深度可编程网络安全机制研究与应用

发布时间：2022-02-18 18:08

　　到目前为止,软件定义网络已经发展有十余年了,在这期间出现了各种各样不同的控制器,例如有POX、Floodlight以及PNPL。一方面,通过控制器集中式的网络管理方式,网络管理员可以利用控制器提供的编程接口很容易地编写网络流量的管理策略。但是,在另一方面,集中式的管理方式也使得网络更容易遭受到攻击行为。所以,目前在控制器上不断添加新的安全功能以此来防御可能出现的攻击行为。这导致当前控制器上负责转发的业务逻辑与安全防御功能紧耦合,这加重了控制器的负担同时不利于控制器的演化。另外,当前大多数南向接口都是使用的OpenFlow协议,但是OpenFlow协议只能匹配固定格式的网络协议,所以,其为了适应不断更新的网络协议,只能不断的增加匹配字段使得其本身越来越臃肿,这极大地限制了网络的可编程性。针对上述问题,本文设计并实现了一种面向深度可编程网络的POSEC安全子系统。POSEC系统使用华为提出的协议无感知转发技术（Protocol Oblivious Forwarding,POF）替代OpenFlow作为南向协议,POF技术以三元组的格式灵活地支持变化的协议格式,实现网络的深度可编程。对于控制... 

【文章来源】：中国科学技术大学安徽省211工程院校985工程院校

【文章页数】：67 页

【学位级别】：硕士

【文章目录】：
摘要
ABSTRACT
第1章 绪论
    1.1 研究背景与意义
    1.2 国内外研究现状
        1.2.1 软件定义网络与OpenFlow协议
        1.2.2 SDN控制平面安全问题
    1.3 研究内容
    1.4 本文的组织结构
第2章 协议无感知转发技术
    2.1 POF协议字段
    2.2 POF消息和协议栈
    2.3 POF指令集和处理流水线
    2.4 本章小结
第3章 POSEC安全子系统设计概述
    3.1 系统架构
        3.1.1 系统的整理工作流程
    3.2 透明代理模块的设计
        3.2.1 网络拓扑发现
        3.2.2 交换机流表规划
        3.2.3 物理网络管理
        3.2.4 虚拟网络管理
        3.2.5 消息翻译
    3.3 安全防御模块的设计
        3.3.1 网络特征采集
        3.3.2 网络攻击检测
        3.3.3 网络攻击响应
    3.4 本章小结
第4章 基于POSEC安全子系统的安全防御应用
    4.1 攻击模型介绍
    4.2 控制平面拒绝服务攻击防御应用
        4.2.1 POSEC安全子系统流量预处理阶段
        4.2.2 POSEC安全子系统攻击检测阶段
        4.2.3 POSEC安全子系统过滤防御阶段
    4.3 本章小结
第5章 POSEC安全子系统的实现与实验分析
    5.1 系统实现
        5.1.1 API处理模块
        5.1.2 物理网络管理模块
        5.1.3 虚拟网络管理模块
        5.1.4 全局映射和消息翻译模块
        5.1.5 控制平面拒绝服务攻击防御应用
        5.1.6 扩展POF交换机
    5.2 实验环境与实验分析
        5.2.1 实验环境
        5.2.2 透明代理功能实验分析
        5.2.3 控制平面拒绝服务攻击防御应用性能实验分析
        5.2.4 POSEC安全子系统引入的额外时延开销实验分析
        5.2.5 POSEC安全子系统性能开销实验分析
    5.3 本章小结
第6章 总结与展望
    6.1 本文总结
    6.2 未来展望
参考文献
致谢
在读期间发表的学术论文与取得的研究成果


【参考文献】：
期刊论文
[1]基于Sketch数据结构的海量网络流量实时排名系统[J]. 方澄,殷明瑞,张礼哲,孙佳慧.  计算机应用. 2019(S1)
[2]软件定义网络:安全模型、机制及研究进展[J]. 王蒙蒙,刘建伟,陈杰,毛剑,毛可飞.  软件学报. 2016(04)



本文编号：3631306