B. Wang, Y. Zheng, W. Lou and Y. T. Hou, “DDoS Attack Protection in the Era of Cloud Computing and Software-Defined Networking,” 2014 IEEE 22nd International Conference on Network Protocols, Raleigh, NC, 2014, pp. 624-629.

这篇不怎么样，CCF B类计算机网络会议。本文提出一个用于云防御DDoS攻击的框架。

介绍：

混合云架构图如图1。

如图如示：攻击者会攻击1.local Server;2.cloud sever； 1.中的攻击方式有(1)和(2)两种防火墙防（2），对于（1）则取决于攻击者的流量是否重定向到防御系统。2.中攻击方式有（3）（4）（5）。由于云服务中快速的资源得分配使（4）（5）更难被防御。

本文的方法：DaMask

设计目标：effective,small overhead,inexpensive.

• effective:将企业流量切片处理
• overhead:通过高效的检测算法达到目的
• inexpensive:当虚拟机迁移时快速地配置参数文件 DaMask的工作流如图2所示：

由图可见DaMask分为两部分：DaMask-D和DaMask-M。检测算法是在Da-D中运行。

• Da-D当收到包时交付给相应的NOS进行检测，如果是attack,发alert交给Da-M处理，如果是nomal交付，如果是unknow就进一步检测。
• Da-M：有两个功能：countermeasure selection and log generation.当收到alert后匹配相应的countermeasure，并提供API制定对策。缺省对策为drop。countermeasure会通过controller对switch下发流表。

评估

• 实验配置基本信息： 私有云LinxuA：AMD E1-1200*2 1.4GHz CPU,4 G memoriy； 控制器LinuxB：Inter i7-2600 CPU 3.4GHz,12G memory,并运行MaMask。 公有云：AWS的EC2.拓扑图见图3.

• 通信代价测试：结果见表1；本模块几乎不影响通信时延。

• 对拓扑改变的适用性 当网络拓扑改变时（如图3中增加了switchB），在FlowVisor里改相应公司的流头。经发ICMP包测试有效且不影响其他服务。