I denna studie har ett SDN-baserat Intrusion Prevention System (IPS) utvecklats för att i realtid kunna upptäcka och blockera ICMP-baserade DoS-attacker. Systemet består av två parallella Python-skript som arbetar tillsammans för att simulera, övervaka och hantera nätverkstrafik i en Mininet-miljö. Det första skriptet är kopplat till Mininet och OpenDaylight, och används för att analysera trafik mellan olika hostar genom att använda verktyg som tcpdump, medan det andra hanterar insamling, lagring och visualisering av trafikinformation i InfluxDB och Grafana. Trafikdata visualiseras kontinuerligt för att möjliggöra snabb övervakning och operativa beslut.Det dynamiska regelverket som implementerats via OpenDaylight gör att systemet kan identifiera skadlig Host i realtid och vid behov automatiskt blockera denna utan att påverka legitima användare, vilket leder till att attacker kan avbrytas inom några sekunder. Under experimentella testkörningar visar resultaten att IPS-systemet är mycket effektivt i att snabbt reagera på ovanlig ICMP-trafik och att tillfredsställande nog kunna isolera attackvärden samtidigt som normal trafik kvarstår opåverkad. Visualiseringsverktygen spelade en avgörande roll genom att inte bara fungera som ett analysverktyg i efterhand, utan också som ett aktivt stöd under pågående tester, vilket underlättar en snabb och informerad operativ respons.Även om studien genomförts i en kontrollerad labbmiljö, pekar resultaten på att en liknande arkitektur kan vara möjlig att applicera i mer komplexa och verkliga nätverksmiljöer, förutsatt att ytterligare anpassningar görs för att hantera större trafikvolymer och fler attackscenarier, exempelvis längre DoS-attacker eller varierande trafikmönster. Utvecklingen tyder på att SDN-arkitekturen, med sin flexibilitet för dynamisk regelhantering och realtidsövervakning, utgör en lovande grund för framtidens nätverkssäkerhetssystem, då den ger möjligheter att snabbt anpassa och stärka försvarsmekanismer mot cyberhot.

In this study, an SDN-based Intrusion Prevention System (IPS) has been developed to detect and block ICMP-based DoS attacks in real time. The system consists of two parallel Python scripts that work together to simulate, monitor, and manage network traffic in a Mininet environment. The first script is connected to Mininet and OpenDaylight, and is used to analyze traffic between different hosts using tools such as tcpdump, while the second handles the collection, storage, and visualization of traffic information in InfluxDB and Grafana. Traffic data is visualized continuously to enable rapid monitoring and operational decisions.The dynamic rule set implemented via OpenDaylight allows the system to identify malicious hosts in real time and, if necessary, automatically block them without affecting legitimate users, which leads to attacks being interrupted within seconds. During experimental test runs, the results show that the IPS system is very effective in quickly reacting to unusual ICMP traffic and being able to satisfactorily isolate attack hosts while normal traffic remains unaffected. The visualization tools played a crucial role by not only acting as an analysis tool after the fact, but also as an active support during ongoing tests, facilitating a fast and informed operational response.Although the study was conducted in a controlled lab environment, the results indicate that a similar architecture may be possible to apply in more complex and real-world network environments, provided that further adaptations are made to handle larger traffic volumes and more attack scenarios, such as longer DOS attacks or fluctuating traffic patterns. The development suggests that the SDN architecture, with its flexibility for dynamic rule management and real-time monitoring, constitutes a promising foundation for future network security systems, as it provides opportunities to quickly adapt and strengthen defense mechanisms against cyber threats.