针对拒绝服务攻击导致软件定义网络交换机有限的流表空间溢出、正常的网络报文无法被安装流表规则、报文转发时延、丢包等情况，提出了抗拒绝服务攻击的软件定义网络流表溢出防护技术Flood Mitigation，采用基于流表可用空间的限速流规则安装管理，限制出现拒绝服务攻击的交换机端口的流规则最大安装速度和占用的流表空间数量，避免了流表溢出。此外，采用基于可用流表空间的路径选择，在多条转发路径的交换机间均衡流表利用率，避免转发网络报文过程中出现网络新流汇聚导致的再次拒绝服务攻击。实验结果表明，Flood Mitigation在防止交换机流表溢出、避免网络报文丢失、降低控制器资源消耗、确保网络报文转发时延等方面能够有效地缓解拒绝服务攻击的危害。

• 单位
  鹏城实验室; 北京邮电大学; 哈尔滨工业大学