陳飛，畢小紅，王晶晶，劉淵

（1. 江南大學(xué)數(shù)字媒體學(xué)院，江蘇 無(wú)錫 214122；2. 江蘇省媒體設(shè)計(jì)與軟件技術(shù)重點(diǎn)實(shí)驗(yàn)室（江南大學(xué)），江蘇 無(wú)錫 214122）

DDoS攻擊防御技術(shù)發(fā)展綜述

陳飛1,2，畢小紅1,2，王晶晶1,2，劉淵1,2

（1. 江南大學(xué)數(shù)字媒體學(xué)院，江蘇 無(wú)錫 214122；2. 江蘇省媒體設(shè)計(jì)與軟件技術(shù)重點(diǎn)實(shí)驗(yàn)室（江南大學(xué)），江蘇 無(wú)錫 214122）

分布式拒絕服務(wù)攻擊（DDoS）是當(dāng)前互聯(lián)網(wǎng)面臨的主要威脅之一，如何對(duì) DDoS攻擊進(jìn)行快速準(zhǔn)確的檢測(cè)以及有效的防御一直是網(wǎng)絡(luò)信息安全領(lǐng)域的研究熱點(diǎn)。從早期的集中式防御技術(shù)，到以云計(jì)算、SDN為基礎(chǔ)的綜合型防御體系，針對(duì)DDoS攻擊各個(gè)時(shí)期的相關(guān)防御技術(shù)進(jìn)行了總結(jié)。結(jié)合DDoS攻擊的特性，系統(tǒng)地分析了各類(lèi)防御機(jī)制在不同應(yīng)用場(chǎng)景中的優(yōu)點(diǎn)和潛在問(wèn)題，為下一代網(wǎng)絡(luò)安全體系構(gòu)建提供新的思路和參考。

DDoS攻擊防御；云計(jì)算；SDN；分布式網(wǎng)絡(luò)

1 引言

Internet的迅猛發(fā)展極大地推動(dòng)了全球信息化進(jìn)程，然而其背后的網(wǎng)絡(luò)安全形勢(shì)也日益嚴(yán)峻。在各類(lèi)安全威脅中，以分布式拒絕服務(wù)（DDoS,distributed denial-of-service）攻擊的危害尤為顯著[1]。攻擊者通過(guò)控制網(wǎng)絡(luò)中不同位置的多臺(tái)主機(jī)同時(shí)向受害者實(shí)施攻擊，利用資源的不對(duì)稱(chēng)，產(chǎn)生龐大的攻擊流量造成服務(wù)癱瘓，從而阻止合法用戶正常訪問(wèn)目標(biāo)服務(wù)。

近年來(lái)，DDoS攻擊愈演愈烈，無(wú)論受控主機(jī)還是攻擊對(duì)象，都日益呈現(xiàn)出大規(guī)模化和多樣化的態(tài)勢(shì)[2,3]。在DDoS攻擊中，被控制的主機(jī)稱(chēng)為傀儡機(jī)，而由傀儡機(jī)組成的網(wǎng)絡(luò)稱(chēng)為僵尸網(wǎng)絡(luò)。利用僵尸網(wǎng)絡(luò)和攻擊對(duì)象之間的資源不對(duì)稱(chēng)性，DDoS攻擊可以產(chǎn)生龐大的攻擊流量，造成嚴(yán)重的破壞效果。一方面，僵尸網(wǎng)絡(luò)中受控主機(jī)數(shù)量和規(guī)模越來(lái)越大。據(jù)調(diào)查，全世界接入 Internet的主機(jī)中大約有40%是傀儡機(jī)，每天約有75 000臺(tái)活躍的傀儡機(jī)被檢測(cè)到，而中國(guó)擁有的傀儡機(jī)數(shù)量約占全世界總數(shù)量的13%，是最大的僵尸網(wǎng)絡(luò)受害國(guó)。另一方面，隨著信息化技術(shù)，尤其是物聯(lián)網(wǎng)的普及，僵尸網(wǎng)絡(luò)的主機(jī)種類(lèi)越來(lái)越多。美國(guó)電信商Verizon在2017年的安全報(bào)告中揭露了一所美國(guó)大學(xué)遭到DDoS攻擊的案例，起初該校園網(wǎng)絡(luò)速度明顯變慢，后來(lái)發(fā)現(xiàn)學(xué)校的域名服務(wù)器（DNS）有大量異常的域名查詢(xún)，最終追查發(fā)現(xiàn)這些查詢(xún)來(lái)自校內(nèi)約5 000臺(tái)的物聯(lián)網(wǎng)裝置，包括路燈、自動(dòng)販賣(mài)機(jī)等設(shè)備組成的僵尸網(wǎng)絡(luò)。與此同時(shí)，DDoS攻擊對(duì)象的種類(lèi)也日益廣泛，大到骨干網(wǎng)鏈路、DNS服務(wù)器，小到普通的主機(jī)，都可能成為攻擊對(duì)象。Arbor Networks公司2009年的網(wǎng)絡(luò)安全報(bào)告指出，DDoS攻擊的能力正在逐年增長(zhǎng)，其中2009年出現(xiàn)的最大DDoS攻擊流速達(dá)49 Gbit/s，超過(guò)了當(dāng)時(shí)同步光纖網(wǎng)的最大信道帶寬40 Gbit/s；2010年我國(guó)發(fā)生的一起針對(duì)“456游戲”網(wǎng)站的攻擊事件中，攻擊流速峰值高達(dá)100 Gbit/s；2014年阿里云遭受了全球互聯(lián)網(wǎng)歷史上最大規(guī)模的一次DDoS攻擊，攻擊峰值流量達(dá)453 Gbit/s；2016年10月21日美國(guó)東部時(shí)間7:00，美國(guó)最主要的DNS服務(wù)商Dyn遭到大規(guī)模DDoS攻擊，導(dǎo)致 Twitter、Spotify、Netflix、AirBnb、CNN、華爾街日?qǐng)?bào)等數(shù)百家網(wǎng)站無(wú)法訪問(wèn)。媒體將此次攻擊稱(chēng)作是“史上嚴(yán)重DDoS攻擊”，攻擊行為來(lái)自超過(guò)1 000萬(wàn)IP來(lái)源，并創(chuàng)下了1 Tbit/s的DDoS世界記錄。

作為當(dāng)前Internet面臨的最重要安全威脅之一，頻繁出現(xiàn)的DDoS攻擊事件給全社會(huì)造成了重大經(jīng)濟(jì)損失。面向DDoS攻擊的防護(hù)技術(shù)逐漸得到學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注，成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。目前，已有的DDoS攻擊防御方法主要包括攻擊檢測(cè)和攻擊響應(yīng)2方面。本文從分析DDoS攻擊的特性入手，總結(jié)各個(gè)階段的DDoS攻擊防御的關(guān)鍵技術(shù)和存在問(wèn)題。

