分布式拒绝服务(distributed denial of service, DDoS)攻击对互联网的威胁日益严重[1],根据攻击目标,DDoS攻击分为应用程序、主机、资源、网络和基础设施攻击[2]。随着网络技术的发展,新的DDoS攻击也层出不穷,Crossfire攻击就是典型代表[3]。该类攻击造成关键链路的拥塞,破坏或切断网络目标区域的访问链接,使网络服务受到严重干扰。由于Crossfire攻击难以检测且危害严重,其实现机制和攻击特性造成传统网络安全措施对其难以防御。
传统的DDoS防御方法[4]单纯检测流量特征并根据流量和数据包的属性[5]过滤攻击流量,该方法检测精度低,响应速度慢,攻击者容易避开检测机制并导致防御失效。现行的DDoS防御机制不可避免地产生大量攻击误报,不仅干扰了正常的网络服务,也降低了防御机制的可信度[6]。同时,DDoS检测和防御机制本身的开销也会造成网络服务质量的下降,如利用基于软件定义网络(software defined network, SDN)的重路由策略防御Crossfire链路洪泛攻击的方法[7-8]和DDoS保护服务提供商提出的基于云的解决方案[9],额外成本过高。
针对Crossfire攻击检测和防御面临的上述问题和不足,本文提出一种基于SDN的移动目标防御(moving target defense, MTD)机制,结合快速重路由在SDN故障恢复上的应用,进一步优化重路由策略,使重路由前后的网络流量能保持其特定属性,维持TCP等上层会话业务不中断,同时避免SDN的路由环路和黑洞,减少SDN控制器和交换机的交互开销;通过利用SDN架构中流量灵活管理和中心化的流量层级监测控制特性,可以及时疏散被攻击链路的流量负载并缓解链路拥塞,避免关键链路不可访问之后网络业务中断。
1 Crossfire攻击分析 1.1 Crossfire攻击的实现机制Crossfire攻击目的是切断指向网络目标区域的关键链路,如果多条关键链路同时被攻击流量阻塞,那么访问目标区域的网络链接将全部中断(攻击实现过程如图 1所示)。Crossfire攻击分为构建链路图、组织攻击、协调僵尸机3个阶段,为达到攻击的持续性,Crossfire还可以引入滚动攻击的方式动态执行攻击[3]。
|
| 图 1 Crossfire攻击实现过程 |
1) 构建链路图。
攻击者根据路由追踪消息构建出一个围绕该区域的网络链路图,然后选择出目标链路。目标链路选择时需要考虑到链路连接持续时间,即避免选择临时链路作为攻击目标而影响攻击持续性。
2) 组织攻击。
攻击者根据链路地图获取目标链路的集合,对目标链路的流量泛洪可切断更多到达目标区域的访问路径,以达到最大化攻击效果。Crossfire组织攻击阶段包括目标链路流量密度计算和目标链路选择2个过程。
3) 协调僵尸机。
为产生攻击流量洪泛目标链路,攻击者需完成攻击流量分配和目标链路洪泛2个过程。
4) 滚动攻击。
Crossfire的连续攻击造成某条链路阻塞甚至断连之后,必然会触发路由失败检测及响应机制,僵尸机到服务器之间的路由也将发生改变。因此攻击者需要动态调整网络链路图和目标链路选择,甚至改变攻击使用的僵尸机集合,以达到加深攻击隐蔽性和增强攻击持续性的目的。
1.2 Crossfire攻击特性传统的资源攻击通常需要较大的流量速率才能达到攻击效果,然而高速率流量既需要较大成本,也容易被防御机制所检测。相比之下,Crossfire是一种较难防御的资源攻击,Crossfire的以下4个特性使得该攻击易于实施、隐蔽性较强。
1) 灵活性。攻击者实施攻击时可以选择任意网络区域(不论目标区域大小),目标区域内有大量公共服务器,目标区域周围也有大量诱饵服务器,均可公开访问,而不需要服务器的权限,这与普通的链路洪泛攻击区别明显。
