【摘要】：與傳統(tǒng)網(wǎng)絡(luò)不同,軟件定義網(wǎng)絡(luò)的思想是將網(wǎng)絡(luò)中的控制與轉(zhuǎn)發(fā)相分離。網(wǎng)絡(luò)中的交換機(jī)不再負(fù)責(zé)網(wǎng)絡(luò)的控制,只負(fù)責(zé)網(wǎng)絡(luò)的轉(zhuǎn)發(fā),而網(wǎng)絡(luò)的控制則交由集中化的控制器負(fù)責(zé)。這種架構(gòu)可以方便的對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的配置和管理,實(shí)現(xiàn)了網(wǎng)絡(luò)可編程,有利于新型網(wǎng)絡(luò)業(yè)務(wù)的部署,也有利于傳統(tǒng)網(wǎng)絡(luò)威脅的防御。但是由于軟件定義網(wǎng)絡(luò)技術(shù)當(dāng)前還不夠成熟,因此它也面臨著不少的安全威脅。針對(duì)于SDN網(wǎng)絡(luò)控制器的DoS攻擊就是這些安全威脅的一種。這種獨(dú)特的DoS攻擊巧妙的利用了軟件定義網(wǎng)絡(luò)控制器與交換機(jī)之間通信機(jī)制的漏洞。制造一系列有針對(duì)性的攻擊流量對(duì)控制器本身進(jìn)行攻擊,最終導(dǎo)致控制器癱瘓,新的流表項(xiàng)無法被部署到交換機(jī)上,使整個(gè)網(wǎng)絡(luò)受到巨大的影響。由于軟件定義網(wǎng)絡(luò)的研究還處于較為初級(jí)的階段,而學(xué)者或是研究機(jī)構(gòu)的目光都集中于傳統(tǒng)網(wǎng)絡(luò)的改善方面,因此當(dāng)前相應(yīng)的防御策略的研究相對(duì)較少。本文通過對(duì)軟件定義網(wǎng)絡(luò)架構(gòu)以及OpenFlow協(xié)議的細(xì)致分析,講述了針對(duì)于控制器的DoS攻擊原理。而后介紹了一種針對(duì)這種DoS攻擊的檢測(cè)和防御策略。在攻擊檢測(cè)上,創(chuàng)新性的將差分方差檢測(cè)方法應(yīng)用在了控制層流量檢測(cè)上;在攻擊防御上創(chuàng)新性的運(yùn)用了一種基于用戶行為分析的檢測(cè)機(jī)制并將其與交換機(jī)限流策略相結(jié)合,從而實(shí)現(xiàn)了針對(duì)這種新型DoS攻擊的檢測(cè)和防御。最后,針對(duì)上述檢測(cè)防御策略結(jié)合OpenDayLight控制器,對(duì)檢測(cè)策略與防御策略進(jìn)行了仿真和驗(yàn)證。
[Abstract]:Different from the traditional network, the idea of software defining the network is to separate the control from the forwarding in the network. The switch in the network is no longer responsible for the control of the network, but only responsible for the forwarding of the network, while the control of the network is assigned to the centralized controller. This architecture can easily configure and manage the network, realize network programmable, facilitate the deployment of new network services, and also facilitate the defense of traditional network threats. However, the software definition network technology is not mature, so it also faces a lot of security threats. The DoS attack against SDN network controller is one of these security threats. This unique DoS attack cleverly exploits the vulnerability of software-defined communication mechanisms between network controllers and switches. A series of targeted attack traffic attack the controller itself, resulting in the controller paralysis, the new flow table items can not be deployed to the switch, so that the entire network is greatly affected. Because the research of software definition network is still in the primary stage, and scholars or research institutions focus on the improvement of the traditional network, the research on the corresponding defense strategy is relatively rare. Based on the detailed analysis of the software definition network architecture and the OpenFlow protocol, this paper describes the DoS attack principle for the controller. Then a detection and defense strategy against this DoS attack is introduced. In attack detection, the differential variance detection method is innovatively applied to control layer flow detection, and an innovative detection mechanism based on user behavior analysis is used in attack defense and combined with switch current limiting strategy. Thus, the detection and defense against this new DoS attack are realized. Finally, the detection strategy and defense strategy are simulated and verified by combining the above detection and defense strategies with OpenDayLight controller.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 ;防御策略[J];個(gè)人電腦;2002年11期

2 王樂平;內(nèi)部網(wǎng)未知計(jì)算機(jī)的防御策略研究[J];計(jì)算機(jī)系統(tǒng)應(yīng)用;2005年09期

3 ;服務(wù)器最高安全防御策略選擇與差異[J];計(jì)算機(jī)與網(wǎng)絡(luò);2012年21期

4 王冬琦;郭劍峰;常桂然;;大流量分布式拒絕服務(wù)攻擊的防御策略研究[J];信息網(wǎng)絡(luò)安全;2009年07期

5 周立平;楊永;肖革新;;復(fù)雜網(wǎng)絡(luò)環(huán)境下故障排除方法及防御策略研究[J];信息網(wǎng)絡(luò)安全;2011年06期

