【摘要】：軟件定義網絡是一種新型的網絡架構,它將網絡的控制功能和轉發(fā)功能進行解耦,實現(xiàn)了網絡控制的直接可編程。在這種架構下,網絡是進行集中管理的,管理員可以通過控制器來快速的配置網絡資源和動態(tài)調整網絡流量以應對需求的變化。這幾種軟件定義網絡的優(yōu)勢在學術和工程中已經得到了驗證。但是軟件定義網絡作為發(fā)展起步沒多久的網絡架構還面臨著諸多挑戰(zhàn),本論文主要探討數(shù)據(jù)層面的安全問題。在軟件定義網絡架構下,傳統(tǒng)的網絡存在的ARP欺騙等地址偽造報文威脅依然存在,只是這些攻擊可能在形式上發(fā)生了變化。而且軟件定義網絡架構還面臨新的安全挑戰(zhàn),即應用可以通過重寫流表項來避開需要強制執(zhí)行的安全應用規(guī)則,同時流表項之間也可能存在沖突。本文針對上面兩種安全問題,提出了一種軟件定義網絡架構下數(shù)據(jù)層的攻擊防護策略。針對南向設備的潛在威脅,利用網絡中控制器對于全網狀態(tài)的感知能力,維護一個設備信息映射表,進行偽造報文的檢測,這樣保證后續(xù)模塊收到的數(shù)據(jù)包地址都是正確的,同時論文在主機信用評估方面的設計使得本模塊能夠更容易的與其它安全模塊進行耦合。針對高安全等級應用規(guī)則被避開或覆蓋的情況,借鑒了頭部空間分析技術的思想,將流表項規(guī)則和安全規(guī)則分別生成規(guī)則空間,在應用下發(fā)新規(guī)則時檢測其與兩個空間存不存在重疊。如果存在重疊,表示規(guī)則出現(xiàn)沖突,調用沖突解決模塊丟棄數(shù)據(jù)包或者進行額外流表項的插入。
[Abstract]:The software defined network is a new type of network architecture, which decouples the control function and forwarding function of the network, and realizes the direct programmable of network control. Under this architecture, the network is centralized management. The administrator can quickly configure the network resources and dynamically adjust the network traffic to respond to the demand through the controller. Changes. The advantages of these software defined networks have been verified in academic and engineering. However, the software definition network is facing many challenges as a network architecture that has not been developed for long. This paper mainly discusses the security problems of the data level. Under the software definition network architecture, the existing ARP deception and other addresses exist in the traditional network. The threat of forged message still exists, but these attacks may change in form. And the software definition network architecture also faces new security challenges, that is, applications can avoid security application rules that need to be enforced by rewriting the flow table items, and there may be conflicts between the flow table items. This article aims at the above two kinds of security. This paper proposes an attack protection strategy for data layer under the software definition network architecture. In view of the potential threat to the southern device, using the network controller's perception of the whole network state, maintaining a device information mapping table and detecting the forged message, so that the data packet address received by the follow-up module is correct. At the same time, the design of the thesis in the host credit evaluation makes this module more easy to be coupled with other security modules. In view of the situation that the high security level application rules are avoided or covered, the idea of the head spatial analysis technology is used for reference, the rules of flow table and the safety rules are generated in the rule space respectively, and the new rules are issued under the application. If there is no overlap between two spaces, if there is an overlap, the representation rule conflicts, the call conflict resolution module discards the packet or inserts the extra flow table item.
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2017
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 陶蓓蓓;網絡服務器防護策略淺析[J];電腦知識與技術;2005年12期

