基于OpenFlow交换机洗牌的DDoS攻击动态防御方法

发布时间：2019-01-28 18:32

【摘要】：网络资源的有限性和网络管理的分散性是传统网络难以解决分布式拒绝服务攻击问题的重要原因。当前的防御方法存在静态性、滞后性的不足,并且难以定位攻击者。针对上述问题,该文提出一种动态防御的方法。利用软件定义网络(SDN)集中控制和动态管理的特性构建OpenFlow交换机洗牌模型,使用贪心算法实现用户-交换机连接的动态映射,通过多轮洗牌区分出用户群中的攻击者和合法用户,对合法用户提供低延迟不间断服务。在开源SDN控制器Ryu上实现原型系统,并在SDN环境下进行测试。性能测试结果表明采用该方法可以通过有限次的洗牌筛选出攻击者,降低DDoS攻击对合法访问的影响;能力测试结果则说明了在由一个控制器组成的环形拓扑结构下该方法的防御效果与攻击流的大小无关,而是仅与攻击者的数目有关。
[Abstract]:The limitation of network resources and the dispersion of network management are the important reasons why traditional networks are difficult to solve the problem of distributed denial of service (DDoS) attacks. The current defense methods are static, lag, and difficult to locate attackers. In view of the above problems, this paper proposes a dynamic defense method. Based on the characteristics of centralized control and dynamic management of network (SDN) defined by software, the shuffling model of OpenFlow switch is constructed, and the dynamic mapping of the connection between users and switches is realized by greedy algorithm. By multiple shuffling, the attackers in the user group are distinguished from the legitimate users, and the low delay uninterrupted service is provided to the legitimate users. The prototype system is implemented on the open source SDN controller Ryu and tested under the SDN environment. The performance test results show that this method can be used to screen out attackers by shuffling for a limited number of times to reduce the impact of DDoS attacks on legitimate access. The capability test results show that the defensive effect of the method is independent of the size of the attack flow, but only related to the number of attackers in a ring topology composed of a controller.
【作者单位】： 解放军信息工程大学网络空间安全学院;数学工程与先进计算国家重点实验室;
【基金】：国家863计划项目(2012AA012902) 国家杰出青年科学基金(61402526)~~
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 赵江岩;;DDOS及防御DDOS攻击[J];商场现代化;2008年17期

2 曲劲光;;DDoS攻击原理及抗DDoS设备的应用[J];电信工程技术与标准化;2011年10期

3 程军,李鸥;追踪DDoS攻击的始作俑者——分布式拒绝服务攻击的路由追踪技术[J];计算机安全;2004年06期

4 崔淼;万径;;DoS与DDoS攻击原理及其防范[J];黄河水利职业技术学院学报;2006年04期

5 郑志彬;;净化虚拟网络空间 缔造和谐信息世界——华为新技术在防DDOS攻击领域发挥重要作用[J];信息网络安全;2008年07期

6 ;电信骨干网DDoS攻击防护解决方案[J];信息安全与通信保密;2008年08期

7 ;如何防止DoS攻击和DDoS攻击[J];铁路计算机应用;2002年03期

8 陈雷;姜琳;刘新;叶德建;;流媒体服务DoS及DDoS攻击分析[J];计算机工程;2010年06期

9 卢任妍;陈雷;刘新;叶德建;;流媒体服务DoS、DDoS攻击的防御方案[J];通信学报;2009年S1期

10 ;电信骨干网DDoS攻击防护解决方案——联想网御异常流量管理系统集群应用方案[J];计算机安全;2008年08期

相关会议论文 前3条

1 陈雷;卢任妍;姜琳;叶德建;;针对流媒体服务的DoS、DDoS攻击研究[A];第四届全国信息检索与内容安全学术会议论文集（上）[C];2008年

2 刘明;张少波;党力明;;基于IXP1200的DDoS攻击防御系统设计与实现[A];教育部中南地区高等学校电子电气基础课教学研究会第二十届学术年会会议论文集（下册）[C];2010年

3 万超;姚丹霖;林果;;一种基于TOR的DDoS攻击源追踪方案[A];2008年中国高校通信类院系学术研讨会论文集（下册）[C];2009年

相关重要报纸文章 前3条

1 3Com公司中国区技术部 殷朱;如何防止DoS攻击和DDoS攻击[N];网络世界;2002年

2 本报记者 边歆;从僵尸网络到DDoS攻击[N];网络世界;2007年

3 薛华 李祥和 何立群;设置路由器门限值预防DDoS攻击[N];计算机世界;2002年

相关硕士学位论文 前10条

1 张少志;一种基于跳变主机的抵御DDoS攻击的通信方案的设计与实现[D];西安电子科技大学;2015年

2 卢任妍;流媒体服务DoS、DDoS攻击安全研究[D];复旦大学;2010年

3 陈雷;流媒体服务DoS、DDoS攻击分析及防御方案设计[D];复旦大学;2009年

4 余鹏;基于DDoS攻击防御的二次适应包标记方法的研究[D];中南民族大学;2009年

5 李颖;蜜罐与入侵检测在DDoS攻击防御中应用的研究[D];辽宁工程技术大学;2010年

6 马宇驰;针对僵尸网络DDoS攻击的蜜网系统的研究与设计[D];南京航空航天大学;2009年

7 罗莉莉;基于包标记的DDoS攻击源追踪方案研究[D];湖南大学;2007年

8 刘峰;Linux内核中DDoS攻击报文过滤器的设计与实现[D];国防科学技术大学;2006年

9 姜华林;防御DDoS攻击的新型密钥交换协议研究[D];西南大学;2009年

10 张冰;基于VoIP的DDoS攻击源追踪技术的研究[D];东北大学;2010年

，

本文编号：2417193