本发明公开了一种防御软件定义网络中LLDP中继攻击的方法,该方法包括以下步骤：记录每个端口和其连接的设备类型以及链路信息；记录LLDP帧延时并根据延时计算出当前的网络拥塞状态以及延时阈值；判断网络中新增链路的两个端口的设备类型是否都是HOST-REMOVED,如果是则认为满足LLDP中继攻击条件,需要进一步判断,如果不是则认为不满足LLDP中继攻击条件,将该LLDP判定为正常；若满足LLDP中继攻击的条件,此时结合网络拥塞状态判断该LLDP延时是否大于延时阈值,若大于延时阈值则判定为攻击并丢弃当前LLDP帧。该发明用以防御攻击者使用两台主机进行LLDP中继攻击,提高SDN控制器的安全性。

• 单位
  华南理工大学