動態主機配置協議泛洪攻擊在軟件定義網絡中的實時防御

鄒承明 劉攀文 唐星

摘 要：在軟件定義網絡（SDN）中，動態主機配置協議（DHCP）泛洪攻擊報文通常能通過reactive方式主動地進入控制器，對SDN危害巨大。針對傳統的DHCP泛洪攻擊防御方法無法阻止SDN中該攻擊帶來的控制鏈路阻塞這一問題，提出一種DHCP泛洪攻擊的動態防御機制（DDM）。DDM包含檢測模型和緩解模型。在檢測模型中，不同于他人提出的靜態閾值檢測方法，采用DHCP流量均速和IP池余量兩個關鍵參數建立動態峰值估計模型來評估端口是否受到攻擊，若受到攻擊則交由緩解模型進行防御。在緩解模型中，利用地址解析協議（ARP）的應答特點進行IP池清洗，并設計了周期內分時段攔截機制對攻擊源進行截流，在緩解阻塞的同時，最大限度減少攔截對用戶正常使用的影響。仿真實驗結果表明，相對靜態閾值檢測，DDM檢測誤差平均降低18.75%。DDM緩解模型能高效地攔截流量，同時將用戶在攔截期正常接入網絡的等待時間平均縮短81.45%。

關鍵詞：動態主機配置協議;軟件定義網絡;IP池;地址解析協議;異常流量

中圖分類號：TN915.08

文獻標志碼：A

文章編號：1001-9081（2019）04-1066-07

Abstract： In Software Defined Network （SDN）， Dynamic Host Configuration Protocol （DHCP） flood attack packets can actively enter the controller in reactive mode， which causes a huge hazard to SDN. Aiming at the promblem that the traditional defense method against DHCP flood attack cannot keep the SDN network from control link blocking caused by the attack， a Dynamic Defense Mechanism （DDM） against DHCP flood attacks was proposed. DDM is composed of a detection model and mitigation model. In the detection model， different from the static threshold detection method， a dynamic peak estimation model was constructed by two key parameters — DHCP average traffic seed and IP pool surplus to evaluate whether the ports were attacked. If the ports were attacked， the mitigation model would be informed. In the mitigation model， the IP pool cleaning was performed based on the response character of Address Resolution Protocol （ARP）， and an interval interception mechanism was designed to intercept the attack source， mitigating the congestion and minimizing the impact on users during interception. Simulation experimental results show that the detection error of DDM is averagely 18.75%， lower than that of the static threshold detection. The DDM mitigation model can effectively intercept traffic and reduce the waiting time for users to access the network during the interception by an average of 81.45%.

Key words： Dynamic Host Configuration Protocol （DHCP）; Software Defined Network （SDN）; IP pool; Address Resolution Protocol （ARP）; anomaly traffic

0?引言

軟件定義網絡（Software Defined Network， SDN）解耦了數據平面和控制平面，實現了對網絡的中心控制，并提供了可編程的抽象接口，是一種非常具有前景的網絡架構[1-5]。然而，正是由于這種結構使得SDN容易遭到拒絕服務（Denial of Service， DoS）攻擊[6-8]。

動態主機配置協議（Dynamic Host Configuration Protocol， DHCP）泛洪攻擊屬于DoS攻擊。該攻擊一方面能耗盡網絡IP資源，使得新接入網絡的主機無法被分配新的IP（Internet Protocol），造成DHCP饑餓現象;另一方面，該攻擊會加重服務器負擔，甚至使服務器癱瘓[9]。DHCP泛洪攻擊的場景移植到SDN中后，DHCP服務通常部署在SDN控制器中，控制器通過OpenFlow協議對DHCP數據包的控制，使得偽造DHCP服務器、DHCP協議廣播風暴等問題無法存在。但在面對DHCP泛洪攻擊時，SDN顯得脆弱得多。在SDN中，DHCP泛洪攻擊除了能夠消耗IP池外，當攻擊流量足夠大時，大量DHCP協議報文通過控制鏈路涌入控制器，會嚴重阻塞控制鏈路，甚至使得交換機和控制器失去連接，從而使網絡局部癱瘓[10]。此外，由于協議的特殊性，在SDN中，DHCP報文通常會以reactive的方式進入控制器，使得DHCP泛洪攻擊可以隨時由接入網絡的主機發起，對網絡安全性構成威脅。因此在SDN中進行DHCP泛洪攻擊的防御具有重要的意義。

