基于SDN的安全管理體系架構(gòu)

趙樺箏 徐萱 喬俊博 孫嶺新

摘要：在網(wǎng)絡(luò)多樣化的趨勢下，網(wǎng)絡(luò)受眾范圍不斷擴(kuò)大，網(wǎng)絡(luò)安全問題越來越突出。傳統(tǒng)的安全架構(gòu)已經(jīng)難以應(yīng)對復(fù)雜的網(wǎng)絡(luò)安全現(xiàn)狀，軟件定義網(wǎng)絡(luò)（Software Defined Network， SDN）為解決安全問題提供了一種新思路?；赟DN，提出了新型安全管理體系架構(gòu)SDSM（Software Defined Security Management）。該架構(gòu)能夠?yàn)橛脩籼峁┤媲铱勺远x的網(wǎng)絡(luò)安全服務(wù)，以雙控制器作為關(guān)鍵組件，可通過北向API接口提供多種多樣的原子服務(wù)。針對防治DoS和DDoS攻擊做出了詳細(xì)介紹，并提出了解決SDN本身可能受到DDoS攻擊的方法。相比于傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)，SDN集中控制的特性使得SDSM簡化了管理，增強(qiáng)了安全性，提升了網(wǎng)絡(luò)安全服務(wù)能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全；軟件定義網(wǎng)絡(luò)；雙控制器；分布式拒絕服務(wù)攻擊；拒絕服務(wù)

中圖分類號：TN915.08 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）12-0051-04

The Security Management Architecture basing on SDN

ZHAO Hua-zheng ， XU Xuan， QIAO Jun-bo， SUN Ling-xin

（Software and Applied Science and Technology Institute， Zhengzhou University， Zhengzhou 450003， China）

Abstract：In the trend of networks diversification， the scope of the network users is expanding and the network security issues are becoming more and more prominent. Nowadays， it's difficult for the traditional security architecture to deal with the complex network security issues. Software Defined Network （SDN） proposes a new way to solve these security problems. This paper presents a new security management system based on the architecture of SDN named SDSM （Software Defined Security Management）， which can provide users with comprehensive and customizable network security services. With dual controllers as key components， SDSM can provide a large variety of atomic services through northbound API interface. This paper gives a detailed introduction to the prevention and control of DoS and DDoS attacks， and puts forward the solution to the possibility that DDoS attacks on SDN itself. Compared with traditional network security architectures， the centralized control of SDN helps SDSM simplify management， enhance security performance and improve network security service capability.

Key words：Internet security； Software Defined Network（SDN）； dual controllers； Distributed Denial of Service（DDoS）； Denial of Service（DoS）

1 引言

隨著近年來虛擬化技術(shù)、軟件定義網(wǎng)絡(luò)[1]（Software Defined Network，SDN）的快速發(fā)展、逐漸應(yīng)用和不斷完善，如今，傳統(tǒng)的安全防護(hù)方法已經(jīng)無法較好地適應(yīng)當(dāng)下新的網(wǎng)絡(luò)安全需求。為解決這一問題，學(xué)術(shù)研究領(lǐng)域和工業(yè)應(yīng)用領(lǐng)域開始在軟件定義安全（Software Defined Security，SDS）方面積極地開展探索與實(shí)踐工作。

互聯(lián)網(wǎng)工程任務(wù)組（IETF）于2012年11月發(fā)布了SDN架構(gòu)的安全標(biāo)準(zhǔn)，主要研究了SDN控制器的安全性要求，以及應(yīng)用與內(nèi)嵌應(yīng)用之間安全策略的可見性等安全問題，但并未給出應(yīng)對SDN中安全威脅的方案。

軟件定義安全（ SDS） 架構(gòu)雖然有極強(qiáng)的可塑性，但這也代表了它的不成熟以及未來發(fā)展的不確定。SDSM比SDS的初步架構(gòu)更加完善，注意到了由于SDN的開放性，其本身也易受到DDoS攻擊的問題，解決了其可能存在的安全隱患問題。

FRESCO框架[2]雖然具有模塊化的可擴(kuò)展編程結(jié)構(gòu)，但未實(shí)現(xiàn)深層次的安全防護(hù)。虛擬化的安全設(shè)備（ VSA）架構(gòu)雖然與傳統(tǒng)安全架構(gòu)銜接緊密，但未在本質(zhì)上改變傳統(tǒng)架構(gòu)，缺乏創(chuàng)新。

