【摘要】：近年來,軟件定義網(wǎng)絡(luò)(Software-defined networking,SDN)網(wǎng)絡(luò)作為一種新興的互聯(lián)網(wǎng)技術(shù)得到了學(xué)術(shù)界與工業(yè)界廣泛的研究與關(guān)注,SDN網(wǎng)絡(luò)面臨的安全威脅與對應(yīng)的防御技術(shù)可根據(jù)其架構(gòu)特征劃分為五個方面,即針對應(yīng)用層、北向接口、控制層、南向接口及數(shù)據(jù)層的威脅與防御,其中鑒于控制層、數(shù)據(jù)層與南向接口在SDN網(wǎng)絡(luò)架構(gòu)中的重要位置,其安全威脅與對應(yīng)防御技術(shù)的研究較為廣泛。南向接口作為實現(xiàn)SDN網(wǎng)絡(luò)數(shù)控分離特征的核心技術(shù),其安全性極大程度上決定了 SDN網(wǎng)絡(luò)的整體安全;控制層作為SDN網(wǎng)絡(luò)的控制決策中心,其重要性不言而喻,同時為了解決控制層面的單點失效問題與擴展性問題,分布式控制層結(jié)構(gòu)逐漸引起了關(guān)注,然而如何保障分布式控制層面的安全,尤其是其中骨干控制器節(jié)點的安全,對于保障SDN網(wǎng)絡(luò)安全具有十分重要的意義;此外數(shù)據(jù)層為SDN網(wǎng)絡(luò)流量快速轉(zhuǎn)發(fā)及數(shù)據(jù)完整性提供保障,但如何保障數(shù)據(jù)層面數(shù)據(jù)完整性與骨干節(jié)點的安全性,增強節(jié)點對抗監(jiān)聽、識別等惡意攻擊的能力,對于增強SDN網(wǎng)絡(luò)安全防御能力、提高網(wǎng)絡(luò)安全性具有十分重要的價值。根據(jù)SDN網(wǎng)絡(luò)架構(gòu)特征,分布式控制層是解決SDN控制層面DDoS威脅的重要手段,同時能夠增強控制層的可擴展性,本文提出一種能夠保障分布式控制層面的服務(wù)性能及骨干節(jié)點的安全性的解決方案;除控制層外,數(shù)據(jù)層通過利用交換機設(shè)備實現(xiàn)SDN網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)功能,本文提出一種用于保障數(shù)據(jù)完整性以及網(wǎng)絡(luò)骨干轉(zhuǎn)發(fā)節(jié)點安全性的解決方案;最后,本文針對SDN網(wǎng)絡(luò)架構(gòu)南向接口面臨的DDoS安全威脅問題,提出安全檢測方案。具體內(nèi)容如下:(1)針對分布式控制層面骨干節(jié)點的安全需求,以及控制層面負載均衡解決方案的高計算復(fù)雜度問題,首先提出一種最優(yōu)的交換機遷移方案,該方案將交換機遷移問題理解為簽名匹配問題,并提出一種新的三維EMD算法模型,將研究目標(biāo)擴充為基于源控制器、目的控制器與交換機的三維變量,保護網(wǎng)絡(luò)中的骨干控制器節(jié)點;此外考慮到方案的可擴展性,進一步提出了適用于大規(guī)模網(wǎng)絡(luò)中的啟發(fā)式方案,該方案將原最優(yōu)化問題拆解為兩個串聯(lián)子問題,通過順序求解兩個子問題獲得次優(yōu)解。實驗結(jié)果表明,該方案能夠顯著減小控制器節(jié)點間的流量負載差異,保護骨干節(jié)點不被攻擊者識別監(jiān)聽,并防御控制層面的拒絕服務(wù)淹沒攻擊。(2)針對保障數(shù)據(jù)層骨干節(jié)點安全性與網(wǎng)絡(luò)數(shù)據(jù)完整性的需求,以及當(dāng)前路由突變技術(shù)受限的擴展性以及高計算復(fù)雜度問題,首先提出一種新的、基于節(jié)點的路由突變方法,并將研究目標(biāo)由單一節(jié)點擴充為多跳路徑,將路由突變問題模擬為三維EMD模型,并采用基于0-1整數(shù)變量的分支定界法求解該問題;考慮到算法的可擴展性,針對大規(guī)模SDN網(wǎng)絡(luò)環(huán)境進一步提出了一種具有較低計算復(fù)雜度的貪婪突變方法;此外針對現(xiàn)實網(wǎng)絡(luò)環(huán)境中的條件約束問題,設(shè)計并實現(xiàn)了滿足約束條件的最優(yōu)突變方案以及大規(guī)模網(wǎng)絡(luò)突變方案。實驗結(jié)果表明,該方案能夠通過減小網(wǎng)絡(luò)節(jié)點間歷史累積流量的差異,掩蓋網(wǎng)絡(luò)骨干節(jié)點身份,有效保護該類節(jié)點,同時提出的突變方案顯著降低了計算復(fù)雜度,能夠有效應(yīng)用于大規(guī)模SDN網(wǎng)絡(luò)環(huán)境中。(3)針對SDN網(wǎng)絡(luò)由于數(shù)據(jù)層與控制層解耦合特征引入的DDoS攻擊威脅現(xiàn)狀,以及現(xiàn)有檢測方法無法準(zhǔn)確檢測攻擊的問題,提出一種基于EMD算法的DDoS攻擊檢測方案,綜合分析網(wǎng)絡(luò)流量多維特征;此外,為了提高算法的可行性與準(zhǔn)確度,采用一種新的帶有對稱性的Renyi熵散度作為EMD算法中的費用函數(shù)。仿真實驗結(jié)果表明,該方案不僅能夠通過比較EMD計算結(jié)果實現(xiàn)SDN網(wǎng)絡(luò)DDoS攻擊檢測,還能夠有效提高算法檢測準(zhǔn)確率,增強SDN網(wǎng)絡(luò)的檢測防御能力。綜上所述,本文重點研究基于SDN的安全防御關(guān)鍵技術(shù),根據(jù)SDN網(wǎng)絡(luò)架構(gòu)特征,提出針對性的安全檢測防御方案。實驗結(jié)果表明,本文所提出的安全防御方案能夠針對相應(yīng)SDN網(wǎng)絡(luò)安全問題實現(xiàn)快速有效防御,具有一定的現(xiàn)實應(yīng)用價值及意義。
【圖文】：

