基于SDN的网络安全防御关键技术研究
发布时间:2020-06-03 14:08
【摘要】:近年来,软件定义网络(Software-defined networking,SDN)网络作为一种新兴的互联网技术得到了学术界与工业界广泛的研究与关注,SDN网络面临的安全威胁与对应的防御技术可根据其架构特征划分为五个方面,即针对应用层、北向接口、控制层、南向接口及数据层的威胁与防御,其中鉴于控制层、数据层与南向接口在SDN网络架构中的重要位置,其安全威胁与对应防御技术的研究较为广泛。南向接口作为实现SDN网络数控分离特征的核心技术,其安全性极大程度上决定了 SDN网络的整体安全;控制层作为SDN网络的控制决策中心,其重要性不言而喻,同时为了解决控制层面的单点失效问题与扩展性问题,分布式控制层结构逐渐引起了关注,然而如何保障分布式控制层面的安全,尤其是其中骨干控制器节点的安全,对于保障SDN网络安全具有十分重要的意义;此外数据层为SDN网络流量快速转发及数据完整性提供保障,但如何保障数据层面数据完整性与骨干节点的安全性,增强节点对抗监听、识别等恶意攻击的能力,对于增强SDN网络安全防御能力、提高网络安全性具有十分重要的价值。根据SDN网络架构特征,分布式控制层是解决SDN控制层面DDoS威胁的重要手段,同时能够增强控制层的可扩展性,本文提出一种能够保障分布式控制层面的服务性能及骨干节点的安全性的解决方案;除控制层外,数据层通过利用交换机设备实现SDN网络数据转发功能,本文提出一种用于保障数据完整性以及网络骨干转发节点安全性的解决方案;最后,本文针对SDN网络架构南向接口面临的DDoS安全威胁问题,提出安全检测方案。具体内容如下:(1)针对分布式控制层面骨干节点的安全需求,以及控制层面负载均衡解决方案的高计算复杂度问题,首先提出一种最优的交换机迁移方案,该方案将交换机迁移问题理解为签名匹配问题,并提出一种新的三维EMD算法模型,将研究目标扩充为基于源控制器、目的控制器与交换机的三维变量,保护网络中的骨干控制器节点;此外考虑到方案的可扩展性,进一步提出了适用于大规模网络中的启发式方案,该方案将原最优化问题拆解为两个串联子问题,通过顺序求解两个子问题获得次优解。实验结果表明,该方案能够显著减小控制器节点间的流量负载差异,保护骨干节点不被攻击者识别监听,并防御控制层面的拒绝服务淹没攻击。(2)针对保障数据层骨干节点安全性与网络数据完整性的需求,以及当前路由突变技术受限的扩展性以及高计算复杂度问题,首先提出一种新的、基于节点的路由突变方法,并将研究目标由单一节点扩充为多跳路径,将路由突变问题模拟为三维EMD模型,并采用基于0-1整数变量的分支定界法求解该问题;考虑到算法的可扩展性,针对大规模SDN网络环境进一步提出了一种具有较低计算复杂度的贪婪突变方法;此外针对现实网络环境中的条件约束问题,设计并实现了满足约束条件的最优突变方案以及大规模网络突变方案。实验结果表明,该方案能够通过减小网络节点间历史累积流量的差异,掩盖网络骨干节点身份,有效保护该类节点,同时提出的突变方案显著降低了计算复杂度,能够有效应用于大规模SDN网络环境中。(3)针对SDN网络由于数据层与控制层解耦合特征引入的DDoS攻击威胁现状,以及现有检测方法无法准确检测攻击的问题,提出一种基于EMD算法的DDoS攻击检测方案,综合分析网络流量多维特征;此外,为了提高算法的可行性与准确度,采用一种新的带有对称性的Renyi熵散度作为EMD算法中的费用函数。仿真实验结果表明,该方案不仅能够通过比较EMD计算结果实现SDN网络DDoS攻击检测,还能够有效提高算法检测准确率,增强SDN网络的检测防御能力。综上所述,本文重点研究基于SDN的安全防御关键技术,根据SDN网络架构特征,提出针对性的安全检测防御方案。实验结果表明,本文所提出的安全防御方案能够针对相应SDN网络安全问题实现快速有效防御,具有一定的现实应用价值及意义。
【图文】:
图1-2邋SDN网络整体安全防御结构图逡逑SDN网络控制层、南向接口与数据层面临的安全威胁与SDN网络整体安全防逡逑御结构间的关系如图1-2所示。由图1-2可见,控制层、南向接口与数据层每个层面的逡逑安全问题都将影响整体SDN网络架构的安全性,任一层面发生安全问题都将导致网逡逑络故障、影响网络正常服务,因此保障这三个层面的安全性对于提高SDN网络整体逡逑架构安全性是十分重要的。SDN网络控制层作为网络核心,是SDN网络最重要的组逡逑成部分,同时SDN网络通过利用数据层转发设备实现流量快速转发,因此控制层与逡逑数据层在SDN网络中具有举足轻重的地位,再加之网络中位于控制层面与数据层面逡逑的、具有战略重要性的骨干设施节点对整体网络而言意义重大,这类节点通常负责逡逑5逡逑
