软件定义网络中规则冲突检测与解决机制研究
发布时间:2020-08-22 11:29
【摘要】:软件定义网络(Software-DefinedNetworking,SDN)是一种新型网络架构,它将传统网络中的数据平面和控制平面解耦合,并通过高度集中的控制逻辑来管理和操作网络。由于网络的高度可编程性和动态配置功能使得网络管理具有很强的灵活性和便利性。目前,SDN网络已经在美国的Internet2、日本的JGN2plus等多个科研机构中得到部署,国内的一些知名高校和研究机构也开始研究和部署SDN相关的试验平台。随着SDN架构的发展和相关设备的使用,基于OpenFlow协议的SDN网络也面临着很多新的安全问题。由于OpenFlow协议是无状态的,数据平面不具备策略分析能力,攻击者可以通过流表项修改数据包致使数据流绕过既定安全策略,导致规则冲突,大大降低网络安全性能。在SDN网络中,交换机等网络设备对控制器下发的流规则是完全信任的,一旦流规则遭到了攻击者的恶意篡改,整个网络的安全性能将面临严重威胁。攻击者可以通过流规则改写数据包头域,从而达到绕过安全规则实行恶意攻击的目的。就现阶段研究而言,国内外研究主要通过图搜索、数据包头空间解析等方法来实现规则冲突检测,通过基于角色的身份认证策略、添加流标签、数据重路由的方法来解决冲突,但仍存在以下问题有待改善:(1)图搜索算法中建立图索引时间长,数量多,导致检测时间难以满足网络实际需求;(2)数据包头空间解析算法中检测准确率高,但其对全网规则进行遍历的特性同样导致检测时间长;(3)在规则冲突解决中,基于角色的身份认证,没有考虑到规则之间的依赖性,导致误报,漏报,而添加流标签的方法又有可能引进新的匹配问题。依托国家重点基础研究发展计划(973计划)项目—“可重构信息通信基础网络体系研究”,以检测和解决SDN中的规则冲突为研究目标,本文对图搜索算法、头空间解析算法以及规则冲突解决方法提出相应的优化和改进策略。本文的研究工作及主要贡献如下:1.针对基于图搜索的规则冲突检测算法,提出了一种基于Path-Tree模型的规则冲突检测机制,该方法利用Path-Tree的特性,将数据平面端到端的可达性集中于一次图索引过程,所建立的最小等价图大大减小了端到端之间可达性验证的索引次数,从而降低了检测时间,仿真结果表明相比于检测工具Flowchecker,本文在检测时间上大约减少了14%。2.针对现有头空间解析算法中规则冲突时间开销大的问题,提出了一种高效的流规则冲突检测算法,该机制通过压缩流表项,建立基于端口的规则拓扑,根据该拓扑直接计算端到端的可达性,从而快速地检测网络中的规则冲突。仿真结果表明在同等条件下,相比于现有的检测机制,本文所提机制在检测时间上可降低约15%。3.针对规则冲突解决中没有考虑到规则之间的依赖性的问题,提出了一种基于安全路径重路由的冲突解决方法。通过获取实时的SDN网络状态,定义交换机节点的某些性质为特征值,并利用BP神经网络对节点行为进行预测来判断节点的安全状态,最后将节点情况实时反馈给控制器,控制器根据交换机情况选择一条较安全的路径进行数据的重路由,从而实现规避危险节点,达到解决规则冲突的目的。
【学位授予单位】:战略支援部队信息工程大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP393.02
【图文】:
图 1.2 OpenFlow 框架换机能够根据流表的转发规则对数据包进行转发。目ow v1.0.0.这个版本中使用 12 条匹配项来对进入交。表 1.1 OpenFlow 协议中的匹配项Ingress PortEther srcEther dstVLAN idVLAN priority CoSIP srcIP dstIP protoIP ToS bitsTCP/UDP src port
图 1.4 论文研究内容间关系以下三点:一种决策树模型,在传统网络中可以对网络验证,利用该模型对 SDN 的数据平面规则网络中转发设备的端口为节点,转发规则平面端到端的可达性集中于一次图索引过数,从而降低了检测时间,仿真结果验证了与安全规则冲突的规则必然存在重写操作进行提炼,并对这些规则采取进行统一的语进行建模,以规则为节点,转发行为为边建为根节点反推相应的源节点和目的节点,从比进而发现规则冲突现象,仿真结果验证了
图 2.3 时间消耗图3 看出,本章算法发现冲突的检测速率相比 Flowchecker 平均提高 14要是利用 Path-Tree 的特性,在检验端到端可达性过程中不需要多次建索引的基础上可以了解各端口间的可达性。同时,实验中还选取了任意建立的时间开销,本章算法与 Flowchecker 相比,其可达树的时间开销。本章 Stanford本章 Internet2Flowchecker StanfordFlowchecker Internet2
本文编号:2800631
【学位授予单位】:战略支援部队信息工程大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP393.02
【图文】:
图 1.2 OpenFlow 框架换机能够根据流表的转发规则对数据包进行转发。目ow v1.0.0.这个版本中使用 12 条匹配项来对进入交。表 1.1 OpenFlow 协议中的匹配项Ingress PortEther srcEther dstVLAN idVLAN priority CoSIP srcIP dstIP protoIP ToS bitsTCP/UDP src port
图 1.4 论文研究内容间关系以下三点:一种决策树模型,在传统网络中可以对网络验证,利用该模型对 SDN 的数据平面规则网络中转发设备的端口为节点,转发规则平面端到端的可达性集中于一次图索引过数,从而降低了检测时间,仿真结果验证了与安全规则冲突的规则必然存在重写操作进行提炼,并对这些规则采取进行统一的语进行建模,以规则为节点,转发行为为边建为根节点反推相应的源节点和目的节点,从比进而发现规则冲突现象,仿真结果验证了
图 2.3 时间消耗图3 看出,本章算法发现冲突的检测速率相比 Flowchecker 平均提高 14要是利用 Path-Tree 的特性,在检验端到端可达性过程中不需要多次建索引的基础上可以了解各端口间的可达性。同时,实验中还选取了任意建立的时间开销,本章算法与 Flowchecker 相比,其可达树的时间开销。本章 Stanford本章 Internet2Flowchecker StanfordFlowchecker Internet2
【参考文献】
相关期刊论文 前6条
1 王鹃;王江;焦虹阳;王勇;陈诗雅;刘世辉;胡宏新;;一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法[J];计算机学报;2015年04期
2 兰巨龙;程东年;胡宇翔;;可重构信息通信基础网络体系研究[J];通信学报;2014年01期
3 徐涛;丁晓璐;李建伏;;K最短路径算法综述[J];计算机工程与设计;2013年11期
4 张宏科;罗洪斌;;智慧协同网络体系基础研究[J];电子学报;2013年07期
5 胡国政;洪帆;郭亚军;;标准模型中可证安全的基于ID的身份认证方案[J];小型微型计算机系统;2007年11期
6 戚德虎,康继昌;BP神经网络的设计[J];计算机工程与设计;1998年02期
本文编号:2800631
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2800631.html
