發(fā)布時(shí)間：2020-05-10 16:26

【摘要】：軟件定義網(wǎng)絡(luò)作為一種新型網(wǎng)絡(luò)架構(gòu),將控制平面和數(shù)據(jù)平面分離,提供集中化以及可編程的網(wǎng)絡(luò)控制能力。流量型拒絕服務(wù)攻擊作為傳統(tǒng)網(wǎng)絡(luò)中最為常見與有效的攻擊手段,仍然是軟件定義網(wǎng)絡(luò)的安全方面的研究熱點(diǎn)。針對(duì)拒絕服務(wù)攻擊的軟件定義網(wǎng)絡(luò)的安全研究主要分為兩方面:利用軟件定義網(wǎng)絡(luò)的新特性更有效解決傳統(tǒng)的拒絕服務(wù)攻擊;防御以軟件定義網(wǎng)絡(luò)本身為攻擊目標(biāo)的拒絕服務(wù)攻擊。本文針對(duì)這兩方面分別開展了安全研究工作。一方面,針對(duì)控制器的流量型拒絕服務(wù)攻擊會(huì)導(dǎo)致數(shù)據(jù)平面和控制平面的信道擁塞并使控制器超負(fù)荷,最終導(dǎo)致整體網(wǎng)絡(luò)癱瘓。因此本文提出了利用多控制器以及可疑流遷移的安全保護(hù)策略FMD(Flow Migration Defense)。FMD利用可疑流遷移至附屬控制器緩解了主控制器信道的擁塞問題。附屬控制器利用請(qǐng)求緩存和請(qǐng)求轉(zhuǎn)發(fā)緩解了主控制器超負(fù)荷問題。另一方面,雖然軟件定義網(wǎng)絡(luò)架構(gòu)的新特性有利于監(jiān)控網(wǎng)絡(luò)中潛在的傳統(tǒng)拒絕服務(wù)攻擊,但是在大規(guī)模網(wǎng)絡(luò)特征采集依舊會(huì)導(dǎo)致的網(wǎng)絡(luò)資源開銷過大的問題。因此本文提出了粗粒度監(jiān)測(cè)鏈路與細(xì)粒度監(jiān)測(cè)網(wǎng)絡(luò)流相結(jié)合的監(jiān)測(cè)方法ADSS(Adaptive DDoS Sense Scheme)。ADSS采用了自組織映射神經(jīng)網(wǎng)絡(luò)對(duì)鏈路特征和網(wǎng)絡(luò)流特征分別進(jìn)行檢測(cè)潛在的拒絕服務(wù)攻擊。本文采用Ryu控制器和Mininet網(wǎng)絡(luò)仿真器來對(duì)上述兩個(gè)研究方案進(jìn)行了仿真實(shí)驗(yàn)。對(duì)于FMD的實(shí)驗(yàn)結(jié)果表明,其可以在大流量拒絕服務(wù)攻擊下,可以以保證控制器的低響應(yīng)時(shí)間與低網(wǎng)絡(luò)丟包率,有效保護(hù)控制信道和控制器資源。對(duì)于ADSS的實(shí)驗(yàn)結(jié)果表明,其可以在復(fù)雜的網(wǎng)絡(luò)環(huán)境中有效定位DDoS攻擊者與受害人,抵抗源IP偽造攻擊,并且降低控制器計(jì)算資源和交換機(jī)緩存資源的開銷。
【學(xué)位授予單位】：大連理工大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前1條

1 戴彬;王航遠(yuǎn);徐冠;楊軍;;SDN安全探討:機(jī)遇與威脅并存[J];計(jì)算機(jī)應(yīng)用研究;2014年08期

，

本文編號(hào)：2657575