本文中DHCP泛洪攻擊的防御可分為檢測和緩解兩個階段。傳統的防御方法在SDN中存在一定局限性，無法充分發揮SDN結構的優勢。在檢測階段，傳統的方法會根據DHCP報文速率劃定一條靜態的閾值來判斷攻擊行為，這種方式無法適應SDN中流量實時變化，會產生很大的檢測誤差。在緩解階段，傳統方案采用部署密鑰分配和授權服務器來預防DHCP饑餓攻擊[11]，但是由于無法有效阻止DHCP泛洪流量進入SDN控制器，仍然會造成網絡的癱瘓。而由于SDN在結構上的巨大優勢，網絡管理員可以利用OpenFlow流表對流量進行控制[12-14]，靈活地應對上述問題。例如，當控制鏈路受到威脅時，控制器通過下發流表阻止DHCP流量進入控制器，這點傳統網絡無法做到。因此研究SDN的DHCP實時防御方法有重要意義。

根據上文的敘述，本文提出了一種動態防御機制（Dynamic Defense Mechanism， DDM）。

DDM將DHCP泛洪攻擊在SDN下的防御分為兩個方面：攻擊檢測和攻擊緩解。針對攻擊檢測，本文提出了新的檢測機制，通過DHCP流量均速和IP池余量兩個關鍵參數建立動態的檢測模型：一方面監測IP池余量防止饑餓攻擊，另一方面利用IP池余量和當前DHCP流速預測下一時刻的峰值，對DHCP防洪攻擊進行預警。針對攻擊緩解，本文將該問題劃分為兩個方面：IP池消耗攻擊緩解和控制鏈路消耗攻擊緩解。當SDN受到IP池消耗攻擊時，本文利用地址解析協議（Address Resolution Protocol， ARP）應答的特點進行無效IP地址的甄別，并采取實時清除無效IP的方案維持IP池余量的動態平衡。當SDN受到控制鏈路消耗攻擊時，除了采取實時清除無效IP的方案外，本文還設計了周期內分時段攔截機制進行流量攔截，攔截非法的DHCP流量的同時最大限度減小流量攔截對正常用戶的影響。本文主要做了以下工作：1）提出了一種SDN下DHCP泛洪攻擊的實時檢測機制;2）充分考慮到SDN架構的特點，利用ARP對攻擊端口進行無效IP的甄別，并設計了一種周期內分時攔截機制，攔截非法DHCP流量。

1?相關工作

文獻[11， 15-18]進行了DHCP泛洪攻擊防御的研究。其中，文獻[11]采用部署密鑰分配和授權服務器的方案來預防DHCP饑餓攻擊。文獻[15]設計了一種單播的ARP改進協議S-UARP（Secure Unicast ARP）來防止DHCP欺騙，但是這種改進基礎協議的方式難以推廣。文獻[16]介紹了DHCP饑餓攻擊對無線網絡帶來的嚴重危害，并提出了一種公平的動態IP地址分配機制來解決DHCP饑餓攻擊的問題。文獻[17]結合NETCONF協議設計的DHCP Snooping系統來提高安全性，防止偽造DHCP服務器的威脅。文獻[11-17]的方法雖然能夠防御DHCP饑餓攻擊，但無法解決SDN鏈路阻塞的問題。文獻[18]發現無線局域網下一種隱蔽的DHCP饑餓攻擊的方式，計算了訓練和測試兩個階段的數據分布，并提出利用兩個階段數據分布的海林格距離來檢測這種饑餓攻擊，但是這種方式缺乏實時DHCP流量的敏感性。

