SDN控制层泛洪防御机制研究:检测与缓解

摘要

针对SDN控制层中的欺骗式泛洪防御问题,提出控制器防御机制(CDM),主要包括基于关键特征多分类的泛洪检测机制和基于SAVI的泛洪缓解机制2个方面.在泛洪检测方面提出控制层泛洪关键特征解析模块,利用Boosting算法将各个关键特征弱分类器加权叠加形成增强型分类器,通过不断降低计算中的残差,达到更准确分类针对控制层的欺骗式泛洪攻击的效果.在泛洪缓解方面,CDM部署基于SAVI的泛洪缓解机制,以绑定和验证的模式为基础执行泛洪数据包的路径过滤,同时以动态轮询的模式实现泛洪攻击安全保障和接入层交换机泛洪关键特征数据的更新,降低冗余的模型更新负载.实验结果表明,所提方法具备开销低、精度高的特点,有效地增加了控制层的安全性,减少了欺骗式泛洪攻击主机分类的时间和对应控制器CPU的消耗.