积分商城

最新搜索: PL2303 altium Designer 20 电路设计与仿真从入门到精通 auto cad 常用LOGO标识 microBUCK TMC5160
您现在的位置是:首页 > 技术资料 > 云环境中基于SDN的高效DDoS攻击检测与防御方案
推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

云环境中基于SDN的高效DDoS攻击检测与防御方案

更新时间:2019-12-25 10:43:28 大小:898K 上传用户:守着阳光1985查看TA发布的资源 标签:云环境 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

针对云环境中2类典型的分布式拒绝服务(DDo S)攻击问题,提出一种基于软件定义网络架构的DDo S攻击检测与防御方案——SDCC。SDCC综合使用链路带宽和数据流这2种检测方式,利用基于置信度过滤(CBF)的方法计算数据分组CBF分数,将分数低于阈值的数据分组判断为攻击分组,添加其属性信息至攻击流特征库,并通过控制器下发流表将其拦截。仿真实验表明,SDCC能有效检测并防御不同类型DDo S攻击,具有较高检测效率,降低了控制器计算开销,并保持较低误判率。


部分文件列表

文件名 大小
云环境中基于SDN的高效DDoS攻击检测与防御方案.pdf 898K

【关注视频号领20积分】   【关注公众号立即送20积分】

部分页面预览

(完整内容请下载后查看)
39 卷第 4 期  
2018 4 月  
Vol.39 No.4  
April 2018  
Journal on Communications  
云环境中基SDN 的高DDoS 攻击检测与防御方案  
何亨 1,2,胡艳 1,2,郑良汉 1,2,薛正元 3  
1. 武汉科技大学计算机科学与技术学院,湖北 武汉 430065;  
2. 武汉科技大学智能信息处理与实时工业系统湖北省重点实验室,湖北 武汉 430065;  
3. 华中科技大学计算机科学与技术学院,湖北 武汉 430074)  
摘 要针对云环境中 2 类典型的分布式拒绝服DDoS击问题出一种基于软件定义网络架构的 DDoS  
攻击检测与防御方案——SDCCSDCC 综合使用链路带宽和数据流这 2 种检测方式用基于置信度过CBF)  
的方法计算数据分组 CBF 分数,将分数低于阈值的数据分组判断为攻击分组,添加其属性信息至攻击流特征库,  
并通过控制器下发流表将其拦截。仿真实验表明,SDCC 能有效检测并防御不同类型 DDoS 攻击,具有较高检测  
效率,降低了控制器计算开销,并保持较低误判率。  
关键词:云环境;DDoS 攻击;软件定义网络;基于置信度过滤  
中图分类号TP393  
文献标识码A  
doi: 10.11959/j.issn.1000-436x.2018068  
Efficient DDoS attack detection and prevention scheme  
based on SDN in cloud environment  
HE Heng1,2, HU Yan1,2, ZHENG Lianghan1,2, XUE Zhengyuan3  
1. School of Computer Science and Technology, Wuhan University of Science and Technology, Wuhan 430065, China  
2. Hubei Province Key Laboratory of Intelligent Information Processing and Real Time Industrial System,  
Wuhan University of Science and Technology, Wuhan 430065, China  
3. School of Computer Science and Technology, Huazhong University of Science and Technology, Wuhan 430074, China  
Abstract: For addressing the problem of two typical types of distributed denial of service (DDoS) attacks in cloud envi-  
ronment, a DDoS attack detection and prevention scheme called SDCC based on software defined network (SDN) archi-  
tecture was proposed. SDCC used a combination of bandwidth detection and data flow detection, utilized confi-  
dence-based filtering (CBF) method to calculate the CBF score of packets, judged the packet of CBF score below the  
threshold as an attacking packet, added its attribute information to the attack flow feature library, and sent the flow table  
to intercept it through SDN controller. Simulation results show that SDCC can detect and prevent different types of DDoS  
attacks effectively, and it has high detection efficiency, reduces the controller’s computation overhead, and achieves a low  
false positive rate.  
Key words: cloud environment, DDoS attack, software defined network, confidence-based filtering  
收稿日期2017-09-05修回日期2018-02-17  
通信作者:何亨,
