軟件定義網(wǎng)絡(luò)(Software Defined Networking,簡稱SDN)是一種新型的網(wǎng)絡(luò)體系架構(gòu),利用分層的思想解耦了傳統(tǒng)網(wǎng)絡(luò)中的控制和轉(zhuǎn)發(fā),從而實(shí)現(xiàn)對網(wǎng)絡(luò)的集中控制�？刂�-轉(zhuǎn)發(fā)分離是SDN的主要特性之一,而攻擊者可以利用這一特性向SDN發(fā)動攻擊,造成網(wǎng)絡(luò)癱瘓。分布式拒絕服務(wù)攻擊(Distributed Denial of Service,簡稱DDoS)具有破壞性強(qiáng)和攻擊面廣的特點(diǎn),是SDN面臨的主要威脅之一。隨著SDN體系架構(gòu)在云數(shù)據(jù)中心的廣泛應(yīng)用,如何保障SDN的安全也是重中之重。本文針對SDN的特性和DDoS攻擊特點(diǎn),主要從DDoS攻擊的檢測、溯源以及緩解三個方面出發(fā),進(jìn)行了以下分析和研究:(1)分析DDoS攻擊特點(diǎn)并在現(xiàn)有相關(guān)流表項特征提取方法的基礎(chǔ)上,利用SDN中OpenFlow交換機(jī)流表項提取了8個特征構(gòu)成特征向量以此更好地區(qū)分正常流量和攻擊流量。與傳統(tǒng)機(jī)器學(xué)習(xí)方法用于DDoS攻擊檢測不同,深度學(xué)習(xí)中的循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)不僅可以利用當(dāng)前序列特征,還可以利用歷史序列的特征信息。因此循環(huán)神經(jīng)網(wǎng)絡(luò)可以充分利用DDoS攻擊流量的歷史信息,從而做出更準(zhǔn)確的分類檢測。綜合分析現(xiàn)有循環(huán)神經(jīng)網(wǎng)絡(luò)的壓縮方法,提出了一種改進(jìn)的長短記憶網(wǎng)絡(luò)(LSTM,RNN的一種)壓縮模型,并基于改進(jìn)壓縮LSTM搭建了深度學(xué)習(xí)模型,利用數(shù)據(jù)集對模型進(jìn)行訓(xùn)練并持久化。利用持久化模型設(shè)計了SDN環(huán)境下的DDoS攻擊檢測方法:主要包含流表收集、流表特征提取、分類檢測以及模型再訓(xùn)練四個部分。(2)結(jié)合SDN特性,對傳統(tǒng)網(wǎng)絡(luò)中的包標(biāo)記(PPM)溯源算法進(jìn)行了改進(jìn)設(shè)計。改進(jìn)溯源算法利用IP數(shù)據(jù)包頭部較少使用的三個字段共25bits作為標(biāo)記空間,算法分為標(biāo)記過程和路徑重構(gòu)過程,并把標(biāo)記過程應(yīng)用到OpenFlow交換機(jī)的Actions中。該算法的標(biāo)記過程與傳統(tǒng)網(wǎng)絡(luò)中PPM溯源的標(biāo)記過程不同之處是無需構(gòu)造網(wǎng)絡(luò)拓?fù)?因此更為簡潔,同時利用動態(tài)概率來標(biāo)記數(shù)據(jù)包以此加快溯源速度。該算法的路徑重構(gòu)過程會結(jié)合控制器掌握全網(wǎng)拓?fù)涞奶匦?利用標(biāo)記信息完成攻擊路徑樹的重構(gòu)。(3)分析傳統(tǒng)網(wǎng)絡(luò)中DDoS攻擊緩解方法的不足之處,結(jié)合SDN特性設(shè)計了DDoS攻擊緩解方法以及介紹該緩解方法的工作流程。通過Mininet仿真平臺搭建模擬SDN環(huán)境,驗證了攻擊檢測方法、攻擊溯源方法以及攻擊緩解方法的可行性,為實(shí)際應(yīng)用場景中如何保障SDN安全提供一種解決思路。
【學(xué)位單位】：西南交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

并且其控制平面的網(wǎng)絡(luò)操作系統(tǒng)代替了傳統(tǒng)網(wǎng)絡(luò)中負(fù)責(zé)控制的操作系統(tǒng)。如圖2.1 為典型的 SDN 體系架構(gòu)框架。圖 2.1 典型的 SDN 體系架構(gòu)由圖 2.1 可知，典型的 SDN 架構(gòu)可以分為三層：應(yīng)用層(應(yīng)用平面)、控制層(控制平面)和基礎(chǔ)設(shè)施層(數(shù)據(jù)平面)，以下對這三個平面的作用進(jìn)行簡單介紹。應(yīng)用平面：是開發(fā)人員所編寫，并且可以適應(yīng)多種復(fù)雜業(yè)務(wù)需求的的應(yīng)用程序，該平面可以通過北向 API 調(diào)用控制平面。應(yīng)用平面通過北向接口和控制平面連接，而北

圖 2.6 簡易 DDoS 攻擊原理圖oS 攻擊分類 攻擊通常分為兩類：帶寬消耗型 DDoS 攻擊和資源消耗型 DDo或主機(jī)系統(tǒng)資源為目的，共同點(diǎn)是使得合法用戶的正常服務(wù)器。

單詞是有聯(lián)系的，而不是相互獨(dú)立的。與前饋神經(jīng)網(wǎng)絡(luò)不同，循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN含層之間的節(jié)點(diǎn)是有連接的，其隱含層的輸入有兩個部分組成：當(dāng)前時刻輸入層和上一時刻隱含層的輸出值。所以 RNN 會記憶輸入序列的歷史信息，并保存在網(wǎng)內(nèi)部狀態(tài)中，然后應(yīng)用到當(dāng)前輸出的計算中。RNN 一般是用來處理和預(yù)測序列數(shù)，比如可以應(yīng)用到入侵檢測中[33]。普通的 RNN(RNN 有幾類變種實(shí)現(xiàn))包含三層：層、隱層和輸出層，如圖 2.7 所示，將其結(jié)構(gòu)在時序展開。
【參考文獻(xiàn)】

相關(guān)期刊論文 前1條

1 肖甫;馬俊青;黃洵松;王汝傳;;SDN環(huán)境下基于KNN的DDoS攻擊檢測方法[J];南京郵電大學(xué)學(xué)報(自然科學(xué)版);2015年01期

相關(guān)碩士學(xué)位論文 前2條

1 李鶴飛;基于軟件定義網(wǎng)絡(luò)的DDoS攻擊檢測方法和緩解機(jī)制的研究[D];華東師范大學(xué);2015年

2 夏彬;基于軟件定義網(wǎng)絡(luò)的WLAN中DDoS攻擊檢測和防護(hù)[D];上海交通大學(xué);2015年

本文編號：2865368