本文借鑒了Qiu Xiaofeng等人的基于SDN的新型web架構(gòu)[3]，使用雙控制器：標(biāo)準(zhǔn)SDN控制器（NC）與安全與管理控制器（SMC），將安全服務(wù)作為原子服務(wù)發(fā)布；利用SDN極強(qiáng)的可編程性，定制多項(xiàng)安全服務(wù)。

2 SDSM安全管理體系架構(gòu)

SDN控制器強(qiáng)大的可編程性在帶來更多的創(chuàng)新服務(wù)的同時(shí)，也可能會因接口的濫用導(dǎo)致DDoS攻擊相關(guān)問題。本文提出的SDSM（Software Defined Security Management）作為一個(gè)較為完整的安全管理體系架構(gòu)，不僅在SDS的框架基礎(chǔ)上進(jìn)行了實(shí)現(xiàn)與改進(jìn)，還注意到了SDN本身可能受到DDoS攻擊時(shí)的相關(guān)問題，并提出了解決方案。

新型安全管理體系結(jié)構(gòu)SDSM利用OpenFlow協(xié)議，通過北向REST API接口以及控制器的集中控制，實(shí)現(xiàn)了安全管理的集中化，并支持網(wǎng)絡(luò)的編程與擴(kuò)展。

SDSM的主要特點(diǎn)如下：

1） 利用SDN提供的可編程性，組合支持原子服務(wù)，更快速地進(jìn)行服務(wù)開發(fā)；

2） 雙SDN控制器，除了標(biāo)準(zhǔn)的SDN控制器（NC）外，還在體系結(jié)構(gòu)中設(shè)計(jì)了安全與管理控制器（SMC）；

3） 在使用SDN技術(shù)的同時(shí)考慮到了SDN開放性可能造成的DDoS攻擊安全隱患問題。

如圖1所示，為SDSM的整體架構(gòu)設(shè)計(jì)，圖1中的虛線部分為主要控制模塊，其主要部件為SMC（安全管理控制器）。SDSM一共可分為三層：SDN基礎(chǔ)設(shè)施層、資源協(xié)調(diào)控制層、原子服務(wù)層。

2.1 SDN基礎(chǔ)設(shè)施層

在流的傳遞、阻塞或重復(fù)中，物理設(shè)備上產(chǎn)生的安全數(shù)據(jù)及事件可通過NC抽象為資源，同時(shí)感知流和包的狀態(tài)，通過OpenFlow協(xié)議，將其抽象為網(wǎng)絡(luò)數(shù)據(jù)資源，即NC控制了基礎(chǔ)設(shè)施層的數(shù)據(jù)流量。

2.2 資源協(xié)調(diào)控制層

資源協(xié)調(diào)控制層作為連接原子服務(wù)層和SDN基礎(chǔ)設(shè)施層的中心控制層，主要完成安全事件、安全數(shù)據(jù)等資源的分類管理，并完成資源同步等事項(xiàng)。

在資源協(xié)調(diào)控制層，我們使用雙控制器結(jié)構(gòu)[3]以實(shí)現(xiàn)更高效的安全管理，分別為傳統(tǒng)SDN控制器（NC）和安全與管理控制器（SMC）。

安全與管理控制器（SMC）接收SDN基礎(chǔ)設(shè)施層傳輸?shù)母鞣N信息，并將其抽象為不同的數(shù)據(jù)資源，放置在資源池中，同時(shí)提供相應(yīng)的資源信息。而對資源的控制作用也被封裝在REST API內(nèi)，資源協(xié)調(diào)控制層通過北向接口與原子服務(wù)層相協(xié)調(diào)，資源池中的資源可以通過北向REST API被原子服務(wù)層調(diào)用，以此來實(shí)現(xiàn)應(yīng)用層中的各種原子服務(wù)。

而對于傳統(tǒng)SDN控制器（NC），我們在其中添加一個(gè)SMC代理，通過添加的SMC代理實(shí)現(xiàn)東西接口。SMC通過西行接口來完成兩個(gè)控制器之間的信息交互，NC通過SMC傳輸回來的流處理命令，下發(fā)相應(yīng)的調(diào)整策略，且負(fù)責(zé)控制和管理OpenFlow數(shù)據(jù)流，并構(gòu)建出SDN網(wǎng)絡(luò)的全局視圖，讓我們從宏觀對網(wǎng)絡(luò)進(jìn)行把控。

