軟件定義網(wǎng)絡(Software Defined Networking,簡稱SDN)是一種新型的網(wǎng)絡體系架構,利用分層的思想解耦了傳統(tǒng)網(wǎng)絡中的控制和轉(zhuǎn)發(fā),從而實現(xiàn)對網(wǎng)絡的集中控制�？刂�-轉(zhuǎn)發(fā)分離是SDN的主要特性之一,而攻擊者可以利用這一特性向SDN發(fā)動攻擊,造成網(wǎng)絡癱瘓。分布式拒絕服務攻擊(Distributed Denial of Service,簡稱DDoS)具有破壞性強和攻擊面廣的特點,是SDN面臨的主要威脅之一。隨著SDN體系架構在云數(shù)據(jù)中心的廣泛應用,如何保障SDN的安全也是重中之重。本文針對SDN的特性和DDoS攻擊特點,主要從DDoS攻擊的檢測、溯源以及緩解三個方面出發(fā),進行了以下分析和研究:(1)分析DDoS攻擊特點并在現(xiàn)有相關流表項特征提取方法的基礎上,利用SDN中OpenFlow交換機流表項提取了8個特征構成特征向量以此更好地區(qū)分正常流量和攻擊流量。與傳統(tǒng)機器學習方法用于DDoS攻擊檢測不同,深度學習中的循環(huán)神經(jīng)網(wǎng)絡(RNN)不僅可以利用當前序列特征,還可以利用歷史序列的特征信息。因此循環(huán)神經(jīng)網(wǎng)絡可以充分利用DDoS攻擊流量的歷史信息,從而做出更準確的分類檢測。綜合分析現(xiàn)有循環(huán)神經(jīng)網(wǎng)絡的壓縮方法,提出了一種改進的長短記憶網(wǎng)絡(LSTM,RNN的一種)壓縮模型,并基于改進壓縮LSTM搭建了深度學習模型,利用數(shù)據(jù)集對模型進行訓練并持久化。利用持久化模型設計了SDN環(huán)境下的DDoS攻擊檢測方法:主要包含流表收集、流表特征提取、分類檢測以及模型再訓練四個部分。(2)結合SDN特性,對傳統(tǒng)網(wǎng)絡中的包標記(PPM)溯源算法進行了改進設計。改進溯源算法利用IP數(shù)據(jù)包頭部較少使用的三個字段共25bits作為標記空間,算法分為標記過程和路徑重構過程,并把標記過程應用到OpenFlow交換機的Actions中。該算法的標記過程與傳統(tǒng)網(wǎng)絡中PPM溯源的標記過程不同之處是無需構造網(wǎng)絡拓撲,因此更為簡潔,同時利用動態(tài)概率來標記數(shù)據(jù)包以此加快溯源速度。該算法的路徑重構過程會結合控制器掌握全網(wǎng)拓撲的特性,利用標記信息完成攻擊路徑樹的重構。(3)分析傳統(tǒng)網(wǎng)絡中DDoS攻擊緩解方法的不足之處,結合SDN特性設計了DDoS攻擊緩解方法以及介紹該緩解方法的工作流程。通過Mininet仿真平臺搭建模擬SDN環(huán)境,驗證了攻擊檢測方法、攻擊溯源方法以及攻擊緩解方法的可行性,為實際應用場景中如何保障SDN安全提供一種解決思路。
【學位單位】：西南交通大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

并且其控制平面的網(wǎng)絡操作系統(tǒng)代替了傳統(tǒng)網(wǎng)絡中負責控制的操作系統(tǒng)。如圖2.1 為典型的 SDN 體系架構框架。圖 2.1 典型的 SDN 體系架構由圖 2.1 可知，典型的 SDN 架構可以分為三層：應用層(應用平面)、控制層(控制平面)和基礎設施層(數(shù)據(jù)平面)，以下對這三個平面的作用進行簡單介紹。應用平面：是開發(fā)人員所編寫，并且可以適應多種復雜業(yè)務需求的的應用程序，該平面可以通過北向 API 調(diào)用控制平面。應用平面通過北向接口和控制平面連接，而北

圖 2.6 簡易 DDoS 攻擊原理圖oS 攻擊分類 攻擊通常分為兩類：帶寬消耗型 DDoS 攻擊和資源消耗型 DDo或主機系統(tǒng)資源為目的，共同點是使得合法用戶的正常服務器。

單詞是有聯(lián)系的，而不是相互獨立的。與前饋神經(jīng)網(wǎng)絡不同，循環(huán)神經(jīng)網(wǎng)絡(RNN含層之間的節(jié)點是有連接的，其隱含層的輸入有兩個部分組成：當前時刻輸入層和上一時刻隱含層的輸出值。所以 RNN 會記憶輸入序列的歷史信息，并保存在網(wǎng)內(nèi)部狀態(tài)中，然后應用到當前輸出的計算中。RNN 一般是用來處理和預測序列數(shù)，比如可以應用到入侵檢測中[33]。普通的 RNN(RNN 有幾類變種實現(xiàn))包含三層：層、隱層和輸出層，如圖 2.7 所示，將其結構在時序展開。
【參考文獻】

相關期刊論文 前1條

1 肖甫;馬俊青;黃洵松;王汝傳;;SDN環(huán)境下基于KNN的DDoS攻擊檢測方法[J];南京郵電大學學報(自然科學版);2015年01期

相關碩士學位論文 前2條

1 李鶴飛;基于軟件定義網(wǎng)絡的DDoS攻擊檢測方法和緩解機制的研究[D];華東師范大學;2015年

2 夏彬;基于軟件定義網(wǎng)絡的WLAN中DDoS攻擊檢測和防護[D];上海交通大學;2015年

本文編號：2865368