【摘要】：隨著網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,全球網(wǎng)絡(luò)接入設(shè)備數(shù)量已經(jīng)達(dá)到了百億量級(jí)�？紤]到物聯(lián)網(wǎng)設(shè)備的普及以及IPv6(Internet Protocol Version 6)的廣泛部署,網(wǎng)絡(luò)規(guī)模將迎來(lái)更為顯著及快速的擴(kuò)大,同時(shí)帶來(lái)的DDoS(Distributed Denial of Service)拒絕服務(wù)攻擊也將呈現(xiàn)出愈演愈烈的態(tài)勢(shì)。傳統(tǒng)網(wǎng)絡(luò)中針對(duì)DDoS攻擊的檢測(cè)方法往往需要專業(yè)的硬件設(shè)備,而且由于缺乏全局網(wǎng)絡(luò)視圖,檢測(cè)效率與準(zhǔn)確率有待提高。SDN(Software-Defined Networking)作為一種新的網(wǎng)絡(luò)架構(gòu),采用了控制平面與數(shù)據(jù)平面分離的技術(shù),旨在為解決傳統(tǒng)網(wǎng)絡(luò)中的問(wèn)題提供一種新的思路,近年來(lái)吸引了工業(yè)界和學(xué)術(shù)界的廣泛關(guān)注,將來(lái)有望大規(guī)模部署。本文針對(duì)SDN網(wǎng)絡(luò)架構(gòu)場(chǎng)景,研究出了一套可以在多種DDoS攻擊方式下被用于檢測(cè)對(duì)應(yīng)交換機(jī)上是否遭受攻擊的流表特征,設(shè)計(jì)了一種基于深度學(xué)習(xí)的DDoS攻擊檢測(cè)算法,提出了基于多OpenFlow交換機(jī)信息的協(xié)同檢測(cè)方法。論文的主要研究工作包括:(1)首先分析多種DDoS攻擊方式下數(shù)據(jù)包和數(shù)據(jù)流層面的特點(diǎn),研究這些特點(diǎn)對(duì)SDN網(wǎng)絡(luò)中OpenFlow流表造成的影響。隨后,提出一套更加全面、有效的流表特征,以及相應(yīng)的特征提取算法,該流表特征可用于在可能存在多種DDoS攻擊的情況下檢測(cè)對(duì)應(yīng)的OpenFlow交換機(jī)是否遭受攻擊,并且適用于OpenFlow交換機(jī)中存在常駐流表項(xiàng)和控制器下發(fā)匹配IP掩碼流表項(xiàng)的情況。(2)將DDoS攻擊檢測(cè)建模為有監(jiān)督的二分類機(jī)器學(xué)習(xí)問(wèn)題,設(shè)計(jì)了基于深度學(xué)習(xí)的DDoS攻擊檢測(cè)算法,該算法以所提流表特征為輸入,輸出為對(duì)應(yīng)的交換機(jī)發(fā)生DDoS攻擊的概率。由于檢測(cè)獨(dú)立使用每臺(tái)交換機(jī)數(shù)據(jù),該算法也稱為基于單交換機(jī)的檢測(cè)方法。之后詳細(xì)討論了激活函數(shù)、代價(jià)函數(shù)的選擇以及如何應(yīng)用正則化、應(yīng)對(duì)過(guò)擬合,使算法具有檢出率高、誤警率低、檢測(cè)耗時(shí)少的優(yōu)點(diǎn)。(3)充分利用SDN網(wǎng)絡(luò)全局視圖優(yōu)勢(shì),結(jié)合網(wǎng)絡(luò)拓?fù)湫畔⑻釤挸鼋粨Q機(jī)關(guān)聯(lián)特征,研究了關(guān)聯(lián)特征的提取方式以及使用方法,進(jìn)而設(shè)計(jì)出基于多交換機(jī)協(xié)同的DDoS檢測(cè)方法。該方法綜合利用單臺(tái)交換機(jī)上的檢測(cè)結(jié)果和多臺(tái)交換機(jī)之間的關(guān)聯(lián)特征,對(duì)基于單交換機(jī)的DDoS攻擊檢測(cè)方法進(jìn)行優(yōu)化,從而得到更加準(zhǔn)確的檢測(cè)結(jié)果。之后,本文構(gòu)建SDN網(wǎng)絡(luò)環(huán)境,對(duì)Floodlight控制器進(jìn)行二次開(kāi)發(fā),使用theano和keras等工具實(shí)現(xiàn)機(jī)器學(xué)習(xí)算法,對(duì)所提DDoS檢測(cè)方案開(kāi)展實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果表明,與其他特征方案和檢測(cè)方法相比,本文提出的檢測(cè)特征和基于深度學(xué)習(xí)的檢測(cè)方法對(duì)DDoS攻擊檢測(cè)具有良好的效果,協(xié)同檢測(cè)方案對(duì)檢測(cè)準(zhǔn)確度有顯著提升。
【圖文】：

