軟件定義網絡流表溢出脆弱性分析及防御方法

發(fā)布時間：2018-07-17 16:58

【摘要】：軟件定義網絡交換機非常有限的流表容量使其存在嚴重的流表溢出脆弱性問題,為此利用軟件定義網絡易于管理路由規(guī)則的新特性,提出一種基于裝箱優(yōu)化的路由聚合算法,并進一步提出了流表溢出攻擊的防御方法。采用傳統(tǒng)的基于基數樹的路由聚合算法產生初步聚合后的流表項節(jié)點,將其劃分為包含不同數量節(jié)點的若干個流表項規(guī)則組,并基于裝箱優(yōu)化問題求解得到每個流表項規(guī)則組的新轉發(fā)地址,再將轉發(fā)地址修改后的流表項規(guī)則進行二次聚合,從而有效減少交換機流表中的流表項數量,達到防御流表溢出攻擊的效果。實驗結果表明:流表聚合率達到了54.9%,優(yōu)于傳統(tǒng)的基于基數樹的路由聚合算法,并使得達成流表溢出攻擊的攻擊數據包數增加了125.8%;該方法可顯著增加流表溢出攻擊的實現難度,有效緩解流表溢出脆弱性問題,提升軟件定義網絡對該類攻擊的防御能力。
[Abstract]:Because of the very limited flow table capacity of the software-defined network switch, there is a serious problem of flow table overflow vulnerability. In this paper, a new routing aggregation algorithm based on packing optimization is proposed, which is easy to manage the routing rules in the software-defined network. Furthermore, the defense method of stream table overflow attack is put forward. The traditional routing aggregation algorithm based on cardinality tree is used to generate the primary aggregated flow table item nodes, which are divided into several rule groups of flow table items with different number of nodes. Based on the packing optimization problem, the new forwarding address of each stream table item rule group is obtained, and then the stream table item rule after the forwarding address is modified is aggregated twice, thus effectively reducing the number of flow table items in the flow table of the switch. Achieve the effect of defending against stream table overflow attack. The experimental results show that the aggregation rate of stream table is 54.9, which is superior to the traditional routing aggregation algorithm based on cardinality tree, and makes the number of attack packets increasing 125.8%, which can increase the difficulty of implementing stream table overflow attack. It can effectively alleviate the vulnerability of stream table overflow and enhance the ability of software defined network to defend against this kind of attack.
【作者單位】：西安交通大學智能網絡與網絡安全教育部重點實驗室;
【基金】：國家自然科學基金資助項目(61572397) 陜西省自然科學基礎研究計劃資助項目(2016JM6066)
【分類號】：TP393.0

【相似文獻】

相關期刊論文前10條

1 ;Arista7500E推出[J];數字通信世界;2013年05期

2 ;駛向軟件定義網絡[J];辦公自動化;2014年06期

3 劉春佳;;軟件定義網絡介紹[J];科研信息化技術與應用;2012年03期

4 閔應驊;;我所理解的“軟件定義的網絡”[J];軟件;2014年04期

5 ;軟件定義應用服務三大特性撐起新融合架構[J];信息安全與技術;2014年06期

6 范偉;;軟件定義網絡及應用[J];通信技術;2013年03期

7 沈蘇彬;;軟件定義聯網的建模與分析[J];南京郵電大學學報(自然科學版);2014年03期

8 ;軟件定義網絡:網絡創(chuàng)新的焦點[J];電信工程技術與標準化;2014年01期

9 Richard Yang;畢軍;Guofei Gu;;軟件定義網絡專題(英)[J];中國通信;2014年02期

10 馬虔;;軟件定義網絡環(huán)境下的安全流平臺研究[J];信息安全與技術;2014年07期

相關重要報紙文章前7條

1 博科亞太區(qū)CTO Matt Kolon;你真的了解軟件定義網絡嗎？[N];網絡世界;2014年

2 博科公司;博科:軟件定義網絡啟動[N];計算機世界;2013年

3 姜姝;軟件定義網絡新時代開啟[N];中國信息化周報;2013年

4 鄒錚　編譯;軟件定義世界需要開放網絡還是專有網絡？[N];網絡世界;2013年

5 本報記者郭平;用軟件定義優(yōu)化企業(yè)IT[N];計算機世界;2014年

6 ;SDN市場未來五年增長將超六倍[N];網絡世界;2013年

7 本報記者郭濤;王茁：用“集成”做最好的安全產品[N];中國計算機報;2013年

相關博士學位論文前3條

1 肖鵬;數據中心下軟件定義網絡的部署及應用[D];大連海事大學;2016年

2 唐思圓;軟件定義網絡中資源高效的多播傳輸研究[D];中國科學技術大學;2017年

3 林萍萍;軟件定義網的東西向對等互聯機制研究[D];清華大學;2014年

相關碩士學位論文前10條

1 吳慶彪;軟件定義網絡Web認證與訪問控制技術研究[D];西南交通大學;2015年

2 袁建明;基于SDN的ICN網絡設計[D];云南財經大學;2015年

3 馬俊青;面向軟件定義網絡的流量分析與識別技術研究[D];南京郵電大學;2015年

4 黃錦松;軟件定義的內容中心網絡關鍵技術研究[D];南京郵電大學;2015年

5 李杰;云環(huán)境下一種基于軟件定義安全服務的入侵檢測算法研究[D];南京郵電大學;2015年

6 王莉;面向QoE驅動的軟件定義網絡業(yè)務流控制研究[D];南京郵電大學;2015年

7 楊波;軟件定義網絡中流表正確性檢測及故障定位的研究[D];浙江大學;2016年

8 趙坤;軟件定義網配置一致性研究[D];清華大學;2015年

9 丁丹;基于軟件定義網絡的網絡資源配置研究[D];南京大學;2016年

10 張瓊宇;支持流量感知的軟件定義網絡高效路由協議[D];北京理工大學;2016年

，

本文編號：2130308

資料下載

論文發(fā)表

支付寶下載

Download by Alipay
微信下載

Download by Wechat
會員下載

Download by Member

本文鏈接：http://sikaile.net/guanlilunwen/ydhl/2130308.html

上一篇：基于MPLS和BGP的跨域VPN研究與應用
下一篇：基于Web軌跡的應用層DDoS攻擊檢測

論文發(fā)表

·知網|萬方|維普|龍源|省級|國家級|科技核心|北大核心|南大核心CSSCI|EI|SCI|SSCI|

天堂国产午夜亚洲专区-少妇人妻综合久久蜜臀-国产成人户外露出视频在线-国产91传媒一区二区三区

軟件定義網絡流表溢出脆弱性分析及防御方法