本文選題：軟件定義網(wǎng)絡(luò)安全 + 分布式拒絕服務(wù)攻擊�。� 參考：《深圳大學》2017年碩士論文

【摘要】：軟件定義網(wǎng)絡(luò)(SDN,Software Defined Networking)將傳統(tǒng)IP網(wǎng)絡(luò)的路由控制和數(shù)據(jù)轉(zhuǎn)發(fā)進行分離,從而實現(xiàn)集中控制,分布轉(zhuǎn)發(fā),通過提供軟件可編程的方式簡化了網(wǎng)絡(luò)的管理和配置,但也因此擴大了網(wǎng)絡(luò)受到的分布式拒絕服務(wù)攻擊(DDoS)的攻擊面,攻擊者可以針對SDN網(wǎng)絡(luò)任何一層發(fā)起DDoS攻擊。SDN的基礎(chǔ)設(shè)施層(數(shù)據(jù)平面)、控制層(控制平面)、應(yīng)用層三層是相互協(xié)作共同完成網(wǎng)絡(luò)中數(shù)據(jù)包的轉(zhuǎn)發(fā)。安全的木桶短板原理決定了SDN網(wǎng)絡(luò)中最薄弱的層次將成為攻擊的目標且SDN任何一個功能層不可用將導(dǎo)致整個SDN網(wǎng)絡(luò)出現(xiàn)問題,因而本文將研究SDN網(wǎng)絡(luò)中不同層受到DDoS攻擊的特點及其對應(yīng)的防范策略。首先,對國內(nèi)外SDN技術(shù)及發(fā)展、傳統(tǒng)網(wǎng)絡(luò)和SDN網(wǎng)絡(luò)中DDoS攻擊及防御研究現(xiàn)狀進行總結(jié)。特別地,按照SDN本身各層DDoS攻擊特征,對SDN網(wǎng)絡(luò)中DDoS攻擊及防御方法相關(guān)研究進行分類和總結(jié)。然后,對于SDN控制平面上,考慮到針對SDN控制平面的DDoS攻擊可能致使SDN網(wǎng)絡(luò)面臨單點失效的危機,多種DDoS攻擊及其預(yù)防策略的提出都是針對該平面的。為了達到迅速擊垮SDN控制器,該類DDoS攻擊具有發(fā)起時間短、攻擊流量大等特點。針對該層上DDoS攻擊問題,論文研究可能的多種DDoS攻擊方法、提出了一種“基于模糊綜合評判決策模型的DDoS攻擊檢測算法”和應(yīng)對該類DDoS攻擊的一種控制器流請求調(diào)度策略“MSlot算法”。理論分析和模擬實驗結(jié)果證明了針對SDN控制平面的DDoS攻擊方法的可行性;針對不同DDoS攻擊,檢測算法相比現(xiàn)有算法更具通用性和準確性;當SDN網(wǎng)絡(luò)在DDoS攻擊下,控制器流請求調(diào)度策略“MSlot算法”相比現(xiàn)有算法對網(wǎng)絡(luò)的保護更加高效。最后,對于SDN數(shù)據(jù)平面上,通過與SDN各層DDoS攻擊的對比,闡明了數(shù)據(jù)平面發(fā)起的隱蔽DDoS攻擊具有低速、隱蔽、持久性等特點,因而難以被檢測。論文提出了一種隱蔽DDoS攻擊算法即“快填充隱蔽流DDoS攻擊”和針對該類DDoS攻擊的SDN數(shù)據(jù)平面隱蔽流DDoS攻擊的檢測算法。理論分析和模擬實驗結(jié)果證明了攻擊算法相比現(xiàn)有攻擊算法更加快速且有效;檢測算法相比現(xiàn)有算法避免了SDN安全通道額外的通信開銷,因而更加高效。
[Abstract]:SDN Software defined networking (SDN) separates routing control from data forwarding in traditional IP networks, which enables centralized control and distributed forwarding, and simplifies network management and configuration by providing software programming. But it also expands the scope of distributed denial of Service (DDoS) attacks on the network. Attackers can launch DDoS attacks against any layer of SDN. SDN infrastructure layer (data plane), control layer (control plane), application layer three layers of cooperation to complete the network packet forwarding. The principle of secure bucket short board determines that the weakest layer in SDN network will be the target of attack, and the non-availability of any function layer of SDN will cause problems in the whole SDN network. Therefore, this paper will study the characteristics of DDoS attacks on different layers of SDN networks and the corresponding defense strategies. Firstly, the research status of DDoS attack and defense in traditional networks and SDN networks is summarized. In particular, according to the characteristics of DDoS attacks in each layer of SDN, the research on DDoS attacks and defense methods in SDN networks is classified and summarized. Then, for SDN control plane, considering that DDoS attack against SDN control plane may lead to the crisis of single point failure of SDN network, many DDoS attacks and their preventive strategies are proposed against SDN control plane. In order to break down the SDN controller quickly, the DDoS attack has the characteristics of short initiation time and large attack traffic. Aiming at the DDoS attack problem on this layer, this paper studies several possible DDoS attack methods. A DDoS attack detection algorithm based on fuzzy comprehensive decision model and a controller flow request scheduling strategy "MSlot algorithm" for DDoS attacks are proposed. The theoretical analysis and simulation results prove the feasibility of the DDoS attack method for SDN control plane, and the detection algorithm is more universal and accurate than the existing algorithms for different DDoS attacks. When SDN network is under DDoS attack, The controller flow request scheduling strategy "MSlot algorithm" is more efficient than the existing algorithms to protect the network. Finally, for the SDN data plane, by comparing with the DDoS attacks in each layer of SDN, it is clarified that the hidden DDoS attacks launched by the data plane have the characteristics of low speed, concealment and persistence, so it is difficult to detect them. In this paper, a covert DDoS attack algorithm is proposed, that is, "fast padding covert stream DDoS attack" and an SDN data plane hidden stream DDoS attack detection algorithm for this kind of DDoS attack. Theoretical analysis and simulation results show that the attack algorithm is faster and more effective than the existing attack algorithm, and the detection algorithm avoids the additional communication overhead of SDN security channel, so it is more efficient.
【學位授予單位】：深圳大學
【學位級別】：碩士
【學位授予年份】：2017
【分類號】：TP393.0

