基于软件定义网络的DDoS防护系统

发布时间：2024-03-21 04:26

　　目前,分布式拒绝服务攻击(DDoS,Distributed Denial-of-Service Attack)已成为网络安全的最大威胁之一,且影响态势日益严重。传统的对抗方式基于静态网络架构,采用入侵检测、流量过滤和多重验证等方法。这些方法存在明显的缺陷:难以实现全网统一调度、消耗大量资源并且易导致网络设备愈加繁重。因此,近年来基于动态网络架构进行DDoS防护成为研究的热点。其中,软件定义网络(SDN,Software-Defined Networking)作为一种新型动态网络体系,其数控分离、集中控制与动态可编程等特性颠覆了现有的网络架构,为对抗DDoS攻击提供了新的思路。现有基于SDN的DDoS防护方案存在以下问题:系统开销与检测周期难以权衡、交换机资源浪费以及网络可用性不强等。针对上述问题,本文提出触发检测和深度检测相结合的DDoS检测方案,以及路由动态调整和溯源主动阻断相结合的DDoS防御方案,并在Mininet平台上实现了基于SDN的DDoS攻击防护系统。主要工作和创新点如下:1.针对现有检测方案中检测周期过小将导致系统开销大的问题,本文提出了一种触发检测和深度检测相结合的联...

【文章页数】：89 页

【学位级别】：硕士

【部分图文】：

图4基于软件定义的5G安全防护框

含硬件资源、安全资源池以及业务资源池。AS：应用服务器BRAS：宽带远程接入服务器CSCF：呼叫会话控制功能DDoS：分布式拒绝服务攻击DFW：分布式防火墙FW：防火墙GW：网关HSS：归属签约用户服务器HSS：归属签约用户服务器IP：互联网协议IPS：入侵防御系统MANO：网络....

图2.6DDoS攻击示意图

正常通信：完成上述交互后，进入正常通信状态。同时，控制器送echo报文以保持连接。攻击攻击原理攻击（DoS，DenialofService）指利用各种攻击手段耗尽攻击目标的资合法用户提供正常服务。其中，攻击目标可以是网络、计算机、应用等、CPU、内存、开放的进程以及允许的连接....

图3.2DDoS攻击时五个特征量的变化情况

（d）（e）图3.2DDoS攻击时五个特征量的变化情况由上图可见，五个特征量均出现了明显的变化，由于流的数量、总数据包数和总字节数这三个特征相关性较大，因此从中选取一个特征以降低冗余，本文选择总数据包数。最终，经过特征提取，采用以下三个特征来粗粒度地表示网络流量的变化：总....

图3.7不同h值对检测结果的影响

东南大学硕士学位论文唯有这样才可以更好的与后续的深度检测模块结合起来，实现高效低耗的效果。因此，为了获得极小的漏警率，需要将阈值设定到较小的范围。SMNA-CUSUM算法中的阈值具有自适应性，其数值实时地随着滑动窗口内序列的方差而变化，线性系数为h，因此h越小意味着阈值越....

本文编号：3933825