基于SDN控制器的拒絕服務(wù)攻擊檢測與防護(hù)

摘 要：在SDN架構(gòu)下，網(wǎng)絡(luò)控制器的拒絕服務(wù)攻擊會搶占控制器的資源，引起網(wǎng)絡(luò)癱瘓。本文分析了SDN控制器的拒絕服務(wù)攻擊的特點(diǎn)，介紹了目前比較主流的檢測和防護(hù)SDN控制器DoS攻擊的方法，并以O(shè)penDaylight控制器為例，提出了一種對控制器DoS攻擊進(jìn)行檢測和防護(hù)的模型，最后利用ODL提供的API對提出的模型進(jìn)行了編程實(shí)現(xiàn)。

關(guān)鍵詞：SDN網(wǎng)絡(luò)；拒絕服務(wù)攻擊；OpenDaylight

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2018）12-0184-02

Detecting and Defeating Denial-of-Service Attacks on SDN Controller

LIU Zhigang

（Modern Education Technonoly and Information Center，Nanchang Hangkong University，Nanchang 330063，China）

Abstract：Denial-of-Service（DoS）attacks will run out of the resources of SDN controller，and results in breakdown of the network. This article analysis characters of DoS attacks on SDN Controller，meanwhile some detection and prevention methods are also introduced. In this paper，a model of Detecting and Defeating Denial-of-Service attacks on OpenDaylight controller is proposed. Using the API of ODL，we realize this model by programming.

Keywords：SDN network；Denial-of-Service attacks ；OpenDaylight

0 引 言

SDN起源于2006年斯坦福大學(xué)的Clean Slate研究課題。2009年，Mckeown教授正式提出了SDN概念[1]。目前SDN已經(jīng)逐步取代傳統(tǒng)網(wǎng)絡(luò)，成為下一代互聯(lián)網(wǎng)的基石。

SDN控制器和交換機(jī)之間的南向接口具有一定的脆弱性[2]。除了TLS/SSL協(xié)議在安全通信方面的脆弱性[3]外，攻擊者還會利用SDN中的一些交換機(jī)向控制器發(fā)起DoS攻擊，產(chǎn)生大量虛假請求，致使控制器無法提供正常的數(shù)據(jù)流匹配和流表下發(fā)操作。

1 控制器DoS攻擊行為檢測方法

1.1 突發(fā)流量的異常行為檢測

首先統(tǒng)計正常流量樣本數(shù)據(jù)流中IP包的平均數(shù)量、數(shù)據(jù)流平均字節(jié)數(shù)、信息流平均持續(xù)時間、配對信息流的百分比、單信息流的增長率以及不同端口的增長率等6個方面的特征，建立正常的流特征模型，并和實(shí)際流量進(jìn)行匹配。偏離度超過閾值的數(shù)據(jù)流可視為攻擊流量。本方法在DoS攻擊檢測的流量特征提取方面具有消耗低、檢測率較高的特點(diǎn)[4]；

1.2 基于有限連接狀態(tài)機(jī)遷移機(jī)制的攻擊檢測

設(shè)置連接遷移模塊，對SYN Flood等基于TCP協(xié)議狀態(tài)的DoS攻擊加以阻斷，但這種檢測方法無法檢測非TCP協(xié)議的攻擊行為。……