2) 持续性。Crossfire的滚动攻击方式利用网络中存在的长期稳定路由,动态调整攻击目标,使Crossfire只作用于数据层,从而规避控制层的响应机制(例如路由改变),因此可以无限期地延长攻击持续时间,使目标网络区域长期中断。
3) 在目标区域无法检测。Crossfire攻击流量对每台诱饵服务器只造成微量负载增加,使其无法察觉。由于没有直接攻击目标区域导致目标区域内的服务器无法检测,攻击者可以在目标链路之间保留若干跳距离,从而增大检测难度。
4) 攻击流量在路由器中难以区分。Crossfire攻击中的大量低速率攻击流量均携带不同的源IP和目的IP地址,针对高速流量检测的机制对此无效。由于Crossfire可以使用正常的网络请求,与合法流量携带相同的有效载荷,因此该攻击不需要大量流量即可达到攻击效果,导致传统DDoS检测的有效载荷检查方法失效。因此,与目标区域相连的路由器难以区分Crossfire攻击流量。
2 Crossfire防御机制 2.1 快速重路由SDN具有控制层与数据层分离、集中网络控制和视图、开放控制层与数据层之间的设备接口、网络外部可编程性4个关键特性,从而避免了繁琐复杂的配置操作并减少失误,有利于统一快速部署[10]。SDN通过OpenFlow协议[11]实现数据层与控制层之间交互,为灵活快速地调整交换机流量转发提供了可能,也为防御DDoS攻击提供新的思路[12]。
在SDN的链路故障恢复过程中,采用快速重路由方法(fast re-routing method, FRM)恢复SDN网络的链路故障。FRM的处理方法是:通过定时交换核心链路信息来检测链路故障,可识别出故障链路并通知控制器。当链路故障时,备份的数据包可通过备用路径转发至目的地。为了应对单/双链路故障,控制器计算多个备用路径(按需计算,以减少内存开销)。为了最大限度利用网络带宽,按照优先级排队转发数据包,并按最佳方式分配网络业务,从而避免出现新的链路过载和其导致的进一步拥塞甚至故障。
SDN的重路由策略通过备用路径重新转发数据包,可在不限制源主机发送速率的情况下解决链路拥塞[13]。在链路洪泛前期难以被检测或攻击源无法确定的情况下,重路由策略可以疏散被攻击链路的流量负载,保障关键链路的可用性。同时,重路由策略在网络功能虚拟化(network function virtualization,NFV)场景下能够适应不同种类的网络基础设施和不同层级的网络规模[14],从而使其具有极好的泛化能力。
传统网络中的路由器通过路由算法决定数据包的转发路径,而SDN具有在数据层和控制层的解耦操作,以及流量决策函数和转发函数分离的特性,这些特性为Crossfire攻击的防御机制设计提供了有利条件。
2.2 重路由策略尽管逻辑上集中控制的、可编程的网络控制可以保证SDN运营的稳定性和有效性,但是SDN交换机与控制器之间的异步通信信道,特别是信道的可变时延,导致SDN仍然需要被当作一个分布式系统来进行管理。SDN的路由策略需要解决的基本问题是:如何保证重路由之后的流仍然保持其特定属性;在路由更新过程中如何避免环路与黑洞;尤其是如何减少SDN控制器与交换机之间的交互次数(接触),以减少网络资源开销[15]。
本文的路由策略假设每个流都有其各自不同的转发规则集合,且保存于不同的节点。路由需要支持SDN的全部灵活性,允许任意无环路径。该策略不强制要求路由算法必须基于最短路径或者基于目的地址。在路由更新过程中,每个节点不能延迟或丢弃数据包,也不能重定向到SDN控制器;换言之,只要数据包到达某一节点,就必须给出相应的转发规则。
