基于OpenFlow的SDN网络攻击溯源策略研究

发布时间：2020-05-10 08:23

【摘要】：软件定义网络(Software Defined Networking,SDN)是目前的研究热点,它将网络的控制平面与转发平面相分离,集中管控整个网络,为网络发展带来了革新。但是,随着SDN网络的普及,网络安全逐渐成为制约其发展的重要因素,安全问题也成为了SDN的热门研究方向。网络防护方案可以分为两种,一种是发现攻击后,直接在本地进行处理;另一种是先找到攻击源,在源头进行处理。前一种方法能够对攻击进行快速响应,但不能从源头上解决攻击问题;而对于网络攻击,只有找到攻击源,才能对攻击进行有效遏制。在SDN网络中,需要特别关注一类拒绝服务攻击(Denial of Service,DoS),Seungwon Shin将其命名为数据层到控制层的饱和攻击,简称饱和攻击。本文分析SDN网络架构以及Open Flow协议工作原理,针对饱和攻击,设计了基于Packet-In消息的集中式溯源方案,并以此为基础,设计了基于监测节点的分布式溯源方案。具体工作如下:(1)分析饱和攻击特点。攻击者通过改变源IP、源MAC地址等信息,能够在SDN网络中产生大量攻击报文,每一个攻击报文途经Open Flow交换机,都会令交换机产生一个Packet-In消息并发送给控制器。本文设计ID信息,该信息包含数据包的源IP、目的IP、源MAC、目的MAC,用于标识网络中的数据流。控制器从网络中收集Packet-In消息,并提取消息中的ID信息;一个攻击源会产生多个ID不同的攻击报文,但是对每一个攻击报文,ID信息是不变的;使用溯源算法可以找到攻击源的物理位置。(2)设计基于Packet-In消息的SDN网络攻击溯源方案。不同于传统网络,SDN网络的攻击溯源能够在控制器完成。SDN控制器从网络中收集到的Packet-In消息中提取ID信息,同时获取网络中OpenFlow交换机的转发规则并解析得到ID信息,比对ID可以判断数据包是否流经交换机,找到网络中其中一台ID相匹配的交换机后,根据转发规则逐跳回溯,实现攻击报文溯源。(3)设计基于监测节点的SDN网络攻击快速溯源方案。当网络规模增大,工作(1)中的方案会造成巨大的开销;此外,在一个网络中,并非所有设备会成为攻击源。对曾经发生过攻击的疑似攻击源进行重点监测,能够降低网络开销。在网络中疑似攻击源附近选取监测节点,每轮选取监测代价最小的节点;控制器通过Packet-In报文频度变化判断是否发生攻击,当疑似发生攻击,监测节点对其范围内的疑似攻击节点进行溯源操作可以达到快速溯源的目的。(4)使用Mininet和Floodlight控制器进行仿真验证。Mininet模拟SDN网络连接外部Floodlight控制器,iPerf工具模拟网络背景流量,编写攻击脚本模拟DoS攻击。Floodlight控制器添加Packet-In消息解析和统计模块采集数据信息并对采集的信息进行分析。仿真结果表明,设计的溯源方案能够实现网络溯源功能;通过选取适当的监测节点对疑似攻击源进行监测,能够提高大型网络溯源的效率。
【学位授予单位】：电子科技大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.0

【相似文献】

相关期刊论文 前10条

1 王家宝;徐伟光;周振吉;李阳;苗壮;网络攻击检测的门控记忆网络方法[J];计算机应用研究;2019年09期

2 王丹娜;;构建网络攻击响应框架的政治考量[J];中国信息安全;2017年12期

3 贾硕;;网络攻击的方法及对策[J];电子技术与软件工程;2018年05期

4 ;数据泄露将成最大网络攻击问题[J];网络安全和信息化;2017年03期

5 谭军;;谁发起了越来越多的网络攻击[J];计算机与网络;2018年07期

6 伍浩松;;核电厂已成为网络攻击目标[J];国外核新闻;2016年11期

7 ;电子医疗设备潜在的网络攻击风险[J];电子质量;2017年03期

8 ;政府与金融部门并列网络攻击榜单第一名[J];智能制造;2017年05期

9 向磊;;基于路由器防网络攻击的策略研究[J];科技经济导刊;2017年27期

10 冯橙;刘锋;;恶意网络攻击对中小企业危害面面观[J];通信世界;2017年28期

相关会议论文 前10条

1 刘艳芳;丁帅;李建欣;张毅;;一种基于攻击树的网络攻击路径生成方法[A];全国第20届计算机技术与应用学术会议（CACIS·2009）暨全国第1届安全关键技术与应用学术会议论文集（上册）[C];2009年

2 任岗;杨明;张建伟;;面向检测的网络攻击分类研究[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年

3 吕登龙;王宇;;基于Web的攻击分类法研究[A];2008通信理论与技术新进展——第十三届全国青年通信学术会议论文集（上）[C];2008年

4 赵青;胡影;戴方芳;;一种基于逻辑子域的大规模网络攻击图生成方法[A];2013年中国信息通信研究新进展论文集[C];2014年

5 王清焕;徐颖;;网络窃听及其防护技术[A];第14届全国计算机安全学术交流会论文集[C];1999年

6 赵狄;郑康锋;张炎;;一种基于原子攻击模式库的VoIP网络攻击建模方法[A];2011年全国通信安全学术会议论文集[C];2011年

7 蔡红柳;陈颖颖;张雁军;;针对APT的内网安全策略研究[A];第十九届全国青年通信学术年会论文集[C];2014年

8 李涛;;关于WEB网络攻击的安全探讨[A];2002年广西气象电子专业技术交流会论文集[C];2002年

9 刘斌;马严;马跃;;基于SSH协议的网络攻击防御分析与研究[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年

10 李小川;朱光剑;胥滔;刘文勇;;基于攻击图的网络脆弱性分析与应用[A];第六届全国网络安全等级保护技术大会论文集[C];2017年

相关重要报纸文章 前10条

1 本报记者 陈小茹;美军率先界定六种网络攻击武器[N];中国青年报;2013年

2 本报记者 马爱平;工业领域成网络攻击重灾区[N];科技日报;2018年

3 叶征 张娜;美军无线网络攻击能力进展惊人[N];中国青年报;2013年

4 国防大学战略教研部国防动员教研室副主任 徐奎;扎紧国防大数据的安全篱笆[N];解放军报;2017年

5 杜雁芸 国防科技大学国际问题研究中心;欧洲为何炒作“俄罗斯黑客入侵”？[N];中国国防报;2017年

6 本报记者 刘艳;网络攻击，中国已成第一目标[N];科技日报;2017年

7 全国人大代表、浙江省科技厅厅长 周国辉;本届两会最大变化是什么？[N];科技日报;2017年

8 单琳锋 谈何易 张珂;网电博弈，须在“亮剑”中“砺剑”[N];解放军报;2017年

9 记者 侯云龙;360将联合多国漏洞平台共建世界白帽协同机制[N];经济参考报;2017年

10 本报记者 刘\，

本文编号：2657025