8圖 2-1 SDN 功能架構(gòu)圖圖 2-1 展示了 SDN 的 架構(gòu)，具有完備的協(xié)議和平臺(tái)介紹。圖底部為物理設(shè)備，包括交換機(jī)和路由器，這些構(gòu)成了數(shù)據(jù)平面。中間為控制器，用來(lái)管理網(wǎng)絡(luò)中的流量和路徑�？刂破矫媾c數(shù)據(jù)平面通過(guò)南向接口連接，控制平面中的控制器間通過(guò)東西向接口連接，控制器的應(yīng)用通過(guò)北向接口訪問(wèn)。OpenFlow 協(xié)議作為最廣泛使用的南向接口協(xié)議，已被工業(yè)界廣泛采用，OpenFlow1.3 版本是受支持最多的一個(gè)版本。OpenFlow 可以為不同類型的路由器和交換機(jī)提供一個(gè)標(biāo)準(zhǔn)，控制器可以通過(guò)統(tǒng)一的編程方式操作這些交換機(jī)，靈活規(guī)劃傳輸路徑，使網(wǎng)絡(luò)更加靈活可擴(kuò)展。流表項(xiàng)是 OpenFlow 網(wǎng)絡(luò)設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)功能的一種抽象。在傳統(tǒng)網(wǎng)絡(luò)設(shè)備中，交換機(jī)和路由器的數(shù)據(jù)轉(zhuǎn)發(fā)需要依賴設(shè)備中保存的二層 MAC 地址轉(zhuǎn)發(fā)表或者三層 IP 地址路由表

度經(jīng)過(guò)層層反向傳播，到達(dá)靠近輸入層時(shí)，，變得非常小，無(wú)法為改變權(quán)因此靠近輸入層的隱層形同虛設(shè)。本研究期望使用更深的網(wǎng)絡(luò)來(lái)提升 DD 梯度消失 問(wèn)題。綜上，本研究采用ReLU作為網(wǎng)絡(luò)層的激活函數(shù)，該函數(shù)中 z 表示神經(jīng)元的計(jì)算結(jié)果，如圖 4-3 所示。
【學(xué)位授予單位】：東南大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 余學(xué)山;韓德志;杜振鑫;;基于智能蜂群算法的DDoS攻擊檢測(cè)系統(tǒng)[J];計(jì)算機(jī)科學(xué);2018年12期

2 王洪亮;;2017年上半年DDoS攻擊瘋狂增長(zhǎng)[J];計(jì)算機(jī)與網(wǎng)絡(luò);2017年23期

3 金大剛;;預(yù)防遭受DDoS威脅[J];軟件和集成電路;2018年01期

4 阮斌;;京東云重磅發(fā)布DDoS高防服務(wù)[J];計(jì)算機(jī)與網(wǎng)絡(luò);2018年03期

5 趙長(zhǎng)林;姜建華;;檢測(cè)和防御“云”的DDoS攻擊[J];網(wǎng)絡(luò)安全和信息化;2017年01期

6 申策;;6種絕佳防御DDoS攻擊方法[J];計(jì)算機(jī)與網(wǎng)絡(luò);2018年10期

7 徐開(kāi)勇;;DDoS攻擊后果日益嚴(yán)重[J];網(wǎng)絡(luò)安全和信息化;2018年05期

8 李程瑜;齊玉東;;基于灰色模糊層次模型的DDoS攻擊態(tài)勢(shì)評(píng)估[J];艦船電子工程;2018年07期

9 劉鍥;;2018上半年互聯(lián)網(wǎng)DDoS攻擊趨勢(shì)分析[J];計(jì)算機(jī)與網(wǎng)絡(luò);2018年13期

10 AP;;DDoS防御的11種方法詳解[J];電腦知識(shí)與技術(shù)(經(jīng)驗(yàn)技巧);2018年08期

相關(guān)會(huì)議論文 前10條

1 王永強(qiáng);;分布式拒絕服務(wù)攻擊(DDoS)分析及防范[A];第二十一次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2006年

2 蔣平;;DDoS攻擊分類及趨勢(shì)預(yù)測(cè)[A];第十七次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)暨電子政務(wù)安全研討會(huì)論文集[C];2002年

3 Qing Tan;;Using IBE Key Distribution Strategies to Development of DDoS Attack Detection and Prevention[A];2013教育技術(shù)與信息系統(tǒng)國(guó)際會(huì)議論文集[C];2013年

4 劉晉生;岳義軍;;常用攻擊方式DDoS的全面剖析[A];網(wǎng)絡(luò)安全技術(shù)的開(kāi)發(fā)應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2002年

5 張鑌;黃遵國(guó);;DDoS防彈墻驗(yàn)證調(diào)度層設(shè)計(jì)與實(shí)現(xiàn)[A];中國(guó)電子學(xué)會(huì)第十六屆信息論學(xué)術(shù)年會(huì)論文集[C];2009年

6 李淼;李斌;郭濤;;DDoS攻擊及其防御綜述[A];第二十次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2005年

7 王欣;方濱興;;DDoS攻擊中的相變理論研究[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（上冊(cè)）[C];2005年

8 羅華;胡光岷;姚興苗;;DDoS攻擊的全局網(wǎng)絡(luò)流量異常檢測(cè)[A];2006中國(guó)西部青年通信學(xué)術(shù)會(huì)議論文集[C];2006年

