面向SDN控制平面的DoS攻击防御机制研究

摘要

软件定义网络（SDN）由于其逻辑上集中的架构和可编程性能够更加灵活地管理网络。同时，SDN的集中式架构也使其面临拒绝服务（DoS）攻击的威胁。研究SDN下DoS攻击检测和防御技术，保证控制器的正常运行，增强网络的安全性已经成为一项热门的研究课题。 针对SDN环境下以控制器为攻击目标的DoS攻击问题，本文以保证控制器能够及时响应正常用户的请求为研究目标，分别提出了单控制器和多控制器环境下的DoS攻击检测和缓解方案。针对单控制器下的DoS攻击，本文提出了一种基于非合作重复博弈的攻击缓解机制。本文提出了基于信息熵、packet_in消息速率以及packet_in消息响应速率的DoS攻击检测机制，通过下发迁移流规则，将可疑用户的packet_in消息全部迁移到数据平面缓存，再由数据平面缓存转发到控制器，以此来减轻控制器的压力。同时基于惩罚激励机制设置用户的优先级和惩罚时间，保证正常用户的请求能够被及时响应。针对多控制器下的DoS攻击，本文提出了一种基于聚类算法和交换机迁移的攻击缓解方案。本文使用密度峰值聚类算法（DPCA）对用户进行聚类，分为正常用户、可疑用户和恶意用户，恶意用户的流量被流规则丢弃掉。如果存在控制器下的交换机发送的packet_in请求超出了控制器的处理能力，则需要对该控制器下的交换机进行迁移。并且需要定期地对恶意用户的流规则进行信息统计，以允许攻击者在停止攻击后可以回归到网络中。 本文采用Mininet网络仿真平台和Ryu控制器搭建了SDN网络仿真环境，并在DoS攻击下对本文提出的算法进行了性能测试，同时将本文提出的算法和现有的算法从平均响应时间、控制器接收到的packet_in消息数目、丢包率等多个方面进行了性能对比，验证了本文提出算法的有效性。

目录

声明

1 绪论

1.1 研究背景与意义

1.2 国内外研究现状

1.2.1 DoS攻击检测机制

1.2.2 DoS攻击缓解机制

1.3 主要工作及研究内容

1.4 论文的组织结构

2 相关技术与理论

2.1 SDN简介

2.1.1 SDN网络架构

2.1.2 SDN特点

2.2 OpenFlow协议

2.2.1 OpenFlow交换机

2.2.2 流表

2.2.3 流规则安装方式

2.3 非合作动态重复博弈

2.4 SDN下的DoS攻击

3 基于非合作重复博弈的单控制器下DoS攻击防御机制

3.1 针对控制平面的DoS攻击模型

3.2 PrioGuard防御机制架构设计

3.2.1 PrioGuard整体架构

3.2.2 攻击检测模块

3.2.3 流迁移模块

3.2.4 优先级设置模块

3.2.5 数据平面缓存模块

3.3 纳什均衡证明

3.4 算法性能分析

3.5 实验验证与性能分析

3.5.1 实验工具

3.5.2 实验设置

3.5.3 平均响应时间

3.5.4 丢包率

3.5.5 packet_in消息数目

3.5.6 被处理的正常packet_in消息占的比例

3.5.7 数据平面转发速率

3.6 本章小结

4 基于聚类和交换机迁移的多控制器下DDoS攻击防御机制

4.1 系统模型

4.2 攻击检测模块

4.2.1 密度峰值聚类算法

4.2.2 特征选取

4.2.3 执行流程

4.3 攻击缓解模块

4.4 端口恢复模块

4.5 算法性能分析

4.6 实验验证与性能分析

4.6.1 实验设置

4.6.2 平均响应时间

4.6.3 假阳性率和召回率

4.6.4 丢包率

4.6.5 交换机迁移前后的响应时间

4.7 本章小结

结论

参考文献

攻读硕士学位期间发表学术论文情况

致谢