本文采用在每一轮重路由的策略更新过程中,只更新一个节点的转发策略,以减少SDN控制器与交换机的交互即接触开销。使用的联合目录机制是从目的节点到源节点一个接一个对交换机目录进行更新,以避免形成环路;在如何合并正确目录的这个问题上,为取得最优解,本文将其处理为特殊的最短公共超序列(shortest common supersequence,SCS)问题。将每个节点对应为字母表中的一个字母,每个转发策略对应为一个字母序列。与传统的SCS问题不同,该场景下的每个转发策略所对应的序列中,每个节点只能出现一次,即该字母序列中不能有重复字母。对于常数规模的输入序列,SCS有多项式时间算法,否则是非确定性多项式(non-deterministic porynomial, NP)难度的问题[16]。
2.3 拥塞监控和分流控制模型 2.3.1 基于关系序偶集合的网络模型构建给定一个网络拓扑,网络由无向图G=(V,E)指定。其中,V是交换机或者代表路由器的节点的集合,E是通信链路的集合。p表示交换机数量,q表示路由器数量,n表示通信链路数量,则有V={v1,v2,…, vp}U{vp+1,vp+2,…, vp+q},E={e1,e2,…, en}。设A是实体(通信业务)的集合,则有A={α1,α2,…, αn}。
在本文的网络拓扑模型中,可获得4类有效信息:1) SDN交换机分布信息;2)服务器分布信息;3)通信链路位置信息;4)通信业务信息。
定义1 交换机或者路由器的节点与通信链路的流量矩阵为D(p+q)×(p+q),表示通信链路的节点流量信息。若dij=0,则表示节点vi和节点vj之间不存在通信链路;否则,dij表示节点vi和节点vj之间直连通信链路的流量大小。
算法1 通信业务与其经过的链路可组成关系序偶,节点与和其直接相连的链路可组成关系序偶。当链路被洪泛攻击时,用数据表记录可疑实体(通信业务)与被洪泛链路、可疑节点与被洪泛链路的关系序偶,随后将已被监视链路从链路集合中移除。然后,计算由于新的被攻击链路出现所增加的关系序偶,即若时刻τ可疑实体、与被洪泛链路、可疑节点的关系序偶的参数出现重合,则表明遭到攻击。移除超过时间阈值的关系序偶并更新数据表。
输入:E(t):t时刻被洪泛攻击的链路集合;
αe:与e∈E(t)相关实体;
vi:与e∈E(t)相关节点;
流量矩阵D。
输出:t+1时刻的SA(τ),SV(τ)。
/*初始化,建立数据表*/
SA(t):{sαi(t):αi→ei},
i=1,…||E(t)||;
SV(t):{svi(t):ei→vi},
i=1,…||E(t)||
/*移除被监视链路*/
for each e∈E do
If ∃e′∈E:αe′→ve′∃αe→ve then
E←E-e;
/*更新数据表*/
for each e∈E do
SA←SA∪{ < η=α,μ=e,τ=t>,∀ α∈Ae};
SV←SV∪{ < μ=e,σ=v,τ=t>,∀v∈Ve};
∀ < α,v>∈(S:SA∞SV)
for each < η,σ>= < α,v>
do α→v;
SA(τ)←SA-ατ < deadline;
SV(τ)←SV-vτ < deadline;
Return SA(τ), SV(τ)。
2.3.2 拥塞监控和重路由控制在本文的拥塞监控和分流控制模型中,需要判断拥塞链路的可疑等级,并对可疑等级高的拥塞链路进行重路由。拥塞监控和重路由控制过程如图 2所示。
|
| 图 2 拥塞监控和重路由控制流程 |
当发现链路严重拥塞时,执行以下步骤。
步骤1 获取流量信息,根据目标地址分类,并测量出每个目的主机的流量带宽。
步骤2 判断所有目的主机是否同时拥塞,若是,则执行步骤4;若否,则执行步骤3。
步骤3 根据每个拥塞链路的目的主机带宽负载一致性对目的主机分类,对分类排名中达到拥塞链路带宽门限的目的主机进行重路由。
步骤4 属于同时拥塞阶段(即正常,未被攻击)。
步骤5 判断是否首次链路阻塞,若是,则执行步骤1;若否,则执行步骤6。