2 DDoS攻擊

在多種網(wǎng)絡(luò)安全威脅中，拒絕服務(wù)（DoS,denial of service）攻擊的危害一直被廣泛關(guān)注。本節(jié)首先對(duì)DDoS攻擊實(shí)施的原理進(jìn)行介紹，然后根據(jù)不同的攻擊方式進(jìn)行分類(lèi)闡述。

2.1 攻擊技術(shù)簡(jiǎn)介

DoS攻擊源于20世紀(jì)80年代，是一種阻止合法用戶正常訪問(wèn)目標(biāo)網(wǎng)絡(luò)的攻擊，其實(shí)質(zhì)是攻擊者對(duì)受害者的資源壓制[3]。隨著硬件技術(shù)的發(fā)展，網(wǎng)絡(luò)設(shè)備的存儲(chǔ)與處理能力得到了顯著的提升，傳統(tǒng)的點(diǎn)對(duì)點(diǎn)的DoS攻擊很難再對(duì)攻擊對(duì)象的網(wǎng)絡(luò)服務(wù)產(chǎn)生明顯影響。為了達(dá)到攻擊目的，攻擊者往往通過(guò)控制網(wǎng)絡(luò)中大量分布式的傀儡主機(jī)同時(shí)向受害者發(fā)起攻擊，因此又被稱(chēng)為分布式拒絕服務(wù)攻擊。本質(zhì)上來(lái)看，DDoS是一種大規(guī)模的DoS攻擊，它直接或間接地通過(guò)互聯(lián)網(wǎng)上被控制的設(shè)備攻擊目標(biāo)系統(tǒng)[4]。與DoS攻擊一次只能采用一種攻擊方法攻擊一個(gè)目標(biāo)的方式有所不同，DDoS攻擊可以采用多種DoS攻擊方法，也可以同時(shí)攻擊多個(gè)目標(biāo)。攻擊發(fā)生時(shí)，攻擊者利用成百上千個(gè)受控節(jié)點(diǎn)向目標(biāo)系統(tǒng)發(fā)動(dòng) DoS攻擊，通過(guò)消耗目標(biāo)系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU和內(nèi)存等主機(jī)資源使其性能急劇下降甚至發(fā)生崩潰，從而無(wú)法對(duì)用戶提供正常的服務(wù)。與DoS攻擊相比，DDoS攻擊的破壞性更強(qiáng)，涉及的范圍更廣，防御的難度也更大。

DDoS攻擊流程如圖 1所示，完整的DDoS攻擊包含攻擊者、攻擊控制機(jī)、攻擊傀儡機(jī)以及攻擊目標(biāo)4類(lèi)參與主體。其中攻擊者主機(jī)由真實(shí)攻擊者操作，是攻擊指令源。在整個(gè)攻擊過(guò)程中，攻擊者主機(jī)與目標(biāo)主機(jī)沒(méi)有直接交互，而是利用攻擊控制機(jī)和攻擊傀儡機(jī)發(fā)起DDoS攻擊。攻擊控制機(jī)是攻擊者控制攻擊傀儡機(jī)發(fā)起DDoS攻擊的跳板，有助于隱藏攻擊者的真實(shí)身份，從而實(shí)現(xiàn)攻擊者主機(jī)與傀儡機(jī)之間的命令與控制通信，如發(fā)布攻擊指令、更新傀儡機(jī)的攻擊工具、更改僵尸網(wǎng)絡(luò)通信機(jī)制等。攻擊傀儡機(jī)是真正發(fā)送大量攻擊流量的攻擊源，由傳統(tǒng)的主機(jī)逐漸發(fā)展為包含智能手機(jī)在內(nèi)的多種無(wú)線設(shè)備。

圖1 DDoS攻擊組成

2.2 攻擊方式分類(lèi)

多年來(lái)，研究者對(duì)DDoS攻擊提出了不同的分類(lèi)方法[5,6]。其中，最普遍的是根據(jù)攻擊對(duì)象的協(xié)議層進(jìn)行劃分，大致可以將DDoS攻擊分為2種類(lèi)型。1) 網(wǎng)絡(luò)/傳輸層的 DDoS攻擊，又稱(chēng)為網(wǎng)絡(luò)帶寬耗盡型攻擊。攻擊者操縱攻擊源向目標(biāo)網(wǎng)絡(luò)發(fā)送大量的垃圾流量，致使其可用帶寬急劇降低，從而導(dǎo)致目標(biāo)主機(jī)無(wú)法與外界進(jìn)行正常通信，常見(jiàn)的手段有TCP SYN洪流、UDP洪流，以及ICMP洪流等。2) 應(yīng)用層的DDoS攻擊，又稱(chēng)為基于主機(jī)資源耗盡型攻擊，利用目標(biāo)主機(jī)提供的網(wǎng)絡(luò)服務(wù)以及網(wǎng)絡(luò)協(xié)議的某些特性，發(fā)送超出目標(biāo)主機(jī)處理能力的偽服務(wù)請(qǐng)求，大量占用目標(biāo)主機(jī)的系統(tǒng)資源（包括CPU、Sockets、內(nèi)存、數(shù)據(jù)庫(kù)等），導(dǎo)致其喪失響應(yīng)正常服務(wù)請(qǐng)求的能力。該類(lèi)型攻擊通常利用 HTTP、DNS，以及SIP等方式，其中以通過(guò)HTTP發(fā)起的DDoS攻擊最為常見(jiàn)，具體又包含訪問(wèn)請(qǐng)求洪流攻擊、非對(duì)稱(chēng)攻擊，以及重復(fù)單次攻擊等手段，如表1所示。由于攻擊者模仿正常用戶的訪問(wèn)請(qǐng)求，攻擊的 Sessions很難與正常用戶區(qū)分，此外，很多DDoS攻擊者采用慢速請(qǐng)求的方式，在延長(zhǎng)系統(tǒng)等待時(shí)間的同時(shí)逃避防御系統(tǒng)的檢測(cè)。從發(fā)展現(xiàn)狀來(lái)看，DDoS攻擊一方面將更多地采用合法的協(xié)議或服務(wù)構(gòu)造攻擊，從而使攻擊更加隱蔽，也更具破壞性；另一方面攻擊者會(huì)不斷地采用更加復(fù)雜的欺騙技術(shù)，以躲避各類(lèi)防御系統(tǒng)的檢測(cè)。

