軟件定義網(wǎng)絡(luò)（Software-Defined Networking,簡稱SDN）是一種新型的網(wǎng)絡(luò)架構(gòu),其核心思想是將控制邏輯和轉(zhuǎn)發(fā)邏輯分離成兩個平面:集中式控制平面與分布式數(shù)據(jù)平面,具有集中控制、控制平面與數(shù)據(jù)平面解耦、可編程性強(qiáng)等特點(diǎn)。因此,SDN的這種設(shè)計(jì)受到了學(xué)術(shù)界和業(yè)界的高度關(guān)注。然而,SDN并不是絕對安全的,它仍然面臨著許多安全性挑戰(zhàn)。其中分布式拒絕服務(wù)（Distributed Denial of Service,簡稱DDoS）就是對SDN網(wǎng)絡(luò)安全的一個嚴(yán)重威脅。本文在SDN環(huán)境下針對服務(wù)器的DDoS攻擊進(jìn)行介紹與原理分析,并且對可能遭受DDoS攻擊進(jìn)而導(dǎo)致的問題,提出兩種方案進(jìn)行檢測與防御:（1）SDN中基于啟發(fā)式認(rèn)知計(jì)算的DDoS檢測與防御機(jī)制。大多數(shù)現(xiàn)有方案僅執(zhí)行DDoS攻擊檢測,而未解決檢測DDoS后如何防御和恢復(fù)的問題。本方案提出了一種基于認(rèn)知啟發(fā)式計(jì)算和雙地址熵的DDoS攻擊檢測與防御機(jī)制。提取交換機(jī)的流表特征,并結(jié)合支持向量機(jī)（Support Vector Machine,簡稱SVM）分類算法建立DDoS攻擊模型。該機(jī)制可以在DDoS攻擊的初始階段實(shí)現(xiàn)實(shí)時檢測... 

【文章來源】：安徽大學(xué)安徽省 211工程院校

【文章頁數(shù)】：62 頁

【學(xué)位級別】：碩士

【部分圖文】：

流表項(xiàng)Figure2.2FlowEntry流表中存儲著OpenFlow的所有流規(guī)則，這些流規(guī)則還存在各自的優(yōu)先級，流表根

安徽大學(xué)碩士學(xué)位論文10據(jù)自己存儲的流規(guī)則的優(yōu)先級的高低先后進(jìn)行匹配。在每一個OpenFlow的交換機(jī)中可同時存在一個或者多個流表，并且有各自的序號，序號從0依次遞增。OpenFlow中定義的流匹配具體過程如圖2.3所示。當(dāng)數(shù)據(jù)包傳入交換機(jī)之后，首先會從流表中序號0依次進(jìn)行匹配；流表匹配的過程中可以由序號小的流規(guī)則向序號大的方向越級跳轉(zhuǎn)，但是不能由序號大的流規(guī)則向序號小的跳轉(zhuǎn)；當(dāng)數(shù)據(jù)包與一條流規(guī)則成功匹配后，將會更新該流規(guī)則所對應(yīng)的統(tǒng)計(jì)數(shù)據(jù)信息（如總字節(jié)數(shù)和成功匹配數(shù)據(jù)包的總數(shù)等），然后再根據(jù)流規(guī)則當(dāng)中的規(guī)則進(jìn)行對應(yīng)的操作。當(dāng)數(shù)據(jù)包逐條匹配流規(guī)則均不成功，OpenFlow交換機(jī)就會向控制器發(fā)送Packet-in消息，由控制器來進(jìn)行決策。圖2.3數(shù)據(jù)包轉(zhuǎn)發(fā)規(guī)則Figure2.3PacketForwardingRules2.2DDoS攻擊DDoS攻擊的中文名稱是分布式拒絕服務(wù)攻擊[44]，攻擊者利用大量合法的分布式服務(wù)器或者大量傀儡主機(jī)對目標(biāo)服務(wù)器發(fā)送請求，消耗其資源，從而導(dǎo)致正常合法的用戶無法得到應(yīng)有的服務(wù)。2.2.1DDoS攻擊原理通俗的說就是攻擊者利用網(wǎng)絡(luò)節(jié)點(diǎn)資源如：個人PC、手機(jī)、智能設(shè)備等對目標(biāo)發(fā)起大量的攻擊服務(wù)請求，從而導(dǎo)致目標(biāo)服務(wù)器擁塞無法正常提供服務(wù)。攻擊過程如圖2.4所示。攻擊者通過一定的攻擊手段，控制大量僵尸網(wǎng)絡(luò)，通過發(fā)送命令，讓僵尸網(wǎng)絡(luò)中的主機(jī)向目標(biāo)主機(jī)發(fā)送大量的數(shù)據(jù)包，從而占用了受害者主機(jī)資源使其不能處理正

