作為一種新型的網(wǎng)絡(luò)架構(gòu)——軟件定義網(wǎng)絡(luò)（Software Defined Network,SDN）解決了傳統(tǒng)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)與業(yè)務(wù)相互割裂的問題。更重要的是,控制器對(duì)用戶是開放的。用戶通過控制器的API可以編寫程序來實(shí)現(xiàn)自定義的傳輸策略、規(guī)則和網(wǎng)絡(luò)路由等。這就使得SDN較傳統(tǒng)網(wǎng)絡(luò)更加智能、靈活。但是SDN同樣面臨著傳統(tǒng)網(wǎng)絡(luò)中存在的安全問題——分布式拒絕服務(wù)（DDoS,Distributed Denial of Service）攻擊。在SDN中,由于邏輯上集中化控制,一旦控制器遭受DDoS攻擊,危害更勝于傳統(tǒng)網(wǎng)絡(luò)。本文針對(duì)SDN中的DDoS攻擊,構(gòu)建了一個(gè)檢測(cè)與防御系統(tǒng),主要做了以下工作。一、本文從檢測(cè)方案入手,提出了一種基于神經(jīng)網(wǎng)絡(luò)的自適應(yīng)啟動(dòng)的檢測(cè)方案替代周期檢測(cè),從而改進(jìn)了周期檢測(cè)系統(tǒng)檢測(cè)時(shí)間長(zhǎng),占用控制器資源大的缺點(diǎn)。該方案可依據(jù)Packet_In到達(dá)速率決定是否啟動(dòng)檢測(cè),在遭受攻擊時(shí),可迅速啟動(dòng)檢測(cè)。并設(shè)計(jì)了對(duì)比實(shí)驗(yàn),從控制器CPU使用率等三個(gè)方面證明了自適應(yīng)啟動(dòng)方案的優(yōu)越性。二、檢測(cè)出攻擊者后需要采取處理措施,本文采用了FlowRanger算法基于信任值的... 

【文章來源】：南京郵電大學(xué)江蘇省

【文章頁數(shù)】：71 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

SDN與傳統(tǒng)網(wǎng)絡(luò)特點(diǎn)對(duì)比圖

圖 2.3 SDN 三層架構(gòu)圖頂層為應(yīng)用層，該層可以提供不同的業(yè)務(wù)和安裝應(yīng)用；中間層為控制層，具有控制轉(zhuǎn)發(fā)設(shè)備、維護(hù)網(wǎng)絡(luò)拓?fù)�、狀態(tài)信息等功能；底層為基礎(chǔ)設(shè)施層，也即上文提到的轉(zhuǎn)發(fā)層，轉(zhuǎn)發(fā)層中的轉(zhuǎn)發(fā)設(shè)備基于流表的方式負(fù)責(zé)數(shù)據(jù)的處理和轉(zhuǎn)發(fā)。SDN 三層架構(gòu)的特性帶來了以下五點(diǎn)好處：一、在網(wǎng)絡(luò)的使用和控制方面，相較于傳統(tǒng)網(wǎng)絡(luò)，SDN 提供了更大的靈活性。二、SDN 為網(wǎng)絡(luò)運(yùn)營(yíng)商提供了便利，使新業(yè)務(wù)能夠更加便捷、迅速的引入。具體表現(xiàn)在，網(wǎng)絡(luò)運(yùn)營(yíng)商引入新業(yè)務(wù)時(shí)，不需要再像傳統(tǒng)網(wǎng)絡(luò)一樣等待某個(gè)設(shè)備提供商在其專有設(shè)備中加入相應(yīng)方案，SDN 使得運(yùn)營(yíng)商可以直接通過可控的軟件部署相關(guān)功能。三、SDN 減少了網(wǎng)絡(luò)的人工干預(yù)，節(jié)省了人力成本。由于 SDN 允許網(wǎng)絡(luò)的自動(dòng)化部署和故障診斷，這就降低了網(wǎng)絡(luò)的運(yùn)營(yíng)費(fèi)用，同時(shí)也降低了出錯(cuò)率。四、SDN 整合了網(wǎng)絡(luò)的計(jì)算和存儲(chǔ)資源，有助于推進(jìn)網(wǎng)絡(luò)的虛擬化。五、SDN 使得網(wǎng)絡(luò)不必過多關(guān)注底層細(xì)節(jié)，更加專注于業(yè)務(wù)目標(biāo)。

學(xué)專業(yè)學(xué)位碩士研究生學(xué)位論文 第二章 相關(guān)技術(shù)轉(zhuǎn)發(fā)，而流表本身的生成、維護(hù)和下發(fā)完全由邏輯上集中的控制器來實(shí)于傳統(tǒng)網(wǎng)絡(luò)中的 IP 五元組。例如，OpenFlow 1.0[15]協(xié)議定義了包括端口 10 個(gè)關(guān)鍵字，每個(gè)字段都可以通配，運(yùn)營(yíng)商可以決定匹配的策略細(xì)化到營(yíng)商如果只需根據(jù)目的 IP 進(jìn)行路由，那么控制器可以下發(fā)只有目的 IP 都為通配。4 是 OpenFlow 協(xié)議示意圖。流表可以由控制器主動(dòng)下發(fā)也可由交換機(jī)請(qǐng)下，控制器將自己收集的流表信息主動(dòng)下發(fā)給網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備直接；被動(dòng)模式是指網(wǎng)絡(luò)設(shè)備需要轉(zhuǎn)發(fā)的報(bào)文沒有匹配的流表項(xiàng)時(shí)，會(huì)發(fā)送 P器，控制器決定該如何轉(zhuǎn)發(fā)，并下發(fā)相應(yīng)的流表項(xiàng)。OpenFlow 交換機(jī)可 提供不同的功能，例如可用作路由、交換機(jī)、防火墻等，也可以提供負(fù)

【參考文獻(xiàn)】：
期刊論文
[1]DDoS攻擊防御技術(shù)發(fā)展綜述[J]. 陳飛,畢小紅,王晶晶,劉淵.  網(wǎng)絡(luò)與信息安全學(xué)報(bào). 2017(10)
[2]SDN多控制器一致性的量化研究[J]. 李軍飛,蘭巨龍,胡宇翔,鄔江興.  通信學(xué)報(bào). 2016(06)

碩士論文
[1]SDN中DDoS攻擊檢測(cè)與流表過載防御技術(shù)研究[D]. 王曉瑞.鄭州大學(xué) 2017



本文編號(hào)：3331423