本文主要針對SDN中的DHCP泛洪攻擊提出實時的防御方案，在防御DHCP饑餓攻擊的同時預防DHCP泛洪攻擊阻塞控制鏈路。

2?DDM防御模型

圖1為DDM模型防御的原理。DDM模型分為檢測和緩解兩部分。DHCP泛洪攻擊的檢測模塊采用OpenFlow協議中的Asynchronous消息類型。DHCP報文由Packet-in消息為載體被送入控制器，DDM中的檢測模塊對這些消息報文進行檢測。DHCP泛洪攻擊的緩解模塊采用OpenFlow協議中的Controller-to-Switch消息類型。當IP池受到惡意消耗后，該模塊利用ARP對已租賃的IP進行比對，來達到清洗IP池的目的。ARP在控制器中進行封裝通過Packet-out消息發送到交換機指定的端口，同時下發Flow-mod消息，指示交換機提交ARP應答報文到控制器。當DHCP泛洪流量開始對控制鏈路造成影響時，控制器利用周期內分時段攔截機制下發Flow-mod消息指示交換機丟棄DHCP報文。

2.1?DHCP泛洪攻擊的檢測

2.1.1?動態峰值估計

在DHCP泛洪攻擊的檢測中，將時間進行周期劃分，周期長度為w。對單個端口進行考慮，觀察最近的連續T個周期DHCP報文的統計數據，對這T個周期的數據以零開始進行編號，那么第t個周期的DHCP報文數量為nt，每周期平均DHCP報文數量a，表示為：

其中：網絡規模參數ε限定了γ的偏移率范圍，因此可以通過不同的網絡規模確定不同的偏移率范圍。

2.1.2?攻擊檢測

每周期結束時會更新估計峰值D，使其能適應當前網絡DHCP流量的變化，值得注意的是DHCP泛洪攻擊的判定在估計峰值更新之前。估計峰值的更新涉及到兩個變量a和sr，因此得到兩個變量的更新值后，利用上文建立的模型就能更新估計峰值D。數組K存放最近T個周期內DHCP報文的數量。

Q為一個消息隊列，用于存儲受攻擊的端口編號以及攻擊類型。認定受攻擊的端口號為r。IP池惡意消耗攻擊和控制鏈路消耗攻擊兩種攻擊類型分別標記為0和1，則一個消息隊列的元組可以表示為（r|0）或者（r|1），所表達的含義為r端口受到0或者1類型的攻擊。算法1為每個周期結束后，執行的DHCP攻擊檢測方法，用python風格描述。

當n≥D時，會以η的概率判定網絡受到DHCP攻擊，這樣做的目的是減少對短暫、突然的DHCP流量增大的誤判。λ為一個常量，用來根據需要調整η的大小。需要對n≥2D和n≥ε ln 2兩種情況作出說明的是，當n≥2D，此時η≤0，說明網絡已經超出了正常峰值的波動范圍，誤判的概率為0，雖然不能非常確定受到控制鏈路消耗攻擊，但為了防止這種異常狀況帶來的未知的網絡威脅，認定該情況網絡受到控制鏈路消耗攻擊;當n≥ε ln 2時，此時γ≤0，說明DHCP流量已經超出網絡規模的正常限定，認定網絡受到控制鏈路消耗攻擊。以周期為單位分析算法的性能開銷，該算法時間復雜度在一個周期內只與端口數有關，即為O（m）;而該算法需要用數組來存儲每個端口最近T個周期內的數據，因此該算法空間復雜度為O（T * m）。

2.2?DHCP泛洪攻擊的緩解

在進行DHCP泛洪攻擊檢測時，將檢測到的受到攻擊的端口以及攻擊類別作為一個元組放入消息隊列Q中，緩解模型以消息隊列中的元組信息為單位，進行攻擊緩解。攻擊緩解通常分為兩部分：IP池惡意消耗攻擊和控制鏈路消耗攻擊。