表1 常見(jiàn)的通過(guò)HTTP發(fā)起的DDoS攻擊

3 DDoS防御技術(shù)概述與分類(lèi)

DDoS防御一直是網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)，但至今仍然缺乏一種方法可以有效地杜絕DDoS攻擊的泛濫和危害。除了DDoS攻擊隱蔽性的特點(diǎn)，目前整個(gè)因特網(wǎng)環(huán)境自身結(jié)構(gòu)復(fù)雜、管理松散、子網(wǎng)間缺乏有效的合作，從而限制了各種防御機(jī)制的實(shí)施。從防御的過(guò)程來(lái)看，大致分為攻擊檢測(cè)和攻擊響應(yīng)2個(gè)步驟：首先，攻擊檢測(cè)是防范DDoS攻擊的第一步，其主要任務(wù)是發(fā)現(xiàn)網(wǎng)絡(luò)中的DDoS攻擊，產(chǎn)生報(bào)警；其次，攻擊響應(yīng)將采取措施盡快恢復(fù)受害者正常工作能力，并進(jìn)一步追蹤溯源DDoS攻擊的發(fā)起者。

3.1 攻擊檢測(cè)技術(shù)

DDoS攻擊流檢測(cè)通過(guò)收集和分析被保護(hù)網(wǎng)絡(luò)系統(tǒng)的信息，實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的DDoS攻擊行為。目前，大多數(shù)攻擊檢測(cè)機(jī)制都將攻擊特征、擁塞模式、協(xié)議和源地址作為檢測(cè)攻擊的重要依據(jù)，從檢測(cè)模型上大致可以分為誤用檢測(cè)和異常檢測(cè)兩類(lèi)。攻擊誤用檢測(cè)是將采集并提取到的用戶行為與已知的DDoS攻擊進(jìn)行特征匹配；而DDoS攻擊異常檢測(cè)是通過(guò)建立目標(biāo)系統(tǒng)及用戶的正常行為模型，監(jiān)測(cè)系統(tǒng)和用戶的活動(dòng)是否偏離該模型，從而判斷是否存在攻擊。誤用檢測(cè)和異常檢測(cè)各具優(yōu)缺點(diǎn)。前者能夠準(zhǔn)確識(shí)別已知攻擊，但無(wú)法有效應(yīng)對(duì)未知攻擊，并且需要不斷更新攻擊特征庫(kù)；后者通用性強(qiáng)，能夠識(shí)別多類(lèi)攻擊，但容易產(chǎn)生誤判。

一般而言，根據(jù)部署位置的不同，DDoS檢測(cè)策略可以分為源端檢測(cè)、末端檢測(cè)、中間網(wǎng)絡(luò)檢測(cè)以及混合型分布式檢測(cè)，如表2所示。源端檢測(cè)策略一般部署在用戶本地網(wǎng)絡(luò)的接入路由器，能夠在源端及早地阻止攻擊行為，從而避免造成過(guò)多的資源浪費(fèi)[7,8]。另外，由于DDoS攻擊可能在不同區(qū)域發(fā)起，單一區(qū)域的攻擊流量沒(méi)有形成規(guī)模時(shí)往往難以被檢測(cè)到，而且在大范圍部署時(shí)成本會(huì)大大提高。相對(duì)而言，末端檢測(cè)機(jī)制運(yùn)行在服務(wù)端，在提高檢測(cè)精度的同時(shí)降低了部署開(kāi)銷(xiāo)，但其滯后性導(dǎo)致無(wú)法對(duì)攻擊流量及時(shí)有效地處理[9,10]。結(jié)合前兩者的特點(diǎn)，研究者開(kāi)始考慮基于中間網(wǎng)絡(luò)的防御機(jī)制作為折中方案，通過(guò)部署在傳輸路徑中的路由器，建立多點(diǎn)的流量檢測(cè)分析模型實(shí)現(xiàn)攻擊檢測(cè)以及快速的響應(yīng)[11,12]。與此同時(shí)，如何降低多路由器協(xié)作所導(dǎo)致的計(jì)算存儲(chǔ)負(fù)載和傳輸開(kāi)銷(xiāo)也逐漸成為未來(lái)方案設(shè)計(jì)的重點(diǎn)問(wèn)題，尤其在高額攻擊流量情況下防御機(jī)制本身的通信能力也成為需要考慮的因素。

表2 DDoS攻擊檢測(cè)

近年來(lái)，隨著網(wǎng)絡(luò)分布式計(jì)算的發(fā)展，DDoS攻擊檢測(cè)方面的研究思路逐漸從集中式單點(diǎn)檢測(cè)向分布式檢測(cè)方案轉(zhuǎn)變，后者更符合DDoS攻擊的分布式特點(diǎn)，逐漸成為應(yīng)對(duì)DDoS攻擊的最有效方案之一[13,14]。例如，文獻(xiàn)[15]提出了基于全局網(wǎng)絡(luò)的DDoS檢測(cè)方法，通過(guò)由多個(gè)分布式的處理單元采集以其所在位置為目的端的 OD（origin-destination）矩陣，從而檢測(cè)以該節(jié)點(diǎn)為攻擊目標(biāo)的DDoS攻擊。文獻(xiàn)[16]提出了基于流量控制技術(shù)的分布式DDoS攻擊檢測(cè)框架，從受害者網(wǎng)絡(luò)、受害者上層網(wǎng)絡(luò)和受害者ISP這3個(gè)層次著手，利用管理中心、入侵檢測(cè)模塊和分組分析模塊實(shí)現(xiàn)DDoS攻擊的分布式檢測(cè)和攻擊流量過(guò)濾。文獻(xiàn)[17]利用移動(dòng) Agent技術(shù)提出一個(gè)全面、主動(dòng)、具備攻擊緩解功能的DDoS防御模型?？傮w而言，相對(duì)于集中式的單點(diǎn)檢測(cè)，分布式的混合型機(jī)制能夠利用位于網(wǎng)絡(luò)中不同位置的節(jié)點(diǎn)進(jìn)行全面的攻擊檢測(cè)和響應(yīng)，從而盡早確認(rèn)攻擊流量并在源端進(jìn)行防御。同時(shí)，在構(gòu)建分布式的混合型防御體系過(guò)程中，節(jié)點(diǎn)間的信任機(jī)制、通信負(fù)載和計(jì)算復(fù)雜度，以及系統(tǒng)自身的健壯性等問(wèn)題仍有待進(jìn)一步探討。

3.2 攻擊響應(yīng)技術(shù)