綜上，我們通過資源協(xié)調(diào)控制層整合SDN控制平面，加強(qiáng)對資源的控制和優(yōu)化各種資源之間的協(xié)調(diào)。同時(shí)，基于全局信息的三層體系結(jié)構(gòu)將各種原子服務(wù)關(guān)聯(lián)在了一起，也為重構(gòu)安全服務(wù)并將其與原子服務(wù)緊密結(jié)合提供了新的可能。

2.3 原子服務(wù)層

在SDSM三層架構(gòu)中，安全原子服務(wù)可以通過軟件定義的方法進(jìn)行重組并發(fā)布。將各種安全服務(wù)按照各自的功能模塊進(jìn)行劃分，并分類重組，將其作為安全原子服務(wù)發(fā)布，以更好地實(shí)現(xiàn)SDN提供的創(chuàng)新功能，而且能夠更好地提高SDN安全管理體系架構(gòu)的靈活性、可操作性并大大降低總成本。

2.4 安全管理控制器（SMC）

SMC提供南向接口與北向接口，分別服務(wù)于安全設(shè)備和普通應(yīng)用程序。在此基礎(chǔ)上，SMC借鑒了NC的OpenFlow交換機(jī)和應(yīng)用程序接口，添加了西向的資源池接口，并為NC提供接口。

SMC的主要組成架構(gòu)如圖2所示。我們在NC中嵌入SMC代理來實(shí)現(xiàn)雙控制器之間的信息交互。流輪詢通過NC獲取流條目，更新全局流狀態(tài)表。事件調(diào)度程序負(fù)責(zé)將高級應(yīng)用程序策略傳遞給策略解析器，策略解析器將其整理為流命令，直接下發(fā)給安全設(shè)備。通過推流器，由基于OpenFlow的流命令告知NC，來進(jìn)行對流命令的事件是SMC內(nèi)部的關(guān)鍵交互機(jī)制。如圖2所示的事件調(diào)度程序是SMC的核心。在SMC事件總線中，不同組件之間的事件主要基于事件訂閱和異步觸發(fā)器進(jìn)行交互。為了更好地服務(wù)于客戶端和服務(wù)器，大多數(shù)組件提供REST API來實(shí)現(xiàn)松耦合結(jié)構(gòu)。

3 實(shí)驗(yàn)分析

我們通過將以下三個(gè)原子服務(wù)模塊與傳統(tǒng)方式進(jìn)行對比，來驗(yàn)證該架構(gòu)的合理性。

3.1 模擬環(huán)境

該驗(yàn)證需在Mininet仿真環(huán)境中完成。首先創(chuàng)建兩個(gè)虛擬機(jī)，分別命名為ODL和Mininet。在ODL中選擇安裝OpenDaylight Carbon版本的控制器并帶有wireshark，在Mininet中安裝支持OpenFlow1.3協(xié)議的Mininet和wireshark。

3.2 DoS攻擊防治服務(wù)模塊

DoS攻擊即拒絕服務(wù)攻擊，包括SYN FLOOD、IP欺騙、ICMP FLOOD等，攻擊報(bào)文主要可分為破壞報(bào)文、欺騙報(bào)文、異常報(bào)文三類。

3.2.1 具體解決方案

通過策略服務(wù)輸入安全策略，反DoS應(yīng)用程序使用粗粒度模式訂閱數(shù)據(jù)。例如，當(dāng)只需要保護(hù)部分重要網(wǎng)關(guān)時(shí)，反DoS應(yīng)用程序可以通過進(jìn)行flow.dstAddr = ref.netAddr來實(shí)現(xiàn)，其中ref.netAddr是受保護(hù)的網(wǎng)關(guān)的IP地址。流條目將通過FlowPolling從NC的API中輪詢，并通過SMC中的事件調(diào)度器推送到反DoS服務(wù)器中。我們可設(shè)置FlowPolling每5秒查詢一次流表信息。

在檢查粗粒度模式后，流監(jiān)控器和檢測器可以進(jìn)行基于流的細(xì)粒度模式匹配。首先利用NC的OpenFlow計(jì)數(shù)器，進(jìn)行帶寬流量統(tǒng)計(jì)。接著為每個(gè)客戶端建立相應(yīng)的征信系統(tǒng)。在如表1所示的違規(guī)次數(shù)哈希表中統(tǒng)計(jì)每臺主機(jī)的違規(guī)次數(shù)。設(shè)置闕值為S（i）=r1*C（i）+r2*M（i） （r1+r2=1）其中，S（i）是第i個(gè)服務(wù)器的負(fù)載量，C（i）是第i個(gè)服務(wù)器的CPU的使用率，M（i）是第i臺內(nèi)存的使用率。

