基于软件定义网络的DDoS防护系统

摘要

目前,分布式拒绝服务攻击(DDoS,Distributed Denial-of-Service Attack)已成为网络安全的最大威胁之一,且影响态势日益严重.传统的对抗方式基于静态网络架构,采用入侵检测、流量过滤和多重验证等方法.这些方法存在明显的缺陷:难以实现全网统一调度、消耗大量资源并且易导致网络设备愈加繁重.因此,近年来基于动态网络架构进行DDoS防护成为研究的热点.其中,软件定义网络(SDN,Software-Defined Networking)作为一种新型动态网络体系,其数控分离、集中控制与动态可编程等特性颠覆了现有的网络架构,为对抗DDoS攻击提供了新的思路.现有基于SDN的DDoS防护方案存在以下问题:系统开销与检测周期难以权衡、交换机资源浪费以及网络可用性不强等.针对上述问题,本文提出触发检测和深度检测相结合的DDoS检测方案,以及路由动态调整和溯源主动阻断相结合的DDoS防御方案,并在Mininet平台上实现了基于SDN的DDoS攻击防护系统.主要工作和创新点如下: 1.针对现有检测方案中检测周期过小将导致系统开销大的问题,本文提出了一种触发检测和深度检测相结合的联合检测方案.该方案首先通过触发检测,对全网流量特征的时间序列进行统计特性跟踪,实现异常流量的粗粒度检测;接着引入时间窗特征,采用机器学习中的AdaBoost集成学习算法对异常流量进行细粒度的深度检测.经实验表明,AdaBoost算法的检测精确度优于其他分类算法,可达97.7%,同时该联合检测方案的具有开销小、低漏警率的优点. 2.针对现有异常检测算法中检测实时性差、鲁棒性不强的问题,本文提出了一种改进的累积和算法(SMNA-CUSUM,Sliding-window based Multi-dimension Non-parametric CUSUM algorithm with Adaptive threshold),利用CUSUM算法对样本偏差灵敏度高、计算开销小的优势,通过实时跟踪多维度序列并基于其统计特性的累积偏差进行异常检测.该改进算法引入滑动窗口来构造特征序列,每当新样本到达时均结合历史信息实时做出判决;引入动态阈值针对不同漏警率和虚警率需求进行自适应调整,提升算法的灵活性和对不同序列的鲁棒性;引入多维度的特征来降低检测的漏警率. 3.针对现有防御方案中阻断响应延时、网络可用性不强的问题,本文提出了一种基于路由动态调整和溯源主动阻断相结合的防御方案.该方案首先采用改进的K最短路径算法,实现基于带宽的最优路由,使得整个网络可以动态地根据流量变化来进行路由,得以在面临攻击时充分利用网络资源来分散和吸收攻击流量;同时基于主机行为进行攻击溯源,并采用基于动态流表的报文实时过滤方案实施主动阻断. 4.针对现有报文过滤方案中阻断后残留大量无效流表占用交换机资源的问题,本文提出了一种基于流表保护机制的报文过滤方案.该方案制定针对攻击源的动态流表来实时过滤攻击报文,并为流表项定义较短的闲置超时时间,自动删除无效流表以释放资源.同时,提出全局白名单机制来保护合法主机被误判和阻断,增强系统的灵活性与网络的可用性.实验表明,该防御方案对攻击报文进行了成功的过滤,且过滤后删除无效流表约22.7%,节省了交换机的资源. 5.为了验证本文所提方案的有效性,本文在Mininet平台上实现了DDoS防护系统,并搭建Fat-tree结构的网络拓扑,基于Iperf和Scapy分别实现了真实流量和DDoS攻击流量的模拟,对防护系统进行测试和评估.结果表明,该防护系统具有系统开销小、检测准确率高的特性,实用价值较强.

目录

第一个书签之前