基于SDN的DDoS分布式防御体系研究

发布时间：2019-10-09 22:31

【摘要】：软件定义网络(SoftWare Defined Network,SDN)是一种新型网络架构,美国斯坦福大学Clean Slate研究组于2006年首次提出。这种架构的出现使传统网络发生了颠覆性的变革。在SDN的实现方面,开放网络基金会(ONF)提出了OpenFlow协议,并受到广泛认可。其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台,但它的发展也面临着诸多挑战,安全性就是其中之一。基于此背景,本文对SDN网络架构的DDoS攻击进行检测研究,并提出一种分布式的防御体系，，所做的主要工作及取得的成果如下：(1)基于SDN网络控制层中的DDoS攻击的检测方法进行研究,主要针对转发层流表中的流表项,提出流表统计模块对流表进行处理,本方法的核心思想分为三个方面:流表收集、流表预处理和流表分类。按照OpenFlow v1.0协议的标准,调整合适的周期时间对SDN交换机发送Ofp_Flow_Stats_Request报文,通过反馈的流表进行预处理,将收集到的队列流表特征进行特征对比,之后发送到控制层的检测模块。(2)针对SDN的DDoS分布式防御包括两个方面:一是在控制层提出一种基于熵值算法的DDoS检测模块和防御模块;检测模块包括熵值计算和攻击判断,通过对熵值和阈值的比较进行攻击判断,若存在攻击,则通过添加在控制层的ACL管控和流量管理模块对攻击流量进行防御措施;若不存在攻击,流量的通过按照正常的转发程序进行。二是在SDN应用层通过主机识别、服务重定向和流量精准识别三个方面对DDoS进行防御。(3)搭建了实验环境,利用OpenDayLight控制器、sFlow监控工具和Mininet仿真器构建出一个实验仿真平台。通过实验结果表明,针对DDoS攻击所提出的研究方案,模拟攻击可以达到占用控制器资源的效果,对网络性能有明显影响,而通过本文所设计的分布式防御体系可以及时检测攻击,提高了对DDoS攻击行为的检测率,降低了误报率;同时在防御方面能够快速做出防御响应,增强了对DDoS的防御效果。
【图文】：

图 3-2 Ofp_Flow_Stats_Request 数据结构Fig.3-2 Ofp_Flow_Stats_Request data structure3.2.2 流表预处理

实验拓扑结构
【学位授予单位】：贵州师范大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.0

【参考文献】

相关期刊论文 前10条

1 张彪;;《国家网络空间安全战略》发布[J];计算机与网络;2017年Z1期

2 代昆玉;胡滨;;云计算环境下的DDoS攻击防御技术研究[J];微型电脑应用;2016年11期

3 张洋;;基于SDN的DDoS攻击检测和防护机制研究[J];电子测试;2016年19期

4 张迎;刘菁;王稼驷;;SDN可信网络关键技术研究[J];通信技术;2016年08期

5 舒远仲;梅梦U

本文编号：2546987