韓文明先生
黃耀麟先生
鄧傑博士
李博先生
劉文湘先生
政府資訊科技總監辦公室
香港科技大學
Institute for Infocomm Research, A*STAR Singapore
分佈式阻斷服務攻擊(DDoS)的攻擊者發送大量的數據或服務請求,導致合法用戶無法使用應有服務。目前的技術依托客戶端的防禦機制,成效有不足,不能有效地捍衛高帶寬攻擊或追溯攻擊者來源。更有效的防衛必須採用上游的機制,做流量和數據分析以及過濾。 這項目擬評估軟件定義網絡(SDN),用於防護DDoS攻擊的細粒度網絡流量監視和上游在線過濾的能力,從而設計一個敏捷的DDoS防護平台的體系結構。該平台充分利用軟件定義網絡的優勢,如可編程性,集中控制和精細的流量控制和監測,從而收集每個網絡流的流量統計數據,進行DDoS攻擊的分析和惡意流量的上游過濾。該平台採用一種混合的方法來進行DDoS攻擊的分析。它使用來自不同數據源的數據:從SDN收集的上游數據,受害者端的數據,和從網絡威脅情報的框架所獲得的數據。並會自動創建OpenFlow的規則,更新網絡交換機的設定,開展數據收集和上游過濾。這樣的平台可以提高香港的網絡空間抵禦DDoS攻擊的能力,以及營造一個有利安全服務供應商的營商環境。
