SDN网络南向安全防护系统研究与实现

发布时间：2020-10-15 06:37

　　 SDN作为新一代网络技术,数控分离、开放接口以及网络虚拟化的特性使其在当前网络资源需求不断变化的环境下,比传统网络更具有适用性,得到了广大厂商以及学者的推崇。但也正是由于SDN的这些特性使其比传统网络更容易遭受攻击,而南向接口作为连接控制平面与数据平面的通信接口,其安全问题更是重中之重。基于此背景下,本文实现了SDN网络南向安全防护系统,主要包括对SDN南向安全通信的保护、对SDN网络DDoS攻击的检测以及对SDN控制器性能的监测;并在对SDN网络南向安全防护技术的研究过程中,根据SDN网络的不足或特点提出了针对性的改进方案。论文的主要工作如下:(1)针对SDN系统原有TLS安全信道的不足,提出了SDN网络南向安全认证方案。本方案将默认执行南向TLS安全信道,由可信任机构CA对SDN网络中合法的控制器以及交换机进行签名认证,实现控制器与交换机之间的双向认证,根据非对称加密算法以及对称加密算法的不同特点,采用RSA非对称加密算法进行密钥协商,最终获得双方一致的对称密钥,采用AES对称加密算法对后续的通信消息进行加密,以达到更高的安全性以及更高的效率。通过对本方案的安全性分析,可以证明所提方案可以有效的防止中间人攻击,实现SDN南向通信的完整性与机密性;(2)提出了基于CNN的SDN网络DDoS攻击检测算法,用CNN模型对SDN网络流量的特征进行分类,实现DDoS攻击检测。首先基于SDN网络流量的特点,分析了传统CNN在网络流量分析场景下的不适用性,引入信息熵的概念,改进了传统CNN中的池化算法;然后为了提高网络模型的泛化能力,将网络模型预先在NSL KDD数据集上进行预训练,再在SDN数据集上进行微调学习;最后通过实验所提算法在测试集上达到了98.1%的准确率。(3)实现了SDN网络南向安全防护系统。利用SDN南向安全认证方案实现对SDN南向接口的安全防护,采用基于CNN的流量分类算法实现对SDN网络的DDoS攻击检测,记录控制器性能监测数据,并实现了前端可视化展示,以方便网络管理员对控制器性能具有更直观的了解;通过实验验证了系统能够做到实时监测各个性能参数,并以可视化的方式展示给用户,让用户可以更好地了解系统的运行情况,同时也说明了本文研究内容的可行性与实用性。
【学位单位】：北京邮电大学
【学位级别】：硕士
【学位年份】：2019
【中图分类】：TP393.08
【部分图文】：

ＡＮＥＴ［２］等都是对网络通信需求极大的领域。传统网络面对其不断变化的乏即时变化的灵活性，并且随着网络规模的不断扩大，网络应用程序的，传统网络的不足之处也就越来越明显；同时，其“补丁式”的部署策协议类型以及混乱的协议标准也是影响现代网络架构和网络技术发展要原因。为了解决这些问题，研究新兴的网络架构，特别是虚拟化可编架构，一度成为了该领域内的研究重点，例如２００９年美国ＧＥＮＩＷ项目坦福大学Ｃｌｅａｎ?Ｓｌａｔｅ课题，ＯｐｅｎＦｌｏｗ技术就是在这样的时代背景下来基于ＯｐｅｎＦｌｏｗ可编程的特性，Ｃｌｅａｎ?Ｓｌａｔｅ课题研究团队的Ｎｉｃｋ教授出了?ＳＤＮ的概念，从而诞生了新一代可编程网络一一软件定义网ｗａｒｅ?Ｄｅｆｉｎｅｄ?Ｎｅｔｗｏｒｋ，?ＳＤＮ）。ＳＤＮ网络可根据架构特征分为三个平面平面、应用平面和数据转发平面，如图１－１显示了?ＳＤＮ整个系统及其之间关系，其中控制平面与数据转发平面之间的通信接口被称为南向接面与应用平面之间的通信接口被称为北向接口；控制平面可以通过南向据转发平面的网络设备进行集中管理，也可以通过北向接口为应用平面序提供灵活的可编程能力。??

