软件定义网络中分布式拒绝服务攻击研究

发布时间：2018-07-04 18:20

  本文选题：软件定义网络安全 + 分布式拒绝服务攻击　； 参考：《深圳大学》2017年硕士论文

【摘要】：软件定义网络(SDN,Software Defined Networking)将传统IP网络的路由控制和数据转发进行分离,从而实现集中控制,分布转发,通过提供软件可编程的方式简化了网络的管理和配置,但也因此扩大了网络受到的分布式拒绝服务攻击(DDoS)的攻击面,攻击者可以针对SDN网络任何一层发起DDoS攻击。SDN的基础设施层(数据平面)、控制层(控制平面)、应用层三层是相互协作共同完成网络中数据包的转发。安全的木桶短板原理决定了SDN网络中最薄弱的层次将成为攻击的目标且SDN任何一个功能层不可用将导致整个SDN网络出现问题,因而本文将研究SDN网络中不同层受到DDoS攻击的特点及其对应的防范策略。首先,对国内外SDN技术及发展、传统网络和SDN网络中DDoS攻击及防御研究现状进行总结。特别地,按照SDN本身各层DDoS攻击特征,对SDN网络中DDoS攻击及防御方法相关研究进行分类和总结。然后,对于SDN控制平面上,考虑到针对SDN控制平面的DDoS攻击可能致使SDN网络面临单点失效的危机,多种DDoS攻击及其预防策略的提出都是针对该平面的。为了达到迅速击垮SDN控制器,该类DDoS攻击具有发起时间短、攻击流量大等特点。针对该层上DDoS攻击问题,论文研究可能的多种DDoS攻击方法、提出了一种“基于模糊综合评判决策模型的DDoS攻击检测算法”和应对该类DDoS攻击的一种控制器流请求调度策略“MSlot算法”。理论分析和模拟实验结果证明了针对SDN控制平面的DDoS攻击方法的可行性;针对不同DDoS攻击,检测算法相比现有算法更具通用性和准确性;当SDN网络在DDoS攻击下,控制器流请求调度策略“MSlot算法”相比现有算法对网络的保护更加高效。最后,对于SDN数据平面上,通过与SDN各层DDoS攻击的对比,阐明了数据平面发起的隐蔽DDoS攻击具有低速、隐蔽、持久性等特点,因而难以被检测。论文提出了一种隐蔽DDoS攻击算法即“快填充隐蔽流DDoS攻击”和针对该类DDoS攻击的SDN数据平面隐蔽流DDoS攻击的检测算法。理论分析和模拟实验结果证明了攻击算法相比现有攻击算法更加快速且有效;检测算法相比现有算法避免了SDN安全通道额外的通信开销,因而更加高效。
[Abstract]:SDN Software defined networking (SDN) separates routing control from data forwarding in traditional IP networks, which enables centralized control and distributed forwarding, and simplifies network management and configuration by providing software programming. But it also expands the scope of distributed denial of Service (DDoS) attacks on the network. Attackers can launch DDoS attacks against any layer of SDN. SDN infrastructure layer (data plane), control layer (control plane), application layer three layers of cooperation to complete the network packet forwarding. The principle of secure bucket short board determines that the weakest layer in SDN network will be the target of attack, and the non-availability of any function layer of SDN will cause problems in the whole SDN network. Therefore, this paper will study the characteristics of DDoS attacks on different layers of SDN networks and the corresponding defense strategies. Firstly, the research status of DDoS attack and defense in traditional networks and SDN networks is summarized. In particular, according to the characteristics of DDoS attacks in each layer of SDN, the research on DDoS attacks and defense methods in SDN networks is classified and summarized. Then, for SDN control plane, considering that DDoS attack against SDN control plane may lead to the crisis of single point failure of SDN network, many DDoS attacks and their preventive strategies are proposed against SDN control plane. In order to break down the SDN controller quickly, the DDoS attack has the characteristics of short initiation time and large attack traffic. Aiming at the DDoS attack problem on this layer, this paper studies several possible DDoS attack methods. A DDoS attack detection algorithm based on fuzzy comprehensive decision model and a controller flow request scheduling strategy "MSlot algorithm" for DDoS attacks are proposed. The theoretical analysis and simulation results prove the feasibility of the DDoS attack method for SDN control plane, and the detection algorithm is more universal and accurate than the existing algorithms for different DDoS attacks. When SDN network is under DDoS attack, The controller flow request scheduling strategy "MSlot algorithm" is more efficient than the existing algorithms to protect the network. Finally, for the SDN data plane, by comparing with the DDoS attacks in each layer of SDN, it is clarified that the hidden DDoS attacks launched by the data plane have the characteristics of low speed, concealment and persistence, so it is difficult to detect them. In this paper, a covert DDoS attack algorithm is proposed, that is, "fast padding covert stream DDoS attack" and an SDN data plane hidden stream DDoS attack detection algorithm for this kind of DDoS attack. Theoretical analysis and simulation results show that the attack algorithm is faster and more effective than the existing attack algorithm, and the detection algorithm avoids the additional communication overhead of SDN security channel, so it is more efficient.
【学位授予单位】：深圳大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.0

