您现在的位置是：首页 > 技术资料 > 云环境中基于SDN的高效DDoS攻击检测与防御方案

推荐星级：

云环境中基于SDN的高效DDoS攻击检测与防御方案

更新时间：2019-12-25 10:43:28 大小：898K 上传用户：守着阳光1985 查看TA发布的资源 标签：云环境 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

针对云环境中2类典型的分布式拒绝服务(DDo S)攻击问题,提出一种基于软件定义网络架构的DDo S攻击检测与防御方案——SDCC。SDCC综合使用链路带宽和数据流这2种检测方式,利用基于置信度过滤(CBF)的方法计算数据分组CBF分数,将分数低于阈值的数据分组判断为攻击分组,添加其属性信息至攻击流特征库,并通过控制器下发流表将其拦截。仿真实验表明,SDCC能有效检测并防御不同类型DDo S攻击,具有较高检测效率,降低了控制器计算开销,并保持较低误判率。

部分文件列表

文件名	大小
云环境中基于SDN的高效DDoS攻击检测与防御方案.pdf	898K

立即下载

【关注B站账户领20积分】

部分页面预览

（完整内容请下载后查看）

第 39 卷第 4 期

2018 年 4 月

通

信

学

报

Vol.39 No.4

April 2018

Journal on Communications

云环境中基于SDN 的高效DDoS 攻击检测与防御方案

何亨 ^1,2，胡艳 ^1,2，郑良汉 ^1,2，薛正元 ³

（1. 武汉科技大学计算机科学与技术学院，湖北武汉 430065；

2. 武汉科技大学智能信息处理与实时工业系统湖北省重点实验室，湖北武汉 430065；

3. 华中科技大学计算机科学与技术学院，湖北武汉 430074）

摘要：针对云环境中 2 类典型的分布式拒绝服务（DDoS）攻击问题，提出一种基于软件定义网络架构的 DDoS

攻击检测与防御方案——SDCC。SDCC 综合使用链路带宽和数据流这 2 种检测方式，利用基于置信度过滤（CBF）

的方法计算数据分组 CBF 分数，将分数低于阈值的数据分组判断为攻击分组，添加其属性信息至攻击流特征库，

并通过控制器下发流表将其拦截。仿真实验表明，SDCC 能有效检测并防御不同类型 DDoS 攻击，具有较高检测

效率，降低了控制器计算开销，并保持较低误判率。

关键词：云环境；DDoS 攻击；软件定义网络；基于置信度过滤

中图分类号：TP393

文献标识码：A

doi： 10.11959/j.issn.1000-436x.2018068

Efficient DDoS attack detection and prevention scheme

based on SDN in cloud environment

HE Heng^1,2, HU Yan^1,2, ZHENG Lianghan^1,2, XUE Zhengyuan³

1. School of Computer Science and Technology, Wuhan University of Science and Technology, Wuhan 430065, China

2. Hubei Province Key Laboratory of Intelligent Information Processing and Real Time Industrial System,

Wuhan University of Science and Technology, Wuhan 430065, China

3. School of Computer Science and Technology, Huazhong University of Science and Technology, Wuhan 430074, China

Abstract： For addressing the problem of two typical types of distributed denial of service (DDoS) attacks in cloud envi-

ronment, a DDoS attack detection and prevention scheme called SDCC based on software defined network (SDN) archi-

tecture was proposed. SDCC used a combination of bandwidth detection and data flow detection, utilized confi-

dence-based filtering (CBF) method to calculate the CBF score of packets, judged the packet of CBF score below the

threshold as an attacking packet, added its attribute information to the attack flow feature library, and sent the flow table

to intercept it through SDN controller. Simulation results show that SDCC can detect and prevent different types of DDoS

attacks effectively, and it has high detection efficiency, reduces the controller’s computation overhead, and achieves a low

false positive rate.

Key words： cloud environment, DDoS attack, software defined network, confidence-based filtering

收稿日期：2017-09-05；修回日期：2018-02-17

通信作者：何亨，

基金项目：国家自然科学基金资助项目（No.61602351, No.61502359, No.61602349）；智能信息处理与实时工业系统湖北省重

点实验室开放基金资助项目（No.2016znss10B）

Foundation Items： The National Natural Science Foundation of China (No.61602351, No.61502359, No.61602349), The Open

Foundation of Hubei Province Key Laboratory of Intelligent Information Processing and Real-Time Industrial System (No.

