软件定义网络中拟态防御的关键技术研究
发布时间:2021-09-07 09:10
软件定义网络(Software Defined Networking,SDN)提出控制与转发相分离的集中式控制架构,提供开放的编程接口和细粒度的报文操作,为网络应用带来了创新与便利。SDN作为一种新型的网络架构,同时也面临着新的安全挑战,主要反映在控制层,包括管控集中、控制器漏洞和恶意应用。针对此,研究者提出了多种多样的解决方法,例如,融入传统防御技术、采用安全机制及优化控制器部署等,但均存在各自的缺陷,尤其是不能较好地防御控制层中的未知安全威胁。拟态防御是一种新型的主动防御技术,通过构造动态、异构、冗余的架构提高信息系统内生的安全性,旨在改变当前网络“易攻难守”的困局。研究者在理论推导和工程实践中均验证了拟态防御技术对目标系统的安全增益,逐步在有高安全需求的信息领域中推广应用。因此,探索将拟态防御技术应用到SDN的控制层中,对于提高网络的安全性具有重要的意义。基于此,本文研究了软件定义网络中拟态防御的关键技术,首先,提出具体可行的防御架构并解决引入的新问题,然后,量化研究其中的安全调度策略和拟态同步问题。主要研究成果包括:1.针对当前SDN网络中的安全问题,提出一种具有动态、异构、冗...
【文章来源】:战略支援部队信息工程大学河南省
【文章页数】:120 页
【学位级别】:博士
【部分图文】:
OpenFlow原型实例
第一章 绪论 表 1 SDN 中的安全问题 安全问题 位置 后果 SDN 独有? 虚假数据流 数据层 DoS 攻击的后门 否 交换机薄弱点攻击 数据层 转发瘫痪,且危害逐步扩大 否 控制通道攻击 数据层与控制层 控制通道被嗅探 是 控制器薄弱点攻击 控制层 攻破控制器,掌握整个网络 是 缺乏安全认证机制 控制层与管理层 部署恶意应用,危害网络 是 管理站薄弱点攻击 管理层 间接攻击控制器 否 缺乏追溯或恢复的可信资源 整体 难以快速诊断和恢复网络故障 否 1)管控集中传统网络的路由和交换设备采用分布式管理和控制,在单一或部分节点受到攻击的下,通常仅导致部分网络失效。而SDN网络采用集中式管控的架构,在单一控制器节控制器通道被攻破的情况下,将能致瘫或恶意管控整个网络,造成更大的危害。
图 4 传统防御模式 域中,采用异构冗余的方法能够增强目标系统的可构造”(Dissimilar Redundancy Structure, DRS)[55][一些由宕机错误(Benign fault)或拜占庭错误(B一定程度的抗攻击效果。然而,DRS本质上仍是境以及相关漏洞或后门的可利用条件也是固定不变影响攻击表面的可达性。这使得攻击者可以通过反或后门的交集,从而实现协同攻击,同时也能够持RS架构中导入基于闭环负反馈的控制机制和移D)的动态思想[60][61],理论上能够改变其构造场景定性。这种基于DRS的“基因再造”形态,我们ogeneous Redundancy,DHR)架构,即拟态防御。击特性[41],正逐步在具有高安全需求的各信息装域中。
【参考文献】:
期刊论文
[1]路由器拟态防御能力测试与分析[J]. 马海龙,江逸茗,白冰,张建辉. 信息安全学报. 2017(01)
[2]web服务器拟态防御原理验证系统测试与分析[J]. 张铮,马博林,邬江兴. 信息安全学报. 2017(01)
[3]网络空间拟态防御研究[J]. 邬江兴. 信息安全学报. 2016(04)
[4]网络空间拟态安全防御[J]. 邬江兴. 保密科学技术. 2014(10)
[5]The TianHe-1A Supercomputer: Its Hardware and Software[J]. 杨学军,廖湘科,卢凯,胡庆丰,宋君强,苏金树. Journal of Computer Science & Technology. 2011(03)
