軟件定義網(wǎng)絡(luò)（Software-Defined Networking,簡(jiǎn)稱SDN）是一種新型的網(wǎng)絡(luò)架構(gòu),其核心思想是將控制邏輯和轉(zhuǎn)發(fā)邏輯分離成兩個(gè)平面:集中式控制平面與分布式數(shù)據(jù)平面,具有集中控制、控制平面與數(shù)據(jù)平面解耦、可編程性強(qiáng)等特點(diǎn)。因此,SDN的這種設(shè)計(jì)受到了學(xué)術(shù)界和業(yè)界的高度關(guān)注。然而,SDN并不是絕對(duì)安全的,它仍然面臨著許多安全性挑戰(zhàn)。其中分布式拒絕服務(wù)（Distributed Denial of Service,簡(jiǎn)稱DDoS）就是對(duì)SDN網(wǎng)絡(luò)安全的一個(gè)嚴(yán)重威脅。本文在SDN環(huán)境下針對(duì)服務(wù)器的DDoS攻擊進(jìn)行介紹與原理分析,并且對(duì)可能遭受DDoS攻擊進(jìn)而導(dǎo)致的問(wèn)題,提出兩種方案進(jìn)行檢測(cè)與防御:（1）SDN中基于啟發(fā)式認(rèn)知計(jì)算的DDoS檢測(cè)與防御機(jī)制。大多數(shù)現(xiàn)有方案僅執(zhí)行DDoS攻擊檢測(cè),而未解決檢測(cè)DDoS后如何防御和恢復(fù)的問(wèn)題。本方案提出了一種基于認(rèn)知啟發(fā)式計(jì)算和雙地址熵的DDoS攻擊檢測(cè)與防御機(jī)制。提取交換機(jī)的流表特征,并結(jié)合支持向量機(jī)（Support Vector Machine,簡(jiǎn)稱SVM）分類算法建立DDoS攻擊模型。該機(jī)制可以在DDoS攻擊的初始階段實(shí)現(xiàn)實(shí)時(shí)檢測(cè)... 

【文章來(lái)源】：安徽大學(xué)安徽省 211工程院校

【文章頁(yè)數(shù)】：62 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

流表項(xiàng)Figure2.2FlowEntry流表中存儲(chǔ)著OpenFlow的所有流規(guī)則，這些流規(guī)則還存在各自的優(yōu)先級(jí)，流表根

安徽大學(xué)碩士學(xué)位論文10據(jù)自己存儲(chǔ)的流規(guī)則的優(yōu)先級(jí)的高低先后進(jìn)行匹配。在每一個(gè)OpenFlow的交換機(jī)中可同時(shí)存在一個(gè)或者多個(gè)流表，并且有各自的序號(hào)，序號(hào)從0依次遞增。OpenFlow中定義的流匹配具體過(guò)程如圖2.3所示。當(dāng)數(shù)據(jù)包傳入交換機(jī)之后，首先會(huì)從流表中序號(hào)0依次進(jìn)行匹配；流表匹配的過(guò)程中可以由序號(hào)小的流規(guī)則向序號(hào)大的方向越級(jí)跳轉(zhuǎn)，但是不能由序號(hào)大的流規(guī)則向序號(hào)小的跳轉(zhuǎn)；當(dāng)數(shù)據(jù)包與一條流規(guī)則成功匹配后，將會(huì)更新該流規(guī)則所對(duì)應(yīng)的統(tǒng)計(jì)數(shù)據(jù)信息（如總字節(jié)數(shù)和成功匹配數(shù)據(jù)包的總數(shù)等），然后再根據(jù)流規(guī)則當(dāng)中的規(guī)則進(jìn)行對(duì)應(yīng)的操作。當(dāng)數(shù)據(jù)包逐條匹配流規(guī)則均不成功，OpenFlow交換機(jī)就會(huì)向控制器發(fā)送Packet-in消息，由控制器來(lái)進(jìn)行決策。圖2.3數(shù)據(jù)包轉(zhuǎn)發(fā)規(guī)則Figure2.3PacketForwardingRules2.2DDoS攻擊DDoS攻擊的中文名稱是分布式拒絕服務(wù)攻擊[44]，攻擊者利用大量合法的分布式服務(wù)器或者大量傀儡主機(jī)對(duì)目標(biāo)服務(wù)器發(fā)送請(qǐng)求，消耗其資源，從而導(dǎo)致正常合法的用戶無(wú)法得到應(yīng)有的服務(wù)。2.2.1DDoS攻擊原理通俗的說(shuō)就是攻擊者利用網(wǎng)絡(luò)節(jié)點(diǎn)資源如：個(gè)人PC、手機(jī)、智能設(shè)備等對(duì)目標(biāo)發(fā)起大量的攻擊服務(wù)請(qǐng)求，從而導(dǎo)致目標(biāo)服務(wù)器擁塞無(wú)法正常提供服務(wù)。攻擊過(guò)程如圖2.4所示。攻擊者通過(guò)一定的攻擊手段，控制大量僵尸網(wǎng)絡(luò)，通過(guò)發(fā)送命令，讓僵尸網(wǎng)絡(luò)中的主機(jī)向目標(biāo)主機(jī)發(fā)送大量的數(shù)據(jù)包，從而占用了受害者主機(jī)資源使其不能處理正