攻擊響應(yīng)是DDoS攻擊發(fā)起之后，對(duì)網(wǎng)絡(luò)流量進(jìn)行適當(dāng)?shù)倪^(guò)濾或限制等措施，盡量降低到達(dá)攻擊目標(biāo)主機(jī)的攻擊流量，緩解拒絕服務(wù)攻擊的影響。攻擊響應(yīng)的最基本技術(shù)包括報(bào)文過(guò)濾、速率限制、攻擊容忍和攻擊溯源4個(gè)方面。

1) 報(bào)文過(guò)濾技術(shù)針對(duì)地址欺騙的 DDoS攻擊，通過(guò)檢測(cè)報(bào)文源IP地址真實(shí)性并過(guò)濾源地址欺騙報(bào)文進(jìn)行防御[18,19]。位于末端網(wǎng)絡(luò)的分組過(guò)濾主要利用路由器中的訪問(wèn)控制列表功能過(guò)濾地址偽裝特征明顯的分組。

2) 速率限制通過(guò)抑制可疑攻擊流的發(fā)送速率，避免大量報(bào)文擁塞鏈路或淹沒(méi)攻擊受害者[13,20]。對(duì)于速率限制而言，在最大限度地抑制攻擊流的同時(shí)，將對(duì)正常用戶的影響降低到最小。此外，還要避免因?qū)嵤┧俾氏拗贫鴰?lái)的過(guò)多處理開(kāi)銷(xiāo)。

3) 攻擊容忍的目的是緩解 DDoS攻擊對(duì)目標(biāo)系統(tǒng)的影響，盡可能地維持系統(tǒng)服務(wù)的繼續(xù)進(jìn)行，但本身并不能阻止DDoS攻擊[21,10]。目前常用的攻擊容忍手段主要有隨機(jī)丟棄、“蜜罐”系統(tǒng)和負(fù)載均衡等。

4) 攻擊溯源的作用是追蹤發(fā)起DDoS攻擊的真正攻擊者，為攻擊響應(yīng)機(jī)制提供真實(shí)的攻擊源位置及攻擊路徑信息[22,23]。常見(jiàn)的IP追蹤技術(shù)包括鏈路測(cè)試、基于覆蓋網(wǎng)溯源、基于ICMP的攻擊溯源、基于IPsec的追蹤，以及基于分組標(biāo)記和日志記錄的報(bào)文追蹤方法。一般而言，不同的響應(yīng)策略可以與攻擊檢測(cè)策略搭配實(shí)施，并在實(shí)際部署應(yīng)用中具有不同的作用，具體如表3所示。

4 云環(huán)境下的DDoS防御

借助于云計(jì)算技術(shù)所提供的靈活便捷的全球化服務(wù)，越來(lái)越多的企業(yè)和組織選擇將其應(yīng)用遷移到云環(huán)境中執(zhí)行。然而，云數(shù)據(jù)中心所支撐的在線業(yè)務(wù)的高速增長(zhǎng)促使了以惡意競(jìng)爭(zhēng)為目的的DDoS攻擊，云環(huán)境下的DDoS攻擊頻率、規(guī)模和種類(lèi)以前所未有的速度快速增加，云環(huán)境下 DDoS攻擊的安全防御也日益受到廣泛關(guān)注。

復(fù)合RH問(wèn)題提法如下：求在D內(nèi)全純，且連續(xù)到L與Γ兩側(cè)(端點(diǎn)可能除外)上的函數(shù)Φ(z)，使其滿足下列條件

表3 DDoS攻擊響應(yīng)策略

一方面，云計(jì)算的普及為DDoS安全防御帶來(lái)了新的解決方案。與傳統(tǒng)網(wǎng)絡(luò)相比，云平臺(tái)通過(guò)資源池彈性提供云服務(wù)，從資源博弈的角度，其近乎無(wú)限的資源提供能力保證了云服務(wù)提供商通常可以投入大量的資源防御DDoS攻擊。在企業(yè)界，各大主流云平臺(tái)逐漸推出了其安全產(chǎn)品，如Amazon CloudWatch、阿里云盾等。目前普遍采用的最基本的方式是將傳統(tǒng)網(wǎng)絡(luò)中的 DDoS攻擊防御手段經(jīng)過(guò)適當(dāng)改進(jìn)，應(yīng)用在云計(jì)算環(huán)境中[24,25]。然而，云環(huán)境中的動(dòng)態(tài)資源分配、大規(guī)模流量、虛擬化等特性使傳統(tǒng)方法通常面臨效能方面的種種問(wèn)題。對(duì)此，為滿足云環(huán)境下的應(yīng)用需求，研究人員提出了一系列云特定的 DDoS防御方法[26]。具體而言，在攻擊檢測(cè)方面，文獻(xiàn)[27]提出了公有云面對(duì)DDoS TCP洪流攻擊的防御策略，通過(guò)歷史記錄對(duì)來(lái)訪數(shù)據(jù)分組進(jìn)行分類(lèi)劃分，并通過(guò)分類(lèi)結(jié)果對(duì)惡意 IP源地址進(jìn)行隔離。文獻(xiàn)[28]利用Netflow協(xié)議對(duì)數(shù)據(jù)流量進(jìn)行采集，并通過(guò)自我學(xué)習(xí)的方式進(jìn)行DDoS攻擊檢測(cè)。針對(duì)攻擊者利用云平臺(tái)發(fā)起DDoS攻擊的問(wèn)題，文獻(xiàn)[29]結(jié)合云計(jì)算靈活部署和多租戶的特性，提出了資源限定條件下的基于虛擬機(jī)的DDoS系統(tǒng)檢測(cè)機(jī)制。在攻擊響應(yīng)方面，文獻(xiàn)[30]提出了使用fast-flux群智網(wǎng)絡(luò)解決云環(huán)境下的DDoS攻擊，在遭受DDoS攻擊時(shí)，該網(wǎng)絡(luò)會(huì)自動(dòng)調(diào)整結(jié)構(gòu)，從而保證提供高質(zhì)量的服務(wù)。文獻(xiàn)[31]則提出按需安全體系結(jié)構(gòu)，根據(jù)云環(huán)境下用戶的個(gè)性化DDoS防御需求提供不同的防御服務(wù)。

