軟件定義網絡（Software Defined Network,SDN）最大的特點是控制與轉發(fā)分離。由于SDN采用了集中化的控制邏輯,容易遭受各種類型的分布式拒絕服務（Distributed Denial of Service,DDoS）攻擊。本文研究一種新型的面向SDN的慢速率DDoS（New Slow-rate DDoS,NS-DDoS）攻擊,它具有攻擊速率低、破壞力大的特點,現(xiàn)有的面向SDN的快速率DDoS攻擊的防御方法無法緩解這種攻擊。本文針對一種NS-DDoS攻擊,在研究其攻擊原理和機制的基礎上,分別從機器學習和統(tǒng)計分析的角度研究了兩種防御方法。第一種,提出了基于決策樹算法的DDoS攻擊防御方法。該方法通過提取與流規(guī)則相關的四個有效特征,利用決策樹算法訓練數據集生成決策樹,能夠有效地檢測出這種新型DDo S攻擊,并通過黑白名單對比法達到防御這種新型DDoS攻擊的目的。第二種,提出了基于自回歸整合滑動平均（Autoregressive Integrated Moving Average,ARIMA）模型的DDoS攻擊防御方法。該方法通過ARIMA模型預測流表的狀態(tài),并根據流表的... 

【文章來源】：中國民航大學天津市

【文章頁數】：70 頁

【學位級別】：碩士

【部分圖文】：

流規(guī)則信息統(tǒng)計

中國民航大學碩士學位論文373.6.3.4比較分析為了驗證決策樹算法具有較好的檢測效果，通過對比不同機器學習算法的檢測性能，其中訓練樣本3000組，正常和攻擊的樣本各為1500組，測試樣本也為1500組，由于現(xiàn)階段還沒有針對NS-DDoS攻擊的公開數據集，因此本文的數據集都是實驗過程中采集生成的。實驗結果如表3.4所示，可以看出決策樹算法從各項檢測指標上都要比SVM和隨機森林這兩種常見的機器學習算法要更優(yōu)秀。表3.4不同機器學習算法的性能測試對比機器學習算法召回率精確率準確率AUC決策樹0.9560.9630.9790.960SVM0.8980.9080.9250.900隨機森林0.8850.9100.9160.895為了比較不同訓練樣本數量對檢測準確率的影響，同等條件下測試了不同訓練樣本數量時的檢測準確率，實驗結果如圖3-16所示，發(fā)現(xiàn)隨著訓練樣本數量的增加，三種算法的檢測準確率都是逐漸上升的趨勢，整體上決策樹算法相比于其他兩種具有更好的檢測性能，因此決策樹算法更適合作為檢測算法。圖3-16不同訓練數據下的檢測準確率的比較為了進一步驗證本文檢測方法的有效性，將文獻[19]和文獻[20]中的檢測方法進行了對比分析，文獻[19]將支持向量機和神經網絡結合來檢測DDoS攻擊，文獻[20]將RBM和SVM

中國民航大學碩士學位論文51攻擊強度3代表每秒發(fā)送25.6個攻擊包。由圖4-6可知，隨著攻擊強度的增加，正常客戶端的轉發(fā)成功率呈現(xiàn)降低的趨勢，這是因為攻擊強度越大，動態(tài)超時防御機制對流表中正常的流規(guī)則影響越大，因此對正常的客戶端的轉發(fā)成功率影響越大，其中每組攻擊強度做了三組實驗，實驗結果基本一致。圖4-6不同攻擊強度下正�？蛻舳说霓D發(fā)成功率為了進一步驗證本文防御方法的有效性，如圖4-7對不同防御方法下正�？蛻舳说霓D發(fā)成功率進行了比較。由圖4-7可知，隨著攻擊強度的增加，對比的兩種防御方法下的正�？蛻舳说霓D發(fā)成功率都呈現(xiàn)降低的趨勢，這是因為攻擊強度越大，流表越容易飽和，無論是動態(tài)超時防御還是隨機刪除流規(guī)則或者對等支持策略都對正常流規(guī)則的影響較大，但是本文的防御機制在不同攻擊強度下仍然保持97%以上的轉發(fā)成功率。圖4-7不同防御方法下正常客戶端的轉發(fā)成功率

【參考文獻】：
期刊論文
[1]OpenFlow交換機流表溢出問題的緩解機制[J]. 喬思祎,胡成臣,李昊,管曉宏,鄒建華.  計算機學報. 2018(09)

博士論文
[1]云環(huán)境下DDoS攻防體系及其關鍵技術研究[D]. 劉孟.南京大學 2016



本文編號：2941149