جلوگیری از حملات DDOS با بازرسی جریان ترافیک ELASTIC در مراکز داده مبتنی بر SDN

در این مقاله، ما یک راه حل دفاع از حمله انکار خدمات توزیع شده (DDoS) را پیشنهاد می کنیم، یعنی (SAFE-which) از یک مکانیسم بازرسی جریان ترافیک الاستیک برای مراکز داده مبتنی بر شبکه های تعریف شده نرم افزار (SDN) استفاده می کند. به طور خاص، ابتدا یک شبکه مرکز داده مبتنی بر SDN را بررسی می کنیم که در برابر حملات حجمی DDoS بسیار آسیب پذیر است. در مرحله بعد، ما یک الگوریتم تشخیص ناهنجاری مبتنی بر رتبه را برای تشخیص ناهنجاریها در میزان ترافیک ورودی ایجاد می کنیم. سپس، برای بازرسی جریان ترافیک، مولفه ای به نام DFI (بازرسی جریان عمیق) را معرفی می کنیم که یک OvS را اجرا می کند که می تواند به صورت پویا به عنوان یک ماشین مجازی برای جمع آوری آمار جریان ترافیک در صورت تقاضا راه اندازی شود. با استفاده از نظارت بر ترافیک مبتنی بر یادگیری تقویتی عمیق از مطالعه قبلی ما، DFIها را میتوان از مشکل سرریز جدول جریان محافظت کرد و در عین حال اطلاعات دقیق تری از جریان ترافیک ارائه کرد. پس از آن، یک آشکارساز حمله مبتنی بر یادگیری ماشین، آمار قوانین جریان جمع آوری شده را برای شناسایی حمله تجزیه و تحلیل می کند و در صورت شناسایی حمله، سیاست های مناسب اجرا می شود.نتایج آزمایش نشان می دهد که SAFE می تواند به طور موثر در برابر حملات حجمی DDoS دفاع کند و در عین حال سطح کیفیت خدمات قابل اعتمادی را برای جریان های ترافیکی عادی در شبکه های مرکز داده مبتنی بر SDN تضمین کند. بطور خاص، برای حملات حجمی TCP SYN و UDP، عملکرد شناسایی حمله SAFE در مقایسه با راه حل SATA موجود، به ترتیب تقریبا ۴۰% و ۳۰% بهبود یافته است. علاوه بر این، عملکرد کاهش حمله، نسبت بسته های مخرب رها شده به دست آمده توسط SAFE تقریبا ۴۸٪ برای TCP SYNو ۵۲٪ برای سیل UDP نسبت به SATA برتر است.