OpenFlow消息的出现频率及重要性,以达到避免某些重要的OpenFlow消息得不到及时处理而导致的网络错误,进而延长出现DDoS时SDN网络的生存时间。
本发明采用的技术方案是:
一种抗DDoS的SDN控制器消息调度方法,该方法通过将SDN控制器收到的OpenFlow消息划分为用户请求消息及网络管理消息,依据消息类型进行消息入队及出队操作。该方法由消息入队方法及消息出队方法组成。
所述消息入队方法具体步骤包括:
S1:控制器启动后,建立网络管理消息队列,网络管理消息队列为单个队列,用于存储网络管理消息;
S2:所述控制器建立用户请求消息队列,该队列包含多个子队列,每个子队列对应一个交换机,用于存储相应交换机发送的OpenFlow消息;
S3:所述控制器收到OpenFlow消息后,解析该OpenFlow消息,获取此消息的类型;
S4:如果所述OpenFlow消息不是packet-in消息,进入步骤S5;如果所述OpenFlow消息是packet-in消息,进入步骤S6;
S5:将所述OpenFlow消息存入网络管理消息队列的队尾,程序结束;
S6:所述控制器解析packet-in消息,获取发送所述packet-in消息的交换机的ID;
S7:根据所述发送packet-in消息的交换机的ID,将所述packet-in消息存入此交换机对应的用户请求消息子队列的队尾,程序结束。
所述消息出队方法具体步骤包括:
C1:控制器检查网络管理消息队列是否为空;
C2:如果所述网络管理消息队列不为空,控制器取出并处理网络管理消息队列头部的消息,返回步骤C1;如果所述网络管理消息队列为空,进入步骤C3;
C3:所述控制器检查用户请求消息队列是否为空;
C4:如果所述用户请求消息队列为空,进入步骤C5,否则进入步骤C6;
C5:等待一段时间后,返回步骤C1;
C6:所述控制器计算待处理的下一用户请求消息子队列号;
C7:所述控制器取出并处理位于所述用户请求消息子队列头部的消息,本轮消息出队结束,返回步骤C1。
本发明的有益效果是:
本发明通过分析SDN中出现DDoS时控制器接收到的OpenFlow消息的出现频率及重要程度,将其分为用户请求消息及网络管理消息,为上述消息分别设计了存储及调度方法,因此,本发明能够避免网络中出现因某些类型的OpenFlow消息得不到处理而导致的网络错误,延长出现DDoS时SDN网络的生存时间。
附图说明
图1为本发明实施例中一种抗DDoS的控制器消息调度方法的消息入队方法流程图;
图2为本发明实施例中一种抗DDoS的控制器消息调度方法的消息出队方法流程图。
具体实施方式
下面结合附图对本发明做进一步说明,所举实例仅用于解释本发明,并非用于限定本发明的范围。
实施例
如图1所示,本发明实施例中一种抗DDoS的控制器消息调度方法的消息入队方法,其具体步骤为:
E1:控制器启动后,创建一个用于存储网络管理消息的队列,该队列记为QMMSF;
E2:控制器创建用于存储用户请求消息的队列QRUR,该队列由多个子队列组成,每个子队列对应网络中的一个交换机;
E3:控制器接收到OpenFlow消息mj后,解析mj,获取消息mj的类型pj;
E4:如果mj不是packet-in消息,则将mj存入网络管理消息队列QMMSF的队尾,消息入队操作完成;否则转入步骤E5;
E5:获取发送消息mj的交换机的ID:Ns;
E6:根据Ns获取对应的用户请求消息子队列
E7:将mj存入用户请求消息子队列
的队尾,程序结束。
如图2所示,本发明实施例中一种抗DDoS的控制器消息调度方法的消息出队方法,其具体步骤为:
F1:控制器检查网络管理消息的队列QMMSF是否为空;
F2:如果QMMSF不为空,则控制器取出QMMSF队列头部的消息进行处理,至此本轮消息出队结束,返回步骤F1;如果为空,则进入步骤F3;
F3:控制器检查用户请求消息队列QRUR是否为空;
F4:如果QRUR为空,则没有消息需要处理,进入步骤F5;如果QRUR不为空,则进入步骤F6;
F5:控制器等待一段时间t后,返回步骤F1;
F6:使用轮询方法计算下一待取出的用户请求消息子队列
F7:取出
队列头部存储的OpenFlow消息进行处理,本轮消息出队结束,返回步骤F1。
本实施例中采用轮询方法计算待取出的用户请求消息子队列,但此方法仅用来对本发明中的检测算法进行说明,本发明中的子队列计算方法不限于此方法。对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (2)
1.一种抗DDoS的SDN控制器消息调度方法,其特征在于,包括消息入队方法和消息出队方法;
其中,消息入队方法包括如下步骤:
a10:创建网络管理消息队列,用于存储监控、管理网络或实现特殊功能消息;
a20:创建用户请求消息队列,用于存储用户请求消息;
a30:接收OpenFlow消息,确定OpenFlow消息类型;
a40:按照OpenFlow消息类型,确定每个OpenFlow消息应存入的消息队列;
消息出队方法包括如下步骤:
b10:判断网络管理消息队列是否为空,若是,进入步骤b20;若不是,取出并处理网络管理消息队列头部的消息,返回步骤b10;
b20:判断用户请求消息队是否为空,若是,等待一段时间,返回步骤b10;若不是,则进入步骤b30;
b30:计算待处理的下一用户请求消息子队列号;
b40:取出并处理位于用户请求消息子队列头部的消息,本轮消息出队结束,返回步骤b10;
其中,步骤a40具体包括如下步骤:
判断收到的OpenFlow消息是否为packet-in消息,若是,则获取发送packet-in消息的交换机ID,将此消息存入该交换机对应的用户请求消息子队列的队尾;若不是,将接收到的OpenFlow消息存入网络管理消息队列的队尾;
在步骤a20中,所述用户请求消息队列是用于存储用户请求消息的消息队列,由多个子队列组成,每个子队列对应网络中的一个交换。
2.根据权利要求1所述的抗DDoS的SDN控制器消息调度方法,其特征在于,在步骤a10中,所述网络管理消息队列是用于存储监控、管理网络或实现特殊功能消息的消息队列,仅包含一个队列。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811592318.8A CN109450941B (zh) | 2018-12-25 | 2018-12-25 | 一种抗DDoS的SDN控制器消息调度方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811592318.8A CN109450941B (zh) | 2018-12-25 | 2018-12-25 | 一种抗DDoS的SDN控制器消息调度方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109450941A CN109450941A (zh) | 2019-03-08 |
| CN109450941B true CN109450941B (zh) | 2021-07-23 |
Family
ID=65535603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811592318.8A Active CN109450941B (zh) | 2018-12-25 | 2018-12-25 | 一种抗DDoS的SDN控制器消息调度方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109450941B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112099971B (zh) * | 2020-09-04 | 2022-10-25 | 紫光云(南京)数字技术有限公司 | 一种sdn控制器平滑升级的方法 |
