SDN环境下的DDoS攻击检测与路径回溯算法研究

发布时间：2020-03-29 12:09

【摘要】：随着计算机的不断成熟和发展,使得传统的网络架构暴露出了很多问题,所以这一大环境下SDN(Software-Defined Network,软件定义网络)这种新型网络架构应运而生。SDN将控制层面与数据转发层面相分离,控制器来对全网集中管控,而底层基础设备致力于转发数据,提高了网络的灵活性和可编程性,降低了成本,但是SDN在带来了新机遇的同时也更容易成为DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的目标。目前在SDN中使用的大部分DDoS攻击检测和路径回溯方法是从传统网络中借鉴过去的,难于很好的适配到SDN架构中,而本文是在充分了解了SDN的新特性和现有方法的不足之处后而提出的新型DDoS攻击检测和路径回溯方法。本文的两个创新点和主要研究内容介绍如下:(1)基于信息熵和Hurst指数的DDoS攻击检测方法。本方法是将源IP地址与目的IP地址的信息熵比值和Hurst指数结合在一起来检测DDoS攻击。信息熵可以反映随机变量的随机程度,当网络中出现大量源IP地址伪造而目的IP地址集中且单一的DDoS攻击时,源IP地址与目的IP地址的信息熵比值会骤升并超出阈值。Hurst指数是用来反映网络流量自相似性的,如果网络遭受了DDoS攻击Hurst指数就会偏离正常范围。当信息熵比值和Hurst指数两个参数同时发生异常时可判定为DDoS攻击。通过实验将本检测方法与单一的源IP地址与目的IP地址的信息熵比值和单一的Hurst指数检测方法进行比较,得出本检测方法具有更低误报率和更高准确率的结论。(2)基于信息熵的DDoS攻击路径回溯方法。本方法提出了两个算法,交换机端口信息熵比值的计算算法和攻击路径的重建算法,利用交换机端口信息熵比值的计算算法来计算各个端口的源IP地址与目的IP地址信息熵比值,判断源IP地址与目的IP地址信息熵比值是否超出阈值进而确定端口是否位于攻击路径上,然后用攻击路径重建算法还原出攻击路径。本方法对同一时刻网络中只发生一种DDoS攻击并且攻击流量大于正常流量的情况十分有效,通过将本路径回溯方法与现有SDN中的DDoS攻击路径回溯方法进行对比后发现,本方法弥补了现有方法存在的不足之处,更好的回溯出攻击路径,方便下一步防御工作的快速开展。经过仿真实验分析,本文提出的针对SDN环境下的DDoS攻击检测和路径回溯方法可以有效的检测出DDoS攻击并回溯出攻击路径,为进一步提高SDN架构的网络安全性作出一定的贡献。
【图文】：

三层架构

图 2-1 SDN 的三层架构面由若干个网元构成，每个网元都可以由一个或多个 SDN Dat代表着所有或者某一部分的物理资源，它可以用来处理和转发用。面有 SDN 控制器，SDN 控制器是一个逻辑上完整的实体，它可以成，而且所有的控制器实例既可以集中分布在一个相同的位置。SDN 控制器的主要作用有两个，一方面可以将应用层发来的另一方面将底层网络的抽象模型提供给 SDN 应用。面是由多个用户较为在意的 SDN 应用程序所构成，SDN 控制器与使用的是 SDN 北向接口。这些应用都是开放可编程操作的，可

基本架构,表项

图 2-2 OpenFlow 基本架构w 基本架构中，流表、安全通道、OpenFlow 协议占有重要位置。概念：数据分组的查询和转发，OpenFlow V1.0 中每台交换机有一张存当一个数据分组进去交换机之后，首先需要与流表中的流表项进功，，就根据要求进行处理操作。若未能匹配到流表项，则封装为制器，由控制器进行操作。w 的流表项由分组头域、计数器、动作表构成，如图 2-3 所示：图 2-3 OpenFlow 流表项
【学位授予单位】：河南大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【参考文献】