SDN环境下的DDoS攻击检测技术与防护机制研究

发布时间：2020-11-01 09:51

　　 软件定义网络(Software Defined Networking,简称SDN)是一种新型的网络体系架构,利用分层的思想解耦了传统网络中的控制和转发,从而实现对网络的集中控制。控制-转发分离是SDN的主要特性之一,而攻击者可以利用这一特性向SDN发动攻击,造成网络瘫痪。分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)具有破坏性强和攻击面广的特点,是SDN面临的主要威胁之一。随着SDN体系架构在云数据中心的广泛应用,如何保障SDN的安全也是重中之重。本文针对SDN的特性和DDoS攻击特点,主要从DDoS攻击的检测、溯源以及缓解三个方面出发,进行了以下分析和研究:(1)分析DDoS攻击特点并在现有相关流表项特征提取方法的基础上,利用SDN中OpenFlow交换机流表项提取了8个特征构成特征向量以此更好地区分正常流量和攻击流量。与传统机器学习方法用于DDoS攻击检测不同,深度学习中的循环神经网络(RNN)不仅可以利用当前序列特征,还可以利用历史序列的特征信息。因此循环神经网络可以充分利用DDoS攻击流量的历史信息,从而做出更准确的分类检测。综合分析现有循环神经网络的压缩方法,提出了一种改进的长短记忆网络(LSTM,RNN的一种)压缩模型,并基于改进压缩LSTM搭建了深度学习模型,利用数据集对模型进行训练并持久化。利用持久化模型设计了SDN环境下的DDoS攻击检测方法:主要包含流表收集、流表特征提取、分类检测以及模型再训练四个部分。(2)结合SDN特性,对传统网络中的包标记(PPM)溯源算法进行了改进设计。改进溯源算法利用IP数据包头部较少使用的三个字段共25bits作为标记空间,算法分为标记过程和路径重构过程,并把标记过程应用到OpenFlow交换机的Actions中。该算法的标记过程与传统网络中PPM溯源的标记过程不同之处是无需构造网络拓扑,因此更为简洁,同时利用动态概率来标记数据包以此加快溯源速度。该算法的路径重构过程会结合控制器掌握全网拓扑的特性,利用标记信息完成攻击路径树的重构。(3)分析传统网络中DDoS攻击缓解方法的不足之处,结合SDN特性设计了DDoS攻击缓解方法以及介绍该缓解方法的工作流程。通过Mininet仿真平台搭建模拟SDN环境,验证了攻击检测方法、攻击溯源方法以及攻击缓解方法的可行性,为实际应用场景中如何保障SDN安全提供一种解决思路。
【学位单位】：西南交通大学
【学位级别】：硕士
【学位年份】：2018
【中图分类】：TP393.08
【部分图文】：

并且其控制平面的网络操作系统代替了传统网络中负责控制的操作系统。如图2.1 为典型的 SDN 体系架构框架。图 2.1 典型的 SDN 体系架构由图 2.1 可知，典型的 SDN 架构可以分为三层：应用层(应用平面)、控制层(控制平面)和基础设施层(数据平面)，以下对这三个平面的作用进行简单介绍。应用平面：是开发人员所编写，并且可以适应多种复杂业务需求的的应用程序，该平面可以通过北向 API 调用控制平面。应用平面通过北向接口和控制平面连接，而北

图 2.6 简易 DDoS 攻击原理图oS 攻击分类 攻击通常分为两类：带宽消耗型 DDoS 攻击和资源消耗型 DDo或主机系统资源为目的，共同点是使得合法用户的正常服务器。

单词是有联系的，而不是相互独立的。与前馈神经网络不同，循环神经网络(RNN含层之间的节点是有连接的，其隐含层的输入有两个部分组成：当前时刻输入层和上一时刻隐含层的输出值。所以 RNN 会记忆输入序列的历史信息，并保存在网内部状态中，然后应用到当前输出的计算中。RNN 一般是用来处理和预测序列数，比如可以应用到入侵检测中[33]。普通的 RNN(RNN 有几类变种实现)包含三层：层、隐层和输出层，如图 2.7 所示，将其结构在时序展开。
【参考文献】

相关期刊论文 前1条

1 肖甫;马俊青;黄洵松;王汝传;;SDN环境下基于KNN的DDoS攻击检测方法[J];南京邮电大学学报(自然科学版);2015年01期

相关硕士学位论文 前2条

1 李鹤飞;基于软件定义网络的DDoS攻击检测方法和缓解机制的研究[D];华东师范大学;2015年

2 夏彬;基于软件定义网络的WLAN中DDoS攻击检测和防护[D];上海交通大学;2015年

本文编号：2865368