HSA在SDN环境下入侵检测系统中的应用

发布时间：2017-04-23 04:08

  本文关键词：HSA在SDN环境下入侵检测系统中的应用，由笔耕文化传播整理发布。

【摘要】：现阶段，随着物联网、云计算、虚拟化以及移动互联网等网络技术的兴起和发展，传统的网络架构越来越难以满足企业、学校、运营商和事业机关等对网络带宽，网络性能以及网络服务多样化的需求。软件定义网络（Software Defined Networking，SDN）作为一种新兴的网络架构逐步从学术领域走向了商业领域，成为了这一时期网络发展的趋势和潮流。SDN技术将网络的控制平面与数据平面分离，，以SDN控制器的方式集中化的控制整个网络，同时给予SDN交换机可编程性。SDN技术在方便对网络的管理控制，提供多样化的网络服务的同时，也引发了一些安全性问题。传统网络环境下的入侵检测系统（Intrusion Detection System, IDS）已经发展成熟，但是能否应用和如何应用在SDN环境下是本文的研究重点。 头部空间分析（Header SpaceAnalysis, HSA）是由斯坦福大学在2012年提出的用于网络状态检测和建模的与协议无关的分析框架。HSA主要用来帮助网络管理员静态的分析网络状态，检测网络故障以及保障不同用户间的流量隔离等。HSA的思想最初来源于Lakshman和Stiliadis在1998年SIGCOMM上发表的一篇论文。这篇论文提出了使用多维几何空间的方法对数据包进行分类的想法。在2013年，斯坦福大学的一个实验室基于HSA提出了用于SDN网络的实时策略检测工具NetPlumber。这个工具可以实时的检测网络故障，解决SDN网络的可达性问题和环路问题。在2014年，SIGCOMM上的一篇文章提出了基于HSA的防火墙FLOWGUARD。本文也利用HSA在网络状态分析中的优势，提出了基于HSA的入侵检测系统。 由于SDN环境集中化控制的特点，在SDN网络中不需要像传统网络一样部署多个网络入侵检测系统来检测网络各个部分的流量。SDN控制器能够集中化的控制整个网络，并将网络中各个交换机的流量信息以tap或PACKET_IN的形式发送给入侵检测系统进行检测。由于SDN交换机的可编程性，SDN交换机的行为和功能已经远远超过了传统交换机的能力。SDN交换机行为的不确定性和动态性给网络维护人员带来了极大的困难。本文不仅利用SDN控制器集中化控制的优势，而且应用HSA对SDN网络环境的分析来追踪异常流量；既简化了传统网络入侵检测系统的部署，也借助了SDN网络的可编程性特点帮助维护人员追踪异常流量的来源。 综上所述，本文针对SDN网络环境控制集中化和网络可编程性的特点提出了基于HSA的入侵检测系统。本文提出的入侵检测系统能够在发现异常流量的同时，分析出异常流量进入网络的位置，并从源头阻止异常流量进入网络。本文提出的基于HSA的入侵检测系统由五个模块组成：SDN控制器，Agent代理，HSA计算，入侵检测，数据包拦截。SDN控制器为入侵检测系统提供网络流量镜像，控制和管理整个SDN网络，并在网络拓扑结构变化时通知Agent代理。Agent代理将获取到的拓扑信息和流表信息发送给HSA计算模块。HSA计算模块分析检测到的异常数据包的来源并通知数据包拦截模块拦截。本文使用Floodlight作为SDN控制器，Snort作为入侵检测模块，实现了Agent代理模块，HSA计算模块和数据包拦截模块，并对整个入侵检测系统进行性能和可扩展性进行评估。实验结果显示在SDN网络中有12000个OpenFlow交换机时，HSA计算模块的正向追踪算法平均能在2秒内完成，反向追踪算法平均能在0.5秒内完成，实验表明本文提出的基于HSA的入侵检测系统适合应用在大规模交换机、控制器等网络设备组成的复杂网络环境中，具有较高的性能和可扩展性。
【关键词】：入侵检测系统 头部空间分析 软件定义网络 Floodlight Snort
【学位授予单位】：吉林大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-6