【相似文献】

相关期刊论文 前10条

1 何宗耀,崔雪冰;DDOS攻击的原理及对策[J];平顶山工学院学报;2002年04期

2 周伟,王丽娜,张焕国,傅建明;一种新的DDoS攻击方法及对策[J];计算机工程与应用;2003年01期

3 杨升;DDoS攻击及其应对措施[J];南平师专学报;2003年02期

4 樊爱京;DDoS攻击的原理及防范[J];平顶山师专学报;2003年05期

5 ;天目抗DoS/DDoS[J];信息安全与通信保密;2004年12期

6 喻超;智胜DDoS攻击解析[J];通信世界;2004年46期

7 ;Detecting DDoS Attacks against Web Server Using Time Series Analysis[J];Wuhan University Journal of Natural Sciences;2006年01期

8 唐佳佳;;DDoS攻击和防御分类机制[J];电脑知识与技术;2006年29期

9 邱晓理;;抵御DDoS攻击的三大法宝[J];华南金融电脑;2006年10期

10 王永杰;鲜明;陈志杰;王国玉;;DDoS攻击分类与效能评估方法研究[J];计算机科学;2006年10期

相关会议论文 前10条

1 蒋平;;DDoS攻击分类及趋势预测[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年

2 张镔;黄遵国;;DDoS防弹墙验证调度层设计与实现[A];中国电子学会第十六届信息论学术年会论文集[C];2009年

3 李淼;李斌;郭涛;;DDoS攻击及其防御综述[A];第二十次全国计算机安全学术交流会论文集[C];2005年

4 王永强;;分布式拒绝服务攻击(DDoS)分析及防范[A];第二十一次全国计算机安全学术交流会论文集[C];2006年

5 刘晋生;岳义军;;常用攻击方式DDoS的全面剖析[A];网络安全技术的开发应用学术会议论文集[C];2002年

6 苏金树;陈曙辉;;国家级骨干网DDOS及蠕虫防御技术研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年

7 王欣;方滨兴;;DDoS攻击中的相变理论研究[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

8 孙红杰;方滨兴;张宏莉;云晓春;;基于链路特征的DDoS攻击检测方法[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

9 罗华;胡光岷;姚兴苗;;DDoS攻击的全局网络流量异常检测[A];2006中国西部青年通信学术会议论文集[C];2006年

10 张少俊;李建华;陈秀真;;动态博弈论在DDoS防御中的应用[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

相关重要报纸文章 前10条

1 边歆;DDoS成为“商业武器”？[N];网络世界;2006年

2 本报记者 那罡;网络公害DDoS[N];中国计算机报;2008年

3 本报记者 邹大斌;打赢DDoS攻防战[N];计算机世界;2008年

4 本报实习记者 张奕;DDoS攻击 如何对你说“不”[N];计算机世界;2009年

5 本报记者 那罡;DDoS防御进入“云”清洗阶段[N];中国计算机报;2010年

6 ;DDoS攻防那些事儿[N];网络世界;2012年

7 本报记者 李旭阳;DDoS防护需新手段[N];计算机世界;2012年

8 合泰云天（北京）信息科技公司创办人 Cisco Arbor Networks流量清洗技术工程师 郭庆;云清洗三打DDoS[N];网络世界;2013年

9 本报记者 姜姝;DDoS之殇 拷问防御能力[N];中国电脑教育报;2013年

10 刘佳源;英国1/5公司遭遇DDoS攻击[N];中国电子报;2013年

相关博士学位论文 前10条

1 徐图;超球体多类支持向量机及其在DDoS攻击检测中的应用[D];西南交通大学;2008年

2 徐川;应用层DDoS攻击检测算法研究及实现[D];重庆大学;2012年

3 周再红;DDoS分布式检测和追踪研究[D];湖南大学;2011年

4 魏蔚;基于流量分析与控制的DDoS攻击防御技术与体系研究[D];浙江大学;2009年

5 罗光春;入侵检测若干关键技术与DDoS攻击研究[D];电子科技大学;2003年

6 刘运;DDoS Flooding攻击检测技术研究[D];国防科学技术大学;2011年

7 王冬琦;分布式拒绝服务攻击检测和防御若干技术问题研究[D];东北大学;2011年

8 于明;DDoS攻击流及其源端网络自适应检测算法的研究[D];西安电子科技大学;2007年

9 黄昌来;基于自治系统的DDoS攻击追踪研究[D];复旦大学;2009年

10 吕良福;DDoS攻击的检测及网络安全可视化研究[D];天津大学;2008年

相关硕士学位论文 前10条

1 嵇海进;DDoS攻击的防御方法研究[D];江南大学;2008年

2 崔宁;军队局域网中DDOS攻击模拟和防御的研究[D];东北大学;2009年

3 纪锴;内蒙古联通DDoS安全解决方案及应用[D];北京邮电大学;2012年

4 李鹤飞;基于软件定义网络的DDoS攻击检测方法和缓解机制的研究[D];华东师范大学;2015年

5 夏彬;基于软件定义网络的WLAN中DDoS攻击检测和防护[D];上海交通大学;2015年

6 吴高峻;基于卡尔曼滤波器的DDoS防御技术研究[D];电子科技大学;2014年

7 刘琰;DDoS智能防御系统的日志分析及定时任务模块的设计与实现[D];南京大学;2014年

8 郝力群;内蒙古移动互联网DDoS安全防护手段的设计与实施[D];内蒙古大学;2015年

9 张丽;DDoS防护技术研究[D];国防科学技术大学;2013年

10 王志刚;DDoS网络攻击的检测方法研究[D];南昌航空大学;2015年

，

本文编号：2096951