智慧标识网络服务机理安全性关键技术研究
发布时间:2021-10-08 01:02
随着互联网规模的日益扩大,传统网络架构的局限性无法很好地满足多元化新业务所带来的通信需求。因此,如何设计新型网络架构,以从根本上解决传统网络的弊端,已成为信息领域最为迫切的研究内容之一。智慧标识网络通过灵活化的连接调度实现对网络的智慧化协同管控,是一种具备良好发展前景的新型网络架构。而由于互联网具有强大的开放性,攻击者仍然能在分析新型网络架构特征的基础上探寻新型攻击方式,网络中的安全隐患仍然存在。因此,本文针对智慧标识网络服务机理安全性关键技术展开研究,分析智慧标识网络服务机理的安全性优势及其可能面临的主要安全威胁,并针对智慧标识网络中的服务请求包泛洪攻击提出相应的攻击检测和防御方案。本文的主要工作和创新点如下:(1)针对智慧标识网络的服务机理关键技术和最新研究进展进行了归类与总结,并进一步分析了智慧标识网络的安全性优势,给出其可能遭受的主要安全威胁。首先,从智慧标识网络的体系架构模型出发,阐述了具备“三层、两域”特征的智慧标识网络服务机理。然后,重点论述了其服务机理在服务命名与解析、路由、缓存、传输控制、移动性、安全性、可扩展性、绿色节能等关键技术方面取得的研究进展。最后,详细分析了...
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:148 页
【学位级别】:博士
【部分图文】:
接近中心度计算示例
北京交通大学博士学位论文46可知该拓扑中的节点I、J、K、L、M、N和P具有更高的接近中心度,则我们可选择在这些节点中部署本章所提出的服务请求包泛洪攻击检测和防御机制,从而尽可能地节省网络资源。图3-3小型二叉树拓扑节点接近中心度示意图Figure3-3Theclosenesscentralityofasmall-scalebinarytreetopology3.3.2攻击检测机制设计SINET架构中的路由器在其服务请求列表中记录了接收到服务请求包中的SID,我们利用服务请求包中SID的分布信息来检测虚假服务请求包泛洪攻击。如图3-4所示,路由器记录了服务缓存列表、服务请求列表以及转发信息表。首先,我们使用基于基尼不纯度的检测机制来判断网络中是否存在攻击。若是,将触发路由器的恶意SID前缀识别机制,以确定攻击者发送的恶意服务标识前缀。最后触发基于限速策略的攻击响应过程,以消除虚假服务请求包泛洪攻击给网络造成的负面影响。攻击检测模块攻击防御模块基于限速的攻击响应路由器表项SID信息服务标识服务内容--服务缓存列表……服务标识接口--服务请求列表……服务标识下一跳--转发信息表……基于基尼不纯度的攻击检测机制统计信息处理模块恶意SID前缀识别机制图3-4基于基尼不纯度的SRF攻击检测与响应系统框架Figure3-4GiniimpuritybasedSRFattackdetectionandmitigationprocedure
基于基尼不纯度的虚假服务请求包泛洪攻击防御机制533.4.2攻击检测的准确性分析首先,我们在图3-7所示的拓扑中对路由器R1发起SID前缀劫持攻击。当攻击开始时,基于SRL条目过期率(Expired-SRL)的攻击检测机制将前缀劫持攻击误判为服务请求包泛洪攻击,如图3-8(a)所示,纵坐标值为1表示网络中存在服务请求包泛洪攻击,0表示网络中不存在服务请求包泛洪攻击。然后,我们让用户C1发起服务请求包泛洪攻击,如图3-8(b)所示,尽管两种机制都可以检测出服务请求包泛洪攻击,基于基尼不纯度的检测机制可以更早地检测到攻击,这是因为一旦恶意服务请求包进入路由器,基于基尼不纯度的机制即时生效,而不需要等待路由器中的SRL条目过期才能检测到攻击。(a)发起SID前缀劫持攻击时(b)发起服务请求包泛洪攻击时图3-8服务请求包泛洪攻击检测结果Figure3-8Detectionoftheservicerequestfloodingattack然后,我们使用接受者操作特性(ReceiverOperatingCharacteristic,ROC)曲线[127]比较不同机制的攻击检测准确率。