基于拟态防御的SDN服务路径配置及其验证机制研究
发布时间:2021-04-26 11:56
为保障用户安全、快速、稳定的享受网络服务,网络业务数据流通常需要有序的经过一些网络服务功能点,如防火墙、入侵检测。若要业务数据流按特定业务逻辑有次序的经过服务功能节点,便需要对它进行服务路径配置。虽然新型网络架构软件定义网络(SDN)为服务路径配置带来了巨大的便利,但同时也存在着架构安全问题。本文研究,旨在解决SDN中服务路径配置安全问题,提供一套安全可靠的防御方法。设计了一种用于路径配置的SDN拟态防御架构。首先将拟态防御的动态异构冗余思想应用到SDN控制层中,设计了动态异构冗余的SDN控制层。其次改进了目前拟态防御中多数采用的随机调度算法与多数判决算法,提升了拟态防御性能,有效地解决了目前SDN控制层易被攻击的问题,保障了SDN中服务路径配置的安全。提出了一种基于packetin消息的路径验证机制。通过配置交换机路径验证标识,使得数据流经过交换机时发送packetin消息收集路径验证标识,最后得到数据流的实际传输路径。将实际的传输路径与配置的传输路径进行对比,验证数据流的转发路径,保障路径配置信息在交换机上的正确实施,确保了数据流按服务路...
【文章来源】:浙江工商大学浙江省
【文章页数】:84 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
1 绪论
1.1 背景意义
1.2 研究现状
1.2.1 SDN控制器的安全研究现状
1.2.2 数据包转发路径验证技术研究现状
1.2.3 安全防御技术现状
1.3 研究的主要内容
1.4 主要贡献和创新点
1.5 本文的组织结构
2 路径配置的问题研究
2.1 拟态防御
2.2 SDN关键技术
2.2.1 SDN架构
2.2.2 Openflow
2.3 路径配置安全问题研究
2.4 本章小结
3 一种基于拟态防御的SDN架构设计
3.1 整体架构设计
3.2 应用层
3.3 北向接口
3.4 拟态控制层
3.4.1 北向代理
3.4.2 调度器
3.4.3 执行体池
3.4.4 判决器
3.4.5 南向代理
3.5 算法仿真分析
3.5.1 调度算法仿真
3.5.2 判决算法仿真
3.5.3 调度算法与判决算法组合仿真
3.6 本章小结
in消息的路径验证机制">4 基于packetin消息的路径验证机制
4.1 交换机路径验证标识
4.1.1 标识的构建
4.1.2 标识的分发
4.1.3 路径验证机制
4.1.4 安全性分析
4.2 路径验证的流表规则设计
4.3 异常路径结点定位与移除
4.4 本章小结
5实验
5.1 实验平台的搭建
5.2 路径配置的SND拟态架构测试
5.2.1 应用层配置信息下发
5.2.2 拟态防御的攻击测试
5.3 路径验证机制测试
5.3.1 标识和转发动作的配置
5.3.2 抓包分析
5.3.3 路径验证信息的收集
5.3.4 异常转发的模拟
5.3.5 实际转发路径的获取
5.3.6 异常交换机移除
5.4 本章小结
6 总结与展望
6.1 研究内容总结
6.2 工作展望
参考文献
致谢
攻读硕士学位期间发表的论文和参加的科研工作
【参考文献】:
期刊论文
[1]面向OAuth2.0授权服务API的账号劫持攻击威胁检测[J]. 刘奇旭,邱凯丽,王乙文,陈艳辉,陈浪平,刘潮歌. 通信学报. 2019(06)
[2]基于非相似余度架构的网络空间安全系统异构性量化方法[J]. 张杰鑫,庞建民,张铮,邰铭,刘浩. 电子与信息学报. 2019(07)
[3]立足自主 重点布局 探索网络空间内生安全[J]. 童国华. 保密科学技术. 2018(11)
[4]蜜罐技术研究新进展[J]. 石乐义,李阳,马猛飞. 电子与信息学报. 2019(02)
[5]基于拟态防御架构的多余度裁决建模与风险分析[J]. 李卫超,张铮,王立群,邬江兴. 信息安全学报. 2018(05)
[6]基于沙箱技术的恶意代码行为检测方法[J]. 童瀛,牛博威,周宇,张旗. 西安邮电大学学报. 2018(05)
[7]大数据环境下网络非法入侵检测系统设计[J]. 栾玉飞,白雅楠,魏鹏. 计算机测量与控制. 2018(01)
[8]SDN南向接口协议探究[J]. 鞠卫国,王跃庆,林文祥,孙超,吴利明,梁建安. 电信快报. 2018(01)