基金项目家自然科学基金资助项No.61602351, No.61502359, No.61602349能信息处理与实时工业系统湖北省重  
点实验室开放基金资助项目(No.2016znss10B)  
Foundation Items: The National Natural Science Foundation of China (No.61602351, No.61502359, No.61602349), The Open  
Foundation of Hubei Province Key Laboratory of Intelligent Information Processing and Real-Time Industrial System (No.  
2016znss10B)  
2018068-1  
·140·  
39 卷  
速检测 DDoS 攻击并做出迅速反应。研究人员利用  
SDN的特性提出了一些云环境DDoS攻击的检测  
与防御方法[1]果表明使SDN 架构的方法比  
1 引言  
由于云计算具有虚拟化、高可扩展性、按需服  
务等特点,越来越多的企业和个人将应用迁移到云  
计算环境中运行[1]。但是,云计算的规模大、易获  
取等特点,使云环境中的分布式拒绝服务(DDoS,  
distributed denial of service击比传统网络中的攻  
击力度和范围都要大得多。由于传统网络中 DDoS  
攻击检测算法[2~5]的检测结果受攻击强度的影响,  
难以应对云环境中强度更大的攻击[6]提出的  
PacketScore 方案利用贝叶斯公式计算数据分组的分  
数,分数比阈值低的是攻击分组,但由于阈值受攻  
击强度的影响,因此不适合在云环境中处理大流量  
DDoS 攻击。对此,研究人员提出一系列针对云  
环境中 DDoS 攻击的检测与防御方法。胡汉卿[7]提  
出基于特征检测和行为检测相结合的方法来检测  
DDoS 攻击。Dou [8]提出基于置信度过滤(CBF,  
confidence-based filtering)的方法,根据数据分组  
中的相关特性来判断分组的合法性[9]利用数  
据挖掘和神经网络技术训练数据分组来检测和过  
滤攻击分组。现有的云环境中检测和防御 DDoS 攻  
击的方法主要是针对大流量的洪泛式 DDoS 攻击,  
文献[10]通过将数据分组分类的方式检测洪泛式  
DDoS 攻击建立黑名单存储攻击分组源 IP 进行  
防御。文献[11]提出了一种欺骗检测算法用于检测  
在云环境中对服务器发起的大流量 DDoS 攻击。但  
近年来云环境中逐渐流行的低速率式 DDoS 攻击[12]  
能很好地躲避这些针对洪泛式 DDoS 攻击的检测方  
法。文献[13]将基于熵的系统和异常检测系统相结  
合,以提供多级检测方法来检测云环境中隐蔽的小  
流量 DDoS 攻击,但是对云环境中大流量的 DDoS  
攻击,这种方法速度较慢。尽管研究人员已经分别  
提出了一些检测云环境中洪泛式 DDoS 攻击和低速  
率式 DDoS 攻击的方法,却很少考虑到实际系统可  
能会遭受到不同攻击方式的情况。因此,研究在云  
环境中既能检测传统洪泛式 DDoS 攻击又能检测低  
速率式 DDoS 攻击的方法,给云用户提供安全的网  
络环境具有重要意义。  
其他未使用的检测和防御速度更快。Wang [14]  
出基于 SDN 架构的 DaMask 系统过不断更新数  
据分组类型库来检测攻击分组,然后通过 SDN 控  
制器下发流表拦截攻击分组,但在新的攻击分组类  
型较多时,DaMask 系统需要不断更新数据分组类  
型库,会影响检测速度。文献[15]SDN 架构上,  
结合正常流量学习、外部黑名单和弹性容量调用来  
实现自动化地防御洪泛式 DDoS 攻击,但却难以检  
测到小流量的低速率式 DDoS 攻击。  
因此,本文提出一种云环境中基于 SDN 架构,  
并使用改进的 CBF 方法来检测与防御 DDoS 攻击的  
方案——SDCC。与文献[10]解决洪泛式 DDoS 攻击  
和文献[12,13]解决低速率式 DDoS 攻击这些只能检  
测单一类型 DDoS 攻击的方案相比,SDCC 综合使  
用链路带宽检测和数据流检测这 2 种方式,能准确  
检测出不同类型的 DDoS 攻击,其中,基于链路带  
宽的检测方式通过 SDN 架构实时获取交换机各端口  
的流量信息,主要用来检测洪泛式 DDoS 攻击;基  
于数据流的检测方式根据系统的不同状态抽取不同  
比例数据分组,分析其中非正常分组比例的方式来  
实时检测系统中的数据流状态,主要用于检测低速  
率式 DDoS 攻击。在文献[8]提出的 CBF 方案中,  
SDCC 不仅简化了 profile 表的更新现了实时检  
测系统状态通过增加攻击流特征库幅降低  
了控制器的检测压力。在系统遭受 DDoS 攻击时,  
若不是攻击流特征库中的攻击分组类型使用改  
进的 CBF 方法计算数据分组的 CBF 分数来判断攻  
击分组将已识别的攻击分组存入攻击流特征库  
中,再利用 SDN 控制器下发流表拦截攻击分组以  
保护系统免受攻击。无论攻击源来自云外还是云  
SDCC 都能在误判率较低的情况下及时检测出  
云环境中不同类型的 DDoS 攻击,且在提高了  
DDoS 攻击检测效率的同时有效降低了控制器的  
计算开销。  
2 相关工作  
软件定义网SDN, software defined network)  
是一种新型的网络架构,其控制转发分离的特点简  
化了数据层面数据分组转发的过程;中心控制器连  
接了所有交换机,能实时获取网络拓扑结构及状态  
信息;因此,使用 SDN 架构有利于在云环境中快  
本节首先介绍了云环境中 DDoS 攻击与传统网  
络环境中 DDoS 攻击的差异以及逐渐流行的低速率  
DDoS 攻击;然后介绍了 SDN 技术的发展和特  
点;最后介绍了 CBF 方法检测 DDoS 攻击的流程。  
2018068-2  

相关下载

全部评论(0)

暂无评论
评论赚积分>>

上传资源 上传优质资源有赏金

热门标签

更多>>

最新上传

  • 打赏
  • 30日榜单

热门下载

推荐下载

本站上的所有资源均为源于网上收集或者由用户自行上传,仅供学习和研究使用,无任何商业目的,版权归原作如有侵权,请 来信指出,本站将立即改正。

ICP许可证号:京ICP证070360号     21IC电子网 2000- 版权所有

京ICP备11013301号

京公网安备 11010802024343号