软件定义网络流表溢出脆弱性分析及防御方法

发布时间：2018-07-17 16:58

【摘要】：软件定义网络交换机非常有限的流表容量使其存在严重的流表溢出脆弱性问题,为此利用软件定义网络易于管理路由规则的新特性,提出一种基于装箱优化的路由聚合算法,并进一步提出了流表溢出攻击的防御方法。采用传统的基于基数树的路由聚合算法产生初步聚合后的流表项节点,将其划分为包含不同数量节点的若干个流表项规则组,并基于装箱优化问题求解得到每个流表项规则组的新转发地址,再将转发地址修改后的流表项规则进行二次聚合,从而有效减少交换机流表中的流表项数量,达到防御流表溢出攻击的效果。实验结果表明:流表聚合率达到了54.9%,优于传统的基于基数树的路由聚合算法,并使得达成流表溢出攻击的攻击数据包数增加了125.8%;该方法可显著增加流表溢出攻击的实现难度,有效缓解流表溢出脆弱性问题,提升软件定义网络对该类攻击的防御能力。
[Abstract]:Because of the very limited flow table capacity of the software-defined network switch, there is a serious problem of flow table overflow vulnerability. In this paper, a new routing aggregation algorithm based on packing optimization is proposed, which is easy to manage the routing rules in the software-defined network. Furthermore, the defense method of stream table overflow attack is put forward. The traditional routing aggregation algorithm based on cardinality tree is used to generate the primary aggregated flow table item nodes, which are divided into several rule groups of flow table items with different number of nodes. Based on the packing optimization problem, the new forwarding address of each stream table item rule group is obtained, and then the stream table item rule after the forwarding address is modified is aggregated twice, thus effectively reducing the number of flow table items in the flow table of the switch. Achieve the effect of defending against stream table overflow attack. The experimental results show that the aggregation rate of stream table is 54.9, which is superior to the traditional routing aggregation algorithm based on cardinality tree, and makes the number of attack packets increasing 125.8%, which can increase the difficulty of implementing stream table overflow attack. It can effectively alleviate the vulnerability of stream table overflow and enhance the ability of software defined network to defend against this kind of attack.
【作者单位】： 西安交通大学智能网络与网络安全教育部重点实验室;
【基金】：国家自然科学基金资助项目(61572397) 陕西省自然科学基础研究计划资助项目(2016JM6066)
【分类号】：TP393.0

【相似文献】

相关期刊论文 前10条

1 ;Arista7500E推出[J];数字通信世界;2013年05期

2 ;驶向软件定义网络[J];办公自动化;2014年06期

3 刘春佳;;软件定义网络介绍[J];科研信息化技术与应用;2012年03期

4 闵应骅;;我所理解的“软件定义的网络”[J];软件;2014年04期

5 ;软件定义应用服务三大特性撑起新融合架构[J];信息安全与技术;2014年06期

6 范伟;;软件定义网络及应用[J];通信技术;2013年03期

7 沈苏彬;;软件定义联网的建模与分析[J];南京邮电大学学报(自然科学版);2014年03期

8 ;软件定义网络:网络创新的焦点[J];电信工程技术与标准化;2014年01期

9 Richard Yang;毕军;Guofei Gu;;软件定义网络专题(英)[J];中国通信;2014年02期

10 马虔;;软件定义网络环境下的安全流平台研究[J];信息安全与技术;2014年07期

相关重要报纸文章 前7条

1 博科亚太区CTO Matt Kolon;你真的了解软件定义网络吗？[N];网络世界;2014年

2 博科公司;博科:软件定义网络启动[N];计算机世界;2013年

3 姜姝;软件定义网络新时代开启[N];中国信息化周报;2013年

4 邹铮　编译;软件定义世界需要开放网络还是专有网络？[N];网络世界;2013年

5 本报记者 郭平;用软件定义优化企业IT[N];计算机世界;2014年

6 ;SDN市场未来五年增长将超六倍[N];网络世界;2013年

7 本报记者 郭涛;王茁：用“集成”做最好的安全产品[N];中国计算机报;2013年

相关博士学位论文 前3条

1 肖鹏;数据中心下软件定义网络的部署及应用[D];大连海事大学;2016年

2 唐思圆;软件定义网络中资源高效的多播传输研究[D];中国科学技术大学;2017年

3 林萍萍;软件定义网的东西向对等互联机制研究[D];清华大学;2014年

相关硕士学位论文 前10条

1 吴庆彪;软件定义网络Web认证与访问控制技术研究[D];西南交通大学;2015年

2 袁建明;基于SDN的ICN网络设计[D];云南财经大学;2015年

3 马俊青;面向软件定义网络的流量分析与识别技术研究[D];南京邮电大学;2015年

4 黄锦松;软件定义的内容中心网络关键技术研究[D];南京邮电大学;2015年

5 李杰;云环境下一种基于软件定义安全服务的入侵检测算法研究[D];南京邮电大学;2015年

6 王莉;面向QoE驱动的软件定义网络业务流控制研究[D];南京邮电大学;2015年

7 杨波;软件定义网络中流表正确性检测及故障定位的研究[D];浙江大学;2016年

8 赵坤;软件定义网配置一致性研究[D];清华大学;2015年

9 丁丹;基于软件定义网络的网络资源配置研究[D];南京大学;2016年

10 张琼宇;支持流量感知的软件定义网络高效路由协议[D];北京理工大学;2016年

，

本文编号：2130308