隨著互聯(lián)網(wǎng)的快速發(fā)展,分布式拒絕服務(wù)攻擊也呈現(xiàn)愈演愈烈的態(tài)勢。發(fā)展到現(xiàn)在,高級攻擊者已經(jīng)不傾向使用單一的攻擊手段作戰(zhàn)了,而是根據(jù)目標(biāo)系統(tǒng)的具體環(huán)境靈動組合,發(fā)動多種攻擊手段,既具備了海量的流量,又利用了協(xié)議、系統(tǒng)的缺陷,盡其所能地展開攻勢。從以往的DDoS單一攻擊逐漸趨向于DDoS混合攻擊。但當(dāng)今的DDoS防御主要還是依賴于在固定位置部署的昂貴且專有的硬件設(shè)備,對于被攻擊目標(biāo)來說,需要面對不同協(xié)議、不同資源的分布式的攻擊,分析、響應(yīng)和處理的成本就會大大增加。由于分布式的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)不能實時掌握全局的網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)流量變化,使得DDoS混合攻擊難以防御。隨著近年來SDN的不斷發(fā)展,它為重新思考防御DDoS混合攻擊策略提供了新的機會和新的視角。SDN具有邏輯上的集中控制器,該控制器可獲得全局性的網(wǎng)絡(luò)狀態(tài),可以輕松分析流量模式。此外,它可以動態(tài)給SDN交換機下發(fā)流表從而更新轉(zhuǎn)發(fā)策略,因而無需更換昂貴的硬件設(shè)備,從而節(jié)約了成本。出于這些原因,SDN為在數(shù)據(jù)中心環(huán)境中抵御DDoS混合攻擊帶來了新的機遇。本文尋求在新的網(wǎng)絡(luò)架構(gòu)軟件定義網(wǎng)絡(luò)（SDN）的基礎(chǔ)之上構(gòu)建DDoS雙層防御系統(tǒng)來解決以上這些限... 

【文章來源】：華南理工大學(xué)廣東省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：69 頁

【學(xué)位級別】：碩士

【部分圖文】：

Floodlight控制器系統(tǒng)架構(gòu)

Open vSwitchsnort sensorsnort sensorhost1 host2 host3host4Open vSwitch圖5-2 第二層實驗網(wǎng)絡(luò)拓?fù)?

sid:10000001; rev:001; classtype:icmp-event;)再打開一個終端輸入ping指令；然后測試改進(jìn)后的Sunday算法是否成功應(yīng)用于匹配規(guī)則文件，測試命令如圖5-4所示。圖5-4 測試新算法是否成功實現(xiàn)可見，已成功檢測出ICMP數(shù)據(jù)包，改進(jìn)后的Sunday算法成功運行。5.2 系統(tǒng)測試5.2.1 第一層洪泛攻擊防御測試搭建好5.1.1小節(jié)所述系統(tǒng)之后，首先在一臺虛擬機中啟動sFlow-RT服務(wù)，監(jiān)聽6343端口，如圖5-5所示：圖5-5 sFlow-RT服務(wù)啟動圖OpenvSwitch自身支持sFlow[45]，第四章系統(tǒng)設(shè)計中Counter采樣設(shè)計為15秒，第三章已介紹大部分DDoS攻擊時間都在半小時內(nèi)

【參考文獻(xiàn)】：
期刊論文
[1]SDN環(huán)境下基于KNN的DDoS攻擊檢測方法[J]. 肖甫,馬俊青,黃洵松,王汝傳.  南京郵電大學(xué)學(xué)報(自然科學(xué)版). 2015(01)
[2]基于AR模型的網(wǎng)絡(luò)異常檢測[J]. 鄒柏賢,李忠誠.  微電子學(xué)與計算機. 2002(12)

博士論文
[1]網(wǎng)絡(luò)流量異常檢測與預(yù)測方法研究[D]. 鄒柏賢.中國科學(xué)院研究生院（計算技術(shù)研究所） 2003



本文編號：3096568