【摘要】：軟件定義網(wǎng)絡(luò)(Software Defined Networking,SDN)是目前的研究熱點,它將網(wǎng)絡(luò)的控制平面與轉(zhuǎn)發(fā)平面相分離,集中管控整個網(wǎng)絡(luò),為網(wǎng)絡(luò)發(fā)展帶來了革新。但是,隨著SDN網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)安全逐漸成為制約其發(fā)展的重要因素,安全問題也成為了SDN的熱門研究方向。網(wǎng)絡(luò)防護方案可以分為兩種,一種是發(fā)現(xiàn)攻擊后,直接在本地進行處理;另一種是先找到攻擊源,在源頭進行處理。前一種方法能夠?qū)暨M行快速響應(yīng),但不能從源頭上解決攻擊問題;而對于網(wǎng)絡(luò)攻擊,只有找到攻擊源,才能對攻擊進行有效遏制。在SDN網(wǎng)絡(luò)中,需要特別關(guān)注一類拒絕服務(wù)攻擊(Denial of Service,DoS),Seungwon Shin將其命名為數(shù)據(jù)層到控制層的飽和攻擊,簡稱飽和攻擊。本文分析SDN網(wǎng)絡(luò)架構(gòu)以及Open Flow協(xié)議工作原理,針對飽和攻擊,設(shè)計了基于Packet-In消息的集中式溯源方案,并以此為基礎(chǔ),設(shè)計了基于監(jiān)測節(jié)點的分布式溯源方案。具體工作如下:(1)分析飽和攻擊特點。攻擊者通過改變源IP、源MAC地址等信息,能夠在SDN網(wǎng)絡(luò)中產(chǎn)生大量攻擊報文,每一個攻擊報文途經(jīng)Open Flow交換機,都會令交換機產(chǎn)生一個Packet-In消息并發(fā)送給控制器。本文設(shè)計ID信息,該信息包含數(shù)據(jù)包的源IP、目的IP、源MAC、目的MAC,用于標識網(wǎng)絡(luò)中的數(shù)據(jù)流�？刂破鲝木W(wǎng)絡(luò)中收集Packet-In消息,并提取消息中的ID信息;一個攻擊源會產(chǎn)生多個ID不同的攻擊報文,但是對每一個攻擊報文,ID信息是不變的;使用溯源算法可以找到攻擊源的物理位置。(2)設(shè)計基于Packet-In消息的SDN網(wǎng)絡(luò)攻擊溯源方案。不同于傳統(tǒng)網(wǎng)絡(luò),SDN網(wǎng)絡(luò)的攻擊溯源能夠在控制器完成。SDN控制器從網(wǎng)絡(luò)中收集到的Packet-In消息中提取ID信息,同時獲取網(wǎng)絡(luò)中OpenFlow交換機的轉(zhuǎn)發(fā)規(guī)則并解析得到ID信息,比對ID可以判斷數(shù)據(jù)包是否流經(jīng)交換機,找到網(wǎng)絡(luò)中其中一臺ID相匹配的交換機后,根據(jù)轉(zhuǎn)發(fā)規(guī)則逐跳回溯,實現(xiàn)攻擊報文溯源。(3)設(shè)計基于監(jiān)測節(jié)點的SDN網(wǎng)絡(luò)攻擊快速溯源方案。當網(wǎng)絡(luò)規(guī)模增大,工作(1)中的方案會造成巨大的開銷;此外,在一個網(wǎng)絡(luò)中,并非所有設(shè)備會成為攻擊源。對曾經(jīng)發(fā)生過攻擊的疑似攻擊源進行重點監(jiān)測,能夠降低網(wǎng)絡(luò)開銷。在網(wǎng)絡(luò)中疑似攻擊源附近選取監(jiān)測節(jié)點,每輪選取監(jiān)測代價最小的節(jié)點;控制器通過Packet-In報文頻度變化判斷是否發(fā)生攻擊,當疑似發(fā)生攻擊,監(jiān)測節(jié)點對其范圍內(nèi)的疑似攻擊節(jié)點進行溯源操作可以達到快速溯源的目的。(4)使用Mininet和Floodlight控制器進行仿真驗證。Mininet模擬SDN網(wǎng)絡(luò)連接外部Floodlight控制器,iPerf工具模擬網(wǎng)絡(luò)背景流量,編寫攻擊腳本模擬DoS攻擊。Floodlight控制器添加Packet-In消息解析和統(tǒng)計模塊采集數(shù)據(jù)信息并對采集的信息進行分析。仿真結(jié)果表明,設(shè)計的溯源方案能夠?qū)崿F(xiàn)網(wǎng)絡(luò)溯源功能;通過選取適當?shù)谋O(jiān)測節(jié)點對疑似攻擊源進行監(jiān)測,能夠提高大型網(wǎng)絡(luò)溯源的效率。
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.0

【相似文獻】

相關(guān)期刊論文 前10條

1 王家寶;徐偉光;周振吉;李陽;苗壯;網(wǎng)絡(luò)攻擊檢測的門控記憶網(wǎng)絡(luò)方法[J];計算機應(yīng)用研究;2019年09期