ROC曲线是通过绘制不同阈值下的真阳性率与假阳性率得到的,具体来说,是指在特定条件下,以被测试者在不同判断标准下所得的假阳性率为横坐标,以真阳性率为纵坐标得到的各点的连线。在本文中,假阳性率表示实际不存在服务请求包泛洪攻击,但被检测机制判断为存在攻击的概率;真阳性率表示实际存在服务请求包泛洪攻击,同时也被检测机制判断为存在攻击的概率。ROC曲线上的点越接近坐标左上角,即该阈值条件下的假阳性率越孝真阳性率越大,说明攻击检测的效果越好。我们选择500个不同的阈值,从而得到500对{假阳性率,真阳性率}的坐标点。如图3-9所示,基于基尼不纯度的机制对应的ROC曲线总体上高于基于Expired-SRL的机制ROC曲线,这说明基于
【参考文献】:
期刊论文
[1]全维可定义的多模态智慧网络体系研究[J]. 胡宇翔,伊鹏,孙鹏浩,邬江兴. 通信学报. 2019(08)
[2]未来网络发展趋势与展望[J]. 黄韬,霍如,刘江,刘韵洁. 中国科学:信息科学. 2019(08)
[3]移动边缘计算场景下网络服务灵活适配的解决方案[J]. 冯博昊,周华春. 电信科学. 2019(03)
[4]新型互联网体系研究现状与对策[J]. 吴根,张宏科. 科技中国. 2019(03)
[5]智慧标识网络动态防御机制与应用[J]. 于成晓,刘刚,张宏科. 中兴通讯技术. 2019(01)
[6]智慧标识网络中基于族群协作的缓存机制[J]. 李海峰,权伟,承楠,张宏科,沈学民. 物联网学报. 2018(04)
[7]基于卡尔曼滤波的流量预测机制[J]. 贾濡,潘沭铭. 中国电子科学研究院学报. 2018(06)
[8]智慧协同网络负载均衡流量适配方法研究及测试[J]. 潘沭铭,贾濡,石秀,赵兴利. 中国电子科学研究院学报. 2018(05)
[9]多源协作的传输控制机制[J]. 权伟,崔恩放,张宏科. 电子学报. 2018(10)
[10]A Survey on Smart Collaborative Identifier Networks[J]. Haifeng Li,Hongke Zhang. 中国通信. 2018(03)
博士论文
[1]智慧协同网络基于路径标识的路由体系及安全性研究[D]. 陈哲.北京交通大学 2016
[2]智慧协同标识网络可靠路由关键技术研究[D]. 苗笛.北京交通大学 2016
[3]一体化标识网络绿色节能关键技术研究[D]. 朱世佳.北京交通大学 2013
硕士论文
[1]基于NetFPGA10G的网络组件休眠和存储功能的设计与实现[D]. 张硕琳.北京交通大学 2015
本文编号:3423123
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:148 页
【学位级别】:博士
【部分图文】:
接近中心度计算示例
北京交通大学博士学位论文46可知该拓扑中的节点I、J、K、L、M、N和P具有更高的接近中心度,则我们可选择在这些节点中部署本章所提出的服务请求包泛洪攻击检测和防御机制,从而尽可能地节省网络资源。图3-3小型二叉树拓扑节点接近中心度示意图Figure3-3Theclosenesscentralityofasmall-scalebinarytreetopology3.3.2攻击检测机制设计SINET架构中的路由器在其服务请求列表中记录了接收到服务请求包中的SID,我们利用服务请求包中SID的分布信息来检测虚假服务请求包泛洪攻击。如图3-4所示,路由器记录了服务缓存列表、服务请求列表以及转发信息表。首先,我们使用基于基尼不纯度的检测机制来判断网络中是否存在攻击。若是,将触发路由器的恶意SID前缀识别机制,以确定攻击者发送的恶意服务标识前缀。最后触发基于限速策略的攻击响应过程,以消除虚假服务请求包泛洪攻击给网络造成的负面影响。攻击检测模块攻击防御模块基于限速的攻击响应路由器表项SID信息服务标识服务内容--服务缓存列表……服务标识接口--服务请求列表……服务标识下一跳--转发信息表……基于基尼不纯度的攻击检测机制统计信息处理模块恶意SID前缀识别机制图3-4基于基尼不纯度的SRF攻击检测与响应系统框架Figure3-4GiniimpuritybasedSRFattackdetectionandmitigationprocedure