9 張少俊;李建華;陳秀真;;動(dòng)態(tài)博弈論在DDoS防御中的應(yīng)用[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)論文集（上冊(cè)）[C];2007年

10 ;Distributed Collaborative Defense Security Architecture against DDoS Based on Immune Agent[A];第三屆教學(xué)管理與課程建設(shè)學(xué)術(shù)會(huì)議論文集[C];2012年

相關(guān)重要報(bào)紙文章 前10條

1 本報(bào)記者 趙明;2017年企業(yè)會(huì)主動(dòng)應(yīng)對(duì)DDoS攻擊[N];中國(guó)計(jì)算機(jī)報(bào);2017年

2 本報(bào)記者 趙明;DDoS風(fēng)暴之前的平靜[N];中國(guó)計(jì)算機(jī)報(bào);2017年

3 本報(bào)記者 路沙;Arbor Networks坐擁三大絕招 將DDoS攻擊消滅于無(wú)形[N];中國(guó)信息化周報(bào);2017年

4 George V.Hulme 編譯 Charles;DDoS保護(hù)、減災(zāi)和防御的7個(gè)重要指示[N];計(jì)算機(jī)世界;2017年

5 ;DoS/DDoS攻擊保護(hù)[N];中國(guó)計(jì)算機(jī)報(bào);2014年

6 合泰云天（北京）信息科技公司創(chuàng)辦人 Cisco Arbor Networks流量清洗技術(shù)工程師 郭慶;云清洗三打DDoS[N];網(wǎng)絡(luò)世界;2013年

7 本報(bào)記者 姜姝;DDoS之殤 拷問(wèn)防御能力[N];中國(guó)電腦教育報(bào);2013年

8 ;抗擊DoS/DDoS，惟有線速[N];計(jì)算機(jī)世界;2003年

9 本報(bào)實(shí)習(xí)記者 張奕;DDoS攻擊 如何對(duì)你說(shuō)“不”[N];計(jì)算機(jī)世界;2009年

10 電腦商報(bào)記者 張戈;Radware顛覆傳統(tǒng)IPS[N];電腦商報(bào);2009年

相關(guān)博士學(xué)位論文 前10條

1 劉孟;云環(huán)境下DDoS攻防體系及其關(guān)鍵技術(shù)研究[D];南京大學(xué);2016年

2 羅光春;入侵檢測(cè)若干關(guān)鍵技術(shù)與DDoS攻擊研究[D];電子科技大學(xué);2003年

3 賈斌;基于機(jī)器學(xué)習(xí)和統(tǒng)計(jì)分析的DDoS攻擊檢測(cè)技術(shù)研究[D];北京郵電大學(xué);2017年

4 徐圖;超球體多類支持向量機(jī)及其在DDoS攻擊檢測(cè)中的應(yīng)用[D];西南交通大學(xué);2008年

5 周再紅;DDoS分布式檢測(cè)和追蹤研究[D];湖南大學(xué);2011年

6 郭睿;分布式拒絕服務(wù)攻擊防御技術(shù)研究[D];東北大學(xué);2008年

7 魏蔚;基于流量分析與控制的DDoS攻擊防御技術(shù)與體系研究[D];浙江大學(xué);2009年

8 徐川;應(yīng)用層DDoS攻擊檢測(cè)算法研究及實(shí)現(xiàn)[D];重慶大學(xué);2012年

9 王飛;分布式拒絕服務(wù)攻擊檢測(cè)與響應(yīng)技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2013年

10 陳世文;基于譜分析與統(tǒng)計(jì)機(jī)器學(xué)習(xí)的DDoS攻擊檢測(cè)技術(shù)研究[D];解放軍信息工程大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 余暢;軟件定義網(wǎng)絡(luò)中的DDoS攻擊檢測(cè)與防御[D];華中科技大學(xué);2018年

2 劉煜;基于Comware平臺(tái)的DDoS攻擊防范系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];華中科技大學(xué);2018年

3 劉沖;物聯(lián)網(wǎng)下基于信任授權(quán)的DDoS攻擊檢測(cè)模型[D];河北大學(xué);2018年

4 王楠;基于多維熵的DDoS入侵檢測(cè)方法研究[D];云南財(cái)經(jīng)大學(xué);2018年

5 楊佑君;基于DPDK的高性能DDoS攻擊防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];北京交通大學(xué);2018年

6 路正鵬;應(yīng)用層DDoS檢測(cè)算法研究[D];揚(yáng)州大學(xué);2018年

7 解晗;SDN環(huán)境下的DDoS攻擊檢測(cè)與路徑回溯算法研究[D];河南大學(xué);2018年

8 趙茹東;軟件定義網(wǎng)絡(luò)中DDoS攻擊檢測(cè)和防御技術(shù)研究[D];南京理工大學(xué);2018年

9 于躍;基于安全路由聯(lián)盟的DDoS攻擊防御機(jī)制[D];河北大學(xué);2018年

10 王忠文;云環(huán)境下DDoS攻擊檢測(cè)算法的研究[D];華僑大學(xué);2018年

本文編號(hào)：2667442