1.一种软件定义网络中识别攻击流的方法,所述软件定义网络包括交换机和控制器,其特征在于,所述交换机中存储有非法流过滤表,所述识别攻击流的方法包括以下步骤:
所述交换机接收数据流的数据包,并根据所述数据包的特征值在所述非法流过滤表中查找与所述数据流对应的过滤表项的状态字段;
当所述状态字段为疑似攻击流状态或者非攻击流状态时,所述交换机向控制器发送上报消息;
所述交换机确定向所述控制器发送所述上报消息的速率值,将所述速率值填充在所述过滤表项的速率字段;
当所述速率值大于预设的速率阈值时,所述交换机将所述过滤表项的状态字段修改为攻击流状态;
其中,所述过滤表项是所述交换机接收到所述数据流的第一个数据包时创建的。
2.根据权利要求1所述的方法,其特征在于,所述第一个数据包的特征值填充在所述过滤表项的匹配域字段,所述特征值用于识别属于所述数据流的其他数据包。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括如下步骤:
所述交换机确定向所述控制器发送所述上报消息的持续时间值,将所述持续时间值填充在所述过滤表项的持续时间字段;
当所述速率值小于或等于所述速率阈值时,所述交换机判断所述持续时间值是否大于预设的最大持续时间值;
当所述持续时间大于所述预设的最大持续时间时,所述交换机将所述过滤表项的状态字段修改为疑似攻击流状态。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述交换机确定向所述控制器发送所述上报消息的流量值,将所述流量值填充在所述过滤表项的流量字段;
当所述持续时间小于或者等于所述预设的最大持续时间时,所述交换机判断所述流量值是否大于预设的流量阈值;
如果所述流量值大于所述预设的流量阈值,所述交换机将所述过滤表项的状态字段修改为疑似攻击流状态;
如果所述流量值小于或者等于所述预设的流量阈值,所述交换机将所述过滤表项的状态字段修改为非攻击流状态。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述过滤表项的状态字段修改为疑似攻击流状态时,所述交换机将所述疑似攻击流状态发送给所述控制器;
所述交换机接收所述控制器返回的判定结果,并根据所述判定结果确认是否修改所述过滤表项的状态字段。
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述过滤表项的状态字段为疑似攻击流状态时,所述交换机降低向所述控制器发送所述上报消息的速率。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述状态字段为攻击流状态时,所述交换机丢弃所述数据流的后续数据包。
8.一种软件定义网络中识别攻击流的装置,其特征在于,所述装置包括接收模块、发送模块、填充模块以及修改模块,
所述接收模块用于接收数据流的数据包,并根据所述数据包的特征值在非法流过滤表中查找与所述数据流对应的过滤表项的状态字段,所述接收模块将所述状态字段发送给所述发送模块;
所述发送模块用于接收所述状态字段,当所述状态字段为疑似攻击流状态或者非攻击流状态时,向控制器发送上报消息;
所述填充模块用于确定向所述控制器发送所述上报消息的速率值,将所述速率值填充在所述过滤表项的速率字段,所述填充模块将所述速率值发送给所述修改模块;
所述修改模块用于接收所述速率值,当所述速率值大于预设的速率阈值时,将所述过滤表项的状态字段修改为攻击流状态;
其中,所述过滤表项是所述装置接收到所述数据流的第一个数据包时创建的。
9.根据权利要求8所述的装置,其特征在于,所述第一个数据包的特征值填充在所述过滤表项的匹配域字段,所述特征值用于识别属于所述数据流的其他数据包。
10.根据权利要求8或9所述的装置,其特征在于,所述装置还包括判断模块,
