【摘要】：軟件定義網(wǎng)絡(luò)(Software Defined Networking,SDN)是目前的研究熱點(diǎn),它將網(wǎng)絡(luò)的控制平面與轉(zhuǎn)發(fā)平面相分離,集中管控整個(gè)網(wǎng)絡(luò),為網(wǎng)絡(luò)發(fā)展帶來(lái)了革新。但是,隨著SDN網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)安全逐漸成為制約其發(fā)展的重要因素,安全問題也成為了SDN的熱門研究方向。網(wǎng)絡(luò)防護(hù)方案可以分為兩種,一種是發(fā)現(xiàn)攻擊后,直接在本地進(jìn)行處理;另一種是先找到攻擊源,在源頭進(jìn)行處理。前一種方法能夠?qū)暨M(jìn)行快速響應(yīng),但不能從源頭上解決攻擊問題;而對(duì)于網(wǎng)絡(luò)攻擊,只有找到攻擊源,才能對(duì)攻擊進(jìn)行有效遏制。在SDN網(wǎng)絡(luò)中,需要特別關(guān)注一類拒絕服務(wù)攻擊(Denial of Service,DoS),Seungwon Shin將其命名為數(shù)據(jù)層到控制層的飽和攻擊,簡(jiǎn)稱飽和攻擊。本文分析SDN網(wǎng)絡(luò)架構(gòu)以及Open Flow協(xié)議工作原理,針對(duì)飽和攻擊,設(shè)計(jì)了基于Packet-In消息的集中式溯源方案,并以此為基礎(chǔ),設(shè)計(jì)了基于監(jiān)測(cè)節(jié)點(diǎn)的分布式溯源方案。具體工作如下:(1)分析飽和攻擊特點(diǎn)。攻擊者通過改變?cè)碔P、源MAC地址等信息,能夠在SDN網(wǎng)絡(luò)中產(chǎn)生大量攻擊報(bào)文,每一個(gè)攻擊報(bào)文途經(jīng)Open Flow交換機(jī),都會(huì)令交換機(jī)產(chǎn)生一個(gè)Packet-In消息并發(fā)送給控制器。本文設(shè)計(jì)ID信息,該信息包含數(shù)據(jù)包的源IP、目的IP、源MAC、目的MAC,用于標(biāo)識(shí)網(wǎng)絡(luò)中的數(shù)據(jù)流�？刂破鲝木W(wǎng)絡(luò)中收集Packet-In消息,并提取消息中的ID信息;一個(gè)攻擊源會(huì)產(chǎn)生多個(gè)ID不同的攻擊報(bào)文,但是對(duì)每一個(gè)攻擊報(bào)文,ID信息是不變的;使用溯源算法可以找到攻擊源的物理位置。(2)設(shè)計(jì)基于Packet-In消息的SDN網(wǎng)絡(luò)攻擊溯源方案。不同于傳統(tǒng)網(wǎng)絡(luò),SDN網(wǎng)絡(luò)的攻擊溯源能夠在控制器完成。SDN控制器從網(wǎng)絡(luò)中收集到的Packet-In消息中提取ID信息,同時(shí)獲取網(wǎng)絡(luò)中OpenFlow交換機(jī)的轉(zhuǎn)發(fā)規(guī)則并解析得到ID信息,比對(duì)ID可以判斷數(shù)據(jù)包是否流經(jīng)交換機(jī),找到網(wǎng)絡(luò)中其中一臺(tái)ID相匹配的交換機(jī)后,根據(jù)轉(zhuǎn)發(fā)規(guī)則逐跳回溯,實(shí)現(xiàn)攻擊報(bào)文溯源。(3)設(shè)計(jì)基于監(jiān)測(cè)節(jié)點(diǎn)的SDN網(wǎng)絡(luò)攻擊快速溯源方案。當(dāng)網(wǎng)絡(luò)規(guī)模增大,工作(1)中的方案會(huì)造成巨大的開銷;此外,在一個(gè)網(wǎng)絡(luò)中,并非所有設(shè)備會(huì)成為攻擊源。對(duì)曾經(jīng)發(fā)生過攻擊的疑似攻擊源進(jìn)行重點(diǎn)監(jiān)測(cè),能夠降低網(wǎng)絡(luò)開銷。在網(wǎng)絡(luò)中疑似攻擊源附近選取監(jiān)測(cè)節(jié)點(diǎn),每輪選取監(jiān)測(cè)代價(jià)最小的節(jié)點(diǎn);控制器通過Packet-In報(bào)文頻度變化判斷是否發(fā)生攻擊,當(dāng)疑似發(fā)生攻擊,監(jiān)測(cè)節(jié)點(diǎn)對(duì)其范圍內(nèi)的疑似攻擊節(jié)點(diǎn)進(jìn)行溯源操作可以達(dá)到快速溯源的目的。(4)使用Mininet和Floodlight控制器進(jìn)行仿真驗(yàn)證。Mininet模擬SDN網(wǎng)絡(luò)連接外部Floodlight控制器,iPerf工具模擬網(wǎng)絡(luò)背景流量,編寫攻擊腳本模擬DoS攻擊。Floodlight控制器添加Packet-In消息解析和統(tǒng)計(jì)模塊采集數(shù)據(jù)信息并對(duì)采集的信息進(jìn)行分析。仿真結(jié)果表明,設(shè)計(jì)的溯源方案能夠?qū)崿F(xiàn)網(wǎng)絡(luò)溯源功能;通過選取適當(dāng)?shù)谋O(jiān)測(cè)節(jié)點(diǎn)對(duì)疑似攻擊源進(jìn)行監(jiān)測(cè),能夠提高大型網(wǎng)絡(luò)溯源的效率。
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.0

