软件定义网络下拒绝服务攻击防御研究

摘要

软件定义网络作为一种新型网络架构，将控制平面和数据平面分离，提供集中化以及可编程的网络控制能力。流量型拒绝服务攻击作为传统网络中最为常见与有效的攻击手段，仍然是软件定义网络的安全方面的研究热点。针对拒绝服务攻击的软件定义网络的安全研究主要分为两方面：利用软件定义网络的新特性更有效解决传统的拒绝服务攻击；防御以软件定义网络本身为攻击目标的拒绝服务攻击。本文针对这两方面分别开展了安全研究工作。 一方面，针对控制器的流量型拒绝服务攻击会导致数据平面和控制平面的信道拥塞并使控制器超负荷，最终导致整体网络瘫痪。因此本文提出了利用多控制器以及可疑流迁移的安全保护策略FMD（Flow Migration Defense）。FMD利用可疑流迁移至附属控制器缓解了主控制器信道的拥塞问题。附属控制器利用请求缓存和请求转发缓解了主控制器超负荷问题。 另一方面，虽然软件定义网络架构的新特性有利于监控网络中潜在的传统拒绝服务攻击，但是在大规模网络特征采集依旧会导致的网络资源开销过大的问题。因此本文提出了粗粒度监测链路与细粒度监测网络流相结合的监测方法ADSS（Adaptive DDoS Sense Scheme）。ADSS采用了自组织映射神经网络对链路特征和网络流特征分别进行检测潜在的拒绝服务攻击。 本文采用Ryu控制器和Mininet网络仿真器来对上述两个研究方案进行了仿真实验。对于FMD的实验结果表明，其可以在大流量拒绝服务攻击下，可以以保证控制器的低响应时间与低网络丢包率，有效保护控制信道和控制器资源。对于ADSS的实验结果表明，其可以在复杂的网络环境中有效定位DDoS攻击者与受害人，抵抗源IP伪造攻击，并且降低控制器计算资源和交换机缓存资源的开销。

目录

第一个书签之前

摘 要

Abstract

1 绪论

1.1 研究背景

1.2 国内外研究现状

1.2.1 针对SDN的DoS威胁防御研究现状

1.2.2 基于SDN的DDoS攻击监测研究现状

1.3 主要内容及研究工作

1.4 论文的组织结构

2 软件定义网络与OpenFlow

2.1 软件定义网络的架构

2.2 OpenFlow协议结构

2.3 OpenFlow网络形式

2.4 OpenFlow的被动式和主动式流规则安装

2.5 软件定义网络与拒绝服务攻击

3 针对SDN的DoS攻击缓解策略研究

3.1 针对控制平面的DoS攻击平面分析

3.2 FMD防御方案设计

3.2.1 整体设计

3.2.2 攻击检测

3.2.3 可疑流请求迁移

3.2.4 流请求缓存

3.2.5 流请求转发

3.3 实验测试

3.3.1 实验工具

3.3.2 仿真环境说明

3.3.2 DoS攻击缓解效果测试

3.3.2 请求转发的ARA策略测试

4 基于SDN的DDoS攻击监测策略研究

4.1 SDN下DDoS攻击监测问题分析

4.2 ADSS监测方案设计

4.2.1 整体设计

4.2.2 基于链路的粗粒度监测

4.2.3 基于网络流的细粒度监测

4.2.4 基于SOM的分类方法

4.3 实验测试

4.3.1 实验环境说明

4.3.2 网络监测测试

结 论

参 考 文 献

攻读硕士学位期间发表学术论文情况

致 谢

大连理工大学学位论文版权使用授权书