IP池惡意消耗攻擊和控制鏈路消耗攻擊都會消耗IP池，即無論從消息隊列Q中取出的隊頭是（r|0）還是（r|1），緩解模塊都會對IP池進行清洗。IP池清洗借助了ARP應答特點來實現。r為受到攻擊的端口，對該端口所連接的主機的IP地址和物理地址（Media Access Control Address， MAC）進行匹配確認。IP池向連接r端口的主機提供的IP地址的集合為I，M為I集合中IP地址對應的MAC地址的集合。集合M和I中的元素是一一對應關系。

IPPoolClean（port）表示清洗指定端口port的IP池，handle_PacketIn（event）函數表示一個監聽器，用于監聽ARP回復;LinkIntercept（port）表示攔截DHCP流量防止其通過控制鏈路進入控制器;Controller（）為控制器，是進行DHCP泛洪攻擊防御的大腦。分析對一個端口進行攻擊緩解時算法的性能開銷，無論是緩解IP池消耗攻擊還是控制鏈路消耗攻擊，算法的主要時間消耗在于對端口所對應的IP池進行掃描，IP池總量為分配IP數量即M集合長度和IP池余量之和，時間復雜度為O（len（M）+sr）。該算法沒有采用輔助空間，因此空間復雜度為O（1）。

3?實驗仿真

本章建立SDN模型，并模擬DHCP泛洪攻擊，以分析DDM在攻擊中的防御效果。首先，建立了峰值估計模型，分析其在具體網絡環境中的表現;其次，模擬DHCP泛洪攻擊，觀測DDM模型在攻擊中的表現性能;最后，分析防御模塊對用戶的影響。利用mininet作為本次實驗的實驗平臺，并且利用pox控制器、OpenvSwitch交換機和傳統交換機建立SDN模型。

3.1?網絡環境和峰值估計模型的建立

用SDN建立的網絡拓撲如圖4所示。實驗中使用兩種交換機的目的是為了用傳統交換機代替對Open vSwitch交換機端口的分組。結合網絡具體情況，IP池對不同的Open vSwitch交換機端口的分組都會有不同數量的IP地址的預留。實驗中，一臺連接有多臺主機的傳統交換機連接Open vSwitch交換機的一個端口上，代替一組分組，能簡化實驗環境，突出實驗效果。實驗中，DHCP服務被部署到SDN控制器中，因此在控制器中建立峰值估計模型。根據上文建立的峰值估計模型，當前DHCP流量a和當前IP池余量sr被認為是設定估計峰值D的兩個關鍵變量。ω， ε為模型中的常量。設定ω=10，ε=50，實驗中消耗完一個擁有255個IP的IP池需要30s，因此模型更新周期為w=30s。估計峰值D隨a、sr的變化如圖5所示。

圖5表示一個周期內，平均流速、IP池余量和峰值估計三者之間的關系。

結合圖5和式（9）能發現，當DHCP流量速率加快時即a值變大，基準值B會增大，反而偏移量F會減小。如果DHCP流量速率正常增大，DHCP泛洪攻擊變得不易被察覺，因此在B增大的情況下，模型會降低偏移量F的值來提高模型對攻擊的敏感度。如果DHCP流量速率非正常增大，即受到DHCP泛洪攻時：一方面IP池被消耗導致sr減小，這會使得估計峰值D變小;另一方面，當流量平均速率a增大到ε ln 2（γ（a）=0時，a=ε ln 2）時，F會變為負值，此時估計峰值D小于基準值B，這會導致檢測模型對于DHCP流速變化非常敏感，進而攔截異大部分的常流量。

此外，D的值隨sr的變大而變大，反映當IP池有大量空余時，模型對DHCP泛洪攻擊敏感度降低;反之則升高。該曲面反映了動態峰值估計模型對動態變化網絡環境的適應能力。