另一方面，云計(jì)算的飛速發(fā)展也給DDoS攻擊防御帶來(lái)了新的安全隱患[32]。具體體現(xiàn)在：1)現(xiàn)有云平臺(tái)的按需自助服務(wù)使攻擊者可以在短時(shí)期內(nèi)構(gòu)建大規(guī)模僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDoS攻擊；2)云計(jì)算的泛在接入保證用戶可以通過(guò)各種移動(dòng)設(shè)備訪問(wèn)云服務(wù)，然而絕大多數(shù)的移動(dòng)設(shè)備缺乏基本安全防御手段，容易成為黑客控制發(fā)起大規(guī)模DDoS攻擊的潛在利用工具；3) 云服務(wù)提供商通過(guò)虛擬化技術(shù)和多用戶模型動(dòng)態(tài)提供資源，針對(duì)某一虛擬機(jī)的DDoS攻擊會(huì)影響其相關(guān)設(shè)施的虛擬機(jī)；4) 云計(jì)算使用“即用即付”計(jì)費(fèi)模型，從而導(dǎo)致攻擊者將其對(duì)云數(shù)據(jù)中心的DDoS攻擊轉(zhuǎn)移至針對(duì)使用云服務(wù)用戶的 EDoS（economic denial of sustainability attack）攻擊。

5 基于SDN的DDoS防御

隨著軟件定義網(wǎng)絡(luò)（software-defined network）技術(shù)的興起，近年來(lái)，研究者開(kāi)始考慮利用其對(duì)數(shù)據(jù)流細(xì)?；目刂苼?lái)抵抗DDoS攻擊[33]。SDN將控制層從數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備中解耦合，從而在控制層形成虛擬的網(wǎng)絡(luò)操作系統(tǒng)且具有全局視圖。由于所有流量均需經(jīng)過(guò)控制器指定其處理規(guī)則，因此，便于在控制器中集成各種防御策略。

1) 基于SDN攻擊檢測(cè)機(jī)制

在大多數(shù)SDN防御機(jī)制中，控制器用來(lái)檢測(cè)異常流量，過(guò)濾惡意包，以及驗(yàn)證源IP地址的有效性。利用SDN對(duì)網(wǎng)絡(luò)層的可編程性，文獻(xiàn)[34]設(shè)計(jì)了一種面向辦公室或家庭的可編程路由器用來(lái)檢測(cè)各種安全問(wèn)題。通過(guò) OpenFlow交換機(jī)和NOX控制器，實(shí)現(xiàn)了4種主流的流量異常檢測(cè)以及不同的限速策略。針對(duì)來(lái)自移動(dòng)端的惡意DDoS攻擊，文獻(xiàn)[35]通過(guò)在入口節(jié)點(diǎn)使用OpenFlow交換機(jī)來(lái)限制流入的IP地址，從而實(shí)現(xiàn)在線流量分析。文獻(xiàn)[36]利用OpenFlow協(xié)議設(shè)計(jì)了VAVE機(jī)制，從全局角度驗(yàn)證源地址的有效性。文獻(xiàn)[37]提出了一種基于分布式協(xié)作的數(shù)據(jù)流監(jiān)測(cè)系統(tǒng)，通過(guò)引入SDN在數(shù)據(jù)交換面實(shí)現(xiàn)自定義的動(dòng)態(tài)檢測(cè)。文獻(xiàn)[38]提出了一種在SDN環(huán)境下基于KNN算法的模塊化DDoS攻擊檢測(cè)方法，通過(guò)選取SDN網(wǎng)絡(luò)的5個(gè)關(guān)鍵流量特征，采用優(yōu)化的 KNN算法對(duì)選取的流量特征進(jìn)行流量異常檢測(cè)。

2) 基于SDN攻擊響應(yīng)機(jī)制

基于SDN對(duì)數(shù)據(jù)流細(xì)?；目刂疲贒DoS攻擊中可以利用控制器方便地進(jìn)行報(bào)文過(guò)濾、速率限制和攻擊溯源。例如，文獻(xiàn)[39]提出了AgNOS架構(gòu)，包含了位于不同域的分布式SDN控制器，在應(yīng)對(duì)DDoS攻擊時(shí)相互協(xié)作進(jìn)行報(bào)文過(guò)濾。文獻(xiàn)[40]討論了在SDN架構(gòu)中通過(guò)速率限制、事件過(guò)濾、分組丟失以及超時(shí)設(shè)置應(yīng)對(duì)DDoS攻擊。文獻(xiàn)[41]利用 OpenFlow控制器對(duì)數(shù)據(jù)層的轉(zhuǎn)發(fā)進(jìn)行記錄和協(xié)調(diào)，從而實(shí)現(xiàn)在DDoS攻擊流中的溯源。文獻(xiàn)[42]進(jìn)一步提出了一種能夠?qū)笵DoS攻擊的軟件定義安全網(wǎng)絡(luò)機(jī)制 SDSNM，包含由IPv4路由器和通信鏈路等組成的核心網(wǎng)以及由眾多SDN子網(wǎng)組成的邊緣網(wǎng)2部分，利用云計(jì)算與Chord技術(shù)設(shè)計(jì)了原型系統(tǒng)，并實(shí)現(xiàn)了接入管理、DDoS審計(jì)查詢(xún)、溯源操作等多種功能。文獻(xiàn)[43]設(shè)計(jì)了控制器之間的安全協(xié)議，使不同自治系統(tǒng)中的SDN控制器可以分享攻擊的信息，從而在源端對(duì)攻擊者進(jìn)行隔離。

盡管軟件定義網(wǎng)絡(luò)給云數(shù)據(jù)中心的網(wǎng)絡(luò)層DDoS攻擊防御帶來(lái)了諸多便利，其本身也引入了各種DDoS攻擊漏洞[44]。與傳統(tǒng)網(wǎng)絡(luò)技術(shù)的云數(shù)據(jù)中心相比，采用SDN架構(gòu)的應(yīng)用層、控制層、數(shù)據(jù)層三層分離，每一層均有可能受到攻擊，潛在的受攻擊平面變大，如圖2所示。1) 在應(yīng)用層，SDN開(kāi)放的北向接口使SDN應(yīng)用的功能日益豐富，同時(shí)也為各種病毒、蠕蟲(chóng)等惡意代碼提供了機(jī)會(huì)，攻擊者可以通過(guò)在應(yīng)用層中植入惡意程序達(dá)到竊取網(wǎng)絡(luò)信息，以及占用網(wǎng)絡(luò)資源的目的；2) 在控制層，攻擊者可以通過(guò)高速率向軟件定義網(wǎng)絡(luò)發(fā)送新的流，使邏輯集中的控制器的帶寬資源耗盡無(wú)法與外界通信，或者因流處理時(shí)間過(guò)長(zhǎng)而造成控制器節(jié)點(diǎn)失效；3) 在數(shù)據(jù)層，類(lèi)似于傳統(tǒng)的DDoS攻擊方式，發(fā)送大量攻擊流量堵塞數(shù)據(jù)傳輸鏈路或者利用協(xié)議的漏洞造成系統(tǒng)拒絕服務(wù)。

