一种基于SDN的缓和DDoS攻击技术研究
发布时间:2020-10-11 01:40
随着云计算与电子商务的发展,网络攻击的威胁愈加严重,网络安全问题受到各界关注。据统计,DDoS攻击是目前最为频繁且危害性最高的网络攻击手段。此攻击针对目标的可用性,使其系统耗尽服务资源,无法正常响应,从而造成通信瘫痪。针对这一类攻击没有完全解决的方案,相关研究也仅是采取对攻击流量进行缓和的办法。然而传统网络的缓和DDoS攻击系统存在部署复杂、成本高、检测滞后的问题。为了解决上述问题,本文对DDoS攻击检测算法、SDN与Floodlight控制器进行了综合研究,在此基础上开发了一种基于SDN的缓和DDoS攻击系统。该系统首先在Floodlight控制器上进行扩展,创建一个线程进行DDoS攻击数据收集、DDoS攻击检测、DDoS攻击缓和。线程启动后,系统通过控制器收集数据层的DDoS攻击数据;其次,使用基于统计分析的卡方检验、相关矩阵、香农熵算法定义理论的TCP会话,与实际观测的TCP会话对比以进行DDoS攻击检测,得到被攻击的服务器IP;最后,创建流表断开与被攻击的服务器建立的活跃连接。同时本系统中面向连接的负载均衡能够短暂时间地缓和DDoS攻击流量。功能与性能测试结果表明:本系统能够收集到数据层的DDoS攻击数据,并在检测结束后确认被攻击的服务器并断开与其建立的活跃连接,缓和攻击流量;使用三种检测算法均能够准确地检测DDoS攻击;负载均衡能够减少系统的攻击响应时间。本系统能缓和网络中TCP泛洪的DDoS攻击,同时具有成本低,更易开发的优势,可解决传统缓和DDoS攻击系统中的滞后性问题。
【学位单位】:贵州大学
【学位级别】:硕士
【学位年份】:2018
【中图分类】:TP393.08
【部分图文】:
贵州大学硕士研究生学位论文被一些固有的传统网络架构影响,但其仍是目前普遍被认可的能实现用户-控制的技术。2.1.2 SDN 架构图 2.1 展示了 SDN 环境的全网架构。SDN 的典型架构共分三层,最上层为应用层,承接网络中提供的业务和应用;中间的控制层主要负责处理数据平面资源的分配,网络拓扑维护、状态信息管理等;最底层的基础设施层负责基于流表的数据处理、转发和状态收集。SDN 的网络节点设备仅进行数据转发,通过的硬件即可实现;负责控制的一系列操作系统被集中为独立的控制器,对不同业务特性进行适配。控制器、业务应用以及硬件设备之间的通信都可以通过编程接口实现。
控制器能够获得每一个流表经过的交换机的配置信息(容量、CPU 等)。中心层与底层的连接依赖于应用程序接口(Application Programming Interface,API)即 SDN 中的南向接口,如通信协议 OpenFlow、ForCES 等;联系多控制器工作的东/西向接口技术有 ALTO、Hyperflow 等;控制器至应用的接口称为北向接口,有 FML、RESTful 接口等。3、应用层集结了一系列网络功能应用,如流量监控、安全访问、节能配置等。本文的基于 SDN 的缓和 DDoS 攻击系统处于应用层。SDN 最大的挑战在于既要将数据与控制分离,同时也要保证运营商级别的服务。这个架构是要能够实现目前运营商网络的业务期望,可伸缩性、可靠性、QoS(Quality of Service,服务质量)以及服务管理的需求。图 2.2 展示了目前传统网络与 SDN 的网络控制方式。图 2.3 分析了传统物理的网络节点与 SDN 的网络节点。
图 2.3 传统网络与 SDN 节点架构对比图网络运营以及服务厂商倾向于注重服务需求,刺激了 SDN 的研发,网络节点发生改变。图 2.3(b)所示,SDN 将传统网络节点中的控制层独立出来集中,数据层中的 OpenFlow 交换机被 NOS(Network Operator System,网络操作系统)控制。控制器使用 API 可以得到交换机中的配置信息以及数据包信息,以此来操纵每个节点的数据层进行数据转发,同时向 SDN 控制器的托管应用程序提供抽象的网络状态模型。控制层集中的网络信息可以被深度挖掘以优化流量管理,支持服务-用户的可扩展性与可伸缩性,例如,SDN 中应用可以实时设置数据层中各节点的带宽。SDN 控制与转发分离至少有三个优点。(1)转发平面由受控转发的设备组成,转发方式以及业务逻辑由运行在分离出去的控制面上的控制应用所控制。这些设备仅需要存储以及转发功能即可,
