软件定义网络中基于动态重构的主动防御系统
发布时间:2021-06-10 23:39
在传统网络中,防御者必须不断增加复杂性的防御来保护网络系统免受攻击,而攻击者只需找到一个或多个可利用的漏洞就可以破坏系统。由于网络中的数据包携带信息容易被捕获分析,攻击者在执行攻击前更多的是侦查网络寻找漏洞,且可能随时跟踪信息流,用于全局分析,进而分析网络中的脆弱点。这种攻击成本低,效率高,成为了网络威胁。移动目标防御(Moving Target Defense,MTD)成为解决这些安全问题的一种有效技术。软件定义网络(Software Defined Network,SDN)中的控制器具有对整个网络的全局调控能力,为MTD更好的应用与发展带来新动能。为此,设计并实现了一个软件定义网络中基于动态重构的主动防御系统:该系统通过网络配置突变策略的制定及更新、突变时机与频率的优化,实现数据层敏捷的主动防御,同时也保障网络服务的一致性和连续性。通过修改数据包头部的IP地址以及传输路径,将暴露在网络中的IP和传输信息隐藏起来,使攻击者嗅探网络时获取到的是错误或不完整的信息,进而不断重复攻击过程中的情报收集阶段。当然防御者需向攻击者呈现不可预知的变化攻击面才能使防御持续有效。通过以一定的频率不断变...
【文章来源】:华中科技大学湖北省 211工程院校 985工程院校 教育部直属院校
【文章页数】:66 页
【学位级别】:硕士
【部分图文】:
路径展示图
openflow:6 false nw_src=10.0.0.15nw_dst=10.0.0.12nw_tos=28output:3false nw_src=10.0.0.12nw_dst=10.0.0.15nw_tos=28output:2openflow:9 fasle nw_src=10.0.0.15nw_dst=10.0.0.12nw_tos=28set_field:10.0.0. 1->ip_srcset_field:10.0.0.5->ip_dstoutput:3false nw_src=10.0.0.5nw_dst=10.0.0.1set_field:10.0.0.12->ip_srcset_field:10.0.0.15->ip_dstset_field:7->ip_dscpoutput:2(2)使用 wireshark 分别抓取 openflow:9 交换机和 openflow:4 交换机的数据包,抓取的数据包信息如 4.2,4.3 所示。
图 4.3 抓取 a4-eth1 端口的数据包信息由图 4.1 可知,此时数据包的传输的路径为[7,3,2,6,9]。按照流表策略,数据包会沿着规划好的路线转发,数据包会经过 openflow:9 交换机,而不会经过openflow:4 交换机。利用 wireshark 抓取数据包时,会发现在 openflow:9 交换机对应端口中可以捕捉到源 IP 为 10.0.0.15,目的 IP 为 10.0.0.12 的 TCP 数据包,以及回复包。但是在交换机 openflow:4 上,由于数据包没有转发到该交换机,交换机中只能抓取到 LLDP 数据包。图 4.2,4.3 的测试结果表明流表下发的策略生效,不仅修改了数据包的 IP,而且数据包均是按照规定路径的转发。4.2.2 策略转发与实施模块测试1.测试目标策略转换与实施模块主要是改变了重构的时机与频率,给数据包选择不同的虚拟 IP 和路径来完成转发,隐藏真实主机信息,分散数据包携带的信息不被攻击者全
本文编号:3223340
【文章来源】:华中科技大学湖北省 211工程院校 985工程院校 教育部直属院校
【文章页数】:66 页
【学位级别】:硕士
【部分图文】:
路径展示图
openflow:6 false nw_src=10.0.0.15nw_dst=10.0.0.12nw_tos=28output:3false nw_src=10.0.0.12nw_dst=10.0.0.15nw_tos=28output:2openflow:9 fasle nw_src=10.0.0.15nw_dst=10.0.0.12nw_tos=28set_field:10.0.0. 1->ip_srcset_field:10.0.0.5->ip_dstoutput:3false nw_src=10.0.0.5nw_dst=10.0.0.1set_field:10.0.0.12->ip_srcset_field:10.0.0.15->ip_dstset_field:7->ip_dscpoutput:2(2)使用 wireshark 分别抓取 openflow:9 交换机和 openflow:4 交换机的数据包,抓取的数据包信息如 4.2,4.3 所示。
图 4.3 抓取 a4-eth1 端口的数据包信息由图 4.1 可知,此时数据包的传输的路径为[7,3,2,6,9]。按照流表策略,数据包会沿着规划好的路线转发,数据包会经过 openflow:9 交换机,而不会经过openflow:4 交换机。利用 wireshark 抓取数据包时,会发现在 openflow:9 交换机对应端口中可以捕捉到源 IP 为 10.0.0.15,目的 IP 为 10.0.0.12 的 TCP 数据包,以及回复包。但是在交换机 openflow:4 上,由于数据包没有转发到该交换机,交换机中只能抓取到 LLDP 数据包。图 4.2,4.3 的测试结果表明流表下发的策略生效,不仅修改了数据包的 IP,而且数据包均是按照规定路径的转发。4.2.2 策略转发与实施模块测试1.测试目标策略转换与实施模块主要是改变了重构的时机与频率,给数据包选择不同的虚拟 IP 和路径来完成转发,隐藏真实主机信息,分散数据包携带的信息不被攻击者全
本文编号:3223340
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3223340.html