所述填充模块还用于确定向所述控制器发送所述上报消息的持续时间值,将所述持续时间值填充在所述过滤表项的持续时间字段;
所述判断模块用于在所述速率值小于或等于所述速率阈值时,判断所述持续时间值是否大于预设的最大持续时间值;
所述修改模块还用于在所述持续时间大于所述预设的最大持续时间时,将所述过滤表项的状态字段修改为疑似攻击流状态。
11.根据权利要求10所述的装置,其特征在于,
所述填充模块还用于确定向所述控制器发送所述上报消息的流量值,将所述流量值填充在所述过滤表项的流量字段;
所述判断模块还用于在所述持续时间小于或者等于所述预设的最大持续时间时,判断所述流量值是否大于预设的流量阈值,所述判断模块将判断结果发送给所述修改模块;
所述修改模块还用于接收所述判断结果,在所述流量值小于或者等于所述预设的流量阈值时,将所述过滤表项的状态字段修改为非攻击流状态。
12.根据权利要求10所述的装置,其特征在于,
所述发送模块还用于在所述过滤表项的状态字段修改为疑似攻击流状态时,将所述疑似攻击流状态发送给所述控制器;
所述接收模块还用于接收所述控制器返回的判定结果,并根据所述判定结果确认是否修改所述过滤表项的状态字段。
13.根据权利要求10所述的装置,其特征在于,所述装置还包括降低模块,
所述降低模块用于在所述过滤表项的状态字段为疑似攻击流状态时,降低向所述控制器发送所述上报消息的速率。
14.根据权利要求8所述的装置,其特征在于,所述装置还包括丢弃模块,
所述丢弃模块用于在所述状态字段为攻击流状态时,丢弃所述数据流的后续数据包。
15.一种交换机,其特征在于,包括接收器、发送器以及处理器,
所述接收器用于接收数据流的数据包,并根据所述数据包的特征值在非法流过滤表中查找与所述数据流对应的过滤表项的状态字段;
所述发送器用于在所述状态字段为疑似攻击流状态或者非攻击流状态时,向控制器发送上报消息;
所述处理器中存储有非法流过滤表,用于确定向所述控制器发送所述上报消息的速率值,将所述速率值填充在所述过滤表项的速率字段,并在所述速率值大于预设的速率阈值时,将所述过滤表项的状态字段修改为攻击流状态;
其中,所述过滤表项是所述交换机接收到所述数据流的第一个数据包时创建的。
16.根据权利要求15所述的交换机,其特征在于,所述第一个数据包的特征值填充在所述过滤表项的匹配域字段,所述特征值用于识别属于所述数据流的其他数据包。
17.根据权利要求15或16所述的交换机,其特征在于,所述处理器还用于确定向所述控制器发送所述上报消息的持续时间值,将所述持续时间值填充在所述过滤表项的持续时间字段,在所述速率值小于或等于所述速率阈值时,判断所述持续时间值是否大于预设的最大持续时间值,在所述持续时间大于所述预设的最大持续时间时,所述交换机将所述过滤表项的状态字段修改为疑似攻击流状态。
18.根据权利要求17所述的交换机,其特征在于,所述处理器还用于确定向所述控制器发送所述上报消息的流量值,将所述流量值填充在所述过滤表项的流量字段,在所述持续时间小于或者等于所述预设的最大持续时间时,判断所述流量值是否大于预设的流量阈值,在所述流量值大于所述预设的流量阈值时,将所述过滤表项的状态字段修改为疑似攻击流状态,在所述流量值小于或者等于所述预设的流量阈值时,将所述过滤表项的状态字段修改为非攻击流状态。
19.根据权利要求17所述的交换机,其特征在于,
所述发送器还用于在所述过滤表项的状态字段修改为疑似攻击流状态时,将所述疑似攻击流状态发送给所述控制器;
所述接收器还用于接收所述控制器返回的判定结果;
所述处理器还用于根据所述判定结果确认是否修改所述过滤表项的状态字段。
20.根据权利要求17所述的交换机,其特征在于,所述处理器还用于在所述过滤表项的状态字段为疑似攻击流状态时,降低向所述控制器发送所述上报消息的速率。
21.根据权利要求15所述的交换机,其特征在于,所述处理器还用于在所述状态字段为攻击流状态时,丢弃所述数据流的后续数据包。