针对软件定义网络(SDN)中传统的分布式拒绝服务(DDoS)攻击的防御方案往往忽略了降低SDN工作负载的重要性,并且未考虑攻击缓解的及时性的问题,提出一种SDN中高效协同防御DDoS攻击的方案。首先,通过将部分防御任务卸载到数据平面中,降低控制平面的开销并充分利用数据平面的资源;然后,若检测到异常则产生快速数据路径(XDP)规则,以及时缓解攻击,同时将数据平面的统计信息交由控制平面来进一步检测和缓解攻击,从而在提升准确率的同时进一步降低控制器开销;最后,根据控制平面确定的异常源更新XDP规则。为验证所提方案的有效性,利用Hyenae攻击工具产生了3种不同类型的攻击数据。相较于依赖于控制平面的支持向量机(SVM)方案、新架构防御方案和跨平面协作的防御方案,在防御及时性方面,所提方案分别提高了33.33%、28.57%和21.05%;在中央处理器(CPU)消耗方面,所提方案分别降低了33、11和4个百分点。实验结果表明,所提方案能很好地防御DDoS攻击且有较低的性能开销。