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 王家寶;徐偉光;周振吉;李陽(yáng);苗壯;網(wǎng)絡(luò)攻擊檢測(cè)的門控記憶網(wǎng)絡(luò)方法[J];計(jì)算機(jī)應(yīng)用研究;2019年09期

2 王丹娜;;構(gòu)建網(wǎng)絡(luò)攻擊響應(yīng)框架的政治考量[J];中國(guó)信息安全;2017年12期

3 賈碩;;網(wǎng)絡(luò)攻擊的方法及對(duì)策[J];電子技術(shù)與軟件工程;2018年05期

4 ;數(shù)據(jù)泄露將成最大網(wǎng)絡(luò)攻擊問題[J];網(wǎng)絡(luò)安全和信息化;2017年03期

5 譚軍;;誰(shuí)發(fā)起了越來(lái)越多的網(wǎng)絡(luò)攻擊[J];計(jì)算機(jī)與網(wǎng)絡(luò);2018年07期

6 伍浩松;;核電廠已成為網(wǎng)絡(luò)攻擊目標(biāo)[J];國(guó)外核新聞;2016年11期

7 ;電子醫(yī)療設(shè)備潛在的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)[J];電子質(zhì)量;2017年03期

8 ;政府與金融部門并列網(wǎng)絡(luò)攻擊榜單第一名[J];智能制造;2017年05期

9 向磊;;基于路由器防網(wǎng)絡(luò)攻擊的策略研究[J];科技經(jīng)濟(jì)導(dǎo)刊;2017年27期

10 馮橙;劉鋒;;惡意網(wǎng)絡(luò)攻擊對(duì)中小企業(yè)危害面面觀[J];通信世界;2017年28期

相關(guān)會(huì)議論文 前10條

1 劉艷芳;丁帥;李建欣;張毅;;一種基于攻擊樹的網(wǎng)絡(luò)攻擊路徑生成方法[A];全國(guó)第20屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議（CACIS·2009）暨全國(guó)第1屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集（上冊(cè)）[C];2009年

2 任崗;楊明;張建偉;;面向檢測(cè)的網(wǎng)絡(luò)攻擊分類研究[A];2006通信理論與技術(shù)新進(jìn)展——第十一屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集[C];2006年

3 呂登龍;王宇;;基于Web的攻擊分類法研究[A];2008通信理論與技術(shù)新進(jìn)展——第十三屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集（上）[C];2008年

4 趙青;胡影;戴方芳;;一種基于邏輯子域的大規(guī)模網(wǎng)絡(luò)攻擊圖生成方法[A];2013年中國(guó)信息通信研究新進(jìn)展論文集[C];2014年

5 王清煥;徐穎;;網(wǎng)絡(luò)竊聽及其防護(hù)技術(shù)[A];第14屆全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];1999年

6 趙狄;鄭康鋒;張炎;;一種基于原子攻擊模式庫(kù)的VoIP網(wǎng)絡(luò)攻擊建模方法[A];2011年全國(guó)通信安全學(xué)術(shù)會(huì)議論文集[C];2011年

7 蔡紅柳;陳穎穎;張雁軍;;針對(duì)APT的內(nèi)網(wǎng)安全策略研究[A];第十九屆全國(guó)青年通信學(xué)術(shù)年會(huì)論文集[C];2014年

8 李濤;;關(guān)于WEB網(wǎng)絡(luò)攻擊的安全探討[A];2002年廣西氣象電子專業(yè)技術(shù)交流會(huì)論文集[C];2002年

9 劉斌;馬嚴(yán);馬躍;;基于SSH協(xié)議的網(wǎng)絡(luò)攻擊防御分析與研究[A];第一屆中國(guó)高校通信類院系學(xué)術(shù)研討會(huì)論文集[C];2007年

10 李小川;朱光劍;胥滔;劉文勇;;基于攻擊圖的網(wǎng)絡(luò)脆弱性分析與應(yīng)用[A];第六屆全國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)大會(huì)論文集[C];2017年

相關(guān)重要報(bào)紙文章 前10條

1 本報(bào)記者 陳小茹;美軍率先界定六種網(wǎng)絡(luò)攻擊武器[N];中國(guó)青年報(bào);2013年

2 本報(bào)記者 馬愛平;工業(yè)領(lǐng)域成網(wǎng)絡(luò)攻擊重災(zāi)區(qū)[N];科技日?qǐng)?bào);2018年

3 葉征 張娜;美軍無(wú)線網(wǎng)絡(luò)攻擊能力進(jìn)展驚人[N];中國(guó)青年報(bào);2013年

4 國(guó)防大學(xué)戰(zhàn)略教研部國(guó)防動(dòng)員教研室副主任 徐奎;扎緊國(guó)防大數(shù)據(jù)的安全籬笆[N];解放軍報(bào);2017年

5 杜雁蕓 國(guó)防科技大學(xué)國(guó)際問題研究中心;歐洲為何炒作“俄羅斯黑客入侵”？[N];中國(guó)國(guó)防報(bào);2017年

6 本報(bào)記者 劉艷;網(wǎng)絡(luò)攻擊，中國(guó)已成第一目標(biāo)[N];科技日?qǐng)?bào);2017年

7 全國(guó)人大代表、浙江省科技廳廳長(zhǎng) 周國(guó)輝;本屆兩會(huì)最大變化是什么？[N];科技日?qǐng)?bào);2017年

8 單琳鋒 談何易 張珂;網(wǎng)電博弈，須在“亮劍”中“礪劍”[N];解放軍報(bào);2017年

9 記者 侯云龍;360將聯(lián)合多國(guó)漏洞平臺(tái)共建世界白帽協(xié)同機(jī)制[N];經(jīng)濟(jì)參考報(bào);2017年

10 本報(bào)記者 劉\，

本文編號(hào)：2657025