【相似文獻】

相關(guān)期刊論文 前10條

1 何宗耀,崔雪冰;DDOS攻擊的原理及對策[J];平頂山工學院學報;2002年04期

2 周偉,王麗娜,張煥國,傅建明;一種新的DDoS攻擊方法及對策[J];計算機工程與應(yīng)用;2003年01期

3 楊升;DDoS攻擊及其應(yīng)對措施[J];南平師專學報;2003年02期

4 樊愛京;DDoS攻擊的原理及防范[J];平頂山師專學報;2003年05期

5 ;天目抗DoS/DDoS[J];信息安全與通信保密;2004年12期

6 喻超;智勝DDoS攻擊解析[J];通信世界;2004年46期

7 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期

8 唐佳佳;;DDoS攻擊和防御分類機制[J];電腦知識與技術(shù);2006年29期

9 邱曉理;;抵御DDoS攻擊的三大法寶[J];華南金融電腦;2006年10期

10 王永杰;鮮明;陳志杰;王國玉;;DDoS攻擊分類與效能評估方法研究[J];計算機科學;2006年10期

相關(guān)會議論文 前10條

1 蔣平;;DDoS攻擊分類及趨勢預(yù)測[A];第十七次全國計算機安全學術(shù)交流會暨電子政務(wù)安全研討會論文集[C];2002年

2 張鑌;黃遵國;;DDoS防彈墻驗證調(diào)度層設(shè)計與實現(xiàn)[A];中國電子學會第十六屆信息論學術(shù)年會論文集[C];2009年

3 李淼;李斌;郭濤;;DDoS攻擊及其防御綜述[A];第二十次全國計算機安全學術(shù)交流會論文集[C];2005年

4 王永強;;分布式拒絕服務(wù)攻擊(DDoS)分析及防范[A];第二十一次全國計算機安全學術(shù)交流會論文集[C];2006年

5 劉晉生;岳義軍;;常用攻擊方式DDoS的全面剖析[A];網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學術(shù)會議論文集[C];2002年

6 蘇金樹;陳曙輝;;國家級骨干網(wǎng)DDOS及蠕蟲防御技術(shù)研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會’2004論文集[C];2004年

7 王欣;方濱興;;DDoS攻擊中的相變理論研究[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

8 孫紅杰;方濱興;張宏莉;云曉春;;基于鏈路特征的DDoS攻擊檢測方法[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

