SDN中DDoS攻擊檢測與流表過載防御技術(shù)研究.pdf

1、軟件定義網(wǎng)絡(luò)是一種全新的網(wǎng)絡(luò)架構(gòu)，集中控制是其主要優(yōu)勢，同時控制器也成為網(wǎng)絡(luò)攻擊者的新目標?？刂破鞯陌踩苯佑绊懼麄€SDN的安全。提高檢測DDoS攻擊的精確性和高效性成為了控制器安全性研究的核心問題。同時，軟件定義網(wǎng)絡(luò)中的一個關(guān)鍵缺陷，即流表的大小。在攻擊流進入網(wǎng)絡(luò)后，流表空間的大小則最有可能成為又一新的攻擊目標。攻擊者會發(fā)動流表過載攻擊，則攻擊流占據(jù)流表空間，進而對整個SDN網(wǎng)絡(luò)造成威脅。
　　為了有效識別DDoS攻擊流量，提

2、出了一種SDN環(huán)境下基于BP神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測方法。該方法獲取OpenFlow交換機的流表項，分析SDN環(huán)境下DDoS攻擊特性，提取出與攻擊相關(guān)的流表匹配成功率、流表項速率等六個重要特征；對提取出來的六個相關(guān)特征值的變化進行分析，并采用BPNN算法對訓練樣本進行分類，實現(xiàn)對DDoS攻擊的檢測。實驗結(jié)果表明，該方法不僅能有效地使識別率得到提高，同時也降低了檢測時間。通過在軟件定義網(wǎng)絡(luò)環(huán)境中的部署，驗證了該方法的可行性及高效性。