圖１－２邋ＳＤＮ網(wǎng)絡(luò)整體安全防御結(jié)構(gòu)圖逡逑ＳＤＮ網(wǎng)絡(luò)控制層、南向接口與數(shù)據(jù)層面臨的安全威脅與ＳＤＮ網(wǎng)絡(luò)整體安全防逡逑御結(jié)構(gòu)間的關(guān)系如圖１－２所示。由圖１－２可見，控制層、南向接口與數(shù)據(jù)層每個層面的逡逑安全問題都將影響整體ＳＤＮ網(wǎng)絡(luò)架構(gòu)的安全性，任一層面發(fā)生安全問題都將導(dǎo)致網(wǎng)逡逑絡(luò)故障、影響網(wǎng)絡(luò)正常服務(wù)，因此保障這三個層面的安全性對于提高ＳＤＮ網(wǎng)絡(luò)整體逡逑架構(gòu)安全性是十分重要的。ＳＤＮ網(wǎng)絡(luò)控制層作為網(wǎng)絡(luò)核心，是ＳＤＮ網(wǎng)絡(luò)最重要的組逡逑成部分，同時ＳＤＮ網(wǎng)絡(luò)通過利用數(shù)據(jù)層轉(zhuǎn)發(fā)設(shè)備實現(xiàn)流量快速轉(zhuǎn)發(fā)，因此控制層與逡逑數(shù)據(jù)層在ＳＤＮ網(wǎng)絡(luò)中具有舉足輕重的地位，再加之網(wǎng)絡(luò)中位于控制層面與數(shù)據(jù)層面逡逑的、具有戰(zhàn)略重要性的骨干設(shè)施節(jié)點對整體網(wǎng)絡(luò)而言意義重大，這類節(jié)點通常負責(zé)逡逑５逡逑

