ABSTRAK

Dalam Software-Defined Networking (SDN), proses perutean melibatkan penerusan paket berdasarkan aturan aliran yang dikelola oleh pengontrol. Namun, penyerang dapat memanfaatkan situasi ini dengan meluncurkan serangan Distributed Denial of Service (DDoS) menggunakan alamat sumber palsu, yang dapat membanjiri pengontrol dengan sejumlah besar paket palsu. Sebagian besar pekerjaan sebelumnya dalam skenario ini didasarkan pada metode pengikatan alamat; alamat sumber setiap paket yang berasal dari host_port switch diperiksa terhadap entri dalam tabel pengikatan. Tabel ini terdiri dari alamat sumber sebenarnya dari setiap host yang terhubung ke host_port. Pendekatan ini dapat mengidentifikasi titik sumber serangan dalam waktu singkat; namun, pendekatan ini memiliki overhead pengontrol yang tinggi karena setiap paket perlu dicocokkan dengan entri dalam tabel pengikatan. Dalam konteks ini, kami mengusulkan Hybrid Defense System (HDS) yang terdiri dari metode deteksi dua tahap. Pada tahap pertama, metode berbasis entropi ringan mendeteksi spoofing alamat dalam lalu lintas jaringan, yang dalam prosesnya, secara signifikan mengurangi overhead pemeriksaan setiap paket terhadap tabel pengikatan. Jika serangan terdeteksi, tahap kedua diaktifkan, di mana pendekatan pengikatan alamat berbasis waktu mengidentifikasi titik sumber serangan. Setelah itu, metode mitigasi memblokir titik sumber serangan. HDS diimplementasikan dalam pengontrol Floodlight dan dievaluasi dalam berbagai skenario jaringan menggunakan Mininet. Hasil eksperimen kami menunjukkan bahwa HDS mengurangi overhead pengontrol sebesar 10%–12%, menurunkan False Positive Rate sebesar 20%, dan mengurangi False Negative Rate sebesar 10% dibandingkan dengan metode pengikatan alamat yang ada.