在传统网络中DDoS攻击会严重消耗攻击目标的计算资源和拥塞网络,降低服务质量,给网络的健康发展带来了严重威胁。在SDN中DDoS攻击还会引发控制器与转发器之间的大量协议交互,导致集中管控网络的控制器负载过重而无法为转发器提供服务,进而影响整个SDN的正常运行。相较于传统网络,DDoS攻击对SDN的危害更加严重。论文针对DDoS攻击对SDN的威胁问题,研究了 SDN中的DDoS攻击的检测和防护技术,提出了基于内核态数据通路的DDoS攻击流量处理、基于Syn Proxy的DDoS攻击防护技术,设计并实现了 SDN网络的DDoS攻击检测与防护系统。本文的主要内容如下:1)不同于目前广泛采用的对DDoS攻击流量采用流量迁移和清洗处理后进行回注的防护方式,本文采用在SDN转发器里基于Syn Proxy的DDoS攻击流量检测和防护技术,能够有效地对DDoS攻击流量进行识别和过滤,并且降低了对控制器的负载开销,实现了对SDN的安全防护。2)针对在用户态对DDoS攻击流量进行处理的低效性问题,研究了影响攻击流量处理性能的因素,本文提出了基于内核态数据通路的流量处理技术,减少了内核态数据与用户态数据交互的开销,有效的降低了处理DDoS攻击报文的时间开销,提升了对DDoS攻击流量的处理性能。3)实现了 SDN网络的DDoS攻击检测与防护系统,并进行了DDoS攻击检测和防护功能和性能的实验验证和分析。实验结果表明,本文实现的系统能够有效地对DDoS攻击进行检测和防护,提升了对于网络流量的处理性能以及降低了处理时延。