3.2?DHCP泛洪攻擊的檢測與緩解

在本文實驗環境中，對DHCP泛洪攻擊進行模擬，并對峰值估計模型進行觀測。實驗中T為整數，是計算均值的基數，T過大會使得網絡對實時DHCP流量不敏感， 過小又使的模型不穩定不能反映真實的網絡環境，在下面實驗中，取T=10。λ的值影響著誤判概率η的取值，如圖6（a）、（b）所示，λ值越大，DHCP流速超出估計峰值的時刻會有更大概率被認定為攻擊時刻（兩圖中的圓圈表示檢測到的攻擊），這樣可能會加重緩解模塊負擔。ε表示網絡規模，如圖6（a）、（c）所示，網絡規模ε變大時，估計峰值D的波動范圍也隨之擴大，是對網絡適應現象的表現。ω與DHCP平均租期有關，如圖6（a）、（d）可看出，ω越小時，模型啟動估計峰值的初始值也會越大。同時，通過對比可以明顯發現IP地址平均租期ω變小時，估計峰值和實時流量之間的空間（陰影部分）明顯拉大，因此可以借助ω來調整估計峰值的上浮空間。估計峰值的可波動范圍會增大，波動更加具有彈性，以適應由于租期變短而導致的頻繁的DHCP請求。

在下面的實驗中所選取的相關參數值為λ=2， ε=50，ω=15。如圖7所示，實驗抓取了校園網從9：00～15：00時段的DHCP流量數據，并將此數據為基礎模擬了SDN中的DHCP流量。 這段時間數據為工作高峰期內的數據，圖7很好地反映了估計的峰值對高峰期實時DHCP流量的擬合。部分時刻DHCP流量遠大于估計峰值，用圓圈標記表示受到攻擊，少部分時刻DHCP流量稍大于估計峰值，以概率η認定為誤判，因此不會判定為受到攻擊。橫軸481～561對應的DHCP流量處于低峰期，此時IP池余量波動幅度較小，估計峰值會穩定在黑線附近，因此黑線可以作為低峰期的閾值，所以此時模型不會去動態調整估計峰值。但是，一旦流量開始增大且IP池余量發生大幅變化即橫軸刻度561之后的部分，模型開始繼續調整估計峰值大小。

在現有的流量攻擊的檢測技術中，閾值是非常常用的方法，其中普通閾值檢測和熵閾值檢測應用范圍非常廣泛[20-21]。為了評估峰值估計，實驗將峰值估計的檢測結果和閾值檢測、熵閾值檢測結果進行了對比。閾值檢測比較簡單，直接設置DHCP流速的最大值，超過該值則視為攻擊。熵閾值檢測是利用DHCP數據包中的MAC地址計算熵閾值，然后劃定熵值的閾值，再對攻擊進行判斷，若熵值大于熵閾值，則判定為攻擊。實驗隨機選取了圖7所示的時序數據中的一段，進行DHCP模擬攻擊結果如表1所示，其中模擬的攻擊方式有IP池消耗攻擊和鏈路消耗攻擊兩種。

閾值檢測和熵閾值檢測分別采用了一大一小兩組熵值來進行對比。N、Y分別表示判定無攻擊和判定為攻擊，E表示為誤判。

從表1可看出，普通閾值無論大小產生的檢測誤差都非常大。而熵閾值考慮到了DHCP流量的MAC地址分布問題，因而產生的誤差比普通閾值小，但仍然不令人滿意。這是由于固定的普通閾值和熵閾值均無法適應網絡環境導致。無論是熵閾值還是普通閾值，它們對于高速率的流量攻擊，準確率相對較高，但是對低速率的流量攻擊，即IP池惡意的低速消耗不敏感，這一點從編號4～6可看出。原因是它們沒有考慮到IP池的余量變化，當IP池余量變小時，這種不正常的低速率的攻擊會耗盡IP池。而峰值估計檢測方法能綜合考慮IP池余量和當前流量速率的變化，使得該方法對于高速和低速的流量攻擊均非常敏感。同時估計出的峰值會根據當前網絡狀態不斷去適應網絡環境，因此相比單純固定的閾值和熵閾值準確率高。從表1可得出如下結論：在DHCP泛洪攻擊的檢測中，準確率的排序為普通閾值<熵閾值<峰值估計，且峰值估計相對其他兩種檢測方法誤差平均降低18.75%（（0.275-0.025）+（0.15-0.025））/2）。

