Rényi熵在OpenFlow信道链路泛洪攻击防御中的应用

"这篇论文提出了一种基于Renyi熵的OpenFlow信道链路泛洪攻击主动防御方法，旨在解决新型链路泛洪攻击问题，以增强软件定义网络（SDN）的健壮性。通过Renyi熵对攻击者在建立OpenFlow信道linkmap时生成的ICMP超时报文进行分析，提前检测到攻击迹象。当流量监控服务器检测到异常，会向控制器发送预警，控制器随即启动交换机-控制器连接迁移机制，将交换机切换到新的控制器下，利用新的OpenFlow信道进行通信，从而避免控制器与交换机之间的通信链路受攻击影响，确保网络服务的连续性和稳定性。该方法经过实验验证，能有效防止链路泛洪攻击，提升SDN的安全性能。" 本文是基于2017年863计划资助项目和郑州市科技领军人才资助项目的研究成果，由蔡佳晔、张红旗和宋佳良三位作者共同完成。他们在信息工程大学进行研究，专注于网络安全领域。论文的核心内容是提出一种针对链路泛洪攻击的新防御策略，尤其关注OpenFlow网络环境下的安全防护。 链路泛洪攻击是一种网络攻击方式，通过向网络中大量发送数据包，导致网络链路拥堵甚至瘫痪。在OpenFlow架构中，控制器负责网络的策略决策，而交换机执行这些策略。攻击者可能会通过构建linkmap并发送大量ICMP超时报文来实施链路泛洪攻击，这可能导致控制器与交换机间的通信中断，严重影响网络服务。 Renyi熵是一种信息熵的扩展形式，常用于复杂系统的不确定性和信息量的度量。在本研究中，Renyi熵被用来分析ICMP超时报文的变化，以此识别攻击行为的早期迹象。通过这种方式，流量监控服务器可以实时监测网络状态，一旦发现异常，能够及时预警。 论文提出的主动防御机制包括两部分：一是监控和预警，二是连接迁移。当攻击预警触发后，控制器会启动交换机-控制器连接迁移，将受影响的交换机转移到新的控制器下，同时采用新的OpenFlow信道进行通信，以隔离受到攻击的链路，保证网络服务的连续性。 实验结果表明，这种基于Renyi熵的主动防御方法能够有效地避免链路泛洪攻击对SDN的影响，提高了控制器和交换机间的通信稳定性和整个SDN网络的健壮性。这种方法对于防范新型网络攻击，尤其是针对OpenFlow网络的攻击，提供了新的思路和解决方案。