一步提出了?ＳＤＮ的概念，从而诞生了新一代可编程网络一一软件定义网络??（Ｓｏｆｔｗａｒｅ?Ｄｅｆｉｎｅｄ?Ｎｅｔｗｏｒｋ，?ＳＤＮ）。ＳＤＮ网络可根据架构特征分为三个平面一??一控制平面、应用平面和数据转发平面，如图１－１显示了?ＳＤＮ整个系统及其各??个平面之间关系，其中控制平面与数据转发平面之间的通信接口被称为南向接口，??控制平面与应用平面之间的通信接口被称为北向接口；控制平面可以通过南向接??口对数据转发平面的网络设备进行集中管理，也可以通过北向接口为应用平面的??应用程序提供灵活的可编程能力。??应用程序?应用程序?应用程序?应用平面??“北向接口（Ｒｅｓｔ?ＡＰＩ）???Ｊ???控制器?控制平面??南向接口（ＯｐｅｎＦｌｏｗ）???ｊ???网络设备?网络设备?网络设备?数据转发平面??图１－１?ＳＤＮ系统架构图??１??

将Ｐａｃｋｅｔ－ｉｎ消息传送给控制器，以查询新的流规则条目。控制器决定路由路径??并指示所有涉及的交换机使用规则来处理这个新流，每个流条目的特征是硬超时，??在此之后交换机会自动删除条目。典型的ＳＤＮ部署和前面所描述的步骤如图２－??１所示。??ＳＤＮ控制器??，／／、、、＇??／Ｓ＇??一力：＇?一＾．???４／＇??ＯｐｅｎＦ?１?ｏｗ?交换机?、、???图２－１典型的ＳＤＮ系统部署示例??ＳＤＮ的基本元素包括ＳＤＮ交换机（ＯｐｅｎＦｌｏｗ交换机）和ＳＤＮ控制器??（ＯｐｅｎＦｌｏｗ控制器），它们分别构成了?ＳＤＮ的数据平面和控制平面。??７??
【相似文献】

相关期刊论文 前10条

1 张宿新;阮兆文;吴毅华;;基于云计算的虚拟服务器安全防护系统[J];通讯世界;2017年17期

2 李荣智;;提高二次安全防护系统的实用性[J];中国新通信;2015年23期

3 熊伟;李恒;;浅析煤棚安全防护系统的应用[J];工程建设与设计;2016年15期

4 ;和风旗舰 LEXUS LS 500[J];汽车知识;2017年02期

5 王志强,朱凯,黄欣;银行核心业务安全防护系统的设计与应用[J];计算机安全;2004年10期

6 王力;蔡世金;覃晓宁;;一种面向移动互联网的安全防护系统[J];信息与电脑(理论版);2017年02期

7 王振铎;王振辉;边倩;陈绥阳;;U盘防失智能提醒及安全防护系统研制[J];信息技术;2017年08期

8 仲崇山;韩筱慧;吴冰;赵鹏;陈南;;高压试验人身安全防护系统的研制[J];华中电力;2009年05期

9 王志强 ,黄欣 ,朱凯;银行核心业务安全防护系统的设计与应用[J];中国金融电脑;2004年09期

10 张静丽;李庆平;;塑料注射机安全防护系统的分析与改进措施[J];兵工安全技术;1996年02期

相关硕士学位论文 前10条

1 孟庆月;SDN网络南向安全防护系统研究与实现[D];北京邮电大学;2019年

2 郝铮;SDN下基于NSFV技术的元安全功能组合方法研究[D];北京邮电大学;2019年

3 王宏娟;留村智能电站二次安全防护系统项目应用效果综合评价[D];华北电力大学;2018年

4 李丽;Web应用防护技术在CMS中的应用与研究[D];西安工业大学;2016年

5 周潇;金融系统动态信息安全防护系统的构建[D];北京工业大学;2013年

6 王华钰蒨;起竖发射装置安全防护系统研究[D];武汉工程大学;2017年

7 吕文博;基于分布式虚拟化组网的攻击验证及安全防护系统的设计与实现[D];北京邮电大学;2014年

8 吴明泽;基于无线技术的高速铁路天窗检修安全防护系统设计[D];大连交通大学;2015年

9 赵银春;配电网安全防护系统[D];电子科技大学;2013年

10 孔超;基于FPGA面向典型应用的安全防护系统研究与设计[D];山东大学;2010年

本文编号：2841835