【摘要】：與傳統(tǒng)網(wǎng)絡(luò)不同,軟件定義網(wǎng)絡(luò)的思想是將網(wǎng)絡(luò)中的控制與轉(zhuǎn)發(fā)相分離。網(wǎng)絡(luò)中的交換機不再負責(zé)網(wǎng)絡(luò)的控制,只負責(zé)網(wǎng)絡(luò)的轉(zhuǎn)發(fā),而網(wǎng)絡(luò)的控制則交由集中化的控制器負責(zé)。這種架構(gòu)可以方便的對網(wǎng)絡(luò)進行統(tǒng)一的配置和管理,實現(xiàn)了網(wǎng)絡(luò)可編程,有利于新型網(wǎng)絡(luò)業(yè)務(wù)的部署,也有利于傳統(tǒng)網(wǎng)絡(luò)威脅的防御。但是由于軟件定義網(wǎng)絡(luò)技術(shù)當(dāng)前還不夠成熟,因此它也面臨著不少的安全威脅。針對于SDN網(wǎng)絡(luò)控制器的DoS攻擊就是這些安全威脅的一種。這種獨特的DoS攻擊巧妙的利用了軟件定義網(wǎng)絡(luò)控制器與交換機之間通信機制的漏洞。制造一系列有針對性的攻擊流量對控制器本身進行攻擊,最終導(dǎo)致控制器癱瘓,新的流表項無法被部署到交換機上,使整個網(wǎng)絡(luò)受到巨大的影響。由于軟件定義網(wǎng)絡(luò)的研究還處于較為初級的階段,而學(xué)者或是研究機構(gòu)的目光都集中于傳統(tǒng)網(wǎng)絡(luò)的改善方面,因此當(dāng)前相應(yīng)的防御策略的研究相對較少。本文通過對軟件定義網(wǎng)絡(luò)架構(gòu)以及OpenFlow協(xié)議的細致分析,講述了針對于控制器的DoS攻擊原理。而后介紹了一種針對這種DoS攻擊的檢測和防御策略。在攻擊檢測上,創(chuàng)新性的將差分方差檢測方法應(yīng)用在了控制層流量檢測上;在攻擊防御上創(chuàng)新性的運用了一種基于用戶行為分析的檢測機制并將其與交換機限流策略相結(jié)合,從而實現(xiàn)了針對這種新型DoS攻擊的檢測和防御。最后,針對上述檢測防御策略結(jié)合OpenDayLight控制器,對檢測策略與防御策略進行了仿真和驗證。
[Abstract]:Different from the traditional network, the idea of software defining the network is to separate the control from the forwarding in the network. The switch in the network is no longer responsible for the control of the network, but only responsible for the forwarding of the network, while the control of the network is assigned to the centralized controller. This architecture can easily configure and manage the network, realize network programmable, facilitate the deployment of new network services, and also facilitate the defense of traditional network threats. However, the software definition network technology is not mature, so it also faces a lot of security threats. The DoS attack against SDN network controller is one of these security threats. This unique DoS attack cleverly exploits the vulnerability of software-defined communication mechanisms between network controllers and switches. A series of targeted attack traffic attack the controller itself, resulting in the controller paralysis, the new flow table items can not be deployed to the switch, so that the entire network is greatly affected. Because the research of software definition network is still in the primary stage, and scholars or research institutions focus on the improvement of the traditional network, the research on the corresponding defense strategy is relatively rare. Based on the detailed analysis of the software definition network architecture and the OpenFlow protocol, this paper describes the DoS attack principle for the controller. Then a detection and defense strategy against this DoS attack is introduced. In attack detection, the differential variance detection method is innovatively applied to control layer flow detection, and an innovative detection mechanism based on user behavior analysis is used in attack defense and combined with switch current limiting strategy. Thus, the detection and defense against this new DoS attack are realized. Finally, the detection strategy and defense strategy are simulated and verified by combining the above detection and defense strategies with OpenDayLight controller.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 ;防御策略[J];個人電腦;2002年11期

2 王樂平;內(nèi)部網(wǎng)未知計算機的防御策略研究[J];計算機系統(tǒng)應(yīng)用;2005年09期

3 ;服務(wù)器最高安全防御策略選擇與差異[J];計算機與網(wǎng)絡(luò);2012年21期

4 王冬琦;郭劍峰;常桂然;;大流量分布式拒絕服務(wù)攻擊的防御策略研究[J];信息網(wǎng)絡(luò)安全;2009年07期

5 周立平;楊永;肖革新;;復(fù)雜網(wǎng)絡(luò)環(huán)境下故障排除方法及防御策略研究[J];信息網(wǎng)絡(luò)安全;2011年06期