6 劉建波;;一種基于攻防成本博弈的防御策略評(píng)價(jià)模型[J];計(jì)算機(jī)技術(shù)與發(fā)展;2011年10期

7 鐘成;;無線網(wǎng)絡(luò)的安全和防御策略[J];電子技術(shù)與軟件工程;2014年10期

8 韓秀玲,王行愚;基于“漏洞陷阱”的主動(dòng)防御策略[J];信息網(wǎng)絡(luò)安全;2001年05期

9 甘運(yùn)剛;;淺談校園網(wǎng)絡(luò)的安全隱患及防御策略[J];中國(guó)高新技術(shù)企業(yè);2011年21期

10 吳烈勇;;對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的防御策略的描述語(yǔ)言的分析[J];電腦知識(shí)與技術(shù);2013年04期

相關(guān)會(huì)議論文 前4條

1 曹紹華;劉素芹;;ICMP安全性及防御策略研究[A];2007北京地區(qū)高校研究生學(xué)術(shù)交流會(huì)通信與信息技術(shù)會(huì)議論文集（下冊(cè)）[C];2008年

2 方舟;王霓虹;;網(wǎng)絡(luò)環(huán)境下SQL注入攻擊常見方法和防御策略研究[A];黑龍江省計(jì)算機(jī)學(xué)會(huì)2007年學(xué)術(shù)交流年會(huì)論文集[C];2007年

3 沈嵐嵐;董榮勝;;移動(dòng)Ad Hoc網(wǎng)絡(luò)中一種匿名攻擊及防御策略研究[A];廣西計(jì)算機(jī)學(xué)會(huì)2007年年會(huì)論文集[C];2007年

4 張睿lm;汪洋;;一種面向云計(jì)算業(yè)務(wù)的SDN架構(gòu)[A];2013年中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)年會(huì)論文集[C];2013年

相關(guān)重要報(bào)紙文章 前10條

1 本報(bào)實(shí)習(xí)記者 張硯博;SDN：“去電信化”的突破口[N];通信產(chǎn)業(yè)報(bào);2013年

2 肖玉航;防御策略應(yīng)對(duì)節(jié)前市場(chǎng)[N];上海證券報(bào);2013年

3 ;云計(jì)算、虛擬化和SDN 將增加未來防火墻安全的復(fù)雜性？[N];網(wǎng)絡(luò)世界;2013年

4 本報(bào)記者 陳寶亮;SDN混戰(zhàn)：傳統(tǒng)設(shè)備商爭(zhēng)奪話語(yǔ)權(quán)[N];通信產(chǎn)業(yè)報(bào);2013年

5 《網(wǎng)絡(luò)世界》記者 蒙克;SDN重新定義網(wǎng)絡(luò)未來[N];網(wǎng)絡(luò)世界;2013年

6 ;SDN第一價(jià)值是支持業(yè)務(wù)創(chuàng)新[N];中國(guó)電子報(bào);2014年

7 美國(guó)《Network World》專欄作家Johna Till Johnson;今日的安全：“深度防御”[N];網(wǎng)絡(luò)世界;2004年

8 波波　編譯;SDN戰(zhàn)略有何異同？[N];網(wǎng)絡(luò)世界;2013年

9 本報(bào)記者 楊娜;全球首創(chuàng)基于SDN技術(shù)的G／EPON方案亮相電力接入網(wǎng)會(huì)議[N];中國(guó)電力報(bào);2014年

10 證券時(shí)報(bào)記者 李nInI;經(jīng)濟(jì)尋底心態(tài)依舊 5月防御策略為上[N];證券時(shí)報(bào);2014年

相關(guān)博士學(xué)位論文 前3條

1 高強(qiáng);基于SDN的動(dòng)態(tài)多播關(guān)鍵技術(shù)研究[D];上海大學(xué);2017年

2 胡曦;無線SDN穩(wěn)定性擁塞控制算法研究[D];電子科技大學(xué);2017年

3 李艷;動(dòng)態(tài)攻擊網(wǎng)絡(luò)演化建模與防御策略研究[D];西安建筑科技大學(xué);2017年

相關(guān)碩士學(xué)位論文 前10條

1 丁玎;一種針對(duì)SDN架構(gòu)網(wǎng)絡(luò)的DoS攻擊的防御策略[D];北京郵電大學(xué);2017年

2 李照華;基于R-中斷的網(wǎng)絡(luò)防御保護(hù)模型研究[D];西南交通大學(xué);2015年

3 龔樸;非安全命名數(shù)據(jù)網(wǎng)絡(luò)的防御策略研究[D];江蘇大學(xué);2016年

4 趙曜;基于SDN網(wǎng)絡(luò)構(gòu)架的硬件層網(wǎng)絡(luò)信息過濾系統(tǒng)的研究[D];電子科技大學(xué);2014年

5 張吉興;基于SDN的控制器集群技術(shù)的研究[D];電子科技大學(xué);2014年

6 徐賓偉;SDN與傳統(tǒng)IP網(wǎng)絡(luò)互聯(lián)架構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

7 徐艷紅;基于SDN的能源互聯(lián)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)及控制域分配研究[D];華北電力大學(xué);2015年

8 胡小燕;SDN架構(gòu)下VCF控制性能測(cè)試研究[D];西安電子科技大學(xué);2014年

9 陳世強(qiáng);基于多控制器的SDN一致性機(jī)制研究[D];北京理工大學(xué);2016年

10 劉帥;SDN網(wǎng)絡(luò)的控制器部署和云存儲(chǔ)分配問題研究[D];山東大學(xué);2016年

，

本文編號(hào)：2159379