通信学报 ›› 2019, Vol. 40 ›› Issue (6): 210-222.doi: 10.11959/j.issn.1000-436x.2019120

• 学术通信 • 上一篇    

云环境下SDN网络低速率DDoS攻击的研究

陈兴蜀1,2,滑强1,2,王毅桐3,葛龙3,朱毅2   

  1. 1 四川大学网络空间安全学院,四川 成都610065
    2 四川大学网络空间安全研究院,四川 成都 610065
    3 四川大学计算机学院,四川 成都 610065
  • 修回日期:2019-04-21 出版日期:2019-06-25 发布日期:2019-07-04
  • 作者简介:陈兴蜀(1968- ),女,贵州六枝人,博士,四川大学教授、博士生导师,主要研究方向为云计算与大数据安全、可信计算与信息保障。|滑强(1993- ),男,山西阳泉人,四川大学硕士生,主要研究方向为云计算与大数据安全。|王毅桐(1987- ),男,四川成都人,四川大学博士生,主要研究方向为云计算与大数据安全。|葛龙(1976- ),男,江苏丹阳人,四川大学博士生、讲师,主要研究方向为云计算与大数据安全。|朱毅(1991- ),男,四川内江人,四川大学网络空间安全研究院科研助理,主要研究方向为网络安全、大数据分析。
  • 基金资助:
    国家自然科学基金青年科学基金资助项目(61802270);国家自然科学基金青年科学基金资助项目(61802271);四川省重点研发基金资助项目(2018G20100)

Research on low-rate DDoS attack of SDN network in cloud environment

CHEN Xingshu1,2,HUA Qiang1,2,WANG Yitong3,GE Long3,ZHU Yi2   

  1. 1 College of Cybersecurity,Sichuan University,Chengdu 610065,China
    2 Research Institute of Cybersecurity,Sichuan University,Chengdu 610065,China
    3 College of Computer Science,Sichuan University,Chengdu 610065,China
  • Revised:2019-04-21 Online:2019-06-25 Published:2019-07-04
  • Supported by:
    The National Natural Science Foundation of China Youth Science Foundation Project(61802270);The National Natural Science Foundation of China Youth Science Foundation Project(61802271);The Key Research and Development Project of Sichuan Province(2018G20100)

摘要:

针对云环境SDN网络中存在的对低速率DDoS 攻击检测精度较低,缺乏统一框架对数据平面、控制平面低速率DDoS攻击进行检测及防御等问题,提出了一种针对低速率DDoS的统一检测框架。首先,分析验证了数据平面低速率DDoS攻击的有效性,在此基础上结合低速率DDoS攻击在通信、频率等方面的特性,提取了均值、最大值、偏差度、平均离差、存活时间这5个方面的十维特征,实现了基于贝叶斯网络的低速率DDoS攻击检测。然后,通过控制器下发相关策略来阻断攻击流。实验表明在OpenStack云环境下对低速率DDoS攻击检测率达到99.3%,CPU占用率为9.04%,证明了所提方案能够有效地完成低速率DDoS攻击的检测及防御。

关键词: 云计算, 软件定义网络, 低速率DDoS攻击, 贝叶斯网络

Abstract:

Aiming at the problems of low-rate DDoS attack detection accuracy in cloud SDN network and the lack of unified framework for data plane and control plane low-rate DDoS attack detection and defense,a unified framework for low-rate DDoS attack detection was proposed.First of all,the validity of the data plane DDoS attacks in low rate was analyzed,on the basis of combining with low-rate of DDoS attacks in the aspect of communications,frequency characteristics,extract the mean value,maximum value,deviation degree and average deviation,survival time of ten dimensions characteristics of five aspects,to achieve the low-rate of DDoS attack detection based on bayesian networks,issued by the controller after the relevant strategies to block the attack flow.Finally,in OpenStack cloud environment,the detection rate of low-rate DDoS attack reaches 99.3% and the CPU occupation rate is 9.04%.It can effectively detect and defend low-rate DDoS attacks.

Key words: cloud computing, software defined networking, low-rate DDoS attack, Bayesian network

中图分类号: 

[1] 樊自甫,杨俊蓉,万晓榆. TD-SCDMA网络中Iu-CS接口用户平面AAL2链路假活问题研究[J]. 电信科学, 2009, 25(12): 41 -45 .
[2] 张 伟,谭国真,丁 男,商 瑶. 基于邻接传感器及神经网络的车辆分类算法[J]. 通信学报, 2008, 29(11): 18 -144 .
[3] 杨德明,慕德俊,许 钟. Ad hoc空间网络密钥管理与认证方案[J]. 通信学报, 2006, 27(8): 19 -107 .
[4] 魏祥麟,陈鸣,张国敏,黄建军. NMF-NAD:基于NMF的全网络流量异常检测方法[J]. 通信学报, 2012, 33(4): 8 -61 .
[5] 李动节,朱仲杰,王玉儿. 结合视觉感知的对象基嵌入式图像编码中的码率控制方法[J]. 通信学报, 2012, 33(4): 16 -120 .
[6] 周亚强,皇甫堪. 噪扰条件下数字式多基线相位干涉仪解模糊问题[J]. 通信学报, 2005, 26(8): 3 -21 .
[7] 马 炫,刘 庆. 基于人工鱼群算法的组播树演化寻优[J]. 通信学报, 2012, 33(9): 1 -7 .
[8] 关艳峰,胡爱群. 基于优先级的IEEE 802.16中VoIP弹性接纳控制算法[J]. 通信学报, 2007, 28(10): 4 -31 .
[9] 胡海洋,李忠金,胡 华. 物联网中基于竞价与信誉度的联合式资源分配方法[J]. 通信学报, 2011, 32(9A): 36 -262 .
[10] 游 波,阎跃鹏. 802.11s路由切换分析与改进[J]. 通信学报, 2012, 33(9): 4 -30 .