9 羅華;胡光岷;姚興苗;;DDoS攻擊的全局網(wǎng)絡(luò)流量異常檢測[A];2006中國西部青年通信學術(shù)會議論文集[C];2006年

10 張少俊;李建華;陳秀真;;動態(tài)博弈論在DDoS防御中的應(yīng)用[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（上冊）[C];2007年

相關(guān)重要報紙文章 前10條

1 邊歆;DDoS成為“商業(yè)武器”？[N];網(wǎng)絡(luò)世界;2006年

2 本報記者 那罡;網(wǎng)絡(luò)公害DDoS[N];中國計算機報;2008年

3 本報記者 鄒大斌;打贏DDoS攻防戰(zhàn)[N];計算機世界;2008年

4 本報實習記者 張奕;DDoS攻擊 如何對你說“不”[N];計算機世界;2009年

5 本報記者 那罡;DDoS防御進入“云”清洗階段[N];中國計算機報;2010年

6 ;DDoS攻防那些事兒[N];網(wǎng)絡(luò)世界;2012年

7 本報記者 李旭陽;DDoS防護需新手段[N];計算機世界;2012年

8 合泰云天（北京）信息科技公司創(chuàng)辦人 Cisco Arbor Networks流量清洗技術(shù)工程師 郭慶;云清洗三打DDoS[N];網(wǎng)絡(luò)世界;2013年

9 本報記者 姜姝;DDoS之殤 拷問防御能力[N];中國電腦教育報;2013年

10 劉佳源;英國1/5公司遭遇DDoS攻擊[N];中國電子報;2013年

相關(guān)博士學位論文 前10條

1 徐圖;超球體多類支持向量機及其在DDoS攻擊檢測中的應(yīng)用[D];西南交通大學;2008年

2 徐川;應(yīng)用層DDoS攻擊檢測算法研究及實現(xiàn)[D];重慶大學;2012年

3 周再紅;DDoS分布式檢測和追蹤研究[D];湖南大學;2011年

4 魏蔚;基于流量分析與控制的DDoS攻擊防御技術(shù)與體系研究[D];浙江大學;2009年

5 羅光春;入侵檢測若干關(guān)鍵技術(shù)與DDoS攻擊研究[D];電子科技大學;2003年

6 劉運;DDoS Flooding攻擊檢測技術(shù)研究[D];國防科學技術(shù)大學;2011年

7 王冬琦;分布式拒絕服務(wù)攻擊檢測和防御若干技術(shù)問題研究[D];東北大學;2011年

8 于明;DDoS攻擊流及其源端網(wǎng)絡(luò)自適應(yīng)檢測算法的研究[D];西安電子科技大學;2007年

9 黃昌來;基于自治系統(tǒng)的DDoS攻擊追蹤研究[D];復(fù)旦大學;2009年

10 呂良福;DDoS攻擊的檢測及網(wǎng)絡(luò)安全可視化研究[D];天津大學;2008年

相關(guān)碩士學位論文 前10條

1 嵇海進;DDoS攻擊的防御方法研究[D];江南大學;2008年

2 崔寧;軍隊局域網(wǎng)中DDOS攻擊模擬和防御的研究[D];東北大學;2009年

3 紀鍇;內(nèi)蒙古聯(lián)通DDoS安全解決方案及應(yīng)用[D];北京郵電大學;2012年

4 李鶴飛;基于軟件定義網(wǎng)絡(luò)的DDoS攻擊檢測方法和緩解機制的研究[D];華東師范大學;2015年

5 夏彬;基于軟件定義網(wǎng)絡(luò)的WLAN中DDoS攻擊檢測和防護[D];上海交通大學;2015年

6 吳高峻;基于卡爾曼濾波器的DDoS防御技術(shù)研究[D];電子科技大學;2014年

7 劉琰;DDoS智能防御系統(tǒng)的日志分析及定時任務(wù)模塊的設(shè)計與實現(xiàn)[D];南京大學;2014年

8 郝力群;內(nèi)蒙古移動互聯(lián)網(wǎng)DDoS安全防護手段的設(shè)計與實施[D];內(nèi)蒙古大學;2015年

9 張麗;DDoS防護技術(shù)研究[D];國防科學技術(shù)大學;2013年

10 王志剛;DDoS網(wǎng)絡(luò)攻擊的檢測方法研究[D];南昌航空大學;2015年

，

本文編號：2096951