分布式拒绝服务攻击(distributed denial of service, DDoS)是网络安全领域的一大威胁.作为新型网络架构,软件定义网络(software defined networking, SDN)的逻辑集中和可编程性为抵御DDoS攻击提供了新的思路.本文设计并实现了一个轻量级的SDN环境下的DDoS攻击检测和缓解系统.该系统使用熵值检测方法,并通过动态阈值进行异常判断.若异常,系统将使用更精确的决策树模型进行检测.最后,控制器通过计算流的包对称率确定攻击源,并下发阻塞流表项.实验结果表明,该系统能够及时响应DDoS攻击,具有较高的检测成功率,并能够有效遏制攻击.

• 单位
  南京理工大学