2016znss10B)

2018068-1

·140·

通

信

学

报

第 39 卷

速检测 DDoS 攻击并做出迅速反应。研究人员利用

SDN的特性提出了一些云环境中DDoS攻击的检测

与防御方法^[1]，结果表明，使用 SDN 架构的方法比

1 引言

由于云计算具有虚拟化、高可扩展性、按需服

务等特点，越来越多的企业和个人将应用迁移到云

计算环境中运行^[1]。但是，云计算的规模大、易获

取等特点，使云环境中的分布式拒绝服务（DDoS,

distributed denial of service）攻击比传统网络中的攻

击力度和范围都要大得多。由于传统网络中 DDoS

攻击检测算法^[2～5]的检测结果受攻击强度的影响，

难以应对云环境中强度更大的攻击。文献[6]提出的

PacketScore 方案利用贝叶斯公式计算数据分组的分

数，分数比阈值低的是攻击分组，但由于阈值受攻

击强度的影响，因此不适合在云环境中处理大流量

的 DDoS 攻击。对此，研究人员提出一系列针对云

环境中 DDoS 攻击的检测与防御方法。胡汉卿^[7]提

出基于特征检测和行为检测相结合的方法来检测

DDoS 攻击。Dou 等^[8]提出基于置信度过滤（CBF,

confidence-based filtering）的方法，根据数据分组

中的相关特性来判断分组的合法性。文献[9]利用数

据挖掘和神经网络技术训练数据分组来检测和过

滤攻击分组。现有的云环境中检测和防御 DDoS 攻

击的方法主要是针对大流量的洪泛式 DDoS 攻击，

文献[10]通过将数据分组分类的方式检测洪泛式

DDoS 攻击，并建立黑名单存储攻击分组源 IP 进行

防御。文献[11]提出了一种欺骗检测算法用于检测

在云环境中对服务器发起的大流量 DDoS 攻击。但

近年来云环境中逐渐流行的低速率式 DDoS 攻击^[12]

能很好地躲避这些针对洪泛式 DDoS 攻击的检测方

法。文献[13]将基于熵的系统和异常检测系统相结

合，以提供多级检测方法来检测云环境中隐蔽的小

流量 DDoS 攻击，但是对云环境中大流量的 DDoS

攻击，这种方法速度较慢。尽管研究人员已经分别

提出了一些检测云环境中洪泛式 DDoS 攻击和低速

率式 DDoS 攻击的方法，却很少考虑到实际系统可

能会遭受到不同攻击方式的情况。因此，研究在云

环境中既能检测传统洪泛式 DDoS 攻击又能检测低

速率式 DDoS 攻击的方法，给云用户提供安全的网

络环境具有重要意义。

其他未使用的检测和防御速度更快。Wang 等^[14]

