摘要: 随着互联网的飞速发展，网络已成为人们生活中不可或缺的一部分。人们在享受着互联网为生活所带来的便利的同时，也面临着十分严峻的网络安全问题。传统网络架构配置复杂且可扩展性差，无法满足灵活、高效的网络管理要求。软件定义网络(Software Defi... 展开 随着互联网的飞速发展，网络已成为人们生活中不可或缺的一部分。人们在享受着互联网为生活所带来的便利的同时，也面临着十分严峻的网络安全问题。传统网络架构配置复杂且可扩展性差，无法满足灵活、高效的网络管理要求。软件定义网络(Software Defined Network，SDN)是一种新型的网络架构，打破了传统网络架构的垂直整合，其核心思想是数控分离，即将底层设备的控制功能和数据转发功能解耦。网络安全问题近年来愈加频繁，目前网络中各种攻击手段层出不穷，其中分布式拒绝服务(Distributed Denial of Service，DDoS)是一种破坏力强、攻击面广且易于实施的攻击手段，是目前SDN所面临的主要安全威胁之一。随着SDN架构在云数据中心的应用日益广泛，如何保障SDN的安全问题成为了研究的重点。本文主要研究了SDN环境下的DDoS攻击检测与防御问题，具体研究工作如下: 第一，针对消耗SDN控制器资源的DDoS攻击，提出了一种基于机器学习算法的DDoS攻击检测方法，包括异常检测模块，流特征提取模块和攻击检测算法模块三部分。通过分析DDoS攻击的特点，DDoS攻击数据包的目的地址通常只有一个，其目的地址的熵值相对较低。本文利用数据包中目的地址的熵值作为异常检测的方法，设置了一个DDoS攻击检测算法的触发机制。由于熵值的计算简单，所占用CPU资源较少，可以减轻网络的负担。通过提取流的4个特征组成特征向量作为攻击检测算法的输入能够很好地区分正常流和攻击流。DDoS攻击检测算法组合了支持向量机(Support Vector Machine，SVM)和K均值聚类算法(K-means)算法的结果，避免了单个机器学习算法在不同的训练数据集上检测结果的偏差。检测的结果也将作为输入的数据集用来训练SVM和K-means算法，通过这种模型再训练完成算法的优化。 第二，当检测到网络正在遭受DDoS攻击后，提出了一种基于回溯的DDoS攻击防御方法，包括攻击溯源和攻击缓解两个部分。结合SDN的特性，改进了传统的概率包标记算法(Probability Packet Marking，PPM)，利用IP数据包中较少使用的40位比特位作为数据包的标记空间，标记空间充足且对网络的影响较小。攻击溯源包括数据包标记和攻击路径重构两部分，数据包标记过程利用SDN交换机中维护的标签记录表，无需构造网络拓扑。使用动态标记概率来标记数据包，加快了数据包的标记速度且标记信息所占空间小。路径重构算法从受害主机开始，利用数据包的标记信息和SDN交换机的标签记录表来还原攻击路径，耗时短且溯源精度高。 攻击溯源过程完成之后，结合SDN的特性与现有的DDoS攻击缓解方法，如访问控制列表(Access Control List，ACL)和流量管理策略，设计了一种适用于SDN环境下的DDoS攻击缓解方法。通过Mininet仿真平台模拟真实的SDN网络环境验证了所提出的DDoS攻击检测和防御方法的有效性。 收起