SDN安全控制器的优化设计与实现

发布时间：2017-04-08 18:04

  本文关键词：SDN安全控制器的优化设计与实现，由笔耕文化传播整理发布。

【摘要】：软件定义网络(Software Defined Networking, SDN)通过软件的形式重构了现有网络,其集中控制、控制与数据分离以及可编程开放等特性对未来网络技术的发展产生深远影响。从安全的角度来说,SDN的集中性和开放性给自身带来了较大的安全挑战,同时也提供了高度灵活的集中监控、分析和响应系统,为传统安全防护应用提供了新的思路。 借鉴了控制与数据分离的思想,“SDN网络安全技术研究”项目组设计了一种软件定义的安全体系,其核心为安全控制器,能够与SDN环境中的各组件进行协同保护,实现多种安全场景。然而原系统的架构、功能与性能并不能完全满足软件定义安全的需求。 通过对SDN安全需求和方案的调查研究,本文总结出：针对SDN控制中枢的性能瓶颈,采用分布式的架构扩展方案是一种有效的思路；基于OpenFlow流进行流量监控和入侵检测能够利用SDN的优势实现算法改善和性能优化；为满足多样化的SDN安全应用需求,应提供灵活开放的应用接口,提出“安全即服务”的解决方案。 在调研结果的基础上,本文对安全控制器原系统的架构、性能和功能进行如下了优化设计：基于消息队列对原有系统的架构进行分布式改造,实现可扩展和松耦合架构；基于分布式流计算框架Storm解决了原系统在实时处理大量数据场景下的性能瓶颈,提升系统的整体性能；改进了流量检测规则的机制,使安全控制器向应用提供更开放灵活的接口；在改进规则的基础上,优化了原系统DDoS检测的算法,设计并实现了一种基于OpenFlow统计特性的端口扫描检测机制。最后通过性能对比实验,证明了分布式架构改造和功能优化给原系统带来的性能提升,以及基于OpenFlow流统计特性的入侵检测相对于传统IDS的优势。
【关键词】：软件定义网络 安全 优化 分布式 入侵检测
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-5
• ABSTRACT5-10
• 第一章 绪论10-14
• 1.1. 研究背景与意义10-11
• 1.2. 研究现状11-12
• 1.3. 主要研究内容与成果12-13
• 1.4. 论文组织结构13-14
• 第二章 相关技术介绍14-26
• 2.1. 基于OpenFlow的软件定义网络技术14-18
• 2.1.1. OpenFlow技术简介14
• 2.1.2. OpenFlow的体系结构14-16
• 2.1.3. OpenFlow的规范16-18
• 2.2. 分布式消息驱动技术18-21
• 2.2.1. 消息驱动机制18-20
• 2.2.2. 分布式消息中间件技术20-21
• 2.2.3. 常见的分布式消息中间件21
• 2.3. 大数据流式计算技术21-23
• 2.3.1. 大数据的计算技术21-22
• 2.3.2. 流式计算技术22-23
• 2.4. 入侵检测技术23-25
• 2.4.1. 入侵检测系统的简介与分类23-24
• 2.4.2. 入侵检测的工作方式24-25
• 2.5. 本章小结25-26
• 第三章 基于分布式的架构优化26-48
• 3.1. 架构改进的需求分析26-29
• 3.1.1. 安全控制器的功能与架构26-27
• 3.1.2. 模块间的事件调度协同机制27-28
• 3.1.3. 架构的不足28-29
• 3.2. 基于消息队列的架构分布式优化29-33
• 3.2.1. 基于分布式消息队列的改造29
• 3.2.2. Rabbit MQ的工作原理29-30
• 3.2.3. 消息机制的改进设计30-31
• 3.2.4. 消息机制改进的实现31-33
• 3.3. 基于消息队列的模块部署改进设计33-34
• 3.4. 基于分布式流计算技术的性能优化34-43
• 3.4.1. 方案的选择34-35
• 3.4.2. Storm的工作方式35-37
• 3.4.3. 流监控模块基于Storm的分布式改进设计37-43
• 3.5. 系统部署的改进设计43-45
• 3.5.1. 部署方案的改进设计43-45
• 3.5.2. 部署与监控的自动化实现45
• 3.6. 本章小结45-48
• 第四章 流量监控机制的优化48-58
• 4.1. 流量监控机制的改进48-50
• 4.1.1. 方案的调研48-49
• 4.1.2. 脚本订阅规则机制的实现49
• 4.1.3. 改进的Anti-SYN flood检测规则49-50
• 4.2. 从不同角度实现的入侵检测功能扩展50-52
• 4.2.1 基于数据包特征匹配的入侵检测50-51
• 4.2.2 基于统计特性分析的入侵检测51-52
• 4.3. 基于OpenFlow流统计特性的端口扫描检测机制52-56
• 4.3.1 端口扫描检测的原理52-53
• 4.3.2 Snort的端口扫描检测机制53
• 4.3.3 基于OpenFlow流统计特性的端口扫描检测53-56
• 4.4. 本章小结56-58
• 第五章 优化后的性能对比实验58-70
• 5.1. 分布式改造的性能对比实验58-64
• 5.1.1 安全控制器的DDoS攻击检测流程与实验条件58-59
• 5.1.2 分布式与单机架构的性能对比59-62
• 5.1.3 分布式流监控模块不同数据分发方式的对比62-64
• 5.2. 检测机制改进的性能对比实验64-65
• 5.3. 基于OpenFlow统计特性的端口扫描检测实验65-68
• 5.3.1 安全控制器与Snort端口扫描检测的性能对比65-66
• 5.3.2 检测性能与分布式节点数量的关系66-68
• 5.4. 本章小结68-70
• 第六章 总结与展望70-72
• 参考文献72-76
• 附录1 论文使用缩写说明76-78
• 致谢78

【参考文献】

中国期刊全文数据库 前2条

1 王淑玲;李济汉;张云勇;房秉毅;;SDN架构及安全性研究[J];电信科学;2013年03期

2 孙大为;张广艳;郑纬民;;大数据流式计算:关键技术及系统实例[J];软件学报;2014年04期

  本文关键词：SDN安全控制器的优化设计与实现，由笔耕文化传播整理发布。

，

本文编号：293387