步骤6 将拥塞链路的流量信息与重路由之前的流量信息相关联。
步骤7 判断已重路由的链路流量中消失的源地址在当前拥塞链路中是否出现过,若是,则执行步骤8;若否,则执行步骤9。
步骤8 更新这些源地址相应的可疑等级。
步骤9 重路由,并且对新的拓扑链路进行拥塞监控。
定义2 给定一段时间内,设定怀疑等级系数xk来判断源地址k的可疑等级。w表示重路由次数,fk表示源地址k在w轮重路由过程中的拥塞路径上的出现次数。给定时间内,源地址k的可疑等级系数为
| $ {x_k} = {f_k}/w. $ |
由此公式可以看出,xk的值越大,源地址k的可疑等级越高。当xk>50%时,则认为源地址k具有较高的可疑等级。
重路由控制方法设计如下。
步骤1 按路由将拥塞流量分组,排除源速率应当受限的流量(如果有,提高其怀疑等级)。
步骤2 若拥塞流量达到重路由阈值,则为每个需要重路由的流量组寻找新的链路e,e应满足2个条件:1)与拥塞链路不相连,2)带宽能满足流量负载。
步骤3 若无法找到一条满足条件的e,且一个组内所有的流量均未重路由,则暂时存储未重路由的流量信息。找到e之后,重路由流量,并记录重路由流量及相应链路。
步骤4 检查所有的拥塞流量组以确定每个组内所有流量都已被重路由。
重路由完成后,监控机制需要进一步监测重路由后的流量,同时联系互联网服务提供商(ISP)以免未重路由的流量信息被存储。
2.4 Crossfire攻击的防御方法Crossfire攻击防御方法包括主动阶段和响应阶段。
1) 主动阶段。
在攻击者构建链路图的过程中改变连接关系,扰乱攻击者的构建过程,并在遭到首次攻击时破坏僵尸机初始分配。
2) 响应阶段。
防御者利用SDN对流量的中心化管控能力,构建MTD机制。该机制利用SDN控制器和OpenFlow协议,协调4个相互关联的SDN应用模块(如图 3),动态调整网络配置和网络行为,从而增加攻击者的攻击难度,实现对攻击的检测和链路流量的缓解。
|
| 图 3 MTD防御机制架构 |
MTD中4个模块的协同操作过程设计如下:
1) ICMP监测模块连续监测ICMP数据包;
2) SDN控制器根据ICMP数据包构建路由信息数据表;
3) 路由追踪分析模块在t时间内检测到过多的路由追踪尝试时,根据路由信息数据表确定潜在的攻击目标链路,并通知路由调整模块进行重路由调整;
4) 拥塞监控组件每隔s秒测量链路带宽并统计拥塞链路的各分组流量负载,每隔r秒处理当前所有链路阻塞。设定拥塞阈值为链路负载超过其带宽容量的50%,达到90%时则认为发生严重拥塞,如果链路拥塞程度超过阈值,那么将通过重路由进行缓解。
此外,利用重路由策略还可实现对攻击源的检测目的。在僵尸机攻击目标区域的情况下,由于重路由导致目标区域周围的诱饵服务器减少,那么每台诱饵服务器将接收到更多的攻击流量,即诱使攻击者增加分配给特定诱饵服务器的流量,从而提高了在诱饵服务器上对攻击的检测率。
2.5 响应分析在本文的攻击防御机制中,采用基于FRM的SDN重路由策略可解决流量的拥塞问题并使其不交汇于被阻塞链路,导致攻击者探测链路图改变情况并重新计算目标链路。因此,防御者的重路由策略只需改变流量的目的地址,故将其设置为诱饵服务器地址。防御者通过重路由可重新分配部分攻击流量,保证目标区域流量负载不变,同时将部分诱饵服务器从攻击区域中移除,并断开与目标区域的链路。
为应对防御,攻击者将向未重新路由的诱饵服务器发送更多流量,导致这些服务器在每一轮攻击中所接收的攻击流量都会增加。在极端情况下,当仅剩下一个诱饵服务器时,攻击流量将全部流向该目标,此时分析攻击流量的路径和源地址将变得相对容易,则通过路由追踪可以较容易定位攻击源。
