【摘要】：軟件定義網(wǎng)絡(luò)交換機非常有限的流表容量使其存在嚴(yán)重的流表溢出脆弱性問題,為此利用軟件定義網(wǎng)絡(luò)易于管理路由規(guī)則的新特性,提出一種基于裝箱優(yōu)化的路由聚合算法,并進(jìn)一步提出了流表溢出攻擊的防御方法。采用傳統(tǒng)的基于基數(shù)樹的路由聚合算法產(chǎn)生初步聚合后的流表項節(jié)點,將其劃分為包含不同數(shù)量節(jié)點的若干個流表項規(guī)則組,并基于裝箱優(yōu)化問題求解得到每個流表項規(guī)則組的新轉(zhuǎn)發(fā)地址,再將轉(zhuǎn)發(fā)地址修改后的流表項規(guī)則進(jìn)行二次聚合,從而有效減少交換機流表中的流表項數(shù)量,達(dá)到防御流表溢出攻擊的效果。實驗結(jié)果表明:流表聚合率達(dá)到了54.9%,優(yōu)于傳統(tǒng)的基于基數(shù)樹的路由聚合算法,并使得達(dá)成流表溢出攻擊的攻擊數(shù)據(jù)包數(shù)增加了125.8%;該方法可顯著增加流表溢出攻擊的實現(xiàn)難度,有效緩解流表溢出脆弱性問題,提升軟件定義網(wǎng)絡(luò)對該類攻擊的防御能力。
[Abstract]:Because of the very limited flow table capacity of the software-defined network switch, there is a serious problem of flow table overflow vulnerability. In this paper, a new routing aggregation algorithm based on packing optimization is proposed, which is easy to manage the routing rules in the software-defined network. Furthermore, the defense method of stream table overflow attack is put forward. The traditional routing aggregation algorithm based on cardinality tree is used to generate the primary aggregated flow table item nodes, which are divided into several rule groups of flow table items with different number of nodes. Based on the packing optimization problem, the new forwarding address of each stream table item rule group is obtained, and then the stream table item rule after the forwarding address is modified is aggregated twice, thus effectively reducing the number of flow table items in the flow table of the switch. Achieve the effect of defending against stream table overflow attack. The experimental results show that the aggregation rate of stream table is 54.9, which is superior to the traditional routing aggregation algorithm based on cardinality tree, and makes the number of attack packets increasing 125.8%, which can increase the difficulty of implementing stream table overflow attack. It can effectively alleviate the vulnerability of stream table overflow and enhance the ability of software defined network to defend against this kind of attack.
【作者單位】： 西安交通大學(xué)智能網(wǎng)絡(luò)與網(wǎng)絡(luò)安全教育部重點實驗室;
【基金】：國家自然科學(xué)基金資助項目(61572397) 陜西省自然科學(xué)基礎(chǔ)研究計劃資助項目(2016JM6066)
【分類號】：TP393.0

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 ;Arista7500E推出[J];數(shù)字通信世界;2013年05期

2 ;駛向軟件定義網(wǎng)絡(luò)[J];辦公自動化;2014年06期

3 劉春佳;;軟件定義網(wǎng)絡(luò)介紹[J];科研信息化技術(shù)與應(yīng)用;2012年03期

4 閔應(yīng)驊;;我所理解的“軟件定義的網(wǎng)絡(luò)”[J];軟件;2014年04期

5 ;軟件定義應(yīng)用服務(wù)三大特性撐起新融合架構(gòu)[J];信息安全與技術(shù);2014年06期

6 范偉;;軟件定義網(wǎng)絡(luò)及應(yīng)用[J];通信技術(shù);2013年03期

7 沈蘇彬;;軟件定義聯(lián)網(wǎng)的建模與分析[J];南京郵電大學(xué)學(xué)報(自然科學(xué)版);2014年03期

8 ;軟件定義網(wǎng)絡(luò):網(wǎng)絡(luò)創(chuàng)新的焦點[J];電信工程技術(shù)與標(biāo)準(zhǔn)化;2014年01期

9 Richard Yang;畢軍;Guofei Gu;;軟件定義網(wǎng)絡(luò)專題(英)[J];中國通信;2014年02期

10 馬虔;;軟件定義網(wǎng)絡(luò)環(huán)境下的安全流平臺研究[J];信息安全與技術(shù);2014年07期

相關(guān)重要報紙文章 前7條

1 博科亞太區(qū)CTO Matt Kolon;你真的了解軟件定義網(wǎng)絡(luò)嗎？[N];網(wǎng)絡(luò)世界;2014年

2 博科公司;博科:軟件定義網(wǎng)絡(luò)啟動[N];計算機世界;2013年

3 姜姝;軟件定義網(wǎng)絡(luò)新時代開啟[N];中國信息化周報;2013年

4 鄒錚　編譯;軟件定義世界需要開放網(wǎng)絡(luò)還是專有網(wǎng)絡(luò)？[N];網(wǎng)絡(luò)世界;2013年

5 本報記者 郭平;用軟件定義優(yōu)化企業(yè)IT[N];計算機世界;2014年

6 ;SDN市場未來五年增長將超六倍[N];網(wǎng)絡(luò)世界;2013年

7 本報記者 郭濤;王茁：用“集成”做最好的安全產(chǎn)品[N];中國計算機報;2013年

相關(guān)博士學(xué)位論文 前3條

1 肖鵬;數(shù)據(jù)中心下軟件定義網(wǎng)絡(luò)的部署及應(yīng)用[D];大連海事大學(xué);2016年

2 唐思圓;軟件定義網(wǎng)絡(luò)中資源高效的多播傳輸研究[D];中國科學(xué)技術(shù)大學(xué);2017年

3 林萍萍;軟件定義網(wǎng)的東西向?qū)Φ然ヂ?lián)機制研究[D];清華大學(xué);2014年

相關(guān)碩士學(xué)位論文 前10條

1 吳慶彪;軟件定義網(wǎng)絡(luò)Web認(rèn)證與訪問控制技術(shù)研究[D];西南交通大學(xué);2015年

2 袁建明;基于SDN的ICN網(wǎng)絡(luò)設(shè)計[D];云南財經(jīng)大學(xué);2015年

3 馬俊青;面向軟件定義網(wǎng)絡(luò)的流量分析與識別技術(shù)研究[D];南京郵電大學(xué);2015年

4 黃錦松;軟件定義的內(nèi)容中心網(wǎng)絡(luò)關(guān)鍵技術(shù)研究[D];南京郵電大學(xué);2015年

5 李杰;云環(huán)境下一種基于軟件定義安全服務(wù)的入侵檢測算法研究[D];南京郵電大學(xué);2015年

6 王莉;面向QoE驅(qū)動的軟件定義網(wǎng)絡(luò)業(yè)務(wù)流控制研究[D];南京郵電大學(xué);2015年

7 楊波;軟件定義網(wǎng)絡(luò)中流表正確性檢測及故障定位的研究[D];浙江大學(xué);2016年

8 趙坤;軟件定義網(wǎng)配置一致性研究[D];清華大學(xué);2015年

9 丁丹;基于軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)資源配置研究[D];南京大學(xué);2016年

10 張瓊宇;支持流量感知的軟件定義網(wǎng)絡(luò)高效路由協(xié)議[D];北京理工大學(xué);2016年

，

本文編號：2130308