當網絡受到IP池消耗攻擊時，IP池余量會迅速下降。峰值估計模型檢測到攻擊來臨后，對IP池進行清洗。如圖8所示，網絡受到持續的IP池消耗攻擊，在清洗機制的作用下，攻擊會被及時緩解，使得IP池余量穩定在一定范圍內。該穩定的范圍相較攻擊前IP池余量，有一定差距，因為DHCP流量未達到ε ln 2或者2D，沒有觸發流量攔截機制，所以清洗過程中，攻擊仍繼續，最后IP池余量在這種條件下達到動態平衡狀態使得攻擊被緩解。攻擊停止時，IP池余量迅速還原。圖9為沒有對攻擊進行緩解時，IP池余量會劇烈下降，最后IP池被完全消耗。

當DHCP流量達到ε ln 2或者2D時，網絡受到控制鏈路消耗攻擊，此時控制器在對IP池進行清洗的同時會攔截DHCP流量。如表2所示，不同的攔截參數會影響接入網絡平均等待時間。模型更新周期為w=30s，對p和q參數大小的選擇既要保證周期內攔截時長l足夠大，又要求接入網絡平均等待時間足夠小，折中之下，實驗選取表中第二種參數設置方案。

如圖10所示，當網絡受到控制鏈路消耗攻擊時，在緩解機制的作用下，IP池余量劇烈波動，但IP池余量始終被限定在一定范圍內。經過攔截后，大部分DHCP流量在到達交換機時被丟棄，無法進入達到控制鏈路和控制器，從而達到了緩解攻擊的目的。攻擊結束后，IP池回復原樣。攔截時期，正常用戶的DHCP請求會被交換機丟棄后，在攔截間隙間以平均等待1.3s的代價連入網絡。等待時間平均縮短81.45%（（7.17-1.33）/7.17）。

4?結語

針對DHCP泛洪攻擊對SDN的影響，本文提出了DDM機制，來防御DHCP泛洪攻擊。DDM機制包括DHCP泛洪攻擊的檢測模塊和DHCP泛洪攻擊的緩解模塊兩個部分。檢測模塊利用DHCP平均速率和IP池余量兩個參數，建立了動態峰值估計模型。在峰值估計的更新中，加入誤判概率參量，增強模型對網絡的適應性。在緩解模塊中，利用ARP的應答機制識別非法主機并清理其所占用的合法IP地址。同時，利用OpenFlow協議進行DHCP流量的攔截，并設計了一種周期內分時攔截的攔截方案，最大限度減小攔截非法DHCP流量時對合法的主機接入網絡造成影響。本文中常量ε和常量ω分別反映了網絡規模和平均租期的大小，下一步的工作要找出網絡規模ε與平均租期ω，兩組常量中各自的對應關系式。

參考文獻（References）

[1] SCOTT-HAYWARD S， CALLAGHAN G O， SEZER S， et al. SDN security： a survey[C]// Proceedings of the 2013 IEEE SDN for Future Networks and Services. Piscataway， NJ： IEEE， 2013： 1-7.

[2] KARAKUS M， DURRESI A. A survey： control plane scalability issues and approaches in Software-Defined Networking （SDN） [J]. Computer Networks， 2017， 112： 279-293.

[3] TROIS C， FABRO M D D， BONA L C E D， et al. A survey on SDN programming languages： toward a taxonomy[J]. IEEE Communications Surveys & Tutorials， 2016， 18（4）： 2687-2712.

[4] FEAMSTER N， REXFORD J， ZEGURA E. The road to SDN： an intellectual history of programmable networks[J]. Computer Communication Review， 2014， 44（2）： 87-98.

