SDN中基于多维条件熵的DDoS攻击检测与防护研究

摘要

随着新时代的不断发展，网络中业务规模和复杂程度的增大，新型网络架构—软件定义网络（Software Defined Network，SDN）受到追捧而逐渐流行开来。然而SDN在给网络建设提供便利的同时也带来了新的安全隐患。网络中单点失效的安全风险使得SDN容易遭受分布式拒绝服务（Distributed Denial of Service，DDoS）攻击。DDoS攻击种类繁多，手段多样，是目前流行的网络攻击方法之一。当下对DDoS的攻击检测和防护研究很多，但大都是在传统网络环境下的，在SDN环境中效果并不理想。
　　当下对于SDN中DDoS的攻击检测方法主要基于入侵检测的思想，分成误用检测和异常检测两类：误用检测能准确检测已知攻击，但对新攻击乏力；异常检测能检测已知攻击和新攻击，但误报率较高，本文属于异常检测范围。异常检测的算法又分为基于统计分析算法和基于机器学习的算法，前者套用传统网络DDoS攻击检测算法，没有得到SDN特性的充分支持，后者算法复杂、机器训练时间长，占用的资源和时间难以满足SDN对网络快速配置的需要。而更进一步的SDN中DDoS攻击防护方法的研究更是进展缓慢，传统方案难以做到移植后完美适用，新型方案又未能和攻击检测的方法相结合，造成检测和防护脱节，加大了网络部署难度和复杂度。
　　本文基于同种思路对SDN中DDoS攻击检测和防护两方面进行研究，结合了SDN自身特性和DDoS攻击特征，提出一种基于多维条件熵算法的检测和防护方案。该算法利用SDN控制器对全局流表中流表项的提取，使用软件计算多个流表项的条件熵得到多维向量并利用滑动窗口下非参数CUSUM算法进行攻击判别。当检测到攻击时，通过控制器分析多维条件熵值建立攻击路径，进行攻击溯源找到攻击源头。再进一步对靠近攻击源的交换机下发新流表，采取多种攻击缓解手段，如过滤攻击数据包、限制流量发送速率、平衡链路负载等。本文提出的该方案有效利用了SDN集中控制和软件驱动的特性，占用较少的资源和时间快速准确地对DDoS攻击进行检测和防护。经模拟仿真实验证明，该检测方案明显降低了误报率，防护方案大幅减少了网络中的攻击流量，对SDN中DDoS攻击检测和防护研究带来了新的启发。

目录

封面

中文摘要

英文摘要

目录

第1章 绪论

1.1 研究背景

1.2研究现状和意义

1.3 主要研究工作

1.4 论文的组织结构

第2章 相关技术介绍

2.1 软件定义网络

2.2 DDoS攻击

2.3 DDoS检测技术

2.4 DDoS防护技术

2.5 本章小结

第3章 基于多维条件熵的DDoS检测方案

3.1 信息熵

3.2 基于多个流表项特征的多维条件熵

3.3 滑动窗口非参数CUSUM算法

3.4 算法实现

3.5 本章小结

第4章 基于多维条件熵的DDoS防护方案

4.1 攻击溯源方法

4.2 攻击缓解方法

4.3 本章小结

第5章 模拟仿真实验与分析

5.1 仿真环境介绍

5.2 仿真方案介绍

5.3 实验结果分析

5.4 本章小结

第6章 总结与展望

6.1 总结

6.2 展望

参考文献

攻读硕士学位期间发表论文及参与科研情况

致谢

声明