攻击者-防御者之间的响应过程如图 4所示。该网络拓扑由5个SDN交换机(Ⅰ—Ⅴ),2个诱饵服务器(1和2)和目标区域构成。其中,Ⅱ和Ⅲ的SDN交换机之间的链路是该网络拓扑的关键路径。重路由过程流量分布变化如图 4所示。在图 4a中,攻击者对该关键链路实施洪泛并使其拥塞;图 4b中,防御者将发送给诱饵服务器1的流量重路由,通过备用路径进行转发以缓解目标链路的拥塞状况;图 4c中,攻击者向诱饵服务器2发送更多流量以达到攻击目的。根据重路由前后诱饵服务器的流量负载分布变化,防御机制对流量来源设定相应的怀疑等级。攻击者与防御者针对对方措施的响应时机,决定了双方在交互过程中哪一方更有优势。
|
| 图 4 响应过程 |
3 实验与结果 3.1 实验设计
为评估本文防御机制的有效性,使用Mininet搭建实验网络环境。在该实验网络环境中设计并部署一个Crossfire攻击场景,然后运行本文防御模型和相关机制,检验防御机制的有效性。
实验网络拓扑如图 5所示。在该网络中,访问该拓扑的流量(包括僵尸机流量)来源于互联网,通过左侧2个边界交换机进入该网络区域,设定流量的到达和访问时间服从Poisson分布,配置诱饵服务器(编号1—10),将目标服务器(编号11)部署在网络拓扑右侧的中间位置。在Mininet中设定实验参数(如表 1所示)。
|
| 图 5 实验网络拓扑 |
| 参数 | 数值 |
| 网络链路容量 | 500 Kbps |
| 合法主机数量 | 50 |
| 僵尸机数量 | 15 |
| 网络链路带宽测量间隔 | 3 s |
| 目标带宽测量间隔 | 1 s |
| 总带宽测量间隔 | 4 s |
| 并发链路拥塞时间间隔 | 10 s |
Crossfire攻击的实现过程如下。
1) 动态拓扑发现。攻击者周期性地运行多个路由跟踪器并构造网络链路图,在若干跟踪程序周期之后构建出稳定的目标服务器/区域网络链路图。
2) 攻击的设置和完成。通过计算链路流量密度选择目标链路,当所有的目标链路被攻击流量阻塞时,攻击完成。
在实验中,设置10个僵尸机和15个合法主机。根据节3.2和3.3,设计防御脚本并部署、运行防御模型和防御机制,对Crossfire攻击行为进行识别和重路由。在实验中,设定每个僵尸机的Crossfire攻击流量分别为5和10 Kbps,测量并记录攻击的组织和完成时间、攻防双方的响应时间。
3.2 实验结果与分析进行10组Crossfire攻击实验,实验结果如图 6—9所示。其中,Crossfire攻击设置时间如图 6所示。从图 6可见,当单位流量更高时,Crossfire攻击者更容易计算攻击流量以及分配僵尸机,攻击组织时间也会相应减少。
|
| 图 6 Crossfire攻击设置时间 |
|
| 图 7 Crossfire攻击完成时间 |
|
| 图 8 Crossfire攻击者响应时间 |
|
| 图 9 Crossfire防御者响应时间 |
Crossfire攻击完成时间如图 7所示。从图 7可见,攻击者通过增加单位流量,可以在更短时间内阻塞目标链路,攻击完成时间也随之缩短。
Crossfire攻击者响应时间如图 8所示。攻击者响应时间为从防御机制对攻击的响应(拥塞缓解)到攻击者再次发起攻击的时间间隔。此指标反映了Crossfire攻击防御机制的效果。攻击者的响应措施是调整攻击目标,重新执行动态拓扑发现(路由跟踪和链路图构建)所花费的时间与拓扑高度相关。实验结果表明Crossfire攻击完成时间与攻击组织及响应时间具有高度的一致性。
Crossfire攻击防御的响应时间如图 9所示。防御响应时间为检测到链路严重拥塞至所有拥塞状况缓解(重路由)的时间间隔。防御响应时间决定了Crossfire攻击的有效时长(检测到链路严重拥塞到启动应对措施)以及对Crossfire攻击源的检测速度。实验结果表明,Crossfire攻击的单位攻击流量大小与防御响应时间无明显的相关性。