提

出基于 SDN 架构的 DaMask 系统，通过不断更新数

据分组类型库来检测攻击分组，然后通过 SDN 控

制器下发流表拦截攻击分组，但在新的攻击分组类

型较多时，DaMask 系统需要不断更新数据分组类

型库，会影响检测速度。文献[15]在 SDN 架构上，

结合正常流量学习、外部黑名单和弹性容量调用来

实现自动化地防御洪泛式 DDoS 攻击，但却难以检

测到小流量的低速率式 DDoS 攻击。

因此，本文提出一种云环境中基于 SDN 架构，

并使用改进的 CBF 方法来检测与防御 DDoS 攻击的

方案——SDCC。与文献[10]解决洪泛式 DDoS 攻击

和文献[12,13]解决低速率式 DDoS 攻击这些只能检

测单一类型 DDoS 攻击的方案相比，SDCC 综合使

用链路带宽检测和数据流检测这 2 种方式，能准确

检测出不同类型的 DDoS 攻击，其中，基于链路带

宽的检测方式通过 SDN 架构实时获取交换机各端口

的流量信息，主要用来检测洪泛式 DDoS 攻击；基

于数据流的检测方式根据系统的不同状态抽取不同

比例数据分组，分析其中非正常分组比例的方式来

实时检测系统中的数据流状态，主要用于检测低速

率式 DDoS 攻击。在文献[8]提出的 CBF 方案中，

SDCC 不仅简化了 profile 表的更新，实现了实时检

测系统状态，还通过增加攻击流特征库，大幅降低

了控制器的检测压力。在系统遭受 DDoS 攻击时，

若不是攻击流特征库中的攻击分组类型，则使用改

进的 CBF 方法计算数据分组的 CBF 分数来判断攻

击分组，并将已识别的攻击分组存入攻击流特征库

中，再利用 SDN 控制器下发流表拦截攻击分组以

保护系统免受攻击。无论攻击源来自云外还是云

内，SDCC 都能在误判率较低的情况下及时检测出

云环境中不同类型的 DDoS 攻击，且在提高了

DDoS 攻击检测效率的同时有效降低了控制器的

计算开销。

2 相关工作

软件定义网络（SDN, software defined network）

是一种新型的网络架构，其控制转发分离的特点简

化了数据层面数据分组转发的过程；中心控制器连

接了所有交换机，能实时获取网络拓扑结构及状态

信息；因此，使用 SDN 架构有利于在云环境中快

本节首先介绍了云环境中 DDoS 攻击与传统网

络环境中 DDoS 攻击的差异以及逐渐流行的低速率

式 DDoS 攻击；然后介绍了 SDN 技术的发展和特

点；最后介绍了 CBF 方法检测 DDoS 攻击的流程。

2018068-2

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

最新上传

打赏
30日榜单

zhengdai 打赏1000.00元 2天前

资料：STM32IAP使用说明
gsy幸运打赏955.00元 2天前

资料：STM32IAP使用说明
小猫做电路打赏855.00元 2天前

资料：STM32IAP使用说明
21ic小能手打赏310.00元 3天前

用户：zhengdai
21ic小能手打赏320.00元 3天前

用户：liqiang9090
21ic小能手打赏310.00元 3天前

用户：gsy幸运
21ic小能手打赏270.00元 3天前

用户：jh03551
21ic小能手打赏240.00元 3天前

用户：小猫做电路
21ic小能手打赏210.00元 3天前

用户：w178191520
21ic小能手打赏90.00元 3天前

用户：kkfjenui
21ic小能手打赏60.00元 3天前

用户：liao6
21ic小能手打赏60.00元 3天前

用户：w1966891335
21ic小能手打赏90.00元 3天前

用户：jh0355
21ic小能手打赏30.00元 3天前

用户：xuzhen1
21ic小能手打赏30.00元 3天前

用户：sun2152
21ic小能手打赏50.00元 3天前

用户：xzxbybd
21ic小能手打赏50.00元 3天前

用户：mulanhk
21ic小能手打赏20.00元 3天前

用户：x15580286248
21ic小能手打赏15.00元 3天前

用户：w993263495
21ic小能手打赏30.00元 3天前

用户：玉落彼岸
21ic小能手打赏20.00元 3天前

用户：铁蛋锅

21ic小能手打赏10.00元 3天前

用户：zmcch
21ic小能手打赏10.00元 3天前

资料：小米扫地机器人工程源码程序STM32103 freeRTOS设计源代码
21ic下载打赏1.00元 3天前

用户：zzcyolo
21ic下载打赏1.00元 3天前

用户：玉落彼岸
21ic小能手打赏10.00元 3天前

资料：STM32F103C8T6对应的流水灯程序
21ic小能手打赏10.00元 3天前

资料：五站小车呼叫停站汇川PLC 触摸屏及数字孪生场景
21ic小能手打赏10.00元 3天前

资料：40个Arduino编程学习例程合集，Arduino程序设计基础实验说明文档
sdqdjqk 打赏1.00元 3天前

资料：单机版DLT645-RS485抄表
21ic小能手打赏10.00元 3天前

资料：AI 数字生活盒（AI Digital Life Box）项目
wisdomlin 打赏1.00元 3天前

资料：JRC4558封装DIP8 电子元器件首鼎集成电路IC
21ic小能手打赏10.00元 3天前

资料：开源无线麦克风（Open-Source Wireless Microphone）项目
799902619 打赏1.00元 3天前

资料：新立新龙软件
21ic小能手打赏10.00元 3天前

资料：FLPowerPro 专业开源电源供应器项目
21ic小能手打赏10.00元 3天前

资料：ESP 智能电动牙刷（ESP Toothbrush）项目资料包
21ic小能手打赏10.00元 3天前

资料：65535 阶高精度数字电位器项目
21ic小能手打赏10.00元 3天前

资料：ESP32 迷你墨水屏 MP3 播放器项目
21ic小能手打赏10.00元 3天前

资料：ESP Box 3 摇杆版（ESP Box 3 Joystick Edition）项目
21ic小能手打赏10.00元 3天前

资料：改进型 Exlink 多功能调试器（分离叠板）项目
21ic小能手打赏10.00元 3天前

资料：迷你音频稳压器（Mini Audio Regulator）项目

云环境中基于SDN的高效DDoS攻击检测与防御方案

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

资料专题

推荐下载

专栏首页