隨著云計算與電子商務(wù)的發(fā)展,網(wǎng)絡(luò)攻擊的威脅愈加嚴重,網(wǎng)絡(luò)安全問題受到各界關(guān)注。據(jù)統(tǒng)計,DDoS攻擊是目前最為頻繁且危害性最高的網(wǎng)絡(luò)攻擊手段。此攻擊針對目標的可用性,使其系統(tǒng)耗盡服務(wù)資源,無法正常響應(yīng),從而造成通信癱瘓。針對這一類攻擊沒有完全解決的方案,相關(guān)研究也僅是采取對攻擊流量進行緩和的辦法。然而傳統(tǒng)網(wǎng)絡(luò)的緩和DDoS攻擊系統(tǒng)存在部署復雜、成本高、檢測滯后的問題。為了解決上述問題,本文對DDoS攻擊檢測算法、SDN與Floodlight控制器進行了綜合研究,在此基礎(chǔ)上開發(fā)了一種基于SDN的緩和DDoS攻擊系統(tǒng)。該系統(tǒng)首先在Floodlight控制器上進行擴展,創(chuàng)建一個線程進行DDoS攻擊數(shù)據(jù)收集、DDoS攻擊檢測、DDoS攻擊緩和。線程啟動后,系統(tǒng)通過控制器收集數(shù)據(jù)層的DDoS攻擊數(shù)據(jù);其次,使用基于統(tǒng)計分析的卡方檢驗、相關(guān)矩陣、香農(nóng)熵算法定義理論的TCP會話,與實際觀測的TCP會話對比以進行DDoS攻擊檢測,得到被攻擊的服務(wù)器IP;最后,創(chuàng)建流表斷開與被攻擊的服務(wù)器建立的活躍連接。同時本系統(tǒng)中面向連接的負載均衡能夠短暫時間地緩和DDoS攻擊流量。功能與性能測試結(jié)果表明:本系統(tǒng)能夠收集到數(shù)據(jù)層的DDoS攻擊數(shù)據(jù),并在檢測結(jié)束后確認被攻擊的服務(wù)器并斷開與其建立的活躍連接,緩和攻擊流量;使用三種檢測算法均能夠準確地檢測DDoS攻擊;負載均衡能夠減少系統(tǒng)的攻擊響應(yīng)時間。本系統(tǒng)能緩和網(wǎng)絡(luò)中TCP泛洪的DDoS攻擊,同時具有成本低,更易開發(fā)的優(yōu)勢,可解決傳統(tǒng)緩和DDoS攻擊系統(tǒng)中的滯后性問題。
【學位單位】：貴州大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

貴州大學碩士研究生學位論文被一些固有的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)影響，但其仍是目前普遍被認可的能實現(xiàn)用戶-控制的技術(shù)。2.1.2 SDN 架構(gòu)圖 2.1 展示了 SDN 環(huán)境的全網(wǎng)架構(gòu)。SDN 的典型架構(gòu)共分三層，最上層為應(yīng)用層，承接網(wǎng)絡(luò)中提供的業(yè)務(wù)和應(yīng)用；中間的控制層主要負責處理數(shù)據(jù)平面資源的分配，網(wǎng)絡(luò)拓撲維護、狀態(tài)信息管理等；最底層的基礎(chǔ)設(shè)施層負責基于流表的數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集。SDN 的網(wǎng)絡(luò)節(jié)點設(shè)備僅進行數(shù)據(jù)轉(zhuǎn)發(fā)，通過的硬件即可實現(xiàn)；負責控制的一系列操作系統(tǒng)被集中為獨立的控制器，對不同業(yè)務(wù)特性進行適配。控制器、業(yè)務(wù)應(yīng)用以及硬件設(shè)備之間的通信都可以通過編程接口實現(xiàn)。