安徽大學(xué)碩士學(xué)位論文15間隔距離最大化，獲得分類的最大可信度，從而具備對未知樣本的準(zhǔn)確分類預(yù)測能力。本文選擇了一種基于認(rèn)知啟發(fā)式計(jì)算的支持向量機(jī)算法。如圖2.5所示，SVM劃分超平面。通常，從點(diǎn)到超平面的距離可以表示為分類預(yù)測的確定性或準(zhǔn)確性。如果計(jì)算從任何點(diǎn)到超平面的距離可表示為+，則分裂超平面的形式可以寫為|+|‖‖。其中常數(shù)b是截距。在實(shí)際的分類過程中，通過將Heviside階躍函數(shù)應(yīng)用于f(+)來獲得+。當(dāng)u<0時，f（u）輸出-1，否則輸出+1。因此，SVM的核心是找到具有最小間隔的數(shù)據(jù)點(diǎn)，并使用這些點(diǎn)來最大化間隔，從而確定w和b的值。具體表達(dá)式可以寫為：,{((+))1‖‖}。在引入拉格朗日乘數(shù)之后，使用基于約束條件的表達(dá)式公式進(jìn)一步分析了目標(biāo)函數(shù)。最后，可以寫成：[∑=112∑()(),=1,]。解決SVM的約束問題是此表達(dá)式的最佳解決方案。圖2.5分類超平面Figure2.5ClassificationHyperplane2.3.3自組織映射神經(jīng)網(wǎng)絡(luò)自組織映射神經(jīng)網(wǎng)絡(luò)是一種可以對數(shù)據(jù)進(jìn)行無監(jiān)督學(xué)習(xí)的聚類算法，它的本質(zhì)上是只有輸入層-隱藏層（競爭層）的神經(jīng)網(wǎng)絡(luò)[49]。輸入層負(fù)責(zé)數(shù)據(jù)的輸入，隱藏層是該算法的計(jì)算層，該層中的每一個節(jié)點(diǎn)表示需要收集的一個類。訓(xùn)練的過程主要是在隱藏層中通過“競爭性學(xué)習(xí)”的方法找到最佳匹配的節(jié)點(diǎn)。每個輸入樣本都會在隱藏層中找到與之最匹配的節(jié)點(diǎn)，稱其為活躍節(jié)點(diǎn)，也稱為“勝利神經(jīng)元”。其中，所有的活動節(jié)點(diǎn)的參數(shù)通過隨機(jī)梯度下降法進(jìn)行更新。同時，與活動節(jié)點(diǎn)相鄰的節(jié)點(diǎn)也會依據(jù)與活動節(jié)點(diǎn)的接近程度來適當(dāng)?shù)馗聟?shù)。因此，SOM的一個功能表示隱藏層中的節(jié)點(diǎn)之間的距離存在一種拓?fù)潢P(guān)系,這種拓?fù)潢P(guān)系需要人工確定可根據(jù)實(shí)際需要將拓?fù)湓O(shè)置成一

【參考文獻(xiàn)】：
期刊論文
[1]DDoS攻擊檢測和控制方法[J]. 張永錚,肖軍,云曉春,王風(fēng)宇.  軟件學(xué)報. 2012(08)



本文編號：3458717