令SDN网络具备可编程性,但由于应用程序需求不一,导致目前北向接口的标准逡逑化工作仍在推进。业界各厂商以及标准组织,包括一些顶级技术专家,都致力于逡逑北向接口的统一.,国际电联电信标准化部门(ITU邋Telecommunication邋Standardization逡逑Sector,ITU-T)、电信管理论坛(TeleManagement邋Forum,邋TMF)、ONF、城域以太网论逡逑坛(Metro邋Ethernet邋Forum,邋MEF)等组织基本达成共识,使用统一的网络资源信息模逡逑型,同时,在互联网工程任务组(Internet邋Engineering邋Task邋Force,邋IETF)也逐渐有一逡逑些提案,建议采用通用信息模型@1。逡逑控制器平面作为SDN网络架构的核心组成部分,具有逻辑集中的网络视图,通逡逑常包含一个或多个控制器,每个控制器管理并控制至少…个数据层网元资源,通过南逡逑向接口协议获取网络数据平面拓扑、流量、QoS等信息,并进一步实现针对数据层设逡逑备的管控,目前常见的控制器有NOX[9Q]、:Floodlight[91】、OpenDaylight[92]、ONOS[93]逡逑等。SDN网络的控制器平面具有可扩展性,,按照组织形式的差异,可以将控制器平逡逑面划分为单一式控制层、逻辑集中物理分布式控制层、完全分布式控制层和分层式逡逑控制层[94],其中单一式控制层面只具备一台控制器;逻辑集中物理分布式控制层通逡逑
【学位授予单位】:北京邮电大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP393.08
本文编号:2694936
【图文】:
图1-2邋SDN网络整体安全防御结构图逡逑SDN网络控制层、南向接口与数据层面临的安全威胁与SDN网络整体安全防逡逑御结构间的关系如图1-2所示。由图1-2可见,控制层、南向接口与数据层每个层面的逡逑安全问题都将影响整体SDN网络架构的安全性,任一层面发生安全问题都将导致网逡逑络故障、影响网络正常服务,因此保障这三个层面的安全性对于提高SDN网络整体逡逑架构安全性是十分重要的。SDN网络控制层作为网络核心,是SDN网络最重要的组逡逑成部分,同时SDN网络通过利用数据层转发设备实现流量快速转发,因此控制层与逡逑数据层在SDN网络中具有举足轻重的地位,再加之网络中位于控制层面与数据层面逡逑的、具有战略重要性的骨干设施节点对整体网络而言意义重大,这类节点通常负责逡逑5逡逑
令SDN网络具备可编程性,但由于应用程序需求不一,导致目前北向接口的标准逡逑化工作仍在推进。业界各厂商以及标准组织,包括一些顶级技术专家,都致力于逡逑北向接口的统一.,国际电联电信标准化部门(ITU邋Telecommunication邋Standardization逡逑Sector,ITU-T)、电信管理论坛(TeleManagement邋Forum,邋TMF)、ONF、城域以太网论逡逑坛(Metro邋Ethernet邋Forum,邋MEF)等组织基本达成共识,使用统一的网络资源信息模逡逑型,同时,在互联网工程任务组(Internet邋Engineering邋Task邋Force,邋IETF)也逐渐有一逡逑些提案,建议采用通用信息模型@1。逡逑控制器平面作为SDN网络架构的核心组成部分,具有逻辑集中的网络视图,通逡逑常包含一个或多个控制器,每个控制器管理并控制至少…个数据层网元资源,通过南逡逑向接口协议获取网络数据平面拓扑、流量、QoS等信息,并进一步实现针对数据层设逡逑备的管控,目前常见的控制器有NOX[9Q]、:Floodlight[91】、OpenDaylight[92]、ONOS[93]逡逑等。SDN网络的控制器平面具有可扩展性,,按照组织形式的差异,可以将控制器平逡逑面划分为单一式控制层、逻辑集中物理分布式控制层、完全分布式控制层和分层式逡逑控制层[94],其中单一式控制层面只具备一台控制器;逻辑集中物理分布式控制层通逡逑
【学位授予单位】:北京邮电大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP393.08
【参考文献】
相关期刊论文 前3条
1 王鹃;王江;焦虹阳;王勇;陈诗雅;刘世辉;胡宏新;;一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法[J];计算机学报;2015年04期
2 邬江兴;;网络空间拟态安全防御[J];保密科学技术;2014年10期
3 邬江兴;;拟态计算与拟态安全防御的原意和愿景[J];电信科学;2014年07期
相关硕士学位论文 前2条
1 王宇航;一种基于SDN的地址跳变主动防御技术的研究与实现[D];浙江大学;2017年
2 印苏凯;SDN中的网络信息隐藏技术研究[D];南京理工大学;2017年
本文编号:2694936
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2694936.html