[6]计算机网络安全应急响应技术的分析与研究[J]. 刘宝旭,马建民,池亚平. 计算机工程. 2007(10)
[7]基于ForCES体系结构的IPv6路由器的研究与实现[J]. 王宝生,夏毅,陈晓梅,赵锋. 国防科技大学学报. 2006(03)
[8]一种基于服务体/执行流的新型操作系统构造模型[J]. 吴明桥,陈香兰,张晔,龚育昌. 中国科学技术大学学报. 2006(02)
[9]一种主动防御的网络传输系统[J]. 胡汉平,梁兴,张宝良. 电子学报. 2005(04)
本文编号:3389277
【文章来源】:战略支援部队信息工程大学河南省
【文章页数】:120 页
【学位级别】:博士
【部分图文】:
OpenFlow原型实例
第一章 绪论 表 1 SDN 中的安全问题 安全问题 位置 后果 SDN 独有? 虚假数据流 数据层 DoS 攻击的后门 否 交换机薄弱点攻击 数据层 转发瘫痪,且危害逐步扩大 否 控制通道攻击 数据层与控制层 控制通道被嗅探 是 控制器薄弱点攻击 控制层 攻破控制器,掌握整个网络 是 缺乏安全认证机制 控制层与管理层 部署恶意应用,危害网络 是 管理站薄弱点攻击 管理层 间接攻击控制器 否 缺乏追溯或恢复的可信资源 整体 难以快速诊断和恢复网络故障 否 1)管控集中传统网络的路由和交换设备采用分布式管理和控制,在单一或部分节点受到攻击的下,通常仅导致部分网络失效。而SDN网络采用集中式管控的架构,在单一控制器节控制器通道被攻破的情况下,将能致瘫或恶意管控整个网络,造成更大的危害。
图 4 传统防御模式 域中,采用异构冗余的方法能够增强目标系统的可构造”(Dissimilar Redundancy Structure, DRS)[55][一些由宕机错误(Benign fault)或拜占庭错误(B一定程度的抗攻击效果。然而,DRS本质上仍是境以及相关漏洞或后门的可利用条件也是固定不变影响攻击表面的可达性。这使得攻击者可以通过反或后门的交集,从而实现协同攻击,同时也能够持RS架构中导入基于闭环负反馈的控制机制和移D)的动态思想[60][61],理论上能够改变其构造场景定性。这种基于DRS的“基因再造”形态,我们ogeneous Redundancy,DHR)架构,即拟态防御。击特性[41],正逐步在具有高安全需求的各信息装域中。
【参考文献】:
期刊论文
[1]路由器拟态防御能力测试与分析[J]. 马海龙,江逸茗,白冰,张建辉. 信息安全学报. 2017(01)
[2]web服务器拟态防御原理验证系统测试与分析[J]. 张铮,马博林,邬江兴. 信息安全学报. 2017(01)
[3]网络空间拟态防御研究[J]. 邬江兴. 信息安全学报. 2016(04)
[4]网络空间拟态安全防御[J]. 邬江兴. 保密科学技术. 2014(10)
[5]The TianHe-1A Supercomputer: Its Hardware and Software[J]. 杨学军,廖湘科,卢凯,胡庆丰,宋君强,苏金树. Journal of Computer Science & Technology. 2011(03)
[6]计算机网络安全应急响应技术的分析与研究[J]. 刘宝旭,马建民,池亚平. 计算机工程. 2007(10)
[7]基于ForCES体系结构的IPv6路由器的研究与实现[J]. 王宝生,夏毅,陈晓梅,赵锋. 国防科技大学学报. 2006(03)
[8]一种基于服务体/执行流的新型操作系统构造模型[J]. 吴明桥,陈香兰,张晔,龚育昌. 中国科学技术大学学报. 2006(02)
[9]一种主动防御的网络传输系统[J]. 胡汉平,梁兴,张宝良. 电子学报. 2005(04)
本文编号:3389277
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3389277.html
