【摘要】：SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))是針對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的不靈活,不滿足當(dāng)前網(wǎng)絡(luò)需求的情況下所提出的一種新型網(wǎng)絡(luò)架構(gòu),它將網(wǎng)絡(luò)設(shè)備的控制面和數(shù)據(jù)面分離。這種架構(gòu)使得SDN不僅要面臨傳統(tǒng)網(wǎng)絡(luò)安全威脅,還要考慮控制面集中化所帶來(lái)的安全威脅。SDN的可編程性和網(wǎng)絡(luò)功能虛擬化技術(shù)使得SDN網(wǎng)絡(luò)安全可以以虛擬化的安全服務(wù)方式來(lái)實(shí)現(xiàn)防護(hù)。本論文主要研究如何動(dòng)態(tài)構(gòu)建SDN網(wǎng)絡(luò)虛擬化安全服務(wù),從而達(dá)到防護(hù)SDN安全的目的。本論文主要從以下三個(gè)方面開展工作:(1)為解決SDN面臨的安全威脅,本論文分析SDN安全的需求,提出一種新型的SDN安全服務(wù)組合體系架構(gòu)。即在SDN控制層增加一個(gè)安全服務(wù)編排中心,將SDN的安全防護(hù)任務(wù)從控制器中脫離出來(lái),交由安全服務(wù)編排中心實(shí)現(xiàn)。(2)為實(shí)現(xiàn)SDN安全服務(wù)組合體系架構(gòu),本論文細(xì)化安全服務(wù)編排中心,分解安全服務(wù)構(gòu)建安全元功能庫(kù)�；赪EB服務(wù)組合技術(shù),提出SDN安全服務(wù)動(dòng)態(tài)構(gòu)建算法。在該算法中使用兩種服務(wù)組合方法:基于工作流的組合和基于專家系統(tǒng)的規(guī)則組合,滿足不同用戶需求。(3)針對(duì)SDN安全服務(wù)動(dòng)態(tài)構(gòu)建算法中的規(guī)則組合方法組合時(shí)間較慢的問(wèn)題,提出基于RETE的SDN安全服務(wù)動(dòng)態(tài)構(gòu)建優(yōu)化算法。即將規(guī)則組合中的規(guī)則編譯為RETE網(wǎng)絡(luò),通過(guò)保存中間狀態(tài)和共享狀態(tài)節(jié)點(diǎn)降低規(guī)則組合時(shí)間,減少用戶等待時(shí)間,改善用戶體驗(yàn)。本論文在OpenStack云平臺(tái)上搭建SDN安全服務(wù)網(wǎng)絡(luò)環(huán)境,構(gòu)建SDN安全服務(wù)從而對(duì)系統(tǒng)進(jìn)行功能驗(yàn)證。測(cè)試不同用戶規(guī)模下兩種組合方式的時(shí)間,對(duì)影響規(guī)則組合的原因進(jìn)行探討。對(duì)運(yùn)用優(yōu)化算法改進(jìn)后的規(guī)則組合時(shí)間進(jìn)行測(cè)試,結(jié)果表明:優(yōu)化算法可以較好地減少規(guī)則的組合時(shí)間,提高規(guī)則的組合效率,從功能和性能上達(dá)到SDN安全防護(hù)的目的。
[Abstract]:SDN (Software Defined Network, software defined network is a new network architecture which can not meet the current network requirements because of the inflexibility of the traditional network architecture. It separates the control surface and the data surface of the network equipment. This architecture makes SDN not only face traditional network security threats, The programmability of the security threat caused by centralization of control surface and the virtualization of network function make the security of SDN network be protected by virtualization security service. This paper mainly studies how to construct SDN network virtualization security service dynamically, so as to protect SDN security. The main work of this thesis is as follows: (1) in order to solve the security threats faced by SDN, this paper analyzes the security requirements of SDN, and proposes a new architecture of SDN security service composition. That is to add a security service orchestration center in the SDN control layer, detach the security protection task of SDN from the controller, and hand it over to the security service orchestration center. (2) in order to realize the SDN security service composition architecture, This paper refines the security service orchestration center, decomposes the security service to construct the security metafuncture library. Based on the technology of WEB service composition, an algorithm for dynamic construction of SDN security service is proposed. In this algorithm, two service composition methods are used: workflow-based composition and expert system-based rule composition to meet the needs of different users. (3) aiming at the slow composition time of the rule composition method in the dynamic construction algorithm of SDN security services, An optimization algorithm for dynamic construction of SDN security services based on RETE is proposed. The rules in the rule composition are compiled into RETE network. By saving the intermediate state and the shared state node, the rule composition time is reduced, the user waiting time is reduced, and the user experience is improved. This paper builds the SDN security service network environment on the OpenStack cloud platform, constructs the SDN security service to carry on the function verification to the system. Test the time of the two combinations under different user size, and discuss the reasons that affect the combination of rules. The test results show that the optimized algorithm can reduce the combination time of rules, improve the efficiency of rule combination, and achieve the purpose of SDN security protection in function and performance.
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.09

