本文關(guān)鍵詞：基于OpenFlow的SDN網(wǎng)絡(luò)仿真平臺(tái)設(shè)計(jì)與DoS攻擊檢測(cè)，，由筆耕文化傳播整理發(fā)布。

【摘要】：當(dāng)前,隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)的興起,網(wǎng)絡(luò)數(shù)據(jù)中心對(duì)于網(wǎng)絡(luò)架構(gòu)在統(tǒng)一管理、易于維護(hù)、高安全性等方面的要求逐漸提高,這一現(xiàn)象促使軟件定義網(wǎng)絡(luò)(SDN)架構(gòu)的快速發(fā)展。對(duì)SDN網(wǎng)絡(luò)架構(gòu)的實(shí)現(xiàn),開放網(wǎng)絡(luò)基金會(huì)提出了OpenFlow協(xié)議,它是目前唯一受到廣泛認(rèn)可的協(xié)議標(biāo)準(zhǔn)。基于OpenFlow的SDN網(wǎng)絡(luò)相對(duì)于傳統(tǒng)網(wǎng)絡(luò)最主要的特點(diǎn)就是轉(zhuǎn)發(fā)層和控制層相分離、網(wǎng)絡(luò)行為可編程,最主要的機(jī)制就是流表機(jī)制和消息機(jī)制。這樣的特點(diǎn)也為DoS攻擊檢測(cè)提供了新的思路。然而,在研究利用OpenFlow協(xié)議實(shí)現(xiàn)DoS攻擊檢測(cè)的過程中也遇見一個(gè)最大的問題,就是網(wǎng)絡(luò)環(huán)境的構(gòu)建。所以本文研究的主要問題有兩個(gè)：SDN網(wǎng)絡(luò)DoS攻擊以及OpenFlow檢測(cè)防御方案、基于OpenFlow的SDN網(wǎng)絡(luò)仿真平臺(tái)設(shè)計(jì)和實(shí)現(xiàn)。針對(duì)這兩個(gè)問題本文的主要工作和成果如下： 1.本文研究了SDN網(wǎng)絡(luò)下新型DoS攻擊以及提出針對(duì)Host傳統(tǒng)DoS攻擊的OpenFlow檢測(cè)防御方案。首先,研究在SDN網(wǎng)絡(luò)中的DoS攻擊主要存在于兩個(gè)部件：控制器和Host。對(duì)于控制器的DoS攻擊目前研究的非常少,因?yàn)樵谝话憔W(wǎng)絡(luò)環(huán)境下控制對(duì)于底層Host是透明的不可見的,底層Host沒有辦法直接連接到控制器對(duì)其發(fā)起攻擊。所以本文提出了一種通過發(fā)送大量無用數(shù)據(jù)包給交換機(jī),誘導(dǎo)交換機(jī)給控制器發(fā)送大規(guī)模請(qǐng)求造成控制器拒絕服務(wù)的新型DoS攻擊。對(duì)于Host的攻擊主要還是傳統(tǒng)的DoS攻擊。針對(duì)Host傳統(tǒng)DoS攻擊,本文提出利用OpenFlow協(xié)議機(jī)制來檢測(cè)和防御DoS攻擊的方案。