SDN中基于多維條件熵的DDoS攻擊檢測(cè)與防護(hù)研究.pdf

1、隨著新時(shí)代的不斷發(fā)展，網(wǎng)絡(luò)中業(yè)務(wù)規(guī)模和復(fù)雜程度的增大，新型網(wǎng)絡(luò)架構(gòu)—軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）受到追捧而逐漸流行開來。然而SDN在給網(wǎng)絡(luò)建設(shè)提供便利的同時(shí)也帶來了新的安全隱患。網(wǎng)絡(luò)中單點(diǎn)失效的安全風(fēng)險(xiǎn)使得SDN容易遭受分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊。DDoS攻擊種類繁多，手段多樣，是目前流行的網(wǎng)絡(luò)攻擊方法之一。當(dāng)下對(duì)DDoS的攻擊檢

2、測(cè)和防護(hù)研究很多，但大都是在傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的，在SDN環(huán)境中效果并不理想。
　　當(dāng)下對(duì)于SDN中DDoS的攻擊檢測(cè)方法主要基于入侵檢測(cè)的思想，分成誤用檢測(cè)和異常檢測(cè)兩類：誤用檢測(cè)能準(zhǔn)確檢測(cè)已知攻擊，但對(duì)新攻擊乏力；異常檢測(cè)能檢測(cè)已知攻擊和新攻擊，但誤報(bào)率較高，本文屬于異常檢測(cè)范圍。異常檢測(cè)的算法又分為基于統(tǒng)計(jì)分析算法和基于機(jī)器學(xué)習(xí)的算法，前者套用傳統(tǒng)網(wǎng)絡(luò)DDoS攻擊檢測(cè)算法，沒有得到SDN特性的充分支持，后者算法復(fù)雜、機(jī)器訓(xùn)練時(shí)間

3、長(zhǎng)，占用的資源和時(shí)間難以滿足SDN對(duì)網(wǎng)絡(luò)快速配置的需要。而更進(jìn)一步的SDN中DDoS攻擊防護(hù)方法的研究更是進(jìn)展緩慢，傳統(tǒng)方案難以做到移植后完美適用，新型方案又未能和攻擊檢測(cè)的方法相結(jié)合，造成檢測(cè)和防護(hù)脫節(jié)，加大了網(wǎng)絡(luò)部署難度和復(fù)雜度。
　　本文基于同種思路對(duì)SDN中DDoS攻擊檢測(cè)和防護(hù)兩方面進(jìn)行研究，結(jié)合了SDN自身特性和DDoS攻擊特征，提出一種基于多維條件熵算法的檢測(cè)和防護(hù)方案。該算法利用SDN控制器對(duì)全局流表中流表項(xiàng)的提取

4、，使用軟件計(jì)算多個(gè)流表項(xiàng)的條件熵得到多維向量并利用滑動(dòng)窗口下非參數(shù)CUSUM算法進(jìn)行攻擊判別。當(dāng)檢測(cè)到攻擊時(shí)，通過控制器分析多維條件熵值建立攻擊路徑，進(jìn)行攻擊溯源找到攻擊源頭。再進(jìn)一步對(duì)靠近攻擊源的交換機(jī)下發(fā)新流表，采取多種攻擊緩解手段，如過濾攻擊數(shù)據(jù)包、限制流量發(fā)送速率、平衡鏈路負(fù)載等。本文提出的該方案有效利用了SDN集中控制和軟件驅(qū)動(dòng)的特性，占用較少的資源和時(shí)間快速準(zhǔn)確地對(duì)DDoS攻擊進(jìn)行檢測(cè)和防護(hù)。經(jīng)模擬仿真實(shí)驗(yàn)證明，該檢測(cè)方案明