在軟件定義網(wǎng)絡(luò)(SDN)架構(gòu)下,傳統(tǒng)的分布式拒絕服務(wù)(DDoS)攻擊檢測(cè)機(jī)制多數(shù)是基于中間插件或SDN控制器,不僅缺乏網(wǎng)絡(luò)全局范圍的監(jiān)控信息,還存在較大的南向接口通信開銷和檢測(cè)延遲。為此,提出一種SDN架構(gòu)下跨平面協(xié)作的DDoS攻擊檢測(cè)與防御方法。該方法利用OpenFlow交換機(jī)CPU的計(jì)算能力,將一部分檢測(cè)任務(wù)從控制平面卸載到數(shù)據(jù)平面,進(jìn)而通過數(shù)據(jù)平面粗粒度方法和控制平面細(xì)粒度方法配合協(xié)作完成整個(gè)檢測(cè),控制器根據(jù)檢測(cè)結(jié)果制定網(wǎng)絡(luò)全局范圍的防御策略。實(shí)驗(yàn)結(jié)果表明,相比支持向量機(jī)方法,該方法提高了檢測(cè)效率和準(zhǔn)確率,減小了檢測(cè)延遲和南向接口通信開銷,并降低了控制器CPU負(fù)荷。

【文章頁數(shù)】：9 頁

【文章目錄】：
0 概述
1 機(jī)制描述
    1.1 數(shù)據(jù)平面的粗粒度檢測(cè)
        1)元組解析器。
        2)監(jiān)控線程。
        3)流狀態(tài)采集器。
        1.1.1 輕量級(jí)算法的特征提取
            1)單位時(shí)間平均數(shù)據(jù)分組量(APPT)
            2)單位時(shí)間平均字節(jié)數(shù)(ABPT)
            3)對(duì)流所占的比例(PCPF)
            4)單位時(shí)間單流數(shù)目(SFPS)
            5)流平均持續(xù)時(shí)間(ADPF)
            6)端口增長(zhǎng)率(GRDP)
        1.1.2 數(shù)據(jù)平面輕量級(jí)算法描述
    1.2 控制平面的細(xì)粒度檢測(cè)
        1.2.1 特征提取
        1.2.2 機(jī)器學(xué)習(xí)算法K-means分類及檢測(cè)
    1.3 防誤判模塊
2 實(shí)驗(yàn)評(píng)估
    2.1 實(shí)驗(yàn)環(huán)境設(shè)置
    2.2 數(shù)據(jù)平面輕量級(jí)算法評(píng)估
3 實(shí)驗(yàn)結(jié)果與分析
    3.1 系統(tǒng)評(píng)價(jià)指標(biāo)
    3.2 控制器性能指標(biāo)
    3.3 南向接口通信負(fù)荷的比較
    3.4 控制器CPU消耗
4 結(jié)束語



本文編號(hào)：3818313