| CN112804198B (zh) * | 2020-12-29 | 2022-11-04 | 贵州大学 | 基于网络状态的抗DDoS控制器消息调度方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150496A (zh) * | 2006-09-22 | 2008-03-26 | 中兴通讯股份有限公司 | 提高重要信息网络传输质量的方法 |
| CN102957626A (zh) * | 2012-11-14 | 2013-03-06 | 中兴通讯股份有限公司 | 一种报文转发方法和装置 |
| CN104518988A (zh) * | 2014-12-19 | 2015-04-15 | 上海顶竹通讯技术有限公司 | 一种报文优先处理的方法及*** |
| CN106411780A (zh) * | 2016-11-10 | 2017-02-15 | 杭州迪普科技有限公司 | 报文控制的方法和装置 |
| CN107547440A (zh) * | 2016-06-28 | 2018-01-05 | 上海宽带技术及应用工程研究中心 | 一种sdn控制器消息队列管理方法及*** |
| CN107592284A (zh) * | 2016-07-06 | 2018-01-16 | 华为技术有限公司 | 防DoS/DDoS攻击的装置和方法 |
-
2018
- 2018-12-25 CN CN201811592318.8A patent/CN109450941B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150496A (zh) * | 2006-09-22 | 2008-03-26 | 中兴通讯股份有限公司 | 提高重要信息网络传输质量的方法 |
| CN102957626A (zh) * | 2012-11-14 | 2013-03-06 | 中兴通讯股份有限公司 | 一种报文转发方法和装置 |
| CN104518988A (zh) * | 2014-12-19 | 2015-04-15 | 上海顶竹通讯技术有限公司 | 一种报文优先处理的方法及*** |
| CN107547440A (zh) * | 2016-06-28 | 2018-01-05 | 上海宽带技术及应用工程研究中心 | 一种sdn控制器消息队列管理方法及*** |
| CN107592284A (zh) * | 2016-07-06 | 2018-01-16 | 华为技术有限公司 | 防DoS/DDoS攻击的装置和方法 |
| CN106411780A (zh) * | 2016-11-10 | 2017-02-15 | 杭州迪普科技有限公司 | 报文控制的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109450941A (zh) | 2019-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bedewy et al. | Optimizing data freshness, throughput, and delay in multi-server information-update systems | |
| Zats et al. | DeTail: Reducing the flow completion time tail in datacenter networks | |
| CN108768876B (zh) | 一种面向机器学习框架的流量调度方法 | |
| KR100716184B1 (ko) | 네트워크 프로세서에서의 큐 관리 방법 및 그 장치 | |
| US9385948B2 (en) | Packet processing method, device and system | |
| US20140040514A1 (en) | Adaptive interrupt moderation | |
| CN109450941B (zh) | 一种抗DDoS的SDN控制器消息调度方法 | |
| US11502967B2 (en) | Methods and apparatuses for packet scheduling for software-defined networking in edge computing environment | |
| CN102801737A (zh) | 一种异步网络通信方法及装置 | |
| Hua et al. | Scheduling heterogeneous flows with delay-aware deduplication for avionics applications | |
| CN113992588B (zh) | 数据传输方法、装置、电子设备及可读存储介质 | |
| US20170338998A1 (en) | Message Attack Defense Method and Apparatus | |
| CN109286584B (zh) | 一种多核***中的分片重组方法、装置及设备 | |
| US8111700B2 (en) | Computer-readable recording medium storing packet identification program, packet identification method, and packet identification device | |
| CN114979022A (zh) | 远程直接数据存取的实现方法、装置、适配器和存储介质 | |
| US20100094933A1 (en) | System and Method for Generating Exception Delay Messages when Messages are Delayed | |
| CN112804198B (zh) | 基于网络状态的抗DDoS控制器消息调度方法 | |
| CN106899514A (zh) | 保障多媒体业务服务质量的队列调度方法 | |
| CN109347760B (zh) | 一种数据发送方法及装置 | |
| US9178834B1 (en) | Interconnect flow control | |
| CN105245471A (zh) | 报文发送方法及报文发送装置 | |
| CN106789698B (zh) | 一种网络流量控制方法及装置 | |
| CN115988574B (zh) | 基于流表的数据处理方法、***、设备和存储介质 | |
| CN112995301B (zh) | 应用于分布式***的数据处理方法和装置 | |
| KR20060081868A (ko) | 포트 스케쥴링 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |