本文關鍵詞：基于OpenFlow的SDN網絡仿真平臺設計與DoS攻擊檢測，，由筆耕文化傳播整理發(fā)布。

【摘要】：當前,隨著云計算、大數(shù)據(jù)、移動互聯(lián)網等新興技術的興起,網絡數(shù)據(jù)中心對于網絡架構在統(tǒng)一管理、易于維護、高安全性等方面的要求逐漸提高,這一現(xiàn)象促使軟件定義網絡(SDN)架構的快速發(fā)展。對SDN網絡架構的實現(xiàn),開放網絡基金會提出了OpenFlow協(xié)議,它是目前唯一受到廣泛認可的協(xié)議標準�；贠penFlow的SDN網絡相對于傳統(tǒng)網絡最主要的特點就是轉發(fā)層和控制層相分離、網絡行為可編程,最主要的機制就是流表機制和消息機制。這樣的特點也為DoS攻擊檢測提供了新的思路。然而,在研究利用OpenFlow協(xié)議實現(xiàn)DoS攻擊檢測的過程中也遇見一個最大的問題,就是網絡環(huán)境的構建。所以本文研究的主要問題有兩個：SDN網絡DoS攻擊以及OpenFlow檢測防御方案、基于OpenFlow的SDN網絡仿真平臺設計和實現(xiàn)。針對這兩個問題本文的主要工作和成果如下： 1.本文研究了SDN網絡下新型DoS攻擊以及提出針對Host傳統(tǒng)DoS攻擊的OpenFlow檢測防御方案。首先,研究在SDN網絡中的DoS攻擊主要存在于兩個部件：控制器和Host。對于控制器的DoS攻擊目前研究的非常少,因為在一般網絡環(huán)境下控制對于底層Host是透明的不可見的,底層Host沒有辦法直接連接到控制器對其發(fā)起攻擊。所以本文提出了一種通過發(fā)送大量無用數(shù)據(jù)包給交換機,誘導交換機給控制器發(fā)送大規(guī)模請求造成控制器拒絕服務的新型DoS攻擊。對于Host的攻擊主要還是傳統(tǒng)的DoS攻擊。針對Host傳統(tǒng)DoS攻擊,本文提出利用OpenFlow協(xié)議機制來檢測和防御DoS攻擊的方案。檢測方案主要分四個步驟,數(shù)據(jù)包采集、協(xié)議解析、規(guī)則匹配和主動響應。防御方案主要包括三個方法,數(shù)據(jù)包過濾法、流量限制法和回溯定位法。 2.本文設計和實現(xiàn)基于OpenFlow的SDN網絡仿真平臺。仿真平臺分為四個層次,底層硬件、虛擬平臺、底層軟件和模擬軟件。其中底層硬件是真實的物理設備,包括網卡,服務器和交換機。虛擬平臺主要是使用Linux核心支持的原生虛擬化技術(Linux Kernel-base Virtual Machine,簡稱KVM)來構建一個虛擬節(jié)點資源池。底層軟件使用Emulab來實現(xiàn)管理和控制功能。模擬軟件主要集成交換機仿真軟件Open vSwitch和控制器仿真軟件FloodLight。本平臺通過半虛擬化技術解決了Mininet輕量級仿真的真實度不夠、性能不強的問題。本平臺通過集成Emulab軟件解決了實物仿真的管理問題。并且本平臺有良好的圖形化交互界面、易于擴展。 3.基于工作2實現(xiàn)的仿真平臺對工作1中提出的SDN網絡DoS攻擊及檢測防御方案進行驗證。值得說明的是由于DoS攻擊是一類攻擊方式,涉及到的具體攻擊過多,而且本文也在2.3.3節(jié)中表示對檢測完備性不進行重點考慮,所以在實驗環(huán)節(jié)選取了Land攻擊作為具體研究對象。驗證結果表明,通過本文提出的針對SDN控制器的DoS攻擊可以實現(xiàn)對控制器的資源耗盡,達到攻擊效果。通過本文提出的OpenFlow檢測防御方案可以檢測防御網絡中的針對Host的Land攻擊,并從準確性、處理性能和及時性三個維度對檢測防御效果進行驗證。實驗表明,OpenFlow檢測防御DoS攻擊方案準確度高,處理能力強,及時性好。
【關鍵詞】：軟件定義網絡 OpenFlow 網絡仿真平臺 軟件定義網絡安全 DoS攻擊檢測
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08;TP391.9
【目錄】：

