當(dāng)前位置：主頁(yè) > 管理論文 > 移動(dòng)網(wǎng)絡(luò)論文 >

基于SDN的DDoS分布式防御體系研究

發(fā)布時(shí)間：2019-10-09 22:31

【摘要】：軟件定義網(wǎng)絡(luò)(SoftWare Defined Network,SDN)是一種新型網(wǎng)絡(luò)架構(gòu),美國(guó)斯坦福大學(xué)Clean Slate研究組于2006年首次提出。這種架構(gòu)的出現(xiàn)使傳統(tǒng)網(wǎng)絡(luò)發(fā)生了顛覆性的變革。在SDN的實(shí)現(xiàn)方面,開(kāi)放網(wǎng)絡(luò)基金會(huì)(ONF)提出了OpenFlow協(xié)議,并受到廣泛認(rèn)可。其核心技術(shù)OpenFlow通過(guò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開(kāi)來(lái),實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制,為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺(tái),但它的發(fā)展也面臨著諸多挑戰(zhàn),安全性就是其中之一。基于此背景,本文對(duì)SDN網(wǎng)絡(luò)架構(gòu)的DDoS攻擊進(jìn)行檢測(cè)研究,并提出一種分布式的防御體系，，所做的主要工作及取得的成果如下：(1)基于SDN網(wǎng)絡(luò)控制層中的DDoS攻擊的檢測(cè)方法進(jìn)行研究,主要針對(duì)轉(zhuǎn)發(fā)層流表中的流表項(xiàng),提出流表統(tǒng)計(jì)模塊對(duì)流表進(jìn)行處理,本方法的核心思想分為三個(gè)方面:流表收集、流表預(yù)處理和流表分類(lèi)。按照OpenFlow v1.0協(xié)議的標(biāo)準(zhǔn),調(diào)整合適的周期時(shí)間對(duì)SDN交換機(jī)發(fā)送Ofp_Flow_Stats_Request報(bào)文,通過(guò)反饋的流表進(jìn)行預(yù)處理,將收集到的隊(duì)列流表特征進(jìn)行特征對(duì)比,之后發(fā)送到控制層的檢測(cè)模塊。(2)針對(duì)SDN的DDoS分布式防御包括兩個(gè)方面:一是在控制層提出一種基于熵值算法的DDoS檢測(cè)模塊和防御模塊;檢測(cè)模塊包括熵值計(jì)算和攻擊判斷,通過(guò)對(duì)熵值和閾值的比較進(jìn)行攻擊判斷,若存在攻擊,則通過(guò)添加在控制層的ACL管控和流量管理模塊對(duì)攻擊流量進(jìn)行防御措施;若不存在攻擊,流量的通過(guò)按照正常的轉(zhuǎn)發(fā)程序進(jìn)行。二是在SDN應(yīng)用層通過(guò)主機(jī)識(shí)別、服務(wù)重定向和流量精準(zhǔn)識(shí)別三個(gè)方面對(duì)DDoS進(jìn)行防御。(3)搭建了實(shí)驗(yàn)環(huán)境,利用OpenDayLight控制器、sFlow監(jiān)控工具和Mininet仿真器構(gòu)建出一個(gè)實(shí)驗(yàn)仿真平臺(tái)。通過(guò)實(shí)驗(yàn)結(jié)果表明,針對(duì)DDoS攻擊所提出的研究方案,模擬攻擊可以達(dá)到占用控制器資源的效果,對(duì)網(wǎng)絡(luò)性能有明顯影響,而通過(guò)本文所設(shè)計(jì)的分布式防御體系可以及時(shí)檢測(cè)攻擊,提高了對(duì)DDoS攻擊行為的檢測(cè)率,降低了誤報(bào)率;同時(shí)在防御方面能夠快速做出防御響應(yīng),增強(qiáng)了對(duì)DDoS的防御效果。
【圖文】：

數(shù)據(jù)結(jié)構(gòu)圖,數(shù)據(jù)結(jié)構(gòu)