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 王蒙蒙;劉建偉;陳杰;毛劍;毛可飛;;軟件定義網(wǎng)絡(luò):安全模型、機(jī)制及研究進(jìn)展[J];軟件學(xué)報(bào);2016年04期

2 季開偉;樂(lè)紅兵;;規(guī)則引擎在訪問(wèn)控制中的研究與應(yīng)用[J];計(jì)算機(jī)與現(xiàn)代化;2015年08期

3 張國(guó)平;;基于SDN和Overlay的云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)[J];中國(guó)新通信;2015年03期

4 崔競(jìng)松;郭遲;陳龍;張雅娜;Dijiang HUANG;;創(chuàng)建軟件定義網(wǎng)絡(luò)中的進(jìn)程級(jí)縱深防御體系結(jié)構(gòu)[J];軟件學(xué)報(bào);2014年10期

5 肖貴福;;基于虛擬化安全網(wǎng)絡(luò)擴(kuò)展的SDN安全架構(gòu)[J];現(xiàn)代計(jì)算機(jī)(專業(yè)版);2014年21期

6 徐磊;王磊;;基于OpenStack的私有云搭建的研究[J];信息通信;2014年05期

7 趙慧玲;解云鵬;史凡;;網(wǎng)絡(luò)虛擬化及網(wǎng)絡(luò)功能虛擬化技術(shù)探討[J];中興通訊技術(shù);2014年03期

8 裘曉峰;趙糧;高騰;;VSA和SDS:兩種SDN網(wǎng)絡(luò)安全架構(gòu)的研究[J];小型微型計(jì)算機(jī)系統(tǒng);2013年10期

9 畢軍;;SDN體系結(jié)構(gòu)與未來(lái)網(wǎng)絡(luò)體系結(jié)構(gòu)創(chuàng)新環(huán)境[J];電信科學(xué);2013年08期

10 左青云;陳鳴;趙廣松;邢長(zhǎng)友;張國(guó)敏;蔣培成;;基于OpenFlow的SDN技術(shù)研究[J];軟件學(xué)報(bào);2013年05期

相關(guān)博士學(xué)位論文 前2條

1 袁慶霓;基于網(wǎng)絡(luò)化制造環(huán)境的制造資源共享服務(wù)語(yǔ)義關(guān)鍵技術(shù)研究[D];西南交通大學(xué);2010年

2 夏亞梅;動(dòng)態(tài)服務(wù)組合中的若干關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2009年

相關(guān)碩士學(xué)位論文 前5條

1 姚龍;軟件定義網(wǎng)絡(luò)控制器容量及部署問(wèn)題研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2015年

2 胡揚(yáng)波;基于多目標(biāo)優(yōu)化的Web服務(wù)組合研究[D];中南大學(xué);2009年

3 王海智;基于工作流的協(xié)同辦公系統(tǒng)的研究與實(shí)現(xiàn)[D];西南交通大學(xué);2008年

4 范俊;基于規(guī)則的Web服務(wù)組合研究[D];北京郵電大學(xué);2007年

5 謝雪勝;計(jì)算機(jī)網(wǎng)絡(luò)安全方案的設(shè)計(jì)與實(shí)現(xiàn)[D];合肥工業(yè)大學(xué);2006年

，

本文編號(hào)：2188454