【摘要】：軟件定義網(wǎng)絡(luò)作為一種新型網(wǎng)絡(luò)架構(gòu),將控制平面和數(shù)據(jù)平面分離,提供集中化以及可編程的網(wǎng)絡(luò)控制能力。流量型拒絕服務(wù)攻擊作為傳統(tǒng)網(wǎng)絡(luò)中最為常見與有效的攻擊手段,仍然是軟件定義網(wǎng)絡(luò)的安全方面的研究熱點。針對拒絕服務(wù)攻擊的軟件定義網(wǎng)絡(luò)的安全研究主要分為兩方面:利用軟件定義網(wǎng)絡(luò)的新特性更有效解決傳統(tǒng)的拒絕服務(wù)攻擊;防御以軟件定義網(wǎng)絡(luò)本身為攻擊目標(biāo)的拒絕服務(wù)攻擊。本文針對這兩方面分別開展了安全研究工作。一方面,針對控制器的流量型拒絕服務(wù)攻擊會導(dǎo)致數(shù)據(jù)平面和控制平面的信道擁塞并使控制器超負荷,最終導(dǎo)致整體網(wǎng)絡(luò)癱瘓。因此本文提出了利用多控制器以及可疑流遷移的安全保護策略FMD(Flow Migration Defense)。FMD利用可疑流遷移至附屬控制器緩解了主控制器信道的擁塞問題。附屬控制器利用請求緩存和請求轉(zhuǎn)發(fā)緩解了主控制器超負荷問題。另一方面,雖然軟件定義網(wǎng)絡(luò)架構(gòu)的新特性有利于監(jiān)控網(wǎng)絡(luò)中潛在的傳統(tǒng)拒絕服務(wù)攻擊,但是在大規(guī)模網(wǎng)絡(luò)特征采集依舊會導(dǎo)致的網(wǎng)絡(luò)資源開銷過大的問題。因此本文提出了粗粒度監(jiān)測鏈路與細粒度監(jiān)測網(wǎng)絡(luò)流相結(jié)合的監(jiān)測方法ADSS(Adaptive DDoS Sense Scheme)。ADSS采用了自組織映射神經(jīng)網(wǎng)絡(luò)對鏈路特征和網(wǎng)絡(luò)流特征分別進行檢測潛在的拒絕服務(wù)攻擊。本文采用Ryu控制器和Mininet網(wǎng)絡(luò)仿真器來對上述兩個研究方案進行了仿真實驗。對于FMD的實驗結(jié)果表明,其可以在大流量拒絕服務(wù)攻擊下,可以以保證控制器的低響應(yīng)時間與低網(wǎng)絡(luò)丟包率,有效保護控制信道和控制器資源。對于ADSS的實驗結(jié)果表明,其可以在復(fù)雜的網(wǎng)絡(luò)環(huán)境中有效定位DDoS攻擊者與受害人,抵抗源IP偽造攻擊,并且降低控制器計算資源和交換機緩存資源的開銷。
【學(xué)位授予單位】：大連理工大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.08

【參考文獻】

相關(guān)期刊論文 前1條

1 戴彬;王航遠;徐冠;楊軍;;SDN安全探討:機遇與威脅并存[J];計算機應(yīng)用研究;2014年08期

，

本文編號：2657575