【摘要】：隨著網(wǎng)絡(luò)技術(shù)的不斷進步,互聯(lián)網(wǎng)正悄然改變著我們生活的方方面面,網(wǎng)上辦公、在線學(xué)習(xí)、網(wǎng)上購物等都極大地豐富和方便了人們的工作、學(xué)習(xí)和生活。但網(wǎng)絡(luò)的飛速發(fā)展在給人們帶來諸多便利的同時,也給網(wǎng)絡(luò)的管理和創(chuàng)新帶來了巨大挑戰(zhàn)。網(wǎng)絡(luò)流量的不斷激增使得路由器等網(wǎng)絡(luò)設(shè)備已日益不堪重負(fù),整個網(wǎng)絡(luò)變得十分臃腫、難以管理和創(chuàng)新。軟件定義網(wǎng)絡(luò)(SDN)是一種能夠滿足未來互聯(lián)網(wǎng)需求的新型網(wǎng)絡(luò)架構(gòu),它的出現(xiàn)使得突破現(xiàn)有網(wǎng)絡(luò)架構(gòu)面臨的種種瓶頸成為可能。軟件定義網(wǎng)絡(luò)將控制平面和數(shù)據(jù)平面相分離,屏蔽了底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的復(fù)雜性,使得整個網(wǎng)絡(luò)的管理更加便捷和高效。同時,SDN的集中管理、開放性和可編程性等特點使得它可以很好地支持未來新型業(yè)務(wù)的創(chuàng)新。然而,任何事物都具有兩面性,SDN作為一種處在起步階段的新興技術(shù)不可能是完美的,它的眾多優(yōu)勢就像一把雙刃劍,帶來巨大好處便利的同時,也給網(wǎng)絡(luò)帶來了不容忽視的安全問題。例如,SDN的集中管理使得應(yīng)用策略沖突、非法訪問等安全問題時有發(fā)生;SDN的可編程性又使得黑客可以通過軟件編程的方式輕易地向網(wǎng)絡(luò)發(fā)起分布式拒絕服務(wù)等攻擊。因此,深入研究并解決軟件定義網(wǎng)絡(luò)中的若干安全問題是SDN得以進一步快速健康發(fā)展的關(guān)鍵所在。本研究以國家重點研發(fā)計劃項目《信息安全認(rèn)證認(rèn)可關(guān)鍵技術(shù)研究與應(yīng)用》為依托,針對軟件定義網(wǎng)絡(luò)中的應(yīng)用策略沖突、非法訪問和分布式拒絕服務(wù)攻擊等三個熱點安全問題展開了深入研究。本文的主要研究內(nèi)容及創(chuàng)新點包括:1.針對應(yīng)用策略沖突問題,提出了一種軟件定義網(wǎng)絡(luò)中基于規(guī)則組的應(yīng)用策略沖突檢測方案。首先根據(jù)集合理論定義了具備唯一性和確定性的規(guī)則之間的5種邏輯關(guān)系;在此基礎(chǔ)上,并參考規(guī)則Action域的異同,將規(guī)則沖突劃分為4類。然后提出了應(yīng)用策略沖突檢測方案:先根據(jù)規(guī)則的Protocol域和Dst_Port域,將規(guī)則集劃分為若干個子集;接著根據(jù)有效比特位對每個子集進行細(xì)化,得到若干個更小的規(guī)則組;再分別在每個規(guī)則組中執(zhí)行本文提出的基于集合理論的規(guī)則沖突檢測算法,檢測出規(guī)則集中的所有沖突及其沖突類型。實驗結(jié)果表明,與對比方案相比,本文提出的基于規(guī)則組的應(yīng)用策略沖突檢測方案具有更高的檢測效率;同時,本方案不僅適用于普通應(yīng)用與安全應(yīng)用之間的策略沖突,并且也適用于普通應(yīng)用之間的策略沖突。2.針對非法訪問問題,提出了一種軟件定義網(wǎng)絡(luò)中基于用戶信任度的訪問控制方案。首先設(shè)計了軟件定義網(wǎng)絡(luò)中的訪問控制方案的系統(tǒng)模型。接下來,對系統(tǒng)模型中的主要模塊分別進行了原理論述和過程設(shè)計。在此基礎(chǔ)上提出了訪問控制方案:先判斷用戶的網(wǎng)絡(luò)訪問請求數(shù)據(jù)包的相應(yīng)流表項是否存在,如果不存在則再判斷用戶是否為新用戶(如果是新用戶需要引導(dǎo)其完成注冊與授權(quán),之后控制器才下發(fā)流表到交換機);然后,根據(jù)本文提出的用戶信任度計算和更新方法求得用戶信任度;最后,根據(jù)求出的信任度對用戶的訪問請求做出不同的響應(yīng)。實驗結(jié)果表明,本文提出的基于用戶信任度的訪問控制方案是正確有效的,方案中通過信任度能夠反映出用戶的真實身份,且對惡意非法用戶有著較好的識別能力,達到了有效阻止非法訪問、保護合法訪問的目的。同時,相對于傳統(tǒng)的訪問控制方案,本方案實現(xiàn)了更細(xì)粒度的訪問控制。3.針對分布式拒絕服務(wù)攻擊問題,提出了一種軟件定義網(wǎng)絡(luò)中基于自組織映射網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊檢測方案。首先根據(jù)Packet_In事件發(fā)生的概率進行預(yù)警;如果超過閾值,再根據(jù)流長度進行自適應(yīng)流抽樣,這樣約減了海量數(shù)據(jù),進而降低了資源消耗;在此基礎(chǔ)上,計算流的特征,再利用自組織映射網(wǎng)絡(luò)對特征值進行聚類,最終檢測出分布式拒絕服務(wù)攻擊流。實驗結(jié)果表明,本文所提出的基于自組織映射網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊檢測方案在檢測率和誤報率上均優(yōu)于對比方案。
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2018
【分類號】：TP393.08
【圖文】：