[9]Web应用安全漏洞扫描技术研究[J]. 郭文斌,李峰. 信息通信. 2017(12)
[10]基于拟态防御理论的SDN控制层安全机制研究[J]. 顾泽宇,张兴明,林森杰. 计算机应用研究. 2018(07)
硕士论文
[1]基于SDN的QoS技术研究[D]. 彭波.电子科技大学 2018
[2]SDN交换机计数器实现技术研究[D]. 翟欢.国防科学技术大学 2017
[3]一种基于共享树模型建立的MPLS多播模型[D]. 吴佳磊.兰州理工大学 2010
本文编号:3161370
【文章来源】:浙江工商大学浙江省
【文章页数】:84 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
1 绪论
1.1 背景意义
1.2 研究现状
1.2.1 SDN控制器的安全研究现状
1.2.2 数据包转发路径验证技术研究现状
1.2.3 安全防御技术现状
1.3 研究的主要内容
1.4 主要贡献和创新点
1.5 本文的组织结构
2 路径配置的问题研究
2.1 拟态防御
2.2 SDN关键技术
2.2.1 SDN架构
2.2.2 Openflow
2.3 路径配置安全问题研究
2.4 本章小结
3 一种基于拟态防御的SDN架构设计
3.1 整体架构设计
3.2 应用层
3.3 北向接口
3.4 拟态控制层
3.4.1 北向代理
3.4.2 调度器
3.4.3 执行体池
3.4.4 判决器
3.4.5 南向代理
3.5 算法仿真分析
3.5.1 调度算法仿真
3.5.2 判决算法仿真
3.5.3 调度算法与判决算法组合仿真
3.6 本章小结
in消息的路径验证机制">4 基于packetin消息的路径验证机制
4.1 交换机路径验证标识
4.1.1 标识的构建
4.1.2 标识的分发
4.1.3 路径验证机制
4.1.4 安全性分析
4.2 路径验证的流表规则设计
4.3 异常路径结点定位与移除
4.4 本章小结
5实验
5.1 实验平台的搭建
5.2 路径配置的SND拟态架构测试
5.2.1 应用层配置信息下发
5.2.2 拟态防御的攻击测试
5.3 路径验证机制测试
5.3.1 标识和转发动作的配置
5.3.2 抓包分析
5.3.3 路径验证信息的收集
5.3.4 异常转发的模拟
5.3.5 实际转发路径的获取
5.3.6 异常交换机移除
5.4 本章小结
6 总结与展望
6.1 研究内容总结
6.2 工作展望
参考文献
致谢
攻读硕士学位期间发表的论文和参加的科研工作
【参考文献】:
期刊论文
[1]面向OAuth2.0授权服务API的账号劫持攻击威胁检测[J]. 刘奇旭,邱凯丽,王乙文,陈艳辉,陈浪平,刘潮歌. 通信学报. 2019(06)
[2]基于非相似余度架构的网络空间安全系统异构性量化方法[J]. 张杰鑫,庞建民,张铮,邰铭,刘浩. 电子与信息学报. 2019(07)
[3]立足自主 重点布局 探索网络空间内生安全[J]. 童国华. 保密科学技术. 2018(11)
[4]蜜罐技术研究新进展[J]. 石乐义,李阳,马猛飞. 电子与信息学报. 2019(02)
[5]基于拟态防御架构的多余度裁决建模与风险分析[J]. 李卫超,张铮,王立群,邬江兴. 信息安全学报. 2018(05)
[6]基于沙箱技术的恶意代码行为检测方法[J]. 童瀛,牛博威,周宇,张旗. 西安邮电大学学报. 2018(05)
[7]大数据环境下网络非法入侵检测系统设计[J]. 栾玉飞,白雅楠,魏鹏. 计算机测量与控制. 2018(01)
[8]SDN南向接口协议探究[J]. 鞠卫国,王跃庆,林文祥,孙超,吴利明,梁建安. 电信快报. 2018(01)
[9]Web应用安全漏洞扫描技术研究[J]. 郭文斌,李峰. 信息通信. 2017(12)
[10]基于拟态防御理论的SDN控制层安全机制研究[J]. 顾泽宇,张兴明,林森杰. 计算机应用研究. 2018(07)
硕士论文
[1]基于SDN的QoS技术研究[D]. 彭波.电子科技大学 2018
[2]SDN交换机计数器实现技术研究[D]. 翟欢.国防科学技术大学 2017
[3]一种基于共享树模型建立的MPLS多播模型[D]. 吴佳磊.兰州理工大学 2010
本文编号:3161370
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3161370.html