目前，SDN中相關(guān)防御工作主要圍繞控制層DDoS展開(kāi)。與傳統(tǒng)網(wǎng)絡(luò)路由器中的規(guī)則相比，OpenFlow協(xié)議所規(guī)定的規(guī)則更復(fù)雜。因此，軟件定義網(wǎng)絡(luò)流表的存儲(chǔ)能力通常很有限，在受到數(shù)據(jù)層泛洪攻擊時(shí)很容易成為性能上的瓶頸。對(duì)此，有的研究者嘗試根據(jù)DDoS攻擊強(qiáng)度對(duì)網(wǎng)絡(luò)流表處理進(jìn)行任務(wù)調(diào)度，盡可能保證系統(tǒng)在受到攻擊情況下仍正常工作[45]。

圖2 針對(duì)SDN網(wǎng)絡(luò)的DDoS攻擊

6 DDoS防御技術(shù)分析與展望

本文對(duì)DDoS攻擊防御中的關(guān)鍵技術(shù)進(jìn)行了系統(tǒng)的分類(lèi)和總結(jié)，如表4所示，將DDoS防御技術(shù)發(fā)展大致分為3個(gè)階段。早期的DDoS防御技術(shù)主要通過(guò)部署在不同位置的網(wǎng)絡(luò)節(jié)點(diǎn)，從源端、中間網(wǎng)絡(luò)到末端節(jié)點(diǎn)，采用單點(diǎn)或組內(nèi)協(xié)作的方式，因此又稱(chēng)為集中式防御。相對(duì)而言，基于云計(jì)算的防御策略借助于云平臺(tái)的龐大資源和管理體系，從系統(tǒng)的角度為用戶提供防范 DDoS攻擊的屏障，而且云平臺(tái)可以方便地接入各種流量監(jiān)控工具以及復(fù)雜的數(shù)據(jù)分析算法進(jìn)行流量清洗。此外，基于SDN的DDoS防御技術(shù)體現(xiàn)出日益明顯的優(yōu)勢(shì)，通過(guò)獲得全局的網(wǎng)絡(luò)拓?fù)浜玩溌妨髁繝顟B(tài)發(fā)現(xiàn)和識(shí)別網(wǎng)絡(luò)中的惡意攻擊行為并進(jìn)行攻擊溯源，使其能夠在較小的資源消耗下更加精準(zhǔn)地采取防御措施。然而，雖然不同的防御策略在攻擊檢測(cè)和響應(yīng)方面各具特點(diǎn)，在一定程度上對(duì)某些特定場(chǎng)景的DDoS攻擊起到了較好的防御效果，但在種類(lèi)日益繁多的攻擊手段面前，單一的防御技術(shù)仍然有局限性，而且防御機(jī)制本身可能成為被攻擊對(duì)象而無(wú)法正常工作。

由于DDoS攻擊本質(zhì)上是對(duì)資源的占用，隨著對(duì)系統(tǒng)和網(wǎng)絡(luò)資源的管理控制手段不斷完善，構(gòu)建全方位多尺度的綜合型防御體系已經(jīng)成為未來(lái)DDoS攻擊防御的發(fā)展趨勢(shì)，這種趨勢(shì)具體體現(xiàn)在兩方面。一是部署位置的分布性上，防御機(jī)制不僅限于源端、末端或者中間網(wǎng)絡(luò)的單點(diǎn)集中部署，而是更多地強(qiáng)調(diào)跨區(qū)域的協(xié)同性。二是不同技術(shù)的融合性上，很多傳統(tǒng)的防御機(jī)制采用新的技術(shù)手段取得了較好的效果。例如，文獻(xiàn)[44]研究通過(guò)SDN技術(shù)實(shí)現(xiàn)攻擊溯源；文獻(xiàn)[46]研究DDoS攻擊下基于SDN的負(fù)載均衡。此外，不同技術(shù)之間配合與互補(bǔ)也提供了應(yīng)對(duì) DDoS攻擊新的途徑。文獻(xiàn)[47]研究了SDN技術(shù)和云計(jì)算相互協(xié)作進(jìn)行DDoS防御的策略，一方面利用SDN靈活的可編程性進(jìn)行攻擊檢測(cè)和快速響應(yīng)，另一方面通過(guò)云計(jì)算的資源動(dòng)態(tài)部署對(duì)SDN提供支持。文獻(xiàn)[48]討論了在云環(huán)境中部署 SDN進(jìn)行DDoS攻擊檢測(cè)，以及利用云計(jì)算保障 SDN自身的可靠性。由此可以預(yù)見(jiàn)，未來(lái)多尺度綜合型的體系結(jié)構(gòu)將成為有效防御 DDoS攻擊的重要手段。

表4 DDoS防御技術(shù)對(duì)比

7 結(jié)束語(yǔ)

長(zhǎng)遠(yuǎn)來(lái)看，DDoS攻擊和防御仍然會(huì)處于無(wú)止盡的博弈，如何建立主動(dòng)、高效、全面的防御體系，注定面臨諸多困難和挑戰(zhàn)。同時(shí)，以虛擬化、數(shù)據(jù)中心網(wǎng)絡(luò)、SDN、大數(shù)據(jù)技術(shù)為代表的新興技術(shù)為DDoS防御體系的構(gòu)建帶來(lái)了新的機(jī)遇和思考。未來(lái)針對(duì)DDoS攻擊問(wèn)題的解決方案有待進(jìn)一步探討，具體包含以下兩方面。

1) 近年來(lái)，隨著DDoS攻擊技術(shù)的發(fā)展和攻擊規(guī)模的提升，建立分布式綜合型防御體系的必要性日益顯著。由于傳統(tǒng)單點(diǎn)部署的DDoS檢測(cè)方法僅根據(jù)本地采集的信息檢測(cè)流量異常，受限于DDoS攻擊的隱蔽性和分散性，檢測(cè)準(zhǔn)確率不高；同時(shí)在攻擊流量聚合到一定程度、距離攻擊受害者較近的位置進(jìn)行報(bào)文過(guò)濾，導(dǎo)致末端網(wǎng)絡(luò)的網(wǎng)關(guān)負(fù)載過(guò)高、壓力過(guò)大。新一代DDoS防御措施將由早期的集中式防御逐漸演化為分布式協(xié)作的網(wǎng)絡(luò)防御體系。此外，借助于SDN，云計(jì)算以及大數(shù)據(jù)技術(shù)形成合理有效的系統(tǒng)分工，對(duì)實(shí)現(xiàn)DDoS早期、高精確度的防御具有重要的研究意義。