檢測(cè)方案主要分四個(gè)步驟,數(shù)據(jù)包采集、協(xié)議解析、規(guī)則匹配和主動(dòng)響應(yīng)。防御方案主要包括三個(gè)方法,數(shù)據(jù)包過濾法、流量限制法和回溯定位法。 2.本文設(shè)計(jì)和實(shí)現(xiàn)基于OpenFlow的SDN網(wǎng)絡(luò)仿真平臺(tái)。仿真平臺(tái)分為四個(gè)層次,底層硬件、虛擬平臺(tái)、底層軟件和模擬軟件。其中底層硬件是真實(shí)的物理設(shè)備,包括網(wǎng)卡,服務(wù)器和交換機(jī)。虛擬平臺(tái)主要是使用Linux核心支持的原生虛擬化技術(shù)(Linux Kernel-base Virtual Machine,簡(jiǎn)稱KVM)來構(gòu)建一個(gè)虛擬節(jié)點(diǎn)資源池。底層軟件使用Emulab來實(shí)現(xiàn)管理和控制功能。模擬軟件主要集成交換機(jī)仿真軟件Open vSwitch和控制器仿真軟件FloodLight。本平臺(tái)通過半虛擬化技術(shù)解決了Mininet輕量級(jí)仿真的真實(shí)度不夠、性能不強(qiáng)的問題。本平臺(tái)通過集成Emulab軟件解決了實(shí)物仿真的管理問題。并且本平臺(tái)有良好的圖形化交互界面、易于擴(kuò)展。 3.基于工作2實(shí)現(xiàn)的仿真平臺(tái)對(duì)工作1中提出的SDN網(wǎng)絡(luò)DoS攻擊及檢測(cè)防御方案進(jìn)行驗(yàn)證。值得說明的是由于DoS攻擊是一類攻擊方式,涉及到的具體攻擊過多,而且本文也在2.3.3節(jié)中表示對(duì)檢測(cè)完備性不進(jìn)行重點(diǎn)考慮,所以在實(shí)驗(yàn)環(huán)節(jié)選取了Land攻擊作為具體研究對(duì)象。驗(yàn)證結(jié)果表明,通過本文提出的針對(duì)SDN控制器的DoS攻擊可以實(shí)現(xiàn)對(duì)控制器的資源耗盡,達(dá)到攻擊效果。通過本文提出的OpenFlow檢測(cè)防御方案可以檢測(cè)防御網(wǎng)絡(luò)中的針對(duì)Host的Land攻擊,并從準(zhǔn)確性、處理性能和及時(shí)性三個(gè)維度對(duì)檢測(cè)防御效果進(jìn)行驗(yàn)證。實(shí)驗(yàn)表明,OpenFlow檢測(cè)防御DoS攻擊方案準(zhǔn)確度高,處理能力強(qiáng),及時(shí)性好。
【關(guān)鍵詞】：軟件定義網(wǎng)絡(luò) OpenFlow 網(wǎng)絡(luò)仿真平臺(tái) 軟件定義網(wǎng)絡(luò)安全 DoS攻擊檢測(cè)
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08;TP391.9
【目錄】：

• 摘要4-6
• ABSTRACT6-11
• 第一章 緒論11-16
• 1.1 課題背景及意義11-14
• 1.1.1 OpenFlow協(xié)議的現(xiàn)狀11-13
• 1.1.2 SDN檢測(cè)DoS攻擊必要性13-14
• 1.1.3 SDN網(wǎng)絡(luò)仿真的必要性14
• 1.2 論文創(chuàng)新點(diǎn)14
• 1.3 論文組織結(jié)構(gòu)14-16
• 第二章 相關(guān)研究16-28
• 2.1 引言16
• 2.2 基于OpenFlow的SDN網(wǎng)絡(luò)概述16-21
• 2.2.1 SDN架構(gòu)16-17
• 2.2.2 OpenFlow協(xié)議機(jī)制17-18
• 2.2.3 基于OpenFlow的SDN網(wǎng)絡(luò)18-21
• 2.3 DoS攻擊檢測(cè)相關(guān)研究21-23
• 2.3.1 DoS攻擊檢測(cè)原理21-22
• 2.3.2 檢測(cè)性能評(píng)價(jià)標(biāo)準(zhǔn)22-23
• 2.4 基于OpenFlow的SDN網(wǎng)絡(luò)仿真研究23-27
• 2.4.1 交換機(jī)仿真23
• 2.4.2 控制器仿真23-24
• 2.4.3 仿真平臺(tái)24-27
• 2.5 本章小結(jié)27-28
• 第三章 SDN網(wǎng)絡(luò)DoS攻擊及OpenFlow檢測(cè)防御方案28-42
• 3.1 引言28
• 3.2 SDN網(wǎng)絡(luò)脆弱性28-30
• 3.2.1 應(yīng)用28
• 3.2.2 控制器28-29
• 3.2.3 接口協(xié)議29
• 3.2.4 Host29-30
• 3.3 SDN網(wǎng)絡(luò)DoS攻擊30-33
• 3.3.1 針對(duì)控制器新型DoS攻擊30-32
• 3.3.2 針對(duì)Host傳統(tǒng)DoS攻擊32-33
• 3.4 針對(duì)Host傳統(tǒng)DoS攻擊的OpenFlow檢測(cè)方案33-39
• 3.4.1 數(shù)據(jù)采集33-35
• 3.4.2 協(xié)議解析35-36
• 3.4.3 規(guī)則匹配36-38
• 3.4.4 攻擊主動(dòng)響應(yīng)38-39
• 3.5 針對(duì)Host傳統(tǒng)DoS攻擊的OpenFlow防御方案39-40
• 3.5.1 數(shù)據(jù)包過濾方法39-40
• 3.5.2 流量限制方法40
• 3.5.3 回溯定位方法40
• 3.6 本章小結(jié)40-42
• 第四章 基于OpenFlow的SDN網(wǎng)絡(luò)仿真平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)42-64
• 4.1 引言42
• 4.2 平臺(tái)需求分析42
• 4.3 平臺(tái)總體設(shè)計(jì)42-49
• 4.3.1 總體架構(gòu)43
• 4.3.2 物理架構(gòu)43-44
• 4.3.3 功能設(shè)計(jì)44-49
• 4.4 平臺(tái)關(guān)鍵技術(shù)49-51
• 4.4.1 KVM虛擬化技術(shù)49-50
• 4.4.2 Open vSwitch仿真50
• 4.4.3 FloodLight仿真50-51
• 4.5 平臺(tái)具體實(shí)現(xiàn)51-59
• 4.5.1 物理環(huán)境搭建51-52
• 4.5.2 服務(wù)器配置52
• 4.5.3 系統(tǒng)數(shù)據(jù)庫實(shí)現(xiàn)52-53
• 4.5.4 實(shí)驗(yàn)節(jié)點(diǎn)集成53-55
• 4.5.5 OpenFlow交換機(jī)集成55-56
• 4.5.6 OpenFlow控制器集成56-57
• 4.5.7 攻擊模塊57-59
• 4.6 平臺(tái)關(guān)鍵流程59-61
• 4.6.1 用戶添加流程59
• 4.6.2 實(shí)驗(yàn)啟動(dòng)流程59-60
• 4.6.3 實(shí)驗(yàn)結(jié)束流程60-61
• 4.7 平臺(tái)優(yōu)勢(shì)61-62
• 4.8 本章小結(jié)62-64
• 第五章 基于仿真平臺(tái)SDN網(wǎng)絡(luò)DoS攻擊及檢測(cè)方案驗(yàn)證64-78
• 5.1 引言64
• 5.2 基于仿真平臺(tái)搭建實(shí)驗(yàn)64-67
• 5.3 攻擊及檢測(cè)步驟67-71
• 5.3.1 針對(duì)控制器的新型DoS攻擊實(shí)驗(yàn)步驟67
• 5.3.2 針對(duì)HOST的Land攻擊OpenFlow檢測(cè)防御方案實(shí)驗(yàn)步驟67-71
• 5.4 實(shí)驗(yàn)效果及分析71-77
• 5.4.1 攻擊效果71-72
• 5.4.2 檢測(cè)效果72-76
• 5.4.3 防御效果76-77
• 5.5 小結(jié)77-78
• 第六章 總結(jié)與展望78-80
• 6.1 全文總結(jié)78-79
• 6.2 展望79-80
• 參考文獻(xiàn)80-83
• 致謝83-84
• 攻讀碩士學(xué)位期間發(fā)表的學(xué)術(shù)論文84

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前2條

1 張然,錢德沛,過曉兵;防火墻與入侵檢測(cè)技術(shù)[J];計(jì)算機(jī)應(yīng)用研究;2001年01期

2 吳慶濤,邵志清;入侵檢測(cè)研究綜述[J];計(jì)算機(jī)應(yīng)用研究;2005年12期

  本文關(guān)鍵詞：基于OpenFlow的SDN網(wǎng)絡(luò)仿真平臺(tái)設(shè)計(jì)與DoS攻擊檢測(cè)，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：357195