软件定义网络下拒绝服务攻击防御研究

发布时间：2020-05-10 16:26

【摘要】：软件定义网络作为一种新型网络架构,将控制平面和数据平面分离,提供集中化以及可编程的网络控制能力。流量型拒绝服务攻击作为传统网络中最为常见与有效的攻击手段,仍然是软件定义网络的安全方面的研究热点。针对拒绝服务攻击的软件定义网络的安全研究主要分为两方面:利用软件定义网络的新特性更有效解决传统的拒绝服务攻击;防御以软件定义网络本身为攻击目标的拒绝服务攻击。本文针对这两方面分别开展了安全研究工作。一方面,针对控制器的流量型拒绝服务攻击会导致数据平面和控制平面的信道拥塞并使控制器超负荷,最终导致整体网络瘫痪。因此本文提出了利用多控制器以及可疑流迁移的安全保护策略FMD(Flow Migration Defense)。FMD利用可疑流迁移至附属控制器缓解了主控制器信道的拥塞问题。附属控制器利用请求缓存和请求转发缓解了主控制器超负荷问题。另一方面,虽然软件定义网络架构的新特性有利于监控网络中潜在的传统拒绝服务攻击,但是在大规模网络特征采集依旧会导致的网络资源开销过大的问题。因此本文提出了粗粒度监测链路与细粒度监测网络流相结合的监测方法ADSS(Adaptive DDoS Sense Scheme)。ADSS采用了自组织映射神经网络对链路特征和网络流特征分别进行检测潜在的拒绝服务攻击。本文采用Ryu控制器和Mininet网络仿真器来对上述两个研究方案进行了仿真实验。对于FMD的实验结果表明,其可以在大流量拒绝服务攻击下,可以以保证控制器的低响应时间与低网络丢包率,有效保护控制信道和控制器资源。对于ADSS的实验结果表明,其可以在复杂的网络环境中有效定位DDoS攻击者与受害人,抵抗源IP伪造攻击,并且降低控制器计算资源和交换机缓存资源的开销。
【学位授予单位】：大连理工大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【参考文献】