• 摘要4-6
• ABSTRACT6-11
• 第一章 緒論11-16
• 1.1 課題背景及意義11-14
• 1.1.1 OpenFlow協(xié)議的現(xiàn)狀11-13
• 1.1.2 SDN檢測DoS攻擊必要性13-14
• 1.1.3 SDN網絡仿真的必要性14
• 1.2 論文創(chuàng)新點14
• 1.3 論文組織結構14-16
• 第二章 相關研究16-28
• 2.1 引言16
• 2.2 基于OpenFlow的SDN網絡概述16-21
• 2.2.1 SDN架構16-17
• 2.2.2 OpenFlow協(xié)議機制17-18
• 2.2.3 基于OpenFlow的SDN網絡18-21
• 2.3 DoS攻擊檢測相關研究21-23
• 2.3.1 DoS攻擊檢測原理21-22
• 2.3.2 檢測性能評價標準22-23
• 2.4 基于OpenFlow的SDN網絡仿真研究23-27
• 2.4.1 交換機仿真23
• 2.4.2 控制器仿真23-24
• 2.4.3 仿真平臺24-27
• 2.5 本章小結27-28
• 第三章 SDN網絡DoS攻擊及OpenFlow檢測防御方案28-42
• 3.1 引言28
• 3.2 SDN網絡脆弱性28-30
• 3.2.1 應用28
• 3.2.2 控制器28-29
• 3.2.3 接口協(xié)議29
• 3.2.4 Host29-30
• 3.3 SDN網絡DoS攻擊30-33
• 3.3.1 針對控制器新型DoS攻擊30-32
• 3.3.2 針對Host傳統(tǒng)DoS攻擊32-33
• 3.4 針對Host傳統(tǒng)DoS攻擊的OpenFlow檢測方案33-39
• 3.4.1 數(shù)據(jù)采集33-35
• 3.4.2 協(xié)議解析35-36
• 3.4.3 規(guī)則匹配36-38
• 3.4.4 攻擊主動響應38-39
• 3.5 針對Host傳統(tǒng)DoS攻擊的OpenFlow防御方案39-40
• 3.5.1 數(shù)據(jù)包過濾方法39-40
• 3.5.2 流量限制方法40
• 3.5.3 回溯定位方法40
• 3.6 本章小結40-42
• 第四章 基于OpenFlow的SDN網絡仿真平臺設計與實現(xiàn)42-64
• 4.1 引言42
• 4.2 平臺需求分析42
• 4.3 平臺總體設計42-49
• 4.3.1 總體架構43
• 4.3.2 物理架構43-44
• 4.3.3 功能設計44-49
• 4.4 平臺關鍵技術49-51
• 4.4.1 KVM虛擬化技術49-50
• 4.4.2 Open vSwitch仿真50
• 4.4.3 FloodLight仿真50-51
• 4.5 平臺具體實現(xiàn)51-59
• 4.5.1 物理環(huán)境搭建51-52
• 4.5.2 服務器配置52
• 4.5.3 系統(tǒng)數(shù)據(jù)庫實現(xiàn)52-53
• 4.5.4 實驗節(jié)點集成53-55
• 4.5.5 OpenFlow交換機集成55-56
• 4.5.6 OpenFlow控制器集成56-57
• 4.5.7 攻擊模塊57-59
• 4.6 平臺關鍵流程59-61
• 4.6.1 用戶添加流程59
• 4.6.2 實驗啟動流程59-60
• 4.6.3 實驗結束流程60-61
• 4.7 平臺優(yōu)勢61-62
• 4.8 本章小結62-64
• 第五章 基于仿真平臺SDN網絡DoS攻擊及檢測方案驗證64-78
• 5.1 引言64
• 5.2 基于仿真平臺搭建實驗64-67
• 5.3 攻擊及檢測步驟67-71
• 5.3.1 針對控制器的新型DoS攻擊實驗步驟67
• 5.3.2 針對HOST的Land攻擊OpenFlow檢測防御方案實驗步驟67-71
• 5.4 實驗效果及分析71-77
• 5.4.1 攻擊效果71-72
• 5.4.2 檢測效果72-76
• 5.4.3 防御效果76-77
• 5.5 小結77-78
• 第六章 總結與展望78-80
• 6.1 全文總結78-79
• 6.2 展望79-80
• 參考文獻80-83
• 致謝83-84
• 攻讀碩士學位期間發(fā)表的學術論文84

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前2條

1 張然,錢德沛,過曉兵;防火墻與入侵檢測技術[J];計算機應用研究;2001年01期

2 吳慶濤,邵志清;入侵檢測研究綜述[J];計算機應用研究;2005年12期

  本文關鍵詞：基于OpenFlow的SDN網絡仿真平臺設計與DoS攻擊檢測，由筆耕文化傳播整理發(fā)布。

本文編號：357195