當(dāng)檢測器檢測到該主機(jī)的違規(guī)次數(shù)達(dá)到闕值時(shí)，將觸發(fā)相應(yīng)的安全策略。然后，策略解析器將策略解析為標(biāo)準(zhǔn)的OpenFlow命令，并將其推到NC上的SMC代理上，從而控制打開虛擬交換機(jī)以相應(yīng)地將流傳遞、刪除或重定向，以便進(jìn)一步檢測或清理。

3.2.2 SDSM解決DoS攻擊的優(yōu)勢

NC將控制層與數(shù)據(jù)轉(zhuǎn)發(fā)層分離以獲得全局視圖。通過這種方式，可以集中控制整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)，這有助于檢測網(wǎng)絡(luò)安全問題。當(dāng)遇到DoS攻擊時(shí)，可以制定出相應(yīng)策略并將其及時(shí)傳遞到每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，以快速調(diào)整資源的部署，例如帶寬等。使得網(wǎng)絡(luò)擁塞、沖突等問題得到快速解決，為用戶提供更優(yōu)質(zhì)、舒適的網(wǎng)絡(luò)使用體驗(yàn)。同時(shí)，開放的北向REST API接口為引入第三方的流量監(jiān)控設(shè)備和清理虛擬功能模塊提供服務(wù)。并且虛擬化的解決方案使網(wǎng)絡(luò)維護(hù)成本大幅降低，使得SDSM成為一種性價(jià)比極高的安全服務(wù)架構(gòu)。

3.3 DDoS攻擊防治服務(wù)模塊

3.3.1 觸發(fā)檢測模塊

在目前的網(wǎng)絡(luò)環(huán)境中，DDoS攻擊的方式呈現(xiàn)多樣化，同時(shí)應(yīng)對DDoS攻擊的方法也更加復(fù)雜。本文提出了一種應(yīng)對DDoS攻擊的集檢測，回溯為一體的新型解決方法。為實(shí)現(xiàn)這個(gè)解決方案的輕量化與動(dòng)態(tài)化，我們針對檢測模塊提出了SD-T&D觸發(fā)檢測模塊，即僅針對目的IP進(jìn)行檢測。SD-T&D觸發(fā)檢測系統(tǒng)的觸發(fā)模塊用于檢測Packet_In消息的異常突發(fā)。它使用exact-STORM算法[4]來判斷Packet_In的到達(dá)速度是否異常，如果有異常，系統(tǒng)將通過觸發(fā)進(jìn)入檢測分類階段，反之，系統(tǒng)將繼續(xù)收集Packet_In消息。

SD-T&D觸發(fā)檢測模塊的檢測模塊利用基于 XGBoost 分類器的特征值[4]進(jìn)行檢測。不同于文獻(xiàn)[5]，為了避免控制器過載，本文中僅利用目的IP熵（dstIP-entropy）結(jié)合端口速率（記作Vport）的加速度進(jìn)行檢測，該目的IP熵是由控制器從Packet_In消息的Data字段中提取并計(jì)算得到的。在正常的網(wǎng)絡(luò)狀態(tài)中，從Packet_In消息中提取的特征值dstIP-entropy遵循正態(tài)分布。而發(fā)生DDoS攻擊時(shí)，隨著目標(biāo)主機(jī)或服務(wù)器將收到來自許多攻擊源主機(jī)的大量請求，窗口時(shí)間內(nèi)源IP的隨機(jī)性增高，他們對目的IP的訪問程度也將增高，進(jìn)而造成目的IP的熵值和目的端口的熵值明顯減少，而源IP的熵值將明顯增加。在此基礎(chǔ)上，再進(jìn)行基于端口速率（Vport）加速度的檢測。通過實(shí)驗(yàn)給出正常網(wǎng)絡(luò)狀態(tài)的端口速率的標(biāo)準(zhǔn)值，當(dāng)端口速率超過預(yù)定義標(biāo)準(zhǔn)值的上限，便可預(yù)判DDoS的發(fā)生。在提取以上特征值之后，我們利用XGBoost算法構(gòu)造流條目分類器進(jìn)行分類檢測。