2) 面對(duì)DDoS攻擊，云計(jì)算平臺(tái)和SDN應(yīng)用的普及是把雙刃劍：一方面，它們提供了更多的檢測(cè)防御措施；但另一方面，DDoS攻擊的手段也在不斷發(fā)展，越來(lái)越多的攻擊開(kāi)始圍繞云計(jì)算平臺(tái)和SDN展開(kāi)，從而產(chǎn)生新的安全問(wèn)題。例如，云計(jì)算平臺(tái)本身可能被攻擊者利用成為組建僵尸網(wǎng)絡(luò)的工具；SDN中的應(yīng)用層、控制層和數(shù)據(jù)層都有可能成為潛在的被攻擊目標(biāo)。因此，綜合型安全體系中各個(gè)環(huán)節(jié)之間的信任以及安全性保障又成為新的亟待解決的研究問(wèn)題。

[1] 諸葛建偉, 韓心彗, 周勇林, 等. 僵尸網(wǎng)絡(luò)研究與進(jìn)展[J]. 軟件學(xué)報(bào), 2008, 19(3): 702-715.ZHU-GE J W, HAN X H, ZHOU Y L, et al. Research and development of Botnets[J]. Journal of Software, 2008, 19(3): 702-715.

[2] SMITH J, SIMS J. Securing cloud, SDN and large data network environments from emerging DDoS attacks[C]//The International Conference on Cloud Computing, Data Science amp; Engineering.2017.

[3] AHMED M E, KIM H. DDoS attack mitigation in internet of things using software defined networking[J]. Proceedings of Big Data Computing Service and Applications, 2017.

[4] HOQUE N, BHATTACHARYYA D K, KALITA J K. Botnet in DDoS Attacks: Trends and Challenges[J]. IEEE Communications Surveys amp; Tutorials, 2015, 17(4): 2242-2270.

[5] MIRKOVIC J, REIHER P. A taxonomy of DDoS attack and DDoS defense mechanisms[J]. ACM Sigcomm Computer Communications Review, 2004, 34(2): 39-53.

[6] ZARGAR S T, JOSHI J, TIPPER D. A survey of defense mechanism against distributed denial of service flooding attacks[J]. IEEE Communications Surveys amp; Tutorials, 2013, 15(4): 2046-2069.

[7] GIL T M, POLETTO M. MULTOPS: a data-structure for bandwidth attach detection[C]//The 10th Conference on USENIX Security Symposium. 2001.

[8] MIRKOVIC J, REIHER P. D-WARD: a source-end defense against flooding denial-of-service attacks[J]. IEEE Transactions on Dependable and Secure Computing, 2005, 2(3): 216-232.

[9] YAO G, BI J, VASILAKOS A V. Passive IP traceback: disclosing the locations of ip spoofers from path backscatter[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(3): 471-484.

[10] KANSAL V, DAVE M. Proactive DDoS attack detection and isolation[C]//The International Conference on Computer, Communications and Electronics. 2017.

[11] LU N, SU S, JING M, et al. A router based packet filtering scheme for defending against DoS attacks[J]. IEEE China Communications,2014, 11(10): 136-146.

[12] MIZRAK A T, SAVAGE S, MARZULLO K. Detecting compromised routers via packet forwarding behavior[J]. IEEE Network,2008,22(2): 34-39.

[13] MAHAJAN R, BELLOVIN S M. Controlling high bandwidth aggregates in the network[J]. ACM Sigcomm Computer Communication Review, 2002,32(3):62-73.

[14] LIU X, YANG X, LU Y. To filter or to authorize: network-layer DoS defense against multimillion-node botnets[C]//ACM Sigcomm Conference on Data Communication. 2008: 195-206.

[15] 柳袆, 付楓, 孫鑫. 基于全局網(wǎng)絡(luò)PCA的DDoS攻擊檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用研究, 2012, 29(6): 2205-2207.LIU Y, FU F, SUN X. DDoS detection method based on network-wide PCA[J]. Application Research of Computers, 2012,29(6): 2205-2207.

[16] 黃靖, 楊樹(shù)堂, 陸松年. 一種基于流量控制技術(shù)的分布式 DDoS攻擊檢測(cè)框架研究[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2008,25(6): 6-7.HUANG J, YANG S T, LU S N. On framework of distributed DDOS attack detection based on flow control technique[J]. Application Research of Computers, 2008, 25(6): 6-7.

[17] 田曉朋, 鄔家煒, 陳孝全. 基于DDoS攻擊的檢測(cè)防御模型的研究[J]. 計(jì)算機(jī)工程與科學(xué), 2009, 31(1):14-16.TIAN X P, WU J W, CHEN X Q. Research on the model of detection and defense based on DDoS attacks[J]. Computer engineering and science, 2009, 31(1): 14-16.

[18] PARK K, LEE H. On the effectiveness of route-based packet filtering for distributed DoS attack prevention in power-law Internets[J].ACM Sigcomm Computer Communication Review, 2001,31(4):15-26.

[19] YAAR A, PERRIG A, SONG D. StackPi: new packet marking and filtering mechanisms for DDoS and IP spoofing defense[J]. IEEE Journal on Selected Areas in Communications, 2006, 24(10):1853-1863.

[20] YAU D K Y, LUI J C S, LIANG F. Defending against distributed denial-of-service attacks with max-min fair server-centric router throttles[C]//The 10th IEEE International Workshop on Quality of Service. 2002: 35-44.

[21] KIM J, SHIN S. Software-defined HoneyNet: towards mitigating link flooding attacks[C]//IEEE/IFIP International Conference on Dependable Systems and Networks. 2017.

[22] YANG M H, YANG M C. RIHT: a novel hybrid IP traceback scheme[J]. IEEE Transactions on Information Forensics and Security, 2012, 7(2): 789-797.

[23] KARASAWA T, SOSHI M, MIYAJI A. A novel hybrid IP traceback scheme with packet counters[C]//The 5th International Conference on Internet and Distributed Computing Systems. 2012.

[24] WANG B, ZHENG Y, LOU W, et al. DDoS attack protection in the era of cloud computing and software-defined networking[J]. Elsevier Computer Networks, 2015,81(C): 308-319.

[25] WANG H, JIN C, SHIN K G. Defense against spoofed IP traffic using hop-count filtering[J]. IEEE/ACM Transactions on Networking, 2007, 15(1): 40-53.

[26] PATIL S P, PATIL Y S. A survey on DDoS attacks and its defending methods in cloud[J]. International Journal of Innovative Research in Computer and Communication Engineering, 2015, 3(11):119878-11976.

[27] SAHI A, LAI D, LI Y, et al. An efficient DDoS TCP flood attack detection and prevention system in a cloud environment[J]. IEEE Access, 2017, 5: 6036-6048.

