基于SDN的拓扑安全研究
发布时间:2022-12-17 15:41
软件定义网络(software-defined networking,SDN)是一种新型的网络结构,与传统网络不同的是SDN分离了网络中的控制平面与数据平面,其中控制平面由逻辑集中的控制器组成,数据平面由转发设备组成。具有网络控制权的控制器是SDN的核心优势之一,但也扩大了攻击面,成为攻击者的重点攻击对象。现有研究表明控制器中的全局拓扑视图可以被攻击者轻易篡改。攻击者通过发起拓扑攻击可以伪装成网络中的服务器以获取客户机的流量,也可以伪造虚假链路进而创建黑洞路由或发起中间人攻击,造成巨大危害。虽然研究者们已经提出了大量的防御模型以防御拓扑攻击,但这些模型适用场景有限,并不总是能够起到保护控制器中全局拓扑视图的作用。本文对现有防御模型进行了安全分析,解析了它们的防御原理,并在此基础上提出了2种新的拓扑攻击,攻击者能够巧妙地绕过现有防御模型的攻击检测,伪装成服务器或伪造链路。除此之外,本文共建立了9种拓扑攻击威胁模型,深入分析这些威胁模型的攻击原理。为了防御拓扑攻击,本文从攻击原理出发,对每种攻击都采取不同的防御策略,确保能够全面有效的保护控制器中的拓扑视图。我们提出了一种基于信息熵的数学模...
【文章页数】:77 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景
1.2 国内外研究现状
1.3 研究的目的和意义
1.4 本文篇幅以及内容介绍
1.5 本章小结
第二章 SDN架构和拓扑发现机制漏洞
2.1 SDN架构
2.2 Open Flow协议
2.3 拓扑发现机制
2.3.1 主机发现
2.3.2 链路发现
2.4 拓扑发现机制漏洞
2.4.1 主机发现漏洞
2.4.2 链路发现漏洞
2.5 现有防御模型的安全性分析
2.6 本章小结
第三章 威胁模型
3.1 概述
3.2 主机攻击威胁模型
3.2.1 主机位置劫持攻击威胁模型
3.2.2 Port Probe攻击威胁模型
3.2.3 Port Probe攻击变体威胁模型
3.3 链路攻击威胁模型
3.3.1 LLDP伪造攻击威胁模型
3.3.2 LLDP中继攻击威胁模型
3.3.3 Port Amnesia攻击威胁模型
3.3.4 Port Amnesia攻击变体威胁模型
3.3.5 Reverse Loop攻击威胁模型
3.3.6 Topology Freezing攻击威胁模型
3.4 本章小结
第四章 Policy Topo防御策略
4.1 整体概述
4.2 防御主机攻击
4.2.1 防御主机位置劫持攻击和Port Probe攻击
4.2.2 防御Port Probe攻击变体
4.3 防御链路攻击
4.3.1 防御LLDP伪造攻击
4.3.2 防御LLDP中继攻击
4.3.3 判断延时高低和基于信息熵的数学模型
4.3.4 防御Port Amnesia攻击
4.3.5 防御Port Amnesia攻击变体
4.3.6 防御Reverse Loop和 Topology Freezing攻击
4.4 本章小结
第五章 Policy Topo的实现
5.1 Policy Topo整体架构
5.2 端口管理模块
5.3 主机验证模块
5.3.1 判断主机迁移
5.3.2 主机复用事件
5.3.3 端口复用事件
5.3.4 判断主机非法迁移
5.4 链路验证模块
5.4.1 合法链路的更新
5.4.2 校验LLDP帧的完整性
5.4.3 校验LLDP帧的来源
5.4.4 判断非法链路
5.4.5 更新Link表与Secure表
5.5 时间复杂度分析
5.6 本章小结
第六章 Policy Topo评价
6.1 实验环境
6.2 Policy Topo的有效性测试
6.2.1 防御主机攻击
6.2.2 防御链路攻击
6.3 Policy Topo的性能评价
6.4 τ的计算间隔
6.5 本章小结
总结与展望
参考文献
攻读硕士学位期间取得的研究成果
致谢
附件
【参考文献】:
期刊论文
[1]一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法[J]. 王鹃,王江,焦虹阳,王勇,陈诗雅,刘世辉,胡宏新. 计算机学报. 2015(04)
[2]软件定义网络(SDN)研究进展[J]. 张朝昆,崔勇,唐翯翯,吴建平. 软件学报. 2015(01)
本文编号:3720197
【文章页数】:77 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景
1.2 国内外研究现状
1.3 研究的目的和意义
1.4 本文篇幅以及内容介绍
1.5 本章小结
第二章 SDN架构和拓扑发现机制漏洞
2.1 SDN架构
2.2 Open Flow协议
2.3 拓扑发现机制
2.3.1 主机发现
2.3.2 链路发现
2.4 拓扑发现机制漏洞
2.4.1 主机发现漏洞
2.4.2 链路发现漏洞
2.5 现有防御模型的安全性分析
2.6 本章小结
第三章 威胁模型
3.1 概述
3.2 主机攻击威胁模型
3.2.1 主机位置劫持攻击威胁模型
3.2.2 Port Probe攻击威胁模型
3.2.3 Port Probe攻击变体威胁模型
3.3 链路攻击威胁模型
3.3.1 LLDP伪造攻击威胁模型
3.3.2 LLDP中继攻击威胁模型
3.3.3 Port Amnesia攻击威胁模型
3.3.4 Port Amnesia攻击变体威胁模型
3.3.5 Reverse Loop攻击威胁模型
3.3.6 Topology Freezing攻击威胁模型
3.4 本章小结
第四章 Policy Topo防御策略
4.1 整体概述
4.2 防御主机攻击
4.2.1 防御主机位置劫持攻击和Port Probe攻击
4.2.2 防御Port Probe攻击变体
4.3 防御链路攻击
4.3.1 防御LLDP伪造攻击
4.3.2 防御LLDP中继攻击
4.3.3 判断延时高低和基于信息熵的数学模型
4.3.4 防御Port Amnesia攻击
4.3.5 防御Port Amnesia攻击变体
4.3.6 防御Reverse Loop和 Topology Freezing攻击
4.4 本章小结
第五章 Policy Topo的实现
5.1 Policy Topo整体架构
5.2 端口管理模块
5.3 主机验证模块
5.3.1 判断主机迁移
5.3.2 主机复用事件
5.3.3 端口复用事件
5.3.4 判断主机非法迁移
5.4 链路验证模块
5.4.1 合法链路的更新
5.4.2 校验LLDP帧的完整性
5.4.3 校验LLDP帧的来源
5.4.4 判断非法链路
5.4.5 更新Link表与Secure表
5.5 时间复杂度分析
5.6 本章小结
第六章 Policy Topo评价
6.1 实验环境
6.2 Policy Topo的有效性测试
6.2.1 防御主机攻击
6.2.2 防御链路攻击
6.3 Policy Topo的性能评价
6.4 τ的计算间隔
6.5 本章小结
总结与展望
参考文献
攻读硕士学位期间取得的研究成果
致谢
附件
【参考文献】:
期刊论文
[1]一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法[J]. 王鹃,王江,焦虹阳,王勇,陈诗雅,刘世辉,胡宏新. 计算机学报. 2015(04)
[2]软件定义网络(SDN)研究进展[J]. 张朝昆,崔勇,唐翯翯,吴建平. 软件学报. 2015(01)
本文编号:3720197
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3720197.html