逡逑ＳＤＮ最早起源于斯坦福大學(xué)的Ｃｌｅａｎ邋Ｓｌａｔｅ項目隨著研究的深入，逡逑ＳＤＮ逐漸引起了人們的關(guān)注，如圖１－］所示，其顯示的是近十年ＳＤＮ在Ｇｏｏｇｌｅ逡逑Ｔｒｅｎｄｓ上的關(guān)注度。實際上，斯坦福大學(xué)（Ｓｔａｎｆｏｒｄ）、麻省理工學(xué)院逡逑（ＭＩＴ）、卡耐基梅隆大學(xué)（ＣＭＵ）、清華大學(xué)等國內(nèi)外著名高校都己相繼開逡逑展了邋ＳＤＮ領(lǐng)域的相關(guān)研宄；Ｇｏｏｇｌｅ、Ｍｉｃｒｏｓｏｆｔ等ＩＴ行業(yè)的領(lǐng)導(dǎo)者己均在ＳＤＮ逡逑領(lǐng)域投入了大量的科研力量，華為、思科等ＩＴ設(shè)備商也紛紛投入到ＳＤＮ控制器逡逑１逡逑

金會頒發(fā)的＂Ｏｕｔｓｔａｎｄｉｎｇ邋Ｔｅｃｈｎｉｃａｌ邋Ｃｏｎｔｒｉｂｕｔｉｏｎ邋Ａｗａｒｄ＂的獲得者，來自英國頂尖大逡逑學(xué)Ｑｕｅｅｎ＇ｓ邋Ｕｎｉｖｅｒｓｉｔｙ邋Ｂｅｌｆａｓｔ的網(wǎng)絡(luò)安全專家Ｓｃｏｔｔ－Ｈａｙｗａｒｄ將ＳＤＮ面臨的潛在攻擊逡逑和脆弱性歸納為六類，如圖１－２所示。逡逑Ｎｅｔｗｏｒｋ邋Ｓｅｒｖｉｃｅｓ逡逑—Ｌ邋｜丨一ｑｌ邋：３0？：丨（ｄ）逡逑Ｃｏｎｔｒｏｌ邋Ｉｎｔｅｒｆａｃｅｓ逡逑邐邐%煎危螅巍澹模幔簦徨澹穡幔簦楨澹簦潁幔媯媯椋沐義希茫錚睿簦潁錚歟歟澹蟈澹茫歟酰螅簦澹蟈義希茫錚睿媯椋紓酰潁幔簦椋錚鑠危保卞危椋妗鰨皺澹�、辶x希校錚椋睿翦澹茫酰螅簦澹蟈五危保保剩戾危粒睿幔咤澹眨睿椋簦簀澹�、辶x希村危澹輳希幔簦徨逡誨義�；匚ｊ逦（６）逦／邋匕邋ＣｅP簦歟澹悖簦錚蟈澹叔澹宓呢佩義希蓿鄭邋澹掊巍ⅲ媯╁危殄澹灣義希蓿觶澹插危校錚簦澹睿簦椋幔戾澹粒簦簦幔悖耄簀義希掊危蓿蓿危澹

本文編號：2725735