安徽大學(xué)碩士學(xué)位論文15間隔距離最大化，獲得分類的最大可信度，從而具備對(duì)未知樣本的準(zhǔn)確分類預(yù)測(cè)能力。本文選擇了一種基于認(rèn)知啟發(fā)式計(jì)算的支持向量機(jī)算法。如圖2.5所示，SVM劃分超平面。通常，從點(diǎn)到超平面的距離可以表示為分類預(yù)測(cè)的確定性或準(zhǔn)確性。如果計(jì)算從任何點(diǎn)到超平面的距離可表示為+，則分裂超平面的形式可以寫為|+|‖‖。其中常數(shù)b是截距。在實(shí)際的分類過(guò)程中，通過(guò)將Heviside階躍函數(shù)應(yīng)用于f(+)來(lái)獲得+。當(dāng)u<0時(shí)，f（u）輸出-1，否則輸出+1。因此，SVM的核心是找到具有最小間隔的數(shù)據(jù)點(diǎn)，并使用這些點(diǎn)來(lái)最大化間隔，從而確定w和b的值。具體表達(dá)式可以寫為：,{((+))1‖‖}。在引入拉格朗日乘數(shù)之后，使用基于約束條件的表達(dá)式公式進(jìn)一步分析了目標(biāo)函數(shù)。最后，可以寫成：[∑=112∑()(),=1,]。解決SVM的約束問(wèn)題是此表達(dá)式的最佳解決方案。圖2.5分類超平面Figure2.5ClassificationHyperplane2.3.3自組織映射神經(jīng)網(wǎng)絡(luò)自組織映射神經(jīng)網(wǎng)絡(luò)是一種可以對(duì)數(shù)據(jù)進(jìn)行無(wú)監(jiān)督學(xué)習(xí)的聚類算法，它的本質(zhì)上是只有輸入層-隱藏層（競(jìng)爭(zhēng)層）的神經(jīng)網(wǎng)絡(luò)[49]。輸入層負(fù)責(zé)數(shù)據(jù)的輸入，隱藏層是該算法的計(jì)算層，該層中的每一個(gè)節(jié)點(diǎn)表示需要收集的一個(gè)類。訓(xùn)練的過(guò)程主要是在隱藏層中通過(guò)“競(jìng)爭(zhēng)性學(xué)習(xí)”的方法找到最佳匹配的節(jié)點(diǎn)。每個(gè)輸入樣本都會(huì)在隱藏層中找到與之最匹配的節(jié)點(diǎn)，稱其為活躍節(jié)點(diǎn)，也稱為“勝利神經(jīng)元”。其中，所有的活動(dòng)節(jié)點(diǎn)的參數(shù)通過(guò)隨機(jī)梯度下降法進(jìn)行更新。同時(shí)，與活動(dòng)節(jié)點(diǎn)相鄰的節(jié)點(diǎn)也會(huì)依據(jù)與活動(dòng)節(jié)點(diǎn)的接近程度來(lái)適當(dāng)?shù)馗聟?shù)。因此，SOM的一個(gè)功能表示隱藏層中的節(jié)點(diǎn)之間的距離存在一種拓?fù)潢P(guān)系,這種拓?fù)潢P(guān)系需要人工確定可根據(jù)實(shí)際需要將拓?fù)湓O(shè)置成一

【參考文獻(xiàn)】：
期刊論文
[1]DDoS攻擊檢測(cè)和控制方法[J]. 張永錚,肖軍,云曉春,王風(fēng)宇.  軟件學(xué)報(bào). 2012(08)



本文編號(hào)：3458717