物联网分布式拒绝服务攻击防御研究
发布时间:2020-07-21 06:55
【摘要】:物联网系统由传感智能设备,互联网接入以及物联网智能应用组成。物联网系统中的传感智能设备既会是DDoS攻击的目标,同时也可能成为DDoS攻击的帮凶。物联网的安全不仅仅关系到网络的安全,甚至关系到人们生活的安全,因而研究在物联网中如何防御DDoS攻击,保障物联网的安全具有重要意义。当前,研究物联网安全主要集中于物联网设备个体的安全防护。对于在物联网中的DDoS攻击,没有从物联网网络结构上研究更好的防御方法。因此,本论文提出一个由云计算防御层,雾计算防御层和边缘计算防御层组成的物联网DDoS防御框架,实现各层联合防御物联网中的DDoS攻击。首先,我们提出了一种基于SDN的多层次物联网DDoS防御框架(SMLDMF)。SMLDMF包含了边缘计算层,雾计算层和云计算层,使用SDN结构和SDN协议联合各个层次共同防御物联网中的DDoS攻击。综合使用框架的云计算层的快速数据处理能力和雾计算层、边缘计算层的网络管理能力实现一个基于SDN的物联网DDoS攻击防御架构,能够实现快速智能分析,自动根据分析结果,在靠近攻击源头处缓解DDoS攻击。我们提出使用基于SDN的物联网网关,能够更灵活地实现保护物联网设备防御功能,并且能够成为联合防御DDoS攻击的一部分。接着,由于传统的网络结构使得DDoS攻击防御花费大并且攻击防御效果收效小。我们提出基于SDN的方式部署物联网的边缘计算层和雾计算层,我们通过在边缘计算层和雾计算层实现收集-检测-缓解(CDM)的方法来验证基于SDN的方式防御DDoS攻击的效果。模拟仿真的结果显示,使用SDN的方式防御DDoS攻击能够灵活且高效,直接根据检测结果阻断Ping flood,正常用户的延迟有明显的降低,通过TCP SYN代理验证后阻断SYN flood,正常用户的延迟有37%的降低。面对SDN控制器集群能否承受大量物联网流量的同时防御DDoS攻击,我们通过在边缘计算层和雾计算层的不同分工,保证了其逻辑功能和数据转发的分离,能承受大的数据量发送并且防御DDoS攻击。面对SDN控制器集群共同防御的问题,我们通过东西接口或通过云中心传输数据来进行协同不同的SDN控制器集群进行防御DDoS攻击。最后,大数据技术在检测DDoS攻击中的应用日益广泛,但当前大数据技术仅能检测出DDoS攻击的攻击来源,在传统的网络结构中,难以实现智能分析后根据智能分析的结果自动防御DDoS攻击。所以,我们提出使用大数据技术在云端检测DDoS攻击,在边缘计算层、雾计算层使用SDN技术靠近攻击源端阻断DDoS攻击。我们在模拟仿真中,通过搭建Spark集群模拟云计算层,使用Mininet模拟使用SDN管理的物联网,通过将流量收集到Spark集群中,进行检测后利用SDN控制器阻断DDoS攻击源验证了这一想法的可行性。
【学位授予单位】:深圳大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP391.44;TN915.08
【图文】:
们列出国内外对物联网的安全研究以及对 SDN 技术应用在物联网的例子。2.1 物联网以及 DDoS 攻击介绍2.1.1 物联网历史及现状物联网(Internet of Things)通过网络将传感智能设备接入网络,使设备能够进行信息交换。传感智能设备是物联网中的组成部分,但仅仅将传感智能设备连接起来,不能够组成物联网系统。物联网系统由感知设备(各类传感器)实现对现实世界的智能感知识别,感知设备收集数据通过网络接口(有线网络,无线网络),把收集的数据由网络层传送出去,最后到达物联网的应用层(云计算中心),物联网的应用层将收集到的数据,通过程序的方法来控制,实现对生产生活的更加有效率的控制,进而实现更加节约能源,更加智能的生活。物联网系统的三层,可以类比为,物联网的设备层是一个人的身体的感知神经组织,网络层是人的传输神经,应用层是人的一个大脑。物联网的三层结构,如图 2-1 所示:
物联网分布式拒绝服务攻击防御研究统路由器专用软件和硬件而进化慢。软件定义网络通过将传统路由器的控制层和数据平面层相互分离,实现统一的控制平面进行编程解决网络问题,而数据平面只根据控制平面的指令进行转发数据。软件定义网络数据层硬件设备使用标准化的 IT 硬件平台,不再受网络厂商的制约。软件定义网络将网络的控制和物理拓扑分离,网络的更新发展再也不用软件硬件同时更换,同时能保证网络承载业务无需中断,网络的升级更新的代价能够大大缩短。SDN 基于网络的控制层和数据层分离这一思想可以分为三层,如图 2-2 所示:
图 2-3 OpenFlow 交换机的组成[19]图 2-3 以 Ryu 控制器的 OpenFlow 实现为例,OpenFlow 交换机中流表的组成,以及 OpenFlow 交换机与控制器的连接方式。OpenFlow 交换机通过安全通道与 SDN 控制器通信。控制器通过这个安全通道使用 OpenFlow 协议管理OpenFlow 交换机,OpenFlow 交换机在接收到未知数据包或者 OpenFlow 交换机状态发生变化时,可以通过安全通道使用 OpenFlow 消息通知 SDN 控制器。OpenFlow 根据 SDN 的思想实现,实现了数据转发和网络控制的转发分离。这就意味着,对于传统的 L2 层的设备,MAC 地址的学习
本文编号:2764054
【学位授予单位】:深圳大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP391.44;TN915.08
【图文】:
们列出国内外对物联网的安全研究以及对 SDN 技术应用在物联网的例子。2.1 物联网以及 DDoS 攻击介绍2.1.1 物联网历史及现状物联网(Internet of Things)通过网络将传感智能设备接入网络,使设备能够进行信息交换。传感智能设备是物联网中的组成部分,但仅仅将传感智能设备连接起来,不能够组成物联网系统。物联网系统由感知设备(各类传感器)实现对现实世界的智能感知识别,感知设备收集数据通过网络接口(有线网络,无线网络),把收集的数据由网络层传送出去,最后到达物联网的应用层(云计算中心),物联网的应用层将收集到的数据,通过程序的方法来控制,实现对生产生活的更加有效率的控制,进而实现更加节约能源,更加智能的生活。物联网系统的三层,可以类比为,物联网的设备层是一个人的身体的感知神经组织,网络层是人的传输神经,应用层是人的一个大脑。物联网的三层结构,如图 2-1 所示:
物联网分布式拒绝服务攻击防御研究统路由器专用软件和硬件而进化慢。软件定义网络通过将传统路由器的控制层和数据平面层相互分离,实现统一的控制平面进行编程解决网络问题,而数据平面只根据控制平面的指令进行转发数据。软件定义网络数据层硬件设备使用标准化的 IT 硬件平台,不再受网络厂商的制约。软件定义网络将网络的控制和物理拓扑分离,网络的更新发展再也不用软件硬件同时更换,同时能保证网络承载业务无需中断,网络的升级更新的代价能够大大缩短。SDN 基于网络的控制层和数据层分离这一思想可以分为三层,如图 2-2 所示:
图 2-3 OpenFlow 交换机的组成[19]图 2-3 以 Ryu 控制器的 OpenFlow 实现为例,OpenFlow 交换机中流表的组成,以及 OpenFlow 交换机与控制器的连接方式。OpenFlow 交换机通过安全通道与 SDN 控制器通信。控制器通过这个安全通道使用 OpenFlow 协议管理OpenFlow 交换机,OpenFlow 交换机在接收到未知数据包或者 OpenFlow 交换机状态发生变化时,可以通过安全通道使用 OpenFlow 消息通知 SDN 控制器。OpenFlow 根据 SDN 的思想实现,实现了数据转发和网络控制的转发分离。这就意味着,对于传统的 L2 层的设备,MAC 地址的学习
【参考文献】
相关期刊论文 前4条
1 俞能海;郝卓;徐甲甲;张卫明;张驰;;云安全研究进展综述[J];电子学报;2013年02期
2 钱志鸿;王义君;;物联网技术与应用研究[J];电子学报;2012年05期
3 林闯;;《物联网关键理论与技术》专题 前言[J];计算机学报;2011年05期
4 孙长华;刘斌;;分布式拒绝服务攻击研究新进展综述[J];电子学报;2009年07期
本文编号:2764054
本文链接:https://www.wllwen.com/kejilunwen/wltx/2764054.html