3.3.2 回溯模塊

回溯在抵抗DDoS攻擊中起著重要的作用。在傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)具有匿名性、脆弱性和無轉(zhuǎn)臺性，黑客可以比較容易地通過一些特殊手段進(jìn)行自我隱藏。目前存在一個(gè)比較可行的基于端口速率的DDoS攻擊回溯機(jī)制[6]。該回溯機(jī)制利用SDN控制器來獲取網(wǎng)絡(luò)內(nèi)交換機(jī)的端口速率信息，利用該速率的變化情況和網(wǎng)絡(luò)鏈路信息來進(jìn)行回溯。此方法在DDoS攻擊回溯方面有一定的效果，但是該回溯方法僅僅基于端口速率，這就很容易被攻擊者改變攻擊策略致使控制器檢測不到端口速率的突然變化。比如增加攻擊時(shí)延或者減少攻擊包的數(shù)量，或者使用更為先進(jìn)的黑客攻擊算法等。為了對攻擊做更快的反應(yīng)，本文提出了一種與上述觸發(fā)檢測模塊配套的攻擊回溯的方法來對DDoS攻擊源進(jìn)行跟蹤。在觸發(fā)檢測階段，將流統(tǒng)計(jì)消息的分析結(jié)果存儲在一個(gè)數(shù)組G（i）中，并將其發(fā)送給回溯模塊?；厮菽K將會根據(jù)觸發(fā)檢測模塊的分析結(jié)果和SDN控制器捕獲的拓?fù)鋪沓掷m(xù)分析數(shù)據(jù)流量統(tǒng)計(jì)消息，以找到攻擊源切換。具體的攻擊跟蹤方法如下。

只要觸發(fā)檢測模塊檢測到網(wǎng)絡(luò)中存在DDoS攻擊，那么系統(tǒng)就會立即啟動(dòng)回溯模塊使之進(jìn)入相應(yīng)的回溯狀態(tài)?；厮菽K是跟蹤狀態(tài)的主要組件。作為判斷交換機(jī)是否在攻擊路徑上的一個(gè)主要模塊，如圖4所示，它利用同樣訓(xùn)練好的XGBoost模型進(jìn)行攻擊檢測。等到成功地找到攻擊路徑中的交換機(jī)后，利用網(wǎng)絡(luò)拓?fù)?、攻擊目的IP和標(biāo)記交換機(jī)的組合以及數(shù)據(jù)包通過OpenFlow交換機(jī)時(shí)交換機(jī)的端口速率，按照攻擊流量通過的順序確定整個(gè)攻擊路徑。本文使用的回溯機(jī)制的主要步驟如下。記錄經(jīng)過每個(gè)交換機(jī)的總流條目的數(shù)量（sFlow）和數(shù)據(jù)包通過OpenFlow交換機(jī)時(shí)交換機(jī)的端口速率（Vport）。由于端口速率求導(dǎo)后得到是速率的加速度，更具有表現(xiàn)性，所以用端口速率的加速度代替端口速率的值。檢查模塊返回的流統(tǒng)計(jì)消息數(shù)組G（i）中“1”代表惡意流，“0”代表良性流，然后得到判斷標(biāo)準(zhǔn)：

[Tra=（Vport）'Sflow×i=0SflowMAX{G（i）}]

用Tra值來確定該交換機(jī)是否位于攻擊路徑上。如果惡意流條目的數(shù)量超過了預(yù)定義的上限，或者Tra值高于預(yù)定義值，則該交換機(jī)將被標(biāo)記為位于攻擊路徑上的惡意交換機(jī)。否則，它將被標(biāo)記為一個(gè)良性交換機(jī)。利用全局網(wǎng)絡(luò)拓?fù)?、目的IP和標(biāo)記惡意交換機(jī)相結(jié)合的方法，可以準(zhǔn)確地找到攻擊流量經(jīng)過的交換機(jī)的順序，從而確定攻擊路徑。具體的Tra的預(yù)定值通過適當(dāng)?shù)膶?shí)驗(yàn)不難得到。

3.4 針對SDN本身可能受到DDoS攻擊時(shí)的防治

3.4.1 SDN本身可能受到DDoS攻擊

盡管SDN擁有可擴(kuò)展編程、可集中控制等優(yōu)勢，可以便捷有效地檢測和防御DDoS攻擊。但同時(shí)，SDN的控制平面與數(shù)據(jù)平面解耦分離，攻擊者可能會對OpenFlow交換機(jī)、SDN控制器等發(fā)起DDoS攻擊。

