基于SDN的DDoS分布式防御体系研究

摘要

软件定义网络(SoftWare Defined Network，SDN)是一种新型网络架构，美国斯坦福大学Clean Slate研究组于2006年首次提出。这种架构的出现使传统网络发生了颠覆性的变革。在SDN的实现方面，开放网络基金会（ONF）提出了OpenFlow协议，并受到广泛认可。其核心技术OpenFlow通过将网络设备控制面与数据面分离开来，实现了网络流量的灵活控制，为核心网络及应用的创新提供了良好的平台，但它的发展也面临着诸多挑战，安全性就是其中之一。
　　本研究主要内容包括：⑴基于SDN网络控制层中的DDoS攻击的检测方法进行研究，主要针对转发层流表中的流表项，提出流表统计模块对流表进行处理，本方法的核心思想分为三个方面：流表收集、流表预处理和流表分类。按照OpenFlow v1.0协议的标准，调整合适的周期时间对SDN交换机发送 Ofp_Flow_Stats_Request报文，通过反馈的流表进行预处理，将收集到的队列流表特征进行特征对比，之后发送到控制层的检测模块。⑵针对SDN的DDoS分布式防御包括两个方面：一是在控制层提出一种基于熵值算法的DDoS检测模块和防御模块；检测模块包括熵值计算和攻击判断，通过对熵值和阈值的比较进行攻击判断，若存在攻击，则通过添加在控制层的ACL管控和流量管理模块对攻击流量进行防御措施；若不存在攻击，流量的通过按照正常的转发程序进行。二是在SDN应用层通过主机识别、服务重定向和流量精准识别三个方面对DDoS进行防御。⑶搭建了实验环境，利用OpenDayLight控制器、sFlow监控工具和Mininet仿真器构建出一个实验仿真平台。通过实验结果表明，针对DDoS攻击所提出的研究方案，模拟攻击可以达到占用控制器资源的效果，对网络性能有明显影响，而通过本文所设计的分布式防御体系可以及时检测攻击，提高了对DDoS攻击行为的检测率，降低了误报率；同时在防御方面能够快速做出防御响应，增强了对DDoS的防御效果。

目录

第一章 绪论

1.1 研究背景与意义

1.2 国内外研究现状

1.3 论文研究内容

1.4 论文组织结构

第二章 相关技术研究

2.1 SDN架构概述

2.2 OpenFlow技术

2.3 DDoS攻击介绍

2.4 SDN开源技术介绍

2.5 本章小结

第三章 基于SDN控制层的DDoS防御研究

3.1 引言

3.2 流表统计模块

3.3 基于熵值算法的DDoS控制层检测模块

3.4 控制层防御模块

3.5 控制层防御架构

3.6 本章小结

第四章 基于SDN应用层的DDoS防御研究

4.1 引言

4.2 防御架构

4.3 防御过程

4.4 本章小结

第五章 SDN架构下DDoS防御体系验证

5.1 实验环境搭建

5.2 实验验证

5.2 实验防御过程

5.3 本章小结

第六章 总结与展望

6.1 总结

6.2 展望

参考文献

致谢

在校期间的科研成果

声明