2 呂克林;曲宏山;楊霞;;我國政府門戶網站面臨的安全威脅與防護策略[J];河南科技;2012年01期

3 石磊;于辰;王剛;柳旭日;;企業(yè)內網終端數(shù)據(jù)防護策略的研究[J];華北電力技術;2012年11期

4 梁秀花;;基于數(shù)據(jù)庫安全與防護的策略分析[J];電子技術與軟件工程;2014年06期

5 陳進;;淺析信息安全風險與防護策略[J];福建電腦;2011年08期

6 王濤;網絡通道中的防護策略[J];河南科技;2002年17期

7 嚴明;;云計算中的云安全研究[J];現(xiàn)代商貿工業(yè);2009年20期

8 惠英;夏日游泳自我防護策略[J];青少年科學探索;2004年06期

9 陳方東;;計算機通信網絡安全與防護策略[J];信息通信;2014年02期

10 薄明霞;陳軍;王渭清;陳偉;;淺談云計算的安全隱患及防護策略[J];信息安全與技術;2011年09期

相關會議論文 前2條

1 蔣偉;;運營商IPTV平臺及承載安全問題分析和防護策略探討[A];四川省通信學會2012年學術年會論文集[C];2012年

2 王加瑩;;軟件定義OTN軟件定義網絡[A];OFweek寬帶通信與物聯(lián)網前沿技術研討會論文集[C];2013年

相關重要報紙文章 前10條

1 何寶宏;軟件定義的世界[N];人民郵電;2012年

2 本報記者 郭平;網絡向軟件定義融合演進[N];計算機世界;2012年

3 鄧光青;軟件定義網絡風頭正勁[N];中國質量報;2013年

4 本報記者 郭濤;軟件定義存儲：市場“二八”開[N];中國計算機報;2013年

5 本報記者 郭濤 策劃;軟件定義未來[N];中國計算機報;2013年

6 本報記者 李旭陽;軟件定義汽車[N];計算機世界;2013年

7 梁敏;軟件定義時代來臨[N];電腦報;2013年

8 本報記者 劉春輝;全面的虛擬化是實現(xiàn)“軟件定義”的重要基石[N];人民郵電;2013年

9 本報記者 郭濤;軟件定義存儲也要“打假”[N];中國計算機報;2014年

10 沈建苗　編譯;軟件定義存儲,你準備好了嗎？[N];計算機世界;2014年

相關博士學位論文 前9條

1 李索恒;軟件定義網絡中多媒體傳輸路由及緩存算法研究[D];中國科學技術大學;2016年

2 肖鵬;數(shù)據(jù)中心下軟件定義網絡的部署及應用[D];大連海事大學;2016年

3 唐思圓;軟件定義網絡中資源高效的多播傳輸研究[D];中國科學技術大學;2017年

4 王軍鋒;軟件定義物聯(lián)網路由研究[D];華中科技大學;2016年

5 楊恩眾;軟件定義多媒體組播系統(tǒng)與傳輸策略研究[D];中國科學技術大學;2017年

6 朱明;高效軟件定義車載網絡關鍵技術研究[D];國防科學技術大學;2016年

7 高強;基于SDN的動態(tài)多播關鍵技術研究[D];上海大學;2017年

8 彭宏玉;軟件定義移動網絡中能效優(yōu)化技術研究[D];北京郵電大學;2016年

9 林萍萍;軟件定義網的東西向對等互聯(lián)機制研究[D];清華大學;2014年

相關碩士學位論文 前10條

1 楊寧;基于SDN架構的攻擊防護策略[D];北京郵電大學;2017年

2 閆湘靈;基于SDN的WLAN接入控制技術研究與設計[D];電子科技大學;2017年

3 薛婧杰;多元架構領導力模型在A集團中的應用研究[D];中國地質大學(北京);2017年

4 汪謙;基于SDN的分布式拒絕服務攻擊防范方法研究[D];浙江大學;2017年

5 雷殿富;基于SDN搭建視頻數(shù)據(jù)中心全局動態(tài)負載均衡網絡架構[D];北京郵電大學;2017年

6 韓威;基于SDN的車聯(lián)網信息交互[D];青島大學;2017年

7 吳秀林;基于SDN的網絡虛擬化技術研究與應用[D];電子科技大學;2017年

8 李妮莎;關于珠江公司組織架構優(yōu)化的研究[D];廣東外語外貿大學;2017年

9 趙偉;軟件定義存儲模型的研究及實現(xiàn)[D];華北電力大學(北京);2017年

10 唐龍業(yè);基于主機防護策略的防火墻技術研究[D];山東科技大學;2003年

，

本文編號：2134665