控制器能夠獲得每一個流表經(jīng)過的交換機的配置信息（容量、CPU 等）。中心層與底層的連接依賴于應(yīng)用程序接口（Application Programming Interface，API）即 SDN 中的南向接口，如通信協(xié)議 OpenFlow、ForCES 等；聯(lián)系多控制器工作的東/西向接口技術(shù)有 ALTO、Hyperflow 等；控制器至應(yīng)用的接口稱為北向接口，有 FML、RESTful 接口等。3、應(yīng)用層集結(jié)了一系列網(wǎng)絡(luò)功能應(yīng)用，如流量監(jiān)控、安全訪問、節(jié)能配置等。本文的基于 SDN 的緩和 DDoS 攻擊系統(tǒng)處于應(yīng)用層。SDN 最大的挑戰(zhàn)在于既要將數(shù)據(jù)與控制分離，同時也要保證運營商級別的服務(wù)。這個架構(gòu)是要能夠?qū)崿F(xiàn)目前運營商網(wǎng)絡(luò)的業(yè)務(wù)期望，可伸縮性、可靠性、QoS（Quality of Service，服務(wù)質(zhì)量）以及服務(wù)管理的需求。圖 2.2 展示了目前傳統(tǒng)網(wǎng)絡(luò)與 SDN 的網(wǎng)絡(luò)控制方式。圖 2.3 分析了傳統(tǒng)物理的網(wǎng)絡(luò)節(jié)點與 SDN 的網(wǎng)絡(luò)節(jié)點。

圖 2.3 傳統(tǒng)網(wǎng)絡(luò)與 SDN 節(jié)點架構(gòu)對比圖網(wǎng)絡(luò)運營以及服務(wù)廠商傾向于注重服務(wù)需求，刺激了 SDN 的研發(fā)，網(wǎng)絡(luò)節(jié)點發(fā)生改變。圖 2.3（b）所示，SDN 將傳統(tǒng)網(wǎng)絡(luò)節(jié)點中的控制層獨立出來集中，數(shù)據(jù)層中的 OpenFlow 交換機被 NOS（Network Operator System，網(wǎng)絡(luò)操作系統(tǒng)）控制�？刂破魇褂� API 可以得到交換機中的配置信息以及數(shù)據(jù)包信息，以此來操縱每個節(jié)點的數(shù)據(jù)層進行數(shù)據(jù)轉(zhuǎn)發(fā)，同時向 SDN 控制器的托管應(yīng)用程序提供抽象的網(wǎng)絡(luò)狀態(tài)模型�？刂茖蛹械木W(wǎng)絡(luò)信息可以被深度挖掘以優(yōu)化流量管理，支持服務(wù)-用戶的可擴展性與可伸縮性，例如，SDN 中應(yīng)用可以實時設(shè)置數(shù)據(jù)層中各節(jié)點的帶寬。SDN 控制與轉(zhuǎn)發(fā)分離至少有三個優(yōu)點。（1）轉(zhuǎn)發(fā)平面由受控轉(zhuǎn)發(fā)的設(shè)備組成，轉(zhuǎn)發(fā)方式以及業(yè)務(wù)邏輯由運行在分離出去的控制面上的控制應(yīng)用所控制。這些設(shè)備僅需要存儲以及轉(zhuǎn)發(fā)功能即可，
【參考文獻】

相關(guān)期刊論文 前8條

1 張衛(wèi)峰;;走近Google基于SDN的B4網(wǎng)絡(luò)[J];程序員;2013年11期

2 陸運清;;用Pearson’s卡方統(tǒng)計量進行統(tǒng)計檢驗時應(yīng)注意的問題[J];統(tǒng)計與決策;2009年15期

3 孫長華;劉斌;;分布式拒絕服務(wù)攻擊研究新進展綜述[J];電子學報;2009年07期

4 朱晶;;TCP協(xié)議簡述與三次握手原理解析[J];電腦知識與技術(shù);2009年05期

5 傅德印;黃健;;典型相關(guān)分析中的統(tǒng)計檢驗問題[J];統(tǒng)計研究;2008年07期

6 王愛冬;鄺祝芳;陽國貴;;基于關(guān)聯(lián)規(guī)則挖掘的數(shù)據(jù)庫異常檢測系統(tǒng)研究[J];計算機應(yīng)用與軟件;2008年05期

7 楊武,方濱興,云曉春,張宏莉;入侵檢測系統(tǒng)中高效模式匹配算法的研究[J];計算機工程;2004年13期

8 熊平,王先培,張愛菊;P2DR模型基于時間的量化分析[J];信息技術(shù);2002年07期

本文編號：2835860