基于SDN的DDoS分布式防御體系研究

發(fā)布時間：2019-10-09 22:31

【摘要】：軟件定義網(wǎng)絡(SoftWare Defined Network,SDN)是一種新型網(wǎng)絡架構,美國斯坦福大學Clean Slate研究組于2006年首次提出。這種架構的出現(xiàn)使傳統(tǒng)網(wǎng)絡發(fā)生了顛覆性的變革。在SDN的實現(xiàn)方面,開放網(wǎng)絡基金會(ONF)提出了OpenFlow協(xié)議,并受到廣泛認可。其核心技術OpenFlow通過將網(wǎng)絡設備控制面與數(shù)據(jù)面分離開來,實現(xiàn)了網(wǎng)絡流量的靈活控制,為核心網(wǎng)絡及應用的創(chuàng)新提供了良好的平臺,但它的發(fā)展也面臨著諸多挑戰(zhàn),安全性就是其中之一�；诖吮尘�,本文對SDN網(wǎng)絡架構的DDoS攻擊進行檢測研究,并提出一種分布式的防御體系，，所做的主要工作及取得的成果如下：(1)基于SDN網(wǎng)絡控制層中的DDoS攻擊的檢測方法進行研究,主要針對轉發(fā)層流表中的流表項,提出流表統(tǒng)計模塊對流表進行處理,本方法的核心思想分為三個方面:流表收集、流表預處理和流表分類。按照OpenFlow v1.0協(xié)議的標準,調整合適的周期時間對SDN交換機發(fā)送Ofp_Flow_Stats_Request報文,通過反饋的流表進行預處理,將收集到的隊列流表特征進行特征對比,之后發(fā)送到控制層的檢測模塊。(2)針對SDN的DDoS分布式防御包括兩個方面:一是在控制層提出一種基于熵值算法的DDoS檢測模塊和防御模塊;檢測模塊包括熵值計算和攻擊判斷,通過對熵值和閾值的比較進行攻擊判斷,若存在攻擊,則通過添加在控制層的ACL管控和流量管理模塊對攻擊流量進行防御措施;若不存在攻擊,流量的通過按照正常的轉發(fā)程序進行。二是在SDN應用層通過主機識別、服務重定向和流量精準識別三個方面對DDoS進行防御。(3)搭建了實驗環(huán)境,利用OpenDayLight控制器、sFlow監(jiān)控工具和Mininet仿真器構建出一個實驗仿真平臺。通過實驗結果表明,針對DDoS攻擊所提出的研究方案,模擬攻擊可以達到占用控制器資源的效果,對網(wǎng)絡性能有明顯影響,而通過本文所設計的分布式防御體系可以及時檢測攻擊,提高了對DDoS攻擊行為的檢測率,降低了誤報率;同時在防御方面能夠快速做出防御響應,增強了對DDoS的防御效果。
【圖文】：

數(shù)據(jù)結構圖,數(shù)據(jù)結構