由于实验网络拓扑的对称性,Crossfire攻击者每次计算的是相同的2个目标链路,因此,可仅对图 5所示拓扑的下半部分进行重路由分析,每轮重路由后各诱饵服务器攻击流量分布测量结果如表 2所示。表 2的实验结果表明:重路由后诱饵服务器的流量分布发生变化,这种现象有利于进一步追踪Crossfire的攻击源。
| 诱饵服务器编号 | 4 | 5 | 6 | 7 | 8 |
| 1轮重路由后攻击流量分布/% | 19 | 21 | 22 | 20 | 18 |
| 2轮重路由后攻击流量分布/% | 25 | 22 | 27 | 0 | 26 |
| 3轮重路由后攻击流量分布/% | 52 | 0 | 48 | 0 | 0 |
| 4轮重路由后攻击流量分布/% | 100 | 0 | 0 | 0 | 0 |
为进一步分析本文提出的基于SDN的MTD防御机制对网络性能的影响,对不同重路由时间间隔、非MTD场景下的数据包平均传输时延和传输数据包总量指标进行测量和比较。实验结果如图 10和11所示。从图 10和11可见,虽然重路由本身的计算负担会造成包的传输时延略微增加,但增加的传输延迟小于毫秒级,可以认为对网络业务的服务质量(quality of service, QoS)影响不大;从网络传输的数据包总量来看,重路由策略有效地缓解了网络负担,极大地减轻了攻击流量对网络资源的消耗。
|
| 图 10 包的平均传输时延 |
|
| 图 11 传输数据包总量 |
上述实验结果表明,本文提出的Crossfire防御模型和机制能够对Crossfire攻击及时做出响应,有效分流被攻击链路的流量负载,并通过诱饵服务器的流量分布变化进一步限定攻击源范围,实验结果证明了本文方法对Crossfire攻击防御的有效性。
4 结论本文提出了一个基于SDN的FRM重路由策略和MTD的Crossfire防御机制,该机制利用SDN架构中流量灵活管理和中心化流量层监测控制特性,及时分流被攻击链路的流量负载并缓解链路拥塞,从而避免关键链路不可访问和其导致的网络业务中断。验证实验表明:本文机制能够对Crossfire攻击进行快速响应,并通过对被攻击链路拥塞流量的及时重路由缓解网络拥塞,可有效保障正常网络业务请求不被中断。
在未来研究中将考虑把路由标记加入到攻击流量的特征检测当中,进一步提高对攻击源的检测准确性,同时需要通过进一步的实验分析验证拓扑结构对防御机制的部署影响效果。由于Crossfire这类链路洪泛攻击擅长利用关键链路流量过载来阻塞访问,为了避免频繁调用重路由策略,减少开销并增强网络自身的鲁棒性,将考虑采用更完备的流量工程方法均衡网络负载,在攻击前期及时疏散链路拥塞流量。
| [1] |
SAMI I U, AHMAD M B, ASIF M, et al. DoS/DDoS detection for e-healthcare in Internet of things[J]. International Journal of Advanced Computer Science & Applications, 2018, 9(1): 297-300. |
| [2] |
BHARDWAJ A, SUBRAHMANYAM G V B, AVASTHI V, et al. DDoS attacks, new DDoS taxonomy and mitigation solutions-A survey[C]//The Proceedings of the International Conference on Signal Processing, Communication, Power and Embedded System. Paralakhemundi, India: IEEE, 2017: 793-798.
