SDN環(huán)境下DDOS攻擊檢測(cè)算法研究.pdf

1、軟件定義網(wǎng)絡(luò)(Software-Defined Networking，SDN)是一種新興的網(wǎng)絡(luò)架構(gòu)。在SDN網(wǎng)絡(luò)架構(gòu)中，架構(gòu)設(shè)計(jì)者將控制層和數(shù)據(jù)層進(jìn)行解耦，通過控制器實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的邏輯集中控制。與傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)相比，集中控制使得網(wǎng)絡(luò)管理人員和開發(fā)人員的管理與開發(fā)過程變得更為簡單和便捷，利用SDN控制器提供的可編程接口，開發(fā)人員可以實(shí)現(xiàn)各種網(wǎng)絡(luò)服務(wù)和功能，而無需關(guān)注底層的實(shí)現(xiàn)。
　　雖然SDN網(wǎng)絡(luò)架構(gòu)的管理和開發(fā)比傳統(tǒng)網(wǎng)絡(luò)架構(gòu)更容

2、易，但是其設(shè)計(jì)也引入了一些新的安全問題。比如DDoS攻擊，因?yàn)镾DN控制器需要管理和控制整個(gè)網(wǎng)絡(luò)，使得SDN控制器成為整個(gè)SDN網(wǎng)絡(luò)的核心部分，而攻擊者可以利用偽造源IP地址的數(shù)據(jù)包來向控制器發(fā)送大量的packet-in消息，從而可能導(dǎo)致SDN控制器負(fù)載過高，SDN交換機(jī)流表項(xiàng)溢出等問題，使得整個(gè)SDN網(wǎng)絡(luò)癱瘓，無法繼續(xù)處理新的網(wǎng)絡(luò)請(qǐng)求。
　　目前，用于檢測(cè)針對(duì)SDN網(wǎng)絡(luò)設(shè)備的DDoS攻擊的主要方法有兩種:基于統(tǒng)計(jì)分析方式和基于機(jī)

3、器學(xué)習(xí)方式。前者主要是將傳統(tǒng)網(wǎng)絡(luò)下的DDoS攻擊檢測(cè)算法部署到SDN網(wǎng)絡(luò)中，這種方式不能充分發(fā)揮SDN自身的優(yōu)勢(shì)。后者訓(xùn)練學(xué)習(xí)時(shí)間較長，且需要大量的存儲(chǔ)空間來進(jìn)行部署和訓(xùn)練，無法實(shí)現(xiàn)快速重新部署。由于SDN自身有許多特性，如流量分析、集中控制、豐富的流表項(xiàng)等，所以我們不能直接簡單的將傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下的算法照搬過來。
　　本文首先提出了一種基于邊界交換機(jī)端口packet-in速率的余弦相似度的DDoS檢測(cè)算法。該算法能充分利用SDN集