论文部分内容阅读
软件定义网络(Soft Defined Network,SDN)是一种全新的网络体系,因其控制平面和数据转发平面松耦合、网络状态集中控制以及灵活的软件编程能力等诸多优势为网络的配置和更新、流量的控制带来了极大的便利,有效的解决了当前的网络系统中存在扩展受限、组网灵活性低和难以快速满足业务需求等问题。SDN自提出至今已经成为许多大型公司云计算数据中心主流的网络架构。但是作为一种新型的技术,SDN在解决了很多传统互联网网络架构中安全隐患的同时又引入了新的安全问题。随着当前网络中存在的各种网络攻击越来也越多的出现在SDN网络中,严重影响SDN的进一步发展。分布式拒绝服务攻击(Distributed Denial of Service,DDOS)是当前网络面临的主要攻击之一,尽管其原理和机制被广泛理解和研究,且已有了许多的技术来防范该类攻击。但随着越来越多的工作转移到云端,DDOS攻击的主要阵地发生了变化,越来越多的出现在云计算网络中并威胁着云计算环境的安全。面对新的网络环境,DDOS产生了新的特性,例如其攻击流量的规模和频率、攻击目标、技术手段等都发生了巨大变化,传统网络中防御DDOS的方法已经不满足于云计算环境了。因此本文针对云计算环境下SDN网络中的DDOS攻击检测和防御技术进行分析和研究。首先,研究了DDOS攻击的原理和常见的攻击类型,以及目前检测和缓解DDOS攻击的主要方法。然后对SDN网络架构及其相关技术进行详细说明,着重介绍了OpenFlow协议、SDN交换机和控制器,最后分析了SDN中各个层面存在的安全隐患。针对SDN中的DDOS攻击检测,首先从交换机流表中提取特征字段,转换成与攻击相关的八个流量特征,并利用Relief特征选择算法计算这八个特征值的特征权重并按照大小进行排序,以支持向量机(Support Vector Machine,SVM)分类算法的分类效果为评价函数选出最优特征子集作为分类器的输入,利用有监督的机器学习算法构建分类模型,最后使用CICIDS 2017数据集行测试实验,确定出用于检测DDOS攻击的最佳算法。结果表明,本文提出的算法在保证检测准确率的前提下,提高了分类检测的速率,具有良好的综合性能。其次,针对SDN网络中的DDOS攻击的防御,通过分析系统需求,设计了SDN环境中的DDOS攻击防御系统。该防御系统包括流表信息的收集模块、DDOS攻击检测模块和攻击发生后的缓解模块。信息收集模块采集流表信息构建流表特征信息库,为后续工作提供数据支持;攻击检测模块采用分级的思想,在控制器开始获取流表项之前,以Packet-In消息的发送速率作为预判。当控制器检测到Packet-In消息的发送速率超过了设定的阈值后,通过发送预警信息通知控制器开始收集流表信息,分析检测网络中的攻击流量;攻击缓解模块接收检测模块的检测结果并以此制定相应的缓解策略。本文采用服务重定向和流量清洗技术对攻击流量进行处理以保证SDN网络在遭受DDOS攻击后仍能提供正常的服务。最后利用Mininet网络仿真器和Floodlight控制器搭建模拟的SDN网络环境,部署防御系统,对本文设计的防御系统进行模拟攻击测试,实验结果证明本文提出的检测防御系统能够有效的检测出常见的典型的DDOS泛洪攻击,并采取恰当的防御措施。