基于基尼不纯度的虚假服务请求包泛洪攻击防御机制533.4.2攻击检测的准确性分析首先,我们在图3-7所示的拓扑中对路由器R1发起SID前缀劫持攻击。当攻击开始时,基于SRL条目过期率(Expired-SRL)的攻击检测机制将前缀劫持攻击误判为服务请求包泛洪攻击,如图3-8(a)所示,纵坐标值为1表示网络中存在服务请求包泛洪攻击,0表示网络中不存在服务请求包泛洪攻击。然后,我们让用户C1发起服务请求包泛洪攻击,如图3-8(b)所示,尽管两种机制都可以检测出服务请求包泛洪攻击,基于基尼不纯度的检测机制可以更早地检测到攻击,这是因为一旦恶意服务请求包进入路由器,基于基尼不纯度的机制即时生效,而不需要等待路由器中的SRL条目过期才能检测到攻击。(a)发起SID前缀劫持攻击时(b)发起服务请求包泛洪攻击时图3-8服务请求包泛洪攻击检测结果Figure3-8Detectionoftheservicerequestfloodingattack然后,我们使用接受者操作特性(ReceiverOperatingCharacteristic,ROC)曲线[127]比较不同机制的攻击检测准确率。ROC曲线是通过绘制不同阈值下的真阳性率与假阳性率得到的,具体来说,是指在特定条件下,以被测试者在不同判断标准下所得的假阳性率为横坐标,以真阳性率为纵坐标得到的各点的连线。在本文中,假阳性率表示实际不存在服务请求包泛洪攻击,但被检测机制判断为存在攻击的概率;真阳性率表示实际存在服务请求包泛洪攻击,同时也被检测机制判断为存在攻击的概率。ROC曲线上的点越接近坐标左上角,即该阈值条件下的假阳性率越孝真阳性率越大,说明攻击检测的效果越好。我们选择500个不同的阈值,从而得到500对{假阳性率,真阳性率}的坐标点。如图3-9所示,基于基尼不纯度的机制对应的ROC曲线总体上高于基于Expired-SRL的机制ROC曲线,这说明基于
【参考文献】:
期刊论文
[1]全维可定义的多模态智慧网络体系研究[J]. 胡宇翔,伊鹏,孙鹏浩,邬江兴. 通信学报. 2019(08)
[2]未来网络发展趋势与展望[J]. 黄韬,霍如,刘江,刘韵洁. 中国科学:信息科学. 2019(08)
[3]移动边缘计算场景下网络服务灵活适配的解决方案[J]. 冯博昊,周华春. 电信科学. 2019(03)
[4]新型互联网体系研究现状与对策[J]. 吴根,张宏科. 科技中国. 2019(03)
[5]智慧标识网络动态防御机制与应用[J]. 于成晓,刘刚,张宏科. 中兴通讯技术. 2019(01)
[6]智慧标识网络中基于族群协作的缓存机制[J]. 李海峰,权伟,承楠,张宏科,沈学民. 物联网学报. 2018(04)
[7]基于卡尔曼滤波的流量预测机制[J]. 贾濡,潘沭铭. 中国电子科学研究院学报. 2018(06)
[8]智慧协同网络负载均衡流量适配方法研究及测试[J]. 潘沭铭,贾濡,石秀,赵兴利. 中国电子科学研究院学报. 2018(05)
[9]多源协作的传输控制机制[J]. 权伟,崔恩放,张宏科. 电子学报. 2018(10)
[10]A Survey on Smart Collaborative Identifier Networks[J]. Haifeng Li,Hongke Zhang. 中国通信. 2018(03)
博士论文
[1]智慧协同网络基于路径标识的路由体系及安全性研究[D]. 陈哲.北京交通大学 2016
[2]智慧协同标识网络可靠路由关键技术研究[D]. 苗笛.北京交通大学 2016
[3]一体化标识网络绿色节能关键技术研究[D]. 朱世佳.北京交通大学 2013
硕士论文
[1]基于NetFPGA10G的网络组件休眠和存储功能的设计与实现[D]. 张硕琳.北京交通大学 2015
本文编号:3423123
本文链接:https://www.wllwen.com/shoufeilunwen/xxkjbs/3423123.html
