软件定义网络中若干安全问题研究

发布时间：2020-06-22 13:26

【摘要】：随着网络技术的不断进步,互联网正悄然改变着我们生活的方方面面,网上办公、在线学习、网上购物等都极大地丰富和方便了人们的工作、学习和生活。但网络的飞速发展在给人们带来诸多便利的同时,也给网络的管理和创新带来了巨大挑战。网络流量的不断激增使得路由器等网络设备已日益不堪重负,整个网络变得十分臃肿、难以管理和创新。软件定义网络(SDN)是一种能够满足未来互联网需求的新型网络架构,它的出现使得突破现有网络架构面临的种种瓶颈成为可能。软件定义网络将控制平面和数据平面相分离,屏蔽了底层网络基础设施的复杂性,使得整个网络的管理更加便捷和高效。同时,SDN的集中管理、开放性和可编程性等特点使得它可以很好地支持未来新型业务的创新。然而,任何事物都具有两面性,SDN作为一种处在起步阶段的新兴技术不可能是完美的,它的众多优势就像一把双刃剑,带来巨大好处便利的同时,也给网络带来了不容忽视的安全问题。例如,SDN的集中管理使得应用策略冲突、非法访问等安全问题时有发生;SDN的可编程性又使得黑客可以通过软件编程的方式轻易地向网络发起分布式拒绝服务等攻击。因此,深入研究并解决软件定义网络中的若干安全问题是SDN得以进一步快速健康发展的关键所在。本研究以国家重点研发计划项目《信息安全认证认可关键技术研究与应用》为依托,针对软件定义网络中的应用策略冲突、非法访问和分布式拒绝服务攻击等三个热点安全问题展开了深入研究。本文的主要研究内容及创新点包括:1.针对应用策略冲突问题,提出了一种软件定义网络中基于规则组的应用策略冲突检测方案。首先根据集合理论定义了具备唯一性和确定性的规则之间的5种逻辑关系;在此基础上,并参考规则Action域的异同,将规则冲突划分为4类。然后提出了应用策略冲突检测方案:先根据规则的Protocol域和Dst_Port域,将规则集划分为若干个子集;接着根据有效比特位对每个子集进行细化,得到若干个更小的规则组;再分别在每个规则组中执行本文提出的基于集合理论的规则冲突检测算法,检测出规则集中的所有冲突及其冲突类型。实验结果表明,与对比方案相比,本文提出的基于规则组的应用策略冲突检测方案具有更高的检测效率;同时,本方案不仅适用于普通应用与安全应用之间的策略冲突,并且也适用于普通应用之间的策略冲突。2.针对非法访问问题,提出了一种软件定义网络中基于用户信任度的访问控制方案。首先设计了软件定义网络中的访问控制方案的系统模型。接下来,对系统模型中的主要模块分别进行了原理论述和过程设计。在此基础上提出了访问控制方案:先判断用户的网络访问请求数据包的相应流表项是否存在,如果不存在则再判断用户是否为新用户(如果是新用户需要引导其完成注册与授权,之后控制器才下发流表到交换机);然后,根据本文提出的用户信任度计算和更新方法求得用户信任度;最后,根据求出的信任度对用户的访问请求做出不同的响应。实验结果表明,本文提出的基于用户信任度的访问控制方案是正确有效的,方案中通过信任度能够反映出用户的真实身份,且对恶意非法用户有着较好的识别能力,达到了有效阻止非法访问、保护合法访问的目的。同时,相对于传统的访问控制方案,本方案实现了更细粒度的访问控制。3.针对分布式拒绝服务攻击问题,提出了一种软件定义网络中基于自组织映射网络的分布式拒绝服务攻击检测方案。首先根据Packet_In事件发生的概率进行预警;如果超过阈值,再根据流长度进行自适应流抽样,这样约减了海量数据,进而降低了资源消耗;在此基础上,计算流的特征,再利用自组织映射网络对特征值进行聚类,最终检测出分布式拒绝服务攻击流。实验结果表明,本文所提出的基于自组织映射网络的分布式拒绝服务攻击检测方案在检测率和误报率上均优于对比方案。
【学位授予单位】：北京交通大学
【学位级别】：博士
【学位授予年份】：2018
【分类号】：TP393.08
【图文】：

斯坦福大学,科研力量,思科,麻省理工学院

逡逑ＳＤＮ最早起源于斯坦福大学的Ｃｌｅａｎ邋Ｓｌａｔｅ项目随着研究的深入，逡逑ＳＤＮ逐渐引起了人们的关注，如图１－］所示，其显示的是近十年ＳＤＮ在Ｇｏｏｇｌｅ逡逑Ｔｒｅｎｄｓ上的关注度。实际上，斯坦福大学（Ｓｔａｎｆｏｒｄ）、麻省理工学院逡逑（ＭＩＴ）、卡耐基梅隆大学（ＣＭＵ）、清华大学等国内外著名高校都己相继开逡逑展了邋ＳＤＮ领域的相关研宄；Ｇｏｏｇｌｅ、Ｍｉｃｒｏｓｏｆｔ等ＩＴ行业的领导者己均在ＳＤＮ逡逑领域投入了大量的科研力量，华为、思科等ＩＴ设备商也纷纷投入到ＳＤＮ控制器逡逑１逡逑

潜在攻击,脆弱性,网络安全,英国

金会颁发的＂Ｏｕｔｓｔａｎｄｉｎｇ邋Ｔｅｃｈｎｉｃａｌ邋Ｃｏｎｔｒｉｂｕｔｉｏｎ邋Ａｗａｒｄ＂的获得者，来自英国顶尖大逡逑学Ｑｕｅｅｎ＇ｓ邋Ｕｎｉｖｅｒｓｉｔｙ邋Ｂｅｌｆａｓｔ的网络安全专家Ｓｃｏｔｔ－Ｈａｙｗａｒｄ将ＳＤＮ面临的潜在攻击逡逑和脆弱性归纳为六类，如图１－２所示。逡逑Ｎｅｔｗｏｒｋ邋Ｓｅｒｖｉｃｅｓ逡逑—Ｌ邋｜丨一ｑｌ邋：３0？：丨（ｄ）逡逑Ｃｏｎｔｒｏｌ邋Ｉｎｔｅｒｆａｃｅｓ逡逑逦逦%煎危螅巍澹模幔簦徨澹穑幔簦桢澹簦颍幔妫妫椋沐义希茫铮睿簦颍铮欤欤澹蝈澹茫欤酰螅簦澹蝈义希茫铮睿妫椋纾酰颍幔簦椋铮铄危保卞危椋妗鳎皱澹㈠义希校铮椋睿翦澹茫酰螅簦澹蝈五危保保剩戾危粒睿幔咤澹眨睿椋簦箦澹骸㈠义希村危澹辏希幔簦徨逡诲义希唬慑危赍危ǎ叮╁危遑板澹茫铮簦欤澹悖簦铮蝈澹叔澹宓呢佩义希蓿郑邋澹掊巍ⅲ妫╁危殄澹湾义希蓿觯澹插危校铮簦澹睿簦椋幔戾澹粒簦簦幔悖耄箦义希掊危蓿蓿危澹

本文编号：2725735

资料下载

论文发表

支付宝下载

Download by Alipay
微信下载

Download by Wechat
会员下载

Download by Member

本文链接：https://www.wllwen.com/guanlilunwen/ydhl/2725735.html

上一篇：大规模环境下容器技术的研究与优化
下一篇：基于熵分类的个性化隐私匿名方法

论文发表

·知网|万方|维普|龙源|省级|国家级|科技核心|北大核心|南大核心CSSCI|EI|SCI|SSCI|