• Abstract6-11
• 第1章 绪论11-17
• 1.1 SDN 网络安全研究现状11-12
• 1.2 论文研究背景及意义12-16
• 1.2.1 SDN 安全性面临的挑战12-13
• 1.2.2 入侵检测与防御系统在 SDN 环境下的发展13-14
• 1.2.3 头部空间分析在 SDN 安全研究的发展14-16
• 1.2.4 论文的研究内容16
• 1.3 论文的组织结构16-17
• 第2章 软件定义网络17-26
• 2.1 SDN 技术背景17-18
• 2.2 OpenFlow 协议18-21
• 2.3 SDN 控制器21-22
• 2.4 Floodlight22-25
• 2.4.1 Floodlight 概述22-24
• 2.4.2 静态流推送24
• 2.4.3 REST API24-25
• 2.5 小结25-26
• 第3章 入侵检测系统26-33
• 3.1 入侵检测系统概述26-30
• 3.1.1 入侵检测技术26-28
• 3.1.2 入侵检测系统分类28-30
• 3.2 入侵检测系统 snort30-32
• 3.2.1 Snort 简介30
• 3.2.2 Snort 体系结构30-32
• 3.2.3 Snort 的部署32
• 3.3 小结32-33
• 第4章 头部空间分析33-42
• 4.1 头部空间几何模型33-35
• 4.2 头部空间代数35-37
• 4.2.1 空间上的集合操作35-37
• 4.2.2 传递函数的定义域，值域，反值域37
• 4.3 管道图37-41
• 4.3.1 管道图概述38-40
• 4.3.2 管道图的建立40-41
• 4.4 小结41-42
• 第5章 基于 HSA 的入侵检测系统的实现42-57
• 5.1 入侵检测系统框架42-43
• 5.2 入侵检测系统的模块实现43-44
• 5.3 Floodlight 控制器模块44-46
• 5.3.1 管理网络拓扑信息44-45
• 5.3.2 监控网络拓扑变化45-46
• 5.4 Agent46-49
• 5.4.1 Agent 处理 Floodlight 拓扑更新47
• 5.4.2 Agent 获取网络拓扑信息和交换机流表信息47-48
• 5.4.3 Agent 向 HSA 计算模块发送拓扑信息及流表信息48-49
• 5.5 HSA 计算模块初始化、更新与数据包追踪49-55
• 5.5.1 HSA 计算模块的类与功能49-52
• 5.5.2 初始化过程与更新过程52-53
• 5.5.3 数据包正向追踪算法53-54
• 5.5.4 数据包反向追踪算法54-55
• 5.6 入侵检测系统部分55-56
• 5.7 数据包的拦截56
• 5.8 小结56-57
• 第6章 基于 HSA 的入侵检测系统的实验评估57-67
• 6.1 性能评估57-63
• 6.1.1 实验环境57
• 6.1.2 实验拓扑57-58
• 6.1.3 实验过程58-59
• 6.1.4 实验结果59-63
• 6.1.5 结果分析63
• 6.2 可扩展性评估63-66
• 6.2.1 实验环境63-64
• 6.2.2 实验拓扑64
• 6.2.3 实验过程64
• 6.2.4 实验结果64-66
• 6.2.5 结果分析66
• 6.3 小结66-67
• 第7章 总结与展望67-68
• 7.1 论文总结67
• 7.2 进一步工作67-68
• 参考文献68-71
• 作者简介及在学期间所取得的科研成果71-72
• 致谢72

【参考文献】

中国期刊全文数据库 前1条

1 胡亮;王程明;赵阔;努尔布力;姜千;;基于人工免疫模型的入侵检测系统中检测器生成算法的分析与改进[J];吉林大学学报(理学版);2010年01期

  本文关键词：HSA在SDN环境下入侵检测系统中的应用，由笔耕文化传播整理发布。

本文编号：321811