SDN中DDoS检测及多层防御方法研究

doi:10.3969/j.issn.1671-1122.2017.12.005

信息网络安全 ›› 2017, Vol. 17 ›› Issue (12): 22-28.doi: 10.3969/j.issn.1671-1122.2017.12.005

SDN中DDoS检测及多层防御方法研究

徐洋^1,²(), 陈燚², 何锐², 谢晓尧¹

1. 贵州师范大学贵州省信息与计算科学重点实验室,贵州贵阳 550001
2.贵州师范大学贵阳市公安局信息安全联合研究中心,贵州贵阳 550001

收稿日期:2017-09-01 出版日期:2017-12-20 发布日期:2020-05-12
作者简介:
作者简介：徐洋（1983—）,男,山东,副教授,博士,主要研究方向为网络安全、信息系统安全;陈燚（1992—）,男,山东,硕士研究生,主要研究方向为网络安全;何锐（1972—）,女,贵州,本科,主要研究方向为网络安全;谢晓尧（1952—）,男,贵州,教授,博士,主要研究方向为大数据、网络安全。
基金资助:
国家自然科学基金重点项目[61332019];贵州省基础研究重大项目[黔科合J字20142001];贵州省科技合作计划重点项目[黔科合LH字20157763];住房和城乡建设部科学技术计划项目[2016-K3-009];全国统计科学研究项目[2016LY81]

Research of DDoS Detection and Multi-layer Defense in SDN

Yang XU^1,²(), Yi CHEN², Rui HE², Xiaoyao XIE¹

1.Key Laboratory of Information and Computing Science of Guizhou Province, Guizhou Normal University, Guiyang Guizhou 550001, China
2.Guizhou Normal University and Guiyang Public Security Bureau Joint Research Centre for Information Security, Guiyang Guizhou 550001, China

Received:2017-09-01 Online:2017-12-20 Published:2020-05-12

摘要/Abstract

摘要：

软件定义网络的出现使传统网络发生了颠覆性的变革。文章针对SDN网络架构提出一种DDoS检测及防御方法。首先,提出基于熵值算法的DDoS检测方法,通过对熵值和阈值的比较进行攻击判断。然后,设计了双层防御体系,分别是在转发层对流表进行处理;在控制层利用新的检测方法判断攻击,结合ACL管控和流量管理,使用OpenFlow协议实现策略。最后,利用OpenDayLight控制器、sFlow监控工具和Mininet仿真器构建出一个实验仿真平台。实验结果表明,文章提出的检测及防御方法提高了对DDoS攻击行为的检测率,降低了误报率,并能够快速做出防御响应。

关键词: 软件定义网络, 分布式拒绝服务, 流表, 熵值, 检测及防御

Abstract:

Software defined network(SDN), has led to disruptive changes in traditional networks. In this paper, we propose a method of DDoS(distributed denial of dervice)detection and defense in SDN. Firstly,a DDoS detection method based on entropy algorithm is proposed. The attack is judged by comparing the entropy with the threshold. Secondly, double defense system is designed.At the forwarding layer, the convection table is processed. At the control level, the new detection method is used to determine the attack. Combining ACL control and traffic management,implement policies using the OpenFlow protocol. Lastly, an experimental simulation platform is constructed using OpenDayLight controller, sFlow monitoring tool and Mininet simulator. The experimental results show that, the proposed detection and defense methods improve the detection rate of DDoS attacks, reduce the false positive rate, and can quickly make defensive response.

Key words: SDN, DDoS, flow table, entropy, detection and defense

中图分类号:

TP309.1

徐洋, 陈燚, 何锐, 谢晓尧. SDN中DDoS检测及多层防御方法研究[J]. 信息网络安全, 2017, 17(12): 22-28.

Yang XU, Yi CHEN, Rui HE, Xiaoyao XIE. Research of DDoS Detection and Multi-layer Defense in SDN[J]. Netinfo Security, 2017, 17(12): 22-28.

