SDN网络控制层分布式拒绝服务攻击检测与防御技术研究

作     者：蔡佳晔 

作者单位：战略支援部队信息工程大学 

学位级别：硕士

导师姓名：张红旗

授予年度：2018年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：软件定义网络 控制层 拒绝服务攻击 检测与防御 

摘      要：软件定义网络（SDN）是一种控制与转发分离的新型网络架构。SDN控制层作为SDN网络的中枢,承担着流表规则下发与全网逻辑控制的重任,是DDo S攻击重点关注对象,控制层一旦受到DDo S攻击将出现单点失效的状况,导致整个SDN网络瘫痪。展开针对SDN控制层DDo S攻击的检测与防御技术研究,对于保障SDN网络安全运行,提升可用性、可靠性具有重要意义。本文围绕相关问题展开研究,主要工作如下:1.提出DDo S攻击检测与防御架构,为SDN控制层DDo S攻击检测与防御算法的设计提供指导。研究当前SDN网络面临的安全威胁,基于此构造面向SDN控制层的DDo S攻击检测与防御架构。该架构能够有效应对盲DDo S攻击和链路泛洪攻击（link-flooding attack,LFA）对控制层的威胁。2.提出SDN网络控制器节点盲DDo S攻击检测算法及相应的防御算法,实现攻击流检测与隔离。基于盲DDo S攻击模型,设计了基于卡方检验和Sibson距离的盲DDo S攻击检测算法,利用卡方检验初步判定数据流可疑特征,然后通过Sibson距离进一步判别可疑流与正常突发流,实现盲DDo S攻击粗粒度检测;设计了基于数据流重定向的盲DDo S攻击动态防御算法,对可疑流进行多轮数据流重定向实现盲DDo S攻击细粒度检测,然后将攻击流隔离正常流放行。通过组合数学分析证明了盲DDo S攻击动态防御算法能够接近最大防御效果。仿真实验结果证明检测与防御算法的有效性。3.提出Openflow通道链路泛洪攻击主动防御方法,实现链路泛洪攻击的预警、定位与防御。在研究了LFA实施原理的基础上,依次设计了基于Renyi熵的Openflow通道链路泛洪攻击预警算法、基于前摄追踪的侦察节点定位算法、基于交换机—控制器连接迁移的主动防御算法,最终实现SDN控制器通道LFA攻击的主动防御。预警算法利用Renyi熵针对小流量度量的优势,通过阈值比较、次数统计实现攻击预警;侦察节点定位算法通过匹配ICMP超时报文IP字段的哈希值,实现快速准确定位,阻断侦察链,隔离被劫持的交换机;主动防御算法,采用两种负载指标与双因子调节机制选取目标控制器,通过交换机—控制器连接迁移机制更换控制器和Openflow通道,保证SDN网络稳定运行。仿真实验表明预警、定位与防御算法的有效性,所提Openflow通道链路泛洪攻击主动防御方法能够有效提升SDN网络的健壮性。