3.4.2 SDN-Self DDoS攻擊的防御機(jī)制

當(dāng)我們檢測到DDoS攻擊時(shí)，首要任務(wù)是采取適當(dāng)?shù)拇胧﹣頊p少損害。以下是SDN網(wǎng)絡(luò)遭受DDoS攻擊后的防御措施：

首先我們建立一種分析機(jī)制[7]，通過分析用戶行為將其分為普通用戶和異常用戶。我們?yōu)槠胀ㄓ脩鬒P提供長時(shí)間超時(shí)權(quán)，并對異常用戶IP的流條目分配短時(shí)間超時(shí)權(quán)。這樣可以強(qiáng)制性的將惡意流快速移出交換機(jī)，并以此進(jìn)行用戶的IP過濾。

由于控制器最容易受到SDN架構(gòu)的攻擊，因此減輕控制器的負(fù)擔(dān)尤為重要。我們可以利用多層公平隊(duì)列（MLFQ）[8]有效解決這一問題。當(dāng)SDSM檢測到DDoS攻擊時(shí)，NC將響應(yīng)隊(duì)列擴(kuò)展，并降低其優(yōu)先級，以抵御流條目請求。

同時(shí)SDSM使用軟件交換機(jī)作為硬件交換機(jī)的補(bǔ)充。鑒于軟件交換機(jī)具有比硬件交換機(jī)更好的CPU兼容性，我們首先將硬件交換機(jī)接收到的新的流條目發(fā)送到軟件交換機(jī)，再由軟件交換機(jī)生成流請求，重載至數(shù)據(jù)層后再由硬件交換機(jī)轉(zhuǎn)發(fā)。這樣，軟件交換機(jī)就可以代替一部分硬件交換機(jī)的功能，大大提高數(shù)據(jù)吞吐量。

4 結(jié)束語

本文設(shè)計(jì)了一種松耦合、可擴(kuò)展的開放SDSM安全管理體系架構(gòu)，將SDN可編程功能提供的原子服務(wù)組合起來，支持服務(wù)創(chuàng)新。借助雙控制器的SDN控制層架構(gòu)，從全局安全和管理視圖實(shí)現(xiàn)了利用SDN防治DoS攻擊，利用SDN防治DDoS攻擊，并針對SDN本身可能受到DDoS攻擊提出了相應(yīng)的解決方案。此外，SDN以其集中控制和對流表轉(zhuǎn)發(fā)的感知能力，幫助SDSM安全管理體系架構(gòu)以更低的成本來提高性能、簡化管理，增強(qiáng)安全管理功能。

參考文獻(xiàn)：

[1] Software-Defined Networking （SDN）： Layers and Architecture Terminology https：//www.rfc-editor.org/pdfrfc/rfc7426.txt.pdf，2015

[2] Shin S， Porras P A， Yegneswaran V， et，al. FRESCO： Modular Composable Security Services for Software-Defined Networks. NDSS， ： The Internet Society，2013.

[3] QIU Xiaofeng，LIU Wenmao，GAO Teng，HE Xinxin，WEN Xutao，CHEN Pengcheng.WoT/SDN：Web of Things Architecture Using SDN[J].中國通信，2015，12（11）：177-187.

[4] Y. Cui， L. Yan， S. Li， H. Xing， W. Pan， J. Zhu， X. ZhengSD-Anti-DDos： fast and efficient ddos defense in software-defined networks J. Netw. Comput. Appl.， 2016， 68：65-79.

[5] 安穎，孫瓊，黃小紅.基于OpenFlow的SDN網(wǎng)絡(luò)環(huán)境下DDoS攻擊檢測系統(tǒng)[J].東南大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，47（S1）：14-19.

[6] N.N.Dao， J.Park， M.Park， et，al.A feasible method to combat against DDoS attack in SDN network.in International Conference on Information Networking.ambodia，2015：309-311.

[7] P.. Zhang， H. Wang， C. Hu，et，al.On Denial of Service Attacks in Software Defined Networks.IEEE Network， November-December，2016，30（6）： 28-33.

[8] A.Wang，Y.Guo，F(xiàn).Hao，et，al.Scotch：elastically scaling up SDN control-plane using Switch based overlay.in ACM International Conference on Emerging NETWORKING Experiments and Technologies，Sydney，Australia，2014：403-414.

【通聯(lián)編輯：代影】