Abstract
Cloud computing has become the real trend of enterprise IT service model that offers cost- effective and scalable processing. Meanwhile, Software-Defined Networking (SDN) is gain- ing popularity in enterprise networks for flexibility in network management service and reduced operational cost. There seems a trend for the two technologies to go hand-in-hand in providing an enterprise’s IT services. However, the new challenges brought by the mar- riage of cloud computing and SDN, particularly the implications on enterprise network security, have not been well understood. This paper sets to address this important problem. We start by examining the security impact, in particular, the impact on DDoS attack defense mechanisms, in an enterprise network where both technologies are adopted. We find that SDN technology can actually help enterprises to defend against DDoS attacks if the defense architecture is designed properly. To that end, we propose a DDoS attack mit- igation architecture that integrates a highly programmable network monitoring to enable attack detection and a flexible control structure to allow fast and specific attack reaction. To cope with the new architecture, we propose a graphic model based attack detection sys- tem that can deal with the dataset shift problem. The simulation results show that our architecture can effectively and efficiently address the security challenges brought by the new network paradigm and our attack detection system can effectively report various attacks using real-world network traffic
چکیده
رایانش ابری به روش اصلی در خدمات شرکت های IT تبدیل شده است که پردازشی مقیاس پذیر و مقرون به صرفه را ارائه می دهد. در همین حال، شبکه نرم افزار محور (SDN) به دلیل انعطاف پذیری در سرویس های مدیریت شبکه و هزینه عملیاتی بهینه اش در حال کسب محبوبیت در میان شبکه های سازمانی می باشد. به نظر می رسد این دو تکنولوژی روند هماهنگی را برای ارائه خدمات IT به سازمان ها دنبال می کنند. با این حال، پیوند رایانش ابری و SDN چالش های جدیدی را به وجود آورده است، به ویژه مفاهیم امنیت شبکه های سازمانی، به خوبی شناسانده نشده اند. این مقاله برای رسیدگی به این مسئله مهم تدوین شده است. ما با بررسی تاثیر امنیت ، به ویژه، تاثیر آن بر مکانیسم های دفاعی حمله DDoSدر یک شبکه سازمانی که از هر دو تکنولوژی مذکور استفاده کرده است شروع می نماییم. ما دریافتیم که فن آوری SDN در واقع می تواند به شرکت ها برای دفاع در برابر حملات DDoS کمک نماید اگر معماری دفاع به درستی طراحی شده باشد. به این منظور، ما یک معماری کاهش خطرات حمله DDoS را پیشنهاد کرده ایم که یک نظارت شبکه ای قابل برنامه ریزی برای تشخیص حمله فعال و یک ساختار کنترل انعطاف پذیر را که اجازه واکنش حمله سریع و مشخص را می دهد را در خود جای داده است. برای کنار آمدن با معماری جدید، ما یک مدل گرافیکی مبتنی بر سیستم تشخیص حمله که می تواند با مسئله تغییر داده مقابله کند را پیشنهاد کرده ایم. نتایج شبیه سازی نشان می دهد که معماری ما به طور موثر و کارآمد می تواند با چالش های امنیتی ایجاد شده توسط الگوی شبکه ای جدید مقابله نموده و همچنین سیستم تشخیص حمله ما می تواند حملات مختلف را با استفاده از ترافیک شبکه ی دنیای واقعی به طور موثر گزارش دهد.
1-مقدمه
از آن جایی که رایانش ابری خدمات رایانشی به محض تقاضا، انعطاف پذیر، و قابل دسترسی را فراهم می کند ، شرکت ها هر چه بیشتر شروع به پذیرش این تغییر الگو نموده و پایگاه داده ها و برنامه های کاربردی خودشان را به ابر منتقل می نمایند. همزمان، مفهوم تاریخی دیگری نیز از معماری اینترنت پیش آمده است ، یعنی، شبکه نرم افزار محور (SDN). در حالی که رایانش ابری مدیریت منابع محاسباتی و ذخیره سازی را تسهیل می کند، SDN برای رسیدگی به موضوع پر زحمت دیگری که مانع سیر تکاملی اینترنت امروزی، یعنی، مدیریت شبکه پیچیده است پیشنهاد گردیده است...