[5] 孫鵬浩， 蘭巨龍， 胡宇翔， 等. 一種解析與執行聯動的SDN可編程數據平面[J]. 電子學報， 2017， 45（5）： 1103-1108. （SUN P H， LAN J L， HU Y X， et al. A Configurable SDN dataplane based on linkage between parsing and executing[J]. Acta Electronica Sinica， 2017， 45（5）： 1103-1108.）

[6] DAYAL N， SRIVASTAVA S. Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN[C]// Proceedings of the 2017 9th International Conference on Communication Systems and Networks. Piscataway， NJ： IEEE， 2017： 274-281.

[7] MIRKOVIC J， REIHER P. A taxonomy of DDoS attack and DDoS defense mechanisms[J]. ACM SIGCOMM Computer Communication Review， 2004， 34（2）： 39-53.

[8] 黃建洋， 蘭巨龍， 胡宇翔， 等. 一種SDN中基于SR的多故障恢復與規避機制[J]. 電子學報， 2017， 45（11）： 2761-2768. （HUANG J Y， LAN J L， HU Y X， et al. A multi-fault recovery and avoidance mechanixm of software-defined network based on segment routing[J]. Acta Electronica Sinica， 2017， 45（11）： 2761-2768.）

[9] 劉陽. DHCP集群化服務的研究與實現[D]. 北京： 北京郵電大學， 2016： 12. （LIU Y. Research and implementation of DHCP clustered services[D]. Beijing： Beijing University of Posts and Telecommunications， 2016： 12.）

[10] XU T， GAO D， DONG P， et al. Defending against new-flow attack in SDN-based Internet of Things[J]. IEEE Access， 2017， 5（99）： 3431-3443.

[11] YOUNES O S. Securing ARP and DHCP for mitigating link layer attacks[J]. Sādhanā， 2017， 42（12）： 2041-2053.

[12] ERICKSON D. The beacon OpenFlow controller[C]// HotSDN 2013： Proceedings of the 2nd ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. New York： ACM， 2013： 13-18.

[13] MCKEOWN N， ANDERSON T， BALAKRISHNAN H， et al. OpenFlow： enabling innovation in campus networks[J]. Computer Communication Review， 2008， 38（2）： 69-74.

[14] 張棟， 郭俊杰， 吳春明. 層次型多中心的SDN控制器部署[J]. 電子學報， 2017， 45（3）： 680-686. （ZHANG D， GUO J J， WU C M. Controller placement based on hierarchical multi-center SDN[J]. Acta Electronica Sinica， 2017， 45（3）： 680-686.）

[15] ISSAC B. Secure ARP and secure DHCP protocols to mitigate security attacks[J]. International Journal of Network Security， 2009， 8（2）： 107-118.

[16] MUKHTAR H， SALAH K， IRAQI Y. Mitigation of nDHCP starvation attack[J]. Computers & Electrical Engineering， 2012， 38（5）： 1115-1128.

[17] 王偉. NETCONF下DHCP Snooping的設計與實現[D]. 北京： 北京交通大學， 2015： 7. （WANG W. Design and implementation of DHCP snooping based on NETCONF[D]. Beijing： Beijing Jiaotong University， 2015： 7.）

[18] HUBBALLI N， TRIPATHI N. A closer look into DHCP starvation attack in wireless networks[J]. Computers & Security， 2017， 65： 387-404.

[19] LI F， WANG X， CAO J， et al. How DHCP leases meet smart terminals： emulation and modeling[J]. IEEE Internet of Things Journal， 2018， 5（1）： 56-68.

[20] 楊君剛， 王新桐， 劉故箐. 基于流量和IP熵特性的DDoS攻擊檢測方法[J]. 計算機應用研究， 2016， 33（4）： 1145-1149. （YANG J G， WANG X T， LIU G J. DDoS attack detection method based on network traffic and IP entropy[J]. Application Research of Computers， 2016， 33（4）： 1145-1149.）

[21] 申皓. SDN中基于熵的DDoS放大攻擊檢測與防御方法研究[D]. 重慶： 重慶大學， 2017： 20. （SHEN H. Research on entropy-based detection and defense methods against DDo S amplification attack in SDN[D]. Chongqing： Chongqing University， 2017： 20.）