|
| [3] |
KANG M S, LEE S B, GLIGOR V D. The crossfire attack[C]//Proceedings of IEEE Symposium on Security and Privacy. Berkeley, USA: IEEE, 2013: 127-141.
|
| [4] |
MAHALE V V, PAREEK N P, UTTARWAR V U. Alleviation of DDoS attack using advance technique[C]//Proceedings of 2017 International Conference on Innovative Mechanisms for Industry Applications. Bangalore, India: IEEE, 2017: 172-176.
|
| [5] |
LEE Y J, BAIK N K, KIM C, et al. Study of detection method for spoofed IP against DDoS attacks[J]. Personal and Ubiquitous Computing, 2018, 22(1): 35-44. DOI:10.1007/s00779-017-1097-y |
| [6] |
HOQUE N, BHATTACHARYYA D K, KALITA J K. An alert analysis approach to DDoS attack detection[C]//Proceedings of 2016 International Conference on Accessibility to Digital World. Guwahati, India: IEEE, 2017: 33-38.
|
| [7] |
KHADKE A, MADANKAR M, MOTGHARE M. Review on mitigation of distributed denial of service (DDoS) attacks in cloud computing[C]//Proceedings of the 10th International Conference on Intelligent Systems and Control. Coimbatore, India: IEEE, 2016: 1-5.
|
| [8] |
AYDEGER A, SAPUTRO N, AKKAYA K, et al. Mitigating crossfire attacks using SDN-based moving target defense[C]//The Proceedings of the 41st IEEE Conference on Local Computer Networks. Dubai, United Arab Emirates: IEEE, 2016: 627-630.
|
| [9] |
GKOUNIS D, KOTRONIS V, DIMITROPOULOS X. Towards defeating the crossfire attack using SDN, 1412.2013v1[R]. Vassilika Vouton, Greece: The Foundation for Research and Technology-Hellas, 2014.
|
| [10] |
张朝昆, 崔勇, 唐翯祎, 等. 软件定义网络(SDN)研究进展[J]. 软件学报, 2015, 26(1): 62-81. ZHANG C K, CUI Y, TANG H Y, et al. State-of-the art survey on software-defined networking (SDN)[J]. Journal of Software, 2015, 26(1): 62-81. (in Chinese) |
| [11] |
MCKEOWN N, ANDERSON T, BALAKRISHNAN H, et al. OpenFlow:Enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74. DOI:10.1145/1355734 |
| [12] |
KALKAN K, GUR G, ALAGOZ F. Defense mechanisms against DDoS attacks in SDN environment[J]. IEEE Communications Magazine, 2017, 55(9): 175-179. DOI:10.1109/MCOM.2017.1600970 |
| [13] |
KANAGEVLU R, AUNG K M M. SDN controlled local re-routing to reduce congestion in cloud data center[C]//Proceedings of 2015 International Conference on Cloud Computing Research and Innovation. Singapore: IEEE, 2016: 80-88.
|
| [14] |
LAI J, FU Q, MOORS T. Rapid IP rerouting with SDN and NFV[C]//Proceedings of Global Communications Conference. San Diego, USA: IEEE, 2016: 1-7.
|
| [15] |
BASTA A, BLENK A, DUDYCZ S, et al. Efficient Loop-free rerouting of multiple SDN flows[J]. IEEE/ACM Transactions on Networking, 2018, 26(2): 948-961. DOI:10.1109/TNET.2018.2810640 |
| [16] |
MAIER D. The complexity of some problems on subsequences and supersequences[M]. New York, USA: ACM, 1978.
|