【摘要】：軟件定義網(wǎng)絡(luò)(Software-DefinedNetworking,SDN)是一種新型網(wǎng)絡(luò)架構(gòu),它將傳統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)平面和控制平面解耦合,并通過高度集中的控制邏輯來管理和操作網(wǎng)絡(luò)。由于網(wǎng)絡(luò)的高度可編程性和動態(tài)配置功能使得網(wǎng)絡(luò)管理具有很強的靈活性和便利性。目前,SDN網(wǎng)絡(luò)已經(jīng)在美國的Internet2、日本的JGