隨著云計(jì)算與電子商務(wù)的發(fā)展,網(wǎng)絡(luò)攻擊的威脅愈加嚴(yán)重,網(wǎng)絡(luò)安全問(wèn)題受到各界關(guān)注。據(jù)統(tǒng)計(jì),DDoS攻擊是目前最為頻繁且危害性最高的網(wǎng)絡(luò)攻擊手段。此攻擊針對(duì)目標(biāo)的可用性,使其系統(tǒng)耗盡服務(wù)資源,無(wú)法正常響應(yīng),從而造成通信癱瘓。針對(duì)這一類(lèi)攻擊沒(méi)有完全解決的方案,相關(guān)研究也僅是采取對(duì)攻擊流量進(jìn)行緩和的辦法。然而傳統(tǒng)網(wǎng)絡(luò)的緩和DDoS攻擊系統(tǒng)存在部署復(fù)雜、成本高、檢測(cè)滯后的問(wèn)題。為了解決上述問(wèn)題,本文對(duì)DDoS攻擊檢測(cè)算法、SDN與Floodlight控制器進(jìn)行了綜合研究,在此基礎(chǔ)上開(kāi)發(fā)了一種基于SDN的緩和DDoS攻擊系統(tǒng)。該系統(tǒng)首先在Floodlight控制器上進(jìn)行擴(kuò)展,創(chuàng)建一個(gè)線(xiàn)程進(jìn)行DDoS攻擊數(shù)據(jù)收集、DDoS攻擊檢測(cè)、DDoS攻擊緩和。線(xiàn)程啟動(dòng)后,系統(tǒng)通過(guò)控制器收集數(shù)據(jù)層的DDoS攻擊數(shù)據(jù);其次,使用基于統(tǒng)計(jì)分析的卡方檢驗(yàn)、相關(guān)矩陣、香農(nóng)熵算法定義理論的TCP會(huì)話(huà),與實(shí)際觀測(cè)的TCP會(huì)話(huà)對(duì)比以進(jìn)行DDoS攻擊檢測(cè),得到被攻擊的服務(wù)器IP;最后,創(chuàng)建流表斷開(kāi)與被攻擊的服務(wù)器建立的活躍連接。同時(shí)本系統(tǒng)中面向連接的負(fù)載均衡能夠短暫時(shí)間地緩和DDoS攻擊流量。功能與性能測(cè)試結(jié)果表明:本系統(tǒng)能夠收集到數(shù)據(jù)層的DDoS攻擊數(shù)據(jù),并在檢測(cè)結(jié)束后確認(rèn)被攻擊的服務(wù)器并斷開(kāi)與其建立的活躍連接,緩和攻擊流量;使用三種檢測(cè)算法均能夠準(zhǔn)確地檢測(cè)DDoS攻擊;負(fù)載均衡能夠減少系統(tǒng)的攻擊響應(yīng)時(shí)間。本系統(tǒng)能緩和網(wǎng)絡(luò)中TCP泛洪的DDoS攻擊,同時(shí)具有成本低,更易開(kāi)發(fā)的優(yōu)勢(shì),可解決傳統(tǒng)緩和DDoS攻擊系統(tǒng)中的滯后性問(wèn)題。
【學(xué)位單位】：貴州大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2018
【中圖分類(lèi)】：TP393.08
【部分圖文】：

貴州大學(xué)碩士研究生學(xué)位論文被一些固有的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)影響，但其仍是目前普遍被認(rèn)可的能實(shí)現(xiàn)用戶(hù)-控制的技術(shù)。2.1.2 SDN 架構(gòu)圖 2.1 展示了 SDN 環(huán)境的全網(wǎng)架構(gòu)。SDN 的典型架構(gòu)共分三層，最上層為應(yīng)用層，承接網(wǎng)絡(luò)中提供的業(yè)務(wù)和應(yīng)用；中間的控制層主要負(fù)責(zé)處理數(shù)據(jù)平面資源的分配，網(wǎng)絡(luò)拓?fù)渚S護(hù)、狀態(tài)信息管理等；最底層的基礎(chǔ)設(shè)施層負(fù)責(zé)基于流表的數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集。SDN 的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備僅進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，通過(guò)的硬件即可實(shí)現(xiàn)；負(fù)責(zé)控制的一系列操作系統(tǒng)被集中為獨(dú)立的控制器，對(duì)不同業(yè)務(wù)特性進(jìn)行適配。控制器、業(yè)務(wù)應(yīng)用以及硬件設(shè)備之間的通信都可以通過(guò)編程接口實(shí)現(xiàn)。

控制器能夠獲得每一個(gè)流表經(jīng)過(guò)的交換機(jī)的配置信息（容量、CPU 等）。中心層與底層的連接依賴(lài)于應(yīng)用程序接口（Application Programming Interface，API）即 SDN 中的南向接口，如通信協(xié)議 OpenFlow、ForCES 等；聯(lián)系多控制器工作的東/西向接口技術(shù)有 ALTO、Hyperflow 等；控制器至應(yīng)用的接口稱(chēng)為北向接口，有 FML、RESTful 接口等。3、應(yīng)用層集結(jié)了一系列網(wǎng)絡(luò)功能應(yīng)用，如流量監(jiān)控、安全訪(fǎng)問(wèn)、節(jié)能配置等。本文的基于 SDN 的緩和 DDoS 攻擊系統(tǒng)處于應(yīng)用層。SDN 最大的挑戰(zhàn)在于既要將數(shù)據(jù)與控制分離，同時(shí)也要保證運(yùn)營(yíng)商級(jí)別的服務(wù)。這個(gè)架構(gòu)是要能夠?qū)崿F(xiàn)目前運(yùn)營(yíng)商網(wǎng)絡(luò)的業(yè)務(wù)期望，可伸縮性、可靠性、QoS（Quality of Service，服務(wù)質(zhì)量）以及服務(wù)管理的需求。圖 2.2 展示了目前傳統(tǒng)網(wǎng)絡(luò)與 SDN 的網(wǎng)絡(luò)控制方式。圖 2.3 分析了傳統(tǒng)物理的網(wǎng)絡(luò)節(jié)點(diǎn)與 SDN 的網(wǎng)絡(luò)節(jié)點(diǎn)。

圖 2.3 傳統(tǒng)網(wǎng)絡(luò)與 SDN 節(jié)點(diǎn)架構(gòu)對(duì)比圖網(wǎng)絡(luò)運(yùn)營(yíng)以及服務(wù)廠商傾向于注重服務(wù)需求，刺激了 SDN 的研發(fā)，網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)生改變。圖 2.3（b）所示，SDN 將傳統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)中的控制層獨(dú)立出來(lái)集中，數(shù)據(jù)層中的 OpenFlow 交換機(jī)被 NOS（Network Operator System，網(wǎng)絡(luò)操作系統(tǒng)）控制。控制器使用 API 可以得到交換機(jī)中的配置信息以及數(shù)據(jù)包信息，以此來(lái)操縱每個(gè)節(jié)點(diǎn)的數(shù)據(jù)層進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，同時(shí)向 SDN 控制器的托管應(yīng)用程序提供抽象的網(wǎng)絡(luò)狀態(tài)模型。控制層集中的網(wǎng)絡(luò)信息可以被深度挖掘以?xún)?yōu)化流量管理，支持服務(wù)-用戶(hù)的可擴(kuò)展性與可伸縮性，例如，SDN 中應(yīng)用可以實(shí)時(shí)設(shè)置數(shù)據(jù)層中各節(jié)點(diǎn)的帶寬。SDN 控制與轉(zhuǎn)發(fā)分離至少有三個(gè)優(yōu)點(diǎn)。（1）轉(zhuǎn)發(fā)平面由受控轉(zhuǎn)發(fā)的設(shè)備組成，轉(zhuǎn)發(fā)方式以及業(yè)務(wù)邏輯由運(yùn)行在分離出去的控制面上的控制應(yīng)用所控制。這些設(shè)備僅需要存儲(chǔ)以及轉(zhuǎn)發(fā)功能即可，
【參考文獻(xiàn)】

相關(guān)期刊論文 前8條

1 張衛(wèi)峰;;走近Google基于SDN的B4網(wǎng)絡(luò)[J];程序員;2013年11期

2 陸運(yùn)清;;用Pearson’s卡方統(tǒng)計(jì)量進(jìn)行統(tǒng)計(jì)檢驗(yàn)時(shí)應(yīng)注意的問(wèn)題[J];統(tǒng)計(jì)與決策;2009年15期

3 孫長(zhǎng)華;劉斌;;分布式拒絕服務(wù)攻擊研究新進(jìn)展綜述[J];電子學(xué)報(bào);2009年07期

4 朱晶;;TCP協(xié)議簡(jiǎn)述與三次握手原理解析[J];電腦知識(shí)與技術(shù);2009年05期

5 傅德印;黃健;;典型相關(guān)分析中的統(tǒng)計(jì)檢驗(yàn)問(wèn)題[J];統(tǒng)計(jì)研究;2008年07期

6 王愛(ài)冬;鄺祝芳;陽(yáng)國(guó)貴;;基于關(guān)聯(lián)規(guī)則挖掘的數(shù)據(jù)庫(kù)異常檢測(cè)系統(tǒng)研究[J];計(jì)算機(jī)應(yīng)用與軟件;2008年05期

7 楊武,方濱興,云曉春,張宏莉;入侵檢測(cè)系統(tǒng)中高效模式匹配算法的研究[J];計(jì)算機(jī)工程;2004年13期

8 熊平,王先培,張愛(ài)菊;P2DR模型基于時(shí)間的量化分析[J];信息技術(shù);2002年07期

本文編號(hào)：2835860