2 王丹娜;;構(gòu)建網(wǎng)絡(luò)攻擊響應(yīng)框架的政治考量[J];中國信息安全;2017年12期

3 賈碩;;網(wǎng)絡(luò)攻擊的方法及對策[J];電子技術(shù)與軟件工程;2018年05期

4 ;數(shù)據(jù)泄露將成最大網(wǎng)絡(luò)攻擊問題[J];網(wǎng)絡(luò)安全和信息化;2017年03期

5 譚軍;;誰發(fā)起了越來越多的網(wǎng)絡(luò)攻擊[J];計算機與網(wǎng)絡(luò);2018年07期

6 伍浩松;;核電廠已成為網(wǎng)絡(luò)攻擊目標[J];國外核新聞;2016年11期

7 ;電子醫(yī)療設(shè)備潛在的網(wǎng)絡(luò)攻擊風(fēng)險[J];電子質(zhì)量;2017年03期

8 ;政府與金融部門并列網(wǎng)絡(luò)攻擊榜單第一名[J];智能制造;2017年05期

9 向磊;;基于路由器防網(wǎng)絡(luò)攻擊的策略研究[J];科技經(jīng)濟導(dǎo)刊;2017年27期

10 馮橙;劉鋒;;惡意網(wǎng)絡(luò)攻擊對中小企業(yè)危害面面觀[J];通信世界;2017年28期

相關(guān)會議論文 前10條

1 劉艷芳;丁帥;李建欣;張毅;;一種基于攻擊樹的網(wǎng)絡(luò)攻擊路徑生成方法[A];全國第20屆計算機技術(shù)與應(yīng)用學(xué)術(shù)會議（CACIS·2009）暨全國第1屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會議論文集（上冊）[C];2009年

2 任崗;楊明;張建偉;;面向檢測的網(wǎng)絡(luò)攻擊分類研究[A];2006通信理論與技術(shù)新進展——第十一屆全國青年通信學(xué)術(shù)會議論文集[C];2006年

3 呂登龍;王宇;;基于Web的攻擊分類法研究[A];2008通信理論與技術(shù)新進展——第十三屆全國青年通信學(xué)術(shù)會議論文集（上）[C];2008年

4 趙青;胡影;戴方芳;;一種基于邏輯子域的大規(guī)模網(wǎng)絡(luò)攻擊圖生成方法[A];2013年中國信息通信研究新進展論文集[C];2014年

5 王清煥;徐穎;;網(wǎng)絡(luò)竊聽及其防護技術(shù)[A];第14屆全國計算機安全學(xué)術(shù)交流會論文集[C];1999年

6 趙狄;鄭康鋒;張炎;;一種基于原子攻擊模式庫的VoIP網(wǎng)絡(luò)攻擊建模方法[A];2011年全國通信安全學(xué)術(shù)會議論文集[C];2011年

7 蔡紅柳;陳穎穎;張雁軍;;針對APT的內(nèi)網(wǎng)安全策略研究[A];第十九屆全國青年通信學(xué)術(shù)年會論文集[C];2014年

8 李濤;;關(guān)于WEB網(wǎng)絡(luò)攻擊的安全探討[A];2002年廣西氣象電子專業(yè)技術(shù)交流會論文集[C];2002年

9 劉斌;馬嚴;馬躍;;基于SSH協(xié)議的網(wǎng)絡(luò)攻擊防御分析與研究[A];第一屆中國高校通信類院系學(xué)術(shù)研討會論文集[C];2007年

10 李小川;朱光劍;胥滔;劉文勇;;基于攻擊圖的網(wǎng)絡(luò)脆弱性分析與應(yīng)用[A];第六屆全國網(wǎng)絡(luò)安全等級保護技術(shù)大會論文集[C];2017年

相關(guān)重要報紙文章 前10條

1 本報記者 陳小茹;美軍率先界定六種網(wǎng)絡(luò)攻擊武器[N];中國青年報;2013年

2 本報記者 馬愛平;工業(yè)領(lǐng)域成網(wǎng)絡(luò)攻擊重災(zāi)區(qū)[N];科技日報;2018年

3 葉征 張娜;美軍無線網(wǎng)絡(luò)攻擊能力進展驚人[N];中國青年報;2013年

4 國防大學(xué)戰(zhàn)略教研部國防動員教研室副主任 徐奎;扎緊國防大數(shù)據(jù)的安全籬笆[N];解放軍報;2017年

5 杜雁蕓 國防科技大學(xué)國際問題研究中心;歐洲為何炒作“俄羅斯黑客入侵”？[N];中國國防報;2017年

6 本報記者 劉艷;網(wǎng)絡(luò)攻擊，中國已成第一目標[N];科技日報;2017年

7 全國人大代表、浙江省科技廳廳長 周國輝;本屆兩會最大變化是什么？[N];科技日報;2017年

8 單琳鋒 談何易 張珂;網(wǎng)電博弈，須在“亮劍”中“礪劍”[N];解放軍報;2017年

9 記者 侯云龍;360將聯(lián)合多國漏洞平臺共建世界白帽協(xié)同機制[N];經(jīng)濟參考報;2017年

10 本報記者 劉\，

本文編號：2657025