SDN中基于神经网络和信任值管理的自适应启动检测与防御系统
发布时间:2021-08-09 05:04
作为一种新型的网络架构——软件定义网络(Software Defined Network,SDN)解决了传统网络中存在的网络与业务相互割裂的问题。更重要的是,控制器对用户是开放的。用户通过控制器的API可以编写程序来实现自定义的传输策略、规则和网络路由等。这就使得SDN较传统网络更加智能、灵活。但是SDN同样面临着传统网络中存在的安全问题——分布式拒绝服务(DDoS,Distributed Denial of Service)攻击。在SDN中,由于逻辑上集中化控制,一旦控制器遭受DDoS攻击,危害更胜于传统网络。本文针对SDN中的DDoS攻击,构建了一个检测与防御系统,主要做了以下工作。一、本文从检测方案入手,提出了一种基于神经网络的自适应启动的检测方案替代周期检测,从而改进了周期检测系统检测时间长,占用控制器资源大的缺点。该方案可依据PacketIn到达速率决定是否启动检测,在遭受攻击时,可迅速启动检测。并设计了对比实验,从控制器CPU使用率等三个方面证明了自适应启动方案的优越性。二、检测出攻击者后需要采取处理措施,本文采用了FlowRanger算法基于信任值的...
【文章来源】:南京邮电大学江苏省
【文章页数】:71 页
【学位级别】:硕士
【部分图文】:
SDN与传统网络特点对比图
图 2.3 SDN 三层架构图顶层为应用层,该层可以提供不同的业务和安装应用;中间层为控制层,具有控制转发设备、维护网络拓扑、状态信息等功能;底层为基础设施层,也即上文提到的转发层,转发层中的转发设备基于流表的方式负责数据的处理和转发。SDN 三层架构的特性带来了以下五点好处:一、在网络的使用和控制方面,相较于传统网络,SDN 提供了更大的灵活性。二、SDN 为网络运营商提供了便利,使新业务能够更加便捷、迅速的引入。具体表现在,网络运营商引入新业务时,不需要再像传统网络一样等待某个设备提供商在其专有设备中加入相应方案,SDN 使得运营商可以直接通过可控的软件部署相关功能。三、SDN 减少了网络的人工干预,节省了人力成本。由于 SDN 允许网络的自动化部署和故障诊断,这就降低了网络的运营费用,同时也降低了出错率。四、SDN 整合了网络的计算和存储资源,有助于推进网络的虚拟化。五、SDN 使得网络不必过多关注底层细节,更加专注于业务目标。
学专业学位硕士研究生学位论文 第二章 相关技术转发,而流表本身的生成、维护和下发完全由逻辑上集中的控制器来实于传统网络中的 IP 五元组。例如,OpenFlow 1.0[15]协议定义了包括端口 10 个关键字,每个字段都可以通配,运营商可以决定匹配的策略细化到营商如果只需根据目的 IP 进行路由,那么控制器可以下发只有目的 IP 都为通配。4 是 OpenFlow 协议示意图。流表可以由控制器主动下发也可由交换机请下,控制器将自己收集的流表信息主动下发给网络设备,网络设备直接;被动模式是指网络设备需要转发的报文没有匹配的流表项时,会发送 P器,控制器决定该如何转发,并下发相应的流表项。OpenFlow 交换机可 提供不同的功能,例如可用作路由、交换机、防火墙等,也可以提供负
【参考文献】:
期刊论文
[1]DDoS攻击防御技术发展综述[J]. 陈飞,毕小红,王晶晶,刘渊. 网络与信息安全学报. 2017(10)
[2]SDN多控制器一致性的量化研究[J]. 李军飞,兰巨龙,胡宇翔,邬江兴. 通信学报. 2016(06)
硕士论文
[1]SDN中DDoS攻击检测与流表过载防御技术研究[D]. 王晓瑞.郑州大学 2017
本文编号:3331423
【文章来源】:南京邮电大学江苏省
【文章页数】:71 页
【学位级别】:硕士
【部分图文】:
SDN与传统网络特点对比图
图 2.3 SDN 三层架构图顶层为应用层,该层可以提供不同的业务和安装应用;中间层为控制层,具有控制转发设备、维护网络拓扑、状态信息等功能;底层为基础设施层,也即上文提到的转发层,转发层中的转发设备基于流表的方式负责数据的处理和转发。SDN 三层架构的特性带来了以下五点好处:一、在网络的使用和控制方面,相较于传统网络,SDN 提供了更大的灵活性。二、SDN 为网络运营商提供了便利,使新业务能够更加便捷、迅速的引入。具体表现在,网络运营商引入新业务时,不需要再像传统网络一样等待某个设备提供商在其专有设备中加入相应方案,SDN 使得运营商可以直接通过可控的软件部署相关功能。三、SDN 减少了网络的人工干预,节省了人力成本。由于 SDN 允许网络的自动化部署和故障诊断,这就降低了网络的运营费用,同时也降低了出错率。四、SDN 整合了网络的计算和存储资源,有助于推进网络的虚拟化。五、SDN 使得网络不必过多关注底层细节,更加专注于业务目标。
学专业学位硕士研究生学位论文 第二章 相关技术转发,而流表本身的生成、维护和下发完全由逻辑上集中的控制器来实于传统网络中的 IP 五元组。例如,OpenFlow 1.0[15]协议定义了包括端口 10 个关键字,每个字段都可以通配,运营商可以决定匹配的策略细化到营商如果只需根据目的 IP 进行路由,那么控制器可以下发只有目的 IP 都为通配。4 是 OpenFlow 协议示意图。流表可以由控制器主动下发也可由交换机请下,控制器将自己收集的流表信息主动下发给网络设备,网络设备直接;被动模式是指网络设备需要转发的报文没有匹配的流表项时,会发送 P器,控制器决定该如何转发,并下发相应的流表项。OpenFlow 交换机可 提供不同的功能,例如可用作路由、交换机、防火墙等,也可以提供负
【参考文献】:
期刊论文
[1]DDoS攻击防御技术发展综述[J]. 陈飞,毕小红,王晶晶,刘渊. 网络与信息安全学报. 2017(10)
[2]SDN多控制器一致性的量化研究[J]. 李军飞,兰巨龙,胡宇翔,邬江兴. 通信学报. 2016(06)
硕士论文
[1]SDN中DDoS攻击检测与流表过载防御技术研究[D]. 王晓瑞.郑州大学 2017
本文编号:3331423
本文链接:https://www.wllwen.com/guanlilunwen/yunyingzuzhiguanlilunwen/3331423.html