令ＳＤＮ網(wǎng)絡(luò)具備可編程性，但由于應(yīng)用程序需求不一，導(dǎo)致目前北向接口的標(biāo)準(zhǔn)逡逑化工作仍在推進。業(yè)界各廠商以及標(biāo)準(zhǔn)組織，包括一些頂級技術(shù)專家，都致力于逡逑北向接口的統(tǒng)一．，國際電聯(lián)電信標(biāo)準(zhǔn)化部門（ＩＴＵ邋Ｔｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎ邋Ｓｔａｎｄａｒｄｉｚａｔｉｏｎ逡逑Ｓｅｃｔｏｒ，ＩＴＵ－Ｔ）、電信管理論壇（ＴｅｌｅＭａｎａｇｅｍｅｎｔ邋Ｆｏｒｕｍ，邋ＴＭＦ）、ＯＮＦ、城域以太網(wǎng)論逡逑壇（Ｍｅｔｒｏ邋Ｅｔｈｅｒｎｅｔ邋Ｆｏｒｕｍ，邋ＭＥＦ）等組織基本達成共識，使用統(tǒng)一的網(wǎng)絡(luò)資源信息模逡逑型，同時，在互聯(lián)網(wǎng)工程任務(wù)組（Ｉｎｔｅｒｎｅｔ邋Ｅｎｇｉｎｅｅｒｉｎｇ邋Ｔａｓｋ邋Ｆｏｒｃｅ，邋ＩＥＴＦ）也逐漸有一逡逑些提案，建議采用通用信息模型＠１。逡逑控制器平面作為ＳＤＮ網(wǎng)絡(luò)架構(gòu)的核心組成部分，具有邏輯集中的網(wǎng)絡(luò)視圖，通逡逑常包含一個或多個控制器，每個控制器管理并控制至少…個數(shù)據(jù)層網(wǎng)元資源，通過南逡逑向接口協(xié)議獲取網(wǎng)絡(luò)數(shù)據(jù)平面拓撲、流量、ＱｏＳ等信息，并進一步實現(xiàn)針對數(shù)據(jù)層設(shè)逡逑備的管控，目前常見的控制器有ＮＯＸ［９Ｑ］、：Ｆｌｏｏｄｌｉｇｈｔ［９１】、ＯｐｅｎＤａｙｌｉｇｈｔ［９２］、ＯＮＯＳ［９３］逡逑等。ＳＤＮ網(wǎng)絡(luò)的控制器平面具有可擴展性，，按照組織形式的差異，可以將控制器平逡逑面劃分為單一式控制層、邏輯集中物理分布式控制層、完全分布式控制層和分層式逡逑控制層［９４］，其中單一式控制層面只具備一臺控制器；邏輯集中物理分布式控制層通逡逑
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2018
【分類號】：TP393.08

【參考文獻】

相關(guān)期刊論文 前3條

1 王鵑;王江;焦虹陽;王勇;陳詩雅;劉世輝;胡宏新;;一種基于OpenFlow的SDN訪問控制策略實時沖突檢測與解決方法[J];計算機學(xué)報;2015年04期

2 鄔江興;;網(wǎng)絡(luò)空間擬態(tài)安全防御[J];保密科學(xué)技術(shù);2014年10期

3 鄔江興;;擬態(tài)計算與擬態(tài)安全防御的原意和愿景[J];電信科學(xué);2014年07期

相關(guān)碩士學(xué)位論文 前2條

1 王宇航;一種基于SDN的地址跳變主動防御技術(shù)的研究與實現(xiàn)[D];浙江大學(xué);2017年

2 印蘇凱;SDN中的網(wǎng)絡(luò)信息隱藏技術(shù)研究[D];南京理工大學(xué);2017年

本文編號：2694936