10.3969/j.issn.1001-0505.2017.S1.001
针对SDN基础设施的拒绝服务攻击防护框架
为了进一步缓解针对SDN基础设施的典型拒绝服务攻击(数据 控制平面饱和攻击),提出了一种控制器和交换机协作式的安全防护框架,即FloodShield.在该攻击中,攻击者通过洪泛伪造数据包,使数据平面产生大量表项缺失和packet-in数据包,从而消耗SDN基础设施不同层次的资源:数据平面的TCAM资源、控制通道的带宽资源和控制器的CPU资源等.通过对这种攻击的详尽分析,提出并设计了易部署、全面性和轻量化的FloodShield防护框架.该框架主要使用了2个关键技术:1)源地址验证,用于在数据平面过滤源地址伪造的数据包;2)有状态数据包监控,用于监控源地址真实流量的状态,并基于流量评价打分和网络资源使用量采用动态的防护措施.实验结果表明,相比于之前的防护框架,FloodShield 在消耗更少系统资源的同时,对SDN架构的数据平面、控制通道和控制平面都提供了有效的保护.
软件定义网络、拒绝服务攻击、源地址验证、有状态数据包监控
47
TP393.0(计算技术、计算机技术)
国家重点研发计划"网络空间安全"重点专项资助项目2017YFB0801701;赛尔网络下一代互联网技术创新资助项目NGII20160123;国家自然科学基金资助项目61472213
2018-01-13(万方平台首次上网日期,不代表论文的发表时间)
共8页
1-8
