基于SDN控制器的DoS攻擊檢測與防御研究.pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)在靈活性和可管理性存在的問題日益凸顯。為了解決該問題，近年來誕生了軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)這種新型網(wǎng)絡(luò)架構(gòu)，其核心思想是將數(shù)據(jù)轉(zhuǎn)發(fā)層和控制層解耦，具有集中性、可擴(kuò)展性和可編程性的特點，使得網(wǎng)絡(luò)變得更加靈活可控。SDN的核心服務(wù)、重要配置等功能都部署在SDN控制器上，這有利于網(wǎng)絡(luò)管理的集中性，但同時也為網(wǎng)絡(luò)引入了新的威脅，如果SDN控制器遭受攻擊，將影響控制器

2、覆蓋的整個網(wǎng)絡(luò)范圍，極端情況下會直接導(dǎo)致網(wǎng)絡(luò)癱瘓。
　　本文圍繞SDN控制器面臨DoS攻擊時的安全問題展開研究，利用SDN可編程的特點，采用可信度、流控以及時間序列等思想，通過改變SDN控制器的請求處理和流表下發(fā)策略，以有效提高SDN控制器檢測與防御DoS攻擊的能力，具體來說，本文作了如下的研究:
　　(1)受FlowRanger隊列優(yōu)先級防御算法的啟發(fā)，借鑒了傳統(tǒng)網(wǎng)絡(luò)中的流控思想，提出了一種基于可信度和流控的SDN控制器D

3、oS防御算法（TFC算法）。算法首先根據(jù)控制器面臨的攻擊狀態(tài)來確定用戶的可信度，同時采用令牌漏桶算法的流控思想，降低請求隊列溢出的概率，進(jìn)而降低了隊列的擁塞程度，最后采用加權(quán)的輪詢調(diào)度策略，根據(jù)用戶可信度和請求數(shù)量計算出每次轉(zhuǎn)發(fā)的請求數(shù)目。相對于FlowRanger算法和默認(rèn)的FCFS算法，當(dāng)SDN控制器遭遇DoS攻擊時，本算法有更高的防御能力。
　　(2)通過結(jié)合傳統(tǒng)的DoS檢測防御技術(shù)和SDN控制器安全問題的現(xiàn)有研究成果，提出

4、了基于時間序列的DoS檢測防御方案（TS方案）。該方案基于SDN網(wǎng)絡(luò)體系自身的優(yōu)勢，采用時間序列理論的思想，結(jié)合數(shù)據(jù)平面、控制平面的流量信息來對數(shù)據(jù)流量進(jìn)行實時統(tǒng)計，然后通過綜合控制器的CPU和內(nèi)存等資源的使用情況，對受到的攻擊做出全面綜合的判定。相對現(xiàn)有方案，通過引入時間序列，本方案可有效降低啟動時的誤判情況，在檢測和防御能力上有一定的提高。
　　(3)對本文提出的TFC算法，采用離散事件模擬方法來評估算法性能，具體模擬了三種不

5、同模式的注入攻擊，得到三種模式注入攻擊下的控制器處理請求情況，通過實驗對比驗證了本文提出的TFC方案較FlowRanger方案和FCFS方案有更好的DoS防御效果。對本文提出的TS方案，采用Floodlight和Mininet進(jìn)行了實驗驗證，首先對控制器進(jìn)行了攻擊實驗，分析了攻擊前后流量的變化趨勢，分別得到控制平面和數(shù)據(jù)平面的數(shù)據(jù)流量，求得這兩個平面的數(shù)據(jù)流量的比值Q，進(jìn)而得到在正常環(huán)境下該比值Q的安全范圍，通過Q值的變化來判斷當(dāng)前網(wǎng)絡(luò)