图/表 11

图1

图2

图3

图4

表1

图5

图6

图7

图8

表2

图9

参考文献 13

[1]	左青云, 陈鸣, 赵广松, 等.基于OpenFlow的SDN技术研究[J].软件学报, 2013(5):1078-1097.
[2]	左青云,张海粟. 基于OpenFlow的SDN网络安全分析与研究[J]. 信息网络安全,2015(2):26-32.
[3]	FAYAZ S K, TOBIOKA Y, SEKAR V, et al.Bohatei: Flexible And Elastic Ddos Defense[C]// USENIXAssociation. 24th USENIX Security Symposium, August 12-14, 2015,Washington, D.C. New York: IEEE, 2015:817-832.
[4]	王刚. 一种基于SDN技术的多区域安全云计算架构研究[J]. 信息网络安全,2015(9):20-24.
[5]	李鹤飞. 基于软件定义网络的DDoS攻击检测方法和缓解机制的研究[D]. 上海:华东师范大学, 2015.
[6]	金磊. 基于SDN技术的网络入侵阻断系统HYDRA的设计与实现[D]. 南京:东南大学, 2016.
[7]	马俊青. 面向软件定义网络的流量分析与识别技术研究[D]. 南京:南京邮电大学, 2015.
[8]	李赫. 基于SDN的DDoS流量识别与控制技术研究[D].南京:南京邮电大学, 2016.
[9]	陈颖聪,陈广清,陈智明,等. 面向智能电网SDN的二进制代码分析漏洞扫描方法研究[J]. 信息网络安全,2016(7):35-39.
[10]	王秀磊, 陈鸣, 邢长友,等.一种防御DDoS攻击的软件定义安全网络机制[J]. 软件学报,2016, 27(12):3104-3119.
[11]	齐宇. SDN安全研究[J]. 信息网络安全,2016(9):69-72.
[12]	DAYAL N, MAITY P, SRIVASTAVA S, et al.Research Trends in Security and DDoS in SDN[J]. Security & Communication Networks, 2016, 9(26):6386-6411.
[13]	DAO N N, PARK J H, PARK M, et al.A Feasible Method To Combat Against DDoS Attack in SDN Network[C]//Korea Institute of Information Scientists and Engineers (KIISE). International Conference on Information Networking, Januarg 12-14, 2015, Siem Reap, Cambodia. New York: IEEE,2015:309-311.

[1]	周亚球, 任勇毛, 李琢, 周旭. 基于SDN的科学DMZ研究与实现[J]. 信息网络安全, 2019, 19(9): 134-138.
[2]	陈良国, 阮树骅, 陈兴蜀, 罗永刚. 一种面向网络安全分析的高速流重组优化方案[J]. 信息网络安全, 2019, 19(11): 82-90.
[3]	赖成喆, 王文娟. 面向车队的安全且具备隐私保护的移动性管理框架[J]. 信息网络安全, 2018, 18(7): 36-46.
[4]	石悦, 李相龙, 戴方芳. 一种基于属性基加密的增强型软件定义网络安全框架[J]. 信息网络安全, 2018, 18(1): 15-22.
[5]	李剑锋, 刘渊, 张浩, 王晓锋. 面向IaaS云平台的路由转发优化研究与实现[J]. 信息网络安全, 2017, 17(9): 10-15.
[6]	李恒, 沈华伟, 程学旗, 翟永. 网络高流量分布式拒绝服务攻击防御机制研究综述[J]. 信息网络安全, 2017, 17(5): 37-43.
[7]	齐宇. SDN安全研究[J]. 信息网络安全, 2016, 16(9): 69-72.
[8]	陈颖聪, 陈广清, 陈智明, 万能. 面向智能电网SDN的二进制代码分析漏洞扫描方法研究[J]. 信息网络安全, 2016, 16(7): 35-39.
[9]	蒋宽, 杨鹏. 基于数据包回溯的软件定义网络中的故障排除[J]. 信息网络安全, 2016, 16(3): 71-76.
[10]	武泽慧, 魏强. 基于OwnShip-Proof模型的软件定义网络控制器集群故障安全恢复方法[J]. 信息网络安全, 2016, 16(12): 13-18.
[11]	王刚. 一种基于SDN技术的多区域安全云计算架构研究[J]. 信息网络安全, 2015, 15(9): 20-24.
[12]	周益周, 王斌, 谢小权. 云环境下软件定义入侵检测系统设计[J]. 信息网络安全, 2015, 15(9): 191-195.
[13]	左青云, 张海粟. 基于OpenFlow的SDN网络安全分析与研究[J]. 信息网络安全, 2015, 15(2): 26-32.
[14]	刘琦,陈云芳,张伟. 软件定义网络下状态防火墙的设计与实现[J]. 信息网络安全, 2015, 15(11): 47-52.
[15]	郑录军,魏汝浩,王栋,田家玺. 基于G1法和熵值法的人民银行IT应急能力评估模型及实证研究[J]. 信息网络安全, 2015, 15(11): 84-89.

SDN中DDoS检测及多层防御方法研究

Research of DDoS Detection and Multi-layer Defense in SDN

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 11

参考文献 13

相关文章 15

编辑推荐

Metrics

本文评价