6 劉建波;;一種基于攻防成本博弈的防御策略評價模型[J];計算機技術(shù)與發(fā)展;2011年10期

7 鐘成;;無線網(wǎng)絡(luò)的安全和防御策略[J];電子技術(shù)與軟件工程;2014年10期

8 韓秀玲,王行愚;基于“漏洞陷阱”的主動防御策略[J];信息網(wǎng)絡(luò)安全;2001年05期

9 甘運剛;;淺談校園網(wǎng)絡(luò)的安全隱患及防御策略[J];中國高新技術(shù)企業(yè);2011年21期

10 吳烈勇;;對計算機網(wǎng)絡(luò)的防御策略的描述語言的分析[J];電腦知識與技術(shù);2013年04期

相關(guān)會議論文 前4條

1 曹紹華;劉素芹;;ICMP安全性及防御策略研究[A];2007北京地區(qū)高校研究生學(xué)術(shù)交流會通信與信息技術(shù)會議論文集（下冊）[C];2008年

2 方舟;王霓虹;;網(wǎng)絡(luò)環(huán)境下SQL注入攻擊常見方法和防御策略研究[A];黑龍江省計算機學(xué)會2007年學(xué)術(shù)交流年會論文集[C];2007年

3 沈嵐嵐;董榮勝;;移動Ad Hoc網(wǎng)絡(luò)中一種匿名攻擊及防御策略研究[A];廣西計算機學(xué)會2007年年會論文集[C];2007年

4 張睿lm;汪洋;;一種面向云計算業(yè)務(wù)的SDN架構(gòu)[A];2013年中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會年會論文集[C];2013年

相關(guān)重要報紙文章 前10條

1 本報實習(xí)記者 張硯博;SDN：“去電信化”的突破口[N];通信產(chǎn)業(yè)報;2013年

2 肖玉航;防御策略應(yīng)對節(jié)前市場[N];上海證券報;2013年

3 ;云計算、虛擬化和SDN 將增加未來防火墻安全的復(fù)雜性？[N];網(wǎng)絡(luò)世界;2013年

4 本報記者 陳寶亮;SDN混戰(zhàn)：傳統(tǒng)設(shè)備商爭奪話語權(quán)[N];通信產(chǎn)業(yè)報;2013年

5 《網(wǎng)絡(luò)世界》記者 蒙克;SDN重新定義網(wǎng)絡(luò)未來[N];網(wǎng)絡(luò)世界;2013年

6 ;SDN第一價值是支持業(yè)務(wù)創(chuàng)新[N];中國電子報;2014年

7 美國《Network World》專欄作家Johna Till Johnson;今日的安全：“深度防御”[N];網(wǎng)絡(luò)世界;2004年

8 波波　編譯;SDN戰(zhàn)略有何異同？[N];網(wǎng)絡(luò)世界;2013年

9 本報記者 楊娜;全球首創(chuàng)基于SDN技術(shù)的G／EPON方案亮相電力接入網(wǎng)會議[N];中國電力報;2014年

10 證券時報記者 李nInI;經(jīng)濟尋底心態(tài)依舊 5月防御策略為上[N];證券時報;2014年

相關(guān)博士學(xué)位論文 前3條

1 高強;基于SDN的動態(tài)多播關(guān)鍵技術(shù)研究[D];上海大學(xué);2017年

2 胡曦;無線SDN穩(wěn)定性擁塞控制算法研究[D];電子科技大學(xué);2017年

3 李艷;動態(tài)攻擊網(wǎng)絡(luò)演化建模與防御策略研究[D];西安建筑科技大學(xué);2017年

相關(guān)碩士學(xué)位論文 前10條

1 丁玎;一種針對SDN架構(gòu)網(wǎng)絡(luò)的DoS攻擊的防御策略[D];北京郵電大學(xué);2017年

2 李照華;基于R-中斷的網(wǎng)絡(luò)防御保護模型研究[D];西南交通大學(xué);2015年

3 龔樸;非安全命名數(shù)據(jù)網(wǎng)絡(luò)的防御策略研究[D];江蘇大學(xué);2016年

4 趙曜;基于SDN網(wǎng)絡(luò)構(gòu)架的硬件層網(wǎng)絡(luò)信息過濾系統(tǒng)的研究[D];電子科技大學(xué);2014年

5 張吉興;基于SDN的控制器集群技術(shù)的研究[D];電子科技大學(xué);2014年

6 徐賓偉;SDN與傳統(tǒng)IP網(wǎng)絡(luò)互聯(lián)架構(gòu)的設(shè)計與實現(xiàn)[D];電子科技大學(xué);2015年

7 徐艷紅;基于SDN的能源互聯(lián)網(wǎng)絡(luò)架構(gòu)設(shè)計及控制域分配研究[D];華北電力大學(xué);2015年

8 胡小燕;SDN架構(gòu)下VCF控制性能測試研究[D];西安電子科技大學(xué);2014年

9 陳世強;基于多控制器的SDN一致性機制研究[D];北京理工大學(xué);2016年

10 劉帥;SDN網(wǎng)絡(luò)的控制器部署和云存儲分配問題研究[D];山東大學(xué);2016年

，

本文編號：2159379