【参考文献】
本文编号:2835860
【学位单位】:贵州大学
【学位级别】:硕士
【学位年份】:2018
【中图分类】:TP393.08
【部分图文】:
贵州大学硕士研究生学位论文被一些固有的传统网络架构影响,但其仍是目前普遍被认可的能实现用户-控制的技术。2.1.2 SDN 架构图 2.1 展示了 SDN 环境的全网架构。SDN 的典型架构共分三层,最上层为应用层,承接网络中提供的业务和应用;中间的控制层主要负责处理数据平面资源的分配,网络拓扑维护、状态信息管理等;最底层的基础设施层负责基于流表的数据处理、转发和状态收集。SDN 的网络节点设备仅进行数据转发,通过的硬件即可实现;负责控制的一系列操作系统被集中为独立的控制器,对不同业务特性进行适配。控制器、业务应用以及硬件设备之间的通信都可以通过编程接口实现。
控制器能够获得每一个流表经过的交换机的配置信息(容量、CPU 等)。中心层与底层的连接依赖于应用程序接口(Application Programming Interface,API)即 SDN 中的南向接口,如通信协议 OpenFlow、ForCES 等;联系多控制器工作的东/西向接口技术有 ALTO、Hyperflow 等;控制器至应用的接口称为北向接口,有 FML、RESTful 接口等。3、应用层集结了一系列网络功能应用,如流量监控、安全访问、节能配置等。本文的基于 SDN 的缓和 DDoS 攻击系统处于应用层。SDN 最大的挑战在于既要将数据与控制分离,同时也要保证运营商级别的服务。这个架构是要能够实现目前运营商网络的业务期望,可伸缩性、可靠性、QoS(Quality of Service,服务质量)以及服务管理的需求。图 2.2 展示了目前传统网络与 SDN 的网络控制方式。图 2.3 分析了传统物理的网络节点与 SDN 的网络节点。
图 2.3 传统网络与 SDN 节点架构对比图网络运营以及服务厂商倾向于注重服务需求,刺激了 SDN 的研发,网络节点发生改变。图 2.3(b)所示,SDN 将传统网络节点中的控制层独立出来集中,数据层中的 OpenFlow 交换机被 NOS(Network Operator System,网络操作系统)控制。控制器使用 API 可以得到交换机中的配置信息以及数据包信息,以此来操纵每个节点的数据层进行数据转发,同时向 SDN 控制器的托管应用程序提供抽象的网络状态模型。控制层集中的网络信息可以被深度挖掘以优化流量管理,支持服务-用户的可扩展性与可伸缩性,例如,SDN 中应用可以实时设置数据层中各节点的带宽。SDN 控制与转发分离至少有三个优点。(1)转发平面由受控转发的设备组成,转发方式以及业务逻辑由运行在分离出去的控制面上的控制应用所控制。这些设备仅需要存储以及转发功能即可,
【参考文献】
相关期刊论文 前8条
1 张卫峰;;走近Google基于SDN的B4网络[J];程序员;2013年11期
2 陆运清;;用Pearson’s卡方统计量进行统计检验时应注意的问题[J];统计与决策;2009年15期
3 孙长华;刘斌;;分布式拒绝服务攻击研究新进展综述[J];电子学报;2009年07期
4 朱晶;;TCP协议简述与三次握手原理解析[J];电脑知识与技术;2009年05期
5 傅德印;黄健;;典型相关分析中的统计检验问题[J];统计研究;2008年07期
6 王爱冬;邝祝芳;阳国贵;;基于关联规则挖掘的数据库异常检测系统研究[J];计算机应用与软件;2008年05期
7 杨武,方滨兴,云晓春,张宏莉;入侵检测系统中高效模式匹配算法的研究[J];计算机工程;2004年13期
8 熊平,王先培,张爱菊;P2DR模型基于时间的量化分析[J];信息技术;2002年07期
本文编号:2835860
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2835860.html
