基于SDN架构的攻击防护策略

发布时间：2018-07-20 20:21

【摘要】：软件定义网络是一种新型的网络架构,它将网络的控制功能和转发功能进行解耦,实现了网络控制的直接可编程。在这种架构下,网络是进行集中管理的,管理员可以通过控制器来快速的配置网络资源和动态调整网络流量以应对需求的变化。这几种软件定义网络的优势在学术和工程中已经得到了验证。但是软件定义网络作为发展起步没多久的网络架构还面临着诸多挑战,本论文主要探讨数据层面的安全问题。在软件定义网络架构下,传统的网络存在的ARP欺骗等地址伪造报文威胁依然存在,只是这些攻击可能在形式上发生了变化。而且软件定义网络架构还面临新的安全挑战,即应用可以通过重写流表项来避开需要强制执行的安全应用规则,同时流表项之间也可能存在冲突。本文针对上面两种安全问题,提出了一种软件定义网络架构下数据层的攻击防护策略。针对南向设备的潜在威胁,利用网络中控制器对于全网状态的感知能力,维护一个设备信息映射表,进行伪造报文的检测,这样保证后续模块收到的数据包地址都是正确的,同时论文在主机信用评估方面的设计使得本模块能够更容易的与其它安全模块进行耦合。针对高安全等级应用规则被避开或覆盖的情况,借鉴了头部空间分析技术的思想,将流表项规则和安全规则分别生成规则空间,在应用下发新规则时检测其与两个空间存不存在重叠。如果存在重叠,表示规则出现冲突,调用冲突解决模块丢弃数据包或者进行额外流表项的插入。
[Abstract]:The software defined network is a new type of network architecture, which decouples the control function and forwarding function of the network, and realizes the direct programmable of network control. Under this architecture, the network is centralized management. The administrator can quickly configure the network resources and dynamically adjust the network traffic to respond to the demand through the controller. Changes. The advantages of these software defined networks have been verified in academic and engineering. However, the software definition network is facing many challenges as a network architecture that has not been developed for long. This paper mainly discusses the security problems of the data level. Under the software definition network architecture, the existing ARP deception and other addresses exist in the traditional network. The threat of forged message still exists, but these attacks may change in form. And the software definition network architecture also faces new security challenges, that is, applications can avoid security application rules that need to be enforced by rewriting the flow table items, and there may be conflicts between the flow table items. This article aims at the above two kinds of security. This paper proposes an attack protection strategy for data layer under the software definition network architecture. In view of the potential threat to the southern device, using the network controller's perception of the whole network state, maintaining a device information mapping table and detecting the forged message, so that the data packet address received by the follow-up module is correct. At the same time, the design of the thesis in the host credit evaluation makes this module more easy to be coupled with other security modules. In view of the situation that the high security level application rules are avoided or covered, the idea of the head spatial analysis technology is used for reference, the rules of flow table and the safety rules are generated in the rule space respectively, and the new rules are issued under the application. If there is no overlap between two spaces, if there is an overlap, the representation rule conflicts, the call conflict resolution module discards the packet or inserts the extra flow table item.
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 陶蓓蓓;网络服务器防护策略浅析[J];电脑知识与技术;2005年12期

2 吕克林;曲宏山;杨霞;;我国政府门户网站面临的安全威胁与防护策略[J];河南科技;2012年01期

3 石磊;于辰;王刚;柳旭日;;企业内网终端数据防护策略的研究[J];华北电力技术;2012年11期

4 梁秀花;;基于数据库安全与防护的策略分析[J];电子技术与软件工程;2014年06期

5 陈进;;浅析信息安全风险与防护策略[J];福建电脑;2011年08期

6 王涛;网络通道中的防护策略[J];河南科技;2002年17期

7 严明;;云计算中的云安全研究[J];现代商贸工业;2009年20期

8 惠英;夏日游泳自我防护策略[J];青少年科学探索;2004年06期

9 陈方东;;计算机通信网络安全与防护策略[J];信息通信;2014年02期

10 薄明霞;陈军;王渭清;陈伟;;浅谈云计算的安全隐患及防护策略[J];信息安全与技术;2011年09期

相关会议论文 前2条

1 蒋伟;;运营商IPTV平台及承载安全问题分析和防护策略探讨[A];四川省通信学会2012年学术年会论文集[C];2012年

2 王加莹;;软件定义OTN软件定义网络[A];OFweek宽带通信与物联网前沿技术研讨会论文集[C];2013年

相关重要报纸文章 前10条

1 何宝宏;软件定义的世界[N];人民邮电;2012年

2 本报记者 郭平;网络向软件定义融合演进[N];计算机世界;2012年

3 邓光青;软件定义网络风头正劲[N];中国质量报;2013年

4 本报记者 郭涛;软件定义存储：市场“二八”开[N];中国计算机报;2013年

5 本报记者 郭涛 策划;软件定义未来[N];中国计算机报;2013年

6 本报记者 李旭阳;软件定义汽车[N];计算机世界;2013年

7 梁敏;软件定义时代来临[N];电脑报;2013年

8 本报记者 刘春辉;全面的虚拟化是实现“软件定义”的重要基石[N];人民邮电;2013年

9 本报记者 郭涛;软件定义存储也要“打假”[N];中国计算机报;2014年

10 沈建苗　编译;软件定义存储,你准备好了吗？[N];计算机世界;2014年

相关博士学位论文 前9条

1 李索恒;软件定义网络中多媒体传输路由及缓存算法研究[D];中国科学技术大学;2016年

2 肖鹏;数据中心下软件定义网络的部署及应用[D];大连海事大学;2016年

3 唐思圆;软件定义网络中资源高效的多播传输研究[D];中国科学技术大学;2017年

4 王军锋;软件定义物联网路由研究[D];华中科技大学;2016年

5 杨恩众;软件定义多媒体组播系统与传输策略研究[D];中国科学技术大学;2017年

6 朱明;高效软件定义车载网络关键技术研究[D];国防科学技术大学;2016年

7 高强;基于SDN的动态多播关键技术研究[D];上海大学;2017年

8 彭宏玉;软件定义移动网络中能效优化技术研究[D];北京邮电大学;2016年

9 林萍萍;软件定义网的东西向对等互联机制研究[D];清华大学;2014年

相关硕士学位论文 前10条

1 杨宁;基于SDN架构的攻击防护策略[D];北京邮电大学;2017年

2 闫湘灵;基于SDN的WLAN接入控制技术研究与设计[D];电子科技大学;2017年

3 薛婧杰;多元架构领导力模型在A集团中的应用研究[D];中国地质大学(北京);2017年

4 汪谦;基于SDN的分布式拒绝服务攻击防范方法研究[D];浙江大学;2017年

5 雷殿富;基于SDN搭建视频数据中心全局动态负载均衡网络架构[D];北京邮电大学;2017年

6 韩威;基于SDN的车联网信息交互[D];青岛大学;2017年

7 吴秀林;基于SDN的网络虚拟化技术研究与应用[D];电子科技大学;2017年

8 李妮莎;关于珠江公司组织架构优化的研究[D];广东外语外贸大学;2017年

9 赵伟;软件定义存储模型的研究及实现[D];华北电力大学(北京);2017年

10 唐龙业;基于主机防护策略的防火墙技术研究[D];山东科技大学;2003年

，

本文编号：2134665