[28] RUKAVITSYN A, BORISENKO K, SHOROV A. Self-learning method for DDoS detection model in cloud computing[C]//IEEE Young Researchers in Electrical and Electronic Engineering. 2017:544-547.

[29] WAHAB O A, BENTAHAR J, OTROK H, et al. Optimal load distribution for the detection of VM-based DDoS attacks in the cloud[J]. IEEE Transactions on Services Computing, 1939,(99): 1.

[30] LUA R, YOW K C. Mitigating DDoS attacks with transparent and intelligent fast-flux swarm network[J]. IEEE Network, 2011, 25(4):28-33.

[31] CHEN J, WANG Y, WANG X. On-demand security architecture for cloud computing[J]. Computer, 2012, 45(7): 73-78.

[32] SOMANI G, GAUR M S, SANGHI D, et al. Combating DDoS attacks in the cloud: requirements, trends, and future directions[J].IEEE Cloud Computing, 2017, 4(1):22-32.

[33] DAYAL N, SRIVASTAVA S. Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN[C]//The International Conference on Communication Systems and Networks. 2017: 274-281.

[34] MEHDI S A, KHALID J, KHAYAM S A. Revisiting traffic anomaly detection using software defined networking[C]//The International Conference on Recent Advances in Intrusion Detection. 2011:161-180.

[35] JIN R, WANG B. Malware detection for mobile devices using software-defined networking[C]//IEEE Research and Educational Experiment Workshop. 2013: 81-88.

[36] YAO G, BI J, XIAO P. Source address validation solution with OpenFlow/NOX architecture[C]//IEEE International Conference on Network Protocols, IEEE Computer Society. 2011: 7-12.

[37] YU Y, CHEN Q, LI X. Distributed collaborative monitoring in software defined networks[J]. Computer Science, 2014.

[38] 肖甫, 馬俊青, 黃洵松, 等. SDN環(huán)境下基于KNN的DDoS攻擊檢測(cè)方法[J]. 南京郵電大學(xué)學(xué)報(bào), 2015, 35(1):84-88.XIAO F, MA J Q, HUANG X S, et al. DDoS attack detection based on KNN in software defined networks[J]. Journal of Nanjing University of Posts and Telecommunications, 2015, 35(1): 84-88.

[39] PASSITO A, MOTA E, BENNESBY R, et al. AgNOS: a framework for autonomous control of software-defined networks[C]//IEEE International Conference on Advanced Information Networking and Applications. 2014: 405-412.

[40] KLOTI R, KOTRONIS V, SMITH P. OpenFlow: a security analysis[C]//IEEE International Conference on Network Protocols.2014:1-6.

[41] WUNDSAM A, DAN L, SEETHARAMAN S, et al. OFRewind:enabling record and replay troubleshooting for networks[C]//Usenix Conference on Usenix Technical. 2011:29-29.

[42] 王秀磊, 陳鳴, 邢長(zhǎng)友, 等. 一種防御 DDoS攻擊的軟件定義安全網(wǎng)絡(luò)體制[J]. 軟件學(xué)報(bào), 2016, 27(12): 3104-3119.WANG X L, CHEN M, XING C Y, et al. Software defined security networking mechanism against DDoS attacks[J]. Journal of Software, 2016, 27(12): 3104-3119.

[43] HAMEED S, KHAN H A. Leveraging SDN for collaborative DDoS mitigation[C]//The International Conference on Networked Systems. 2017.

[44] FRANCOIS J, FESTOR O. Anomaly traceback using software defined networking[J]. International Workshop on Information Forensics amp; Security, 2014.

[45] YAN Q, GONG Q, YU F R. Effective software-defined networking controller scheduling method to mitigate DDoS attacks[J]. Electronics Letters, 2017, 53(7):469-471.

[46] BELYAEV M, GAIVORONSKI S. Towards load balancing in SDN-networks during DDoS-attacks[C]//IEEE Science and Technology Conference. 2015:1-6.

[47] JESUS W P D, SILVA D A D, JUNIOR R T D S, et al. Analysis of SDN contributions for cloud computing security[C]// IEEE/ACM International Conference on Utility and Cloud Computing. 2015:922-927.

[48] YAN Q, YU F R. Distributed denial of service attacks in software-defined networking with cloud computing[J]. IEEE Communications Magazine, 2015, 53(4):52-59.

Survey of DDoS defense： challenges and directions

CHEN Fei1,2, BI Xiao-hong1,2, WANG Jing-jing1,2, LIU Yuan1,2

(1. School of Digital Media, Jiangnan University, Wuxi 214122, China;Jiangsu Key Laboratory of Media Design and Software Technology, Wuxi 214122, China)

The distributed denial of server (DDoS) attack is a major threat to the Internet. Numerous works have been proposed to deal with this problem through attack detection and defense mechanism design. A survey was presented to introduce the DDoS defense technologies, from the traditional strategies, through Cloud-based systems,toward SDN-based mechanisms. According to the characteristics of DDoS attack, the features and drawbacks of these systems were discussed, which could provide new insights for the development of the new generation of network security framework in the future.

DDoS defense, cloud computing, software-defined network, distributed networks

s：The National Natural Science Foundation of China(No.61602214), The Natural Science Foundation of Jiangsu Province(No.BK20160191), The National Science and Technology Support Program of China(No.2015BAH54F01),Research Innovation Program for College Graduate of Jiangsu Province(No.SJZZ16_0218)

TP393

A

10.11959/j.issn.2096-109x.2017.00202

2017-04-05；

2017-08-18。

陳飛，chenf@jiangnan.edu.cn

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61602214）；江蘇省自然科學(xué)基金資助項(xiàng)目（No.BK20160191）；國(guó)家科技支撐計(jì)劃基金資助項(xiàng)目（No.2015BAH54F01）；江蘇省普通高校專(zhuān)業(yè)學(xué)位研究生實(shí)踐創(chuàng)新計(jì)劃基金資助項(xiàng)目（No.SJZZ16_0218）

陳飛（1984-），男，山東泰安人，博士，江南大學(xué)講師，主要研究方向?yàn)樵朴?jì)算、計(jì)算機(jī)網(wǎng)絡(luò)。

畢小紅（1989-），男，山西長(zhǎng)治人，江南大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)虛擬化技術(shù)。

王晶晶（1996 -），女，江蘇揚(yáng)州人，江南大學(xué)本科生，主要研究方向?yàn)镾DN網(wǎng)絡(luò)。

劉淵（1967-），男，江蘇無(wú)錫人，江南大學(xué)教授，主要研究方向?yàn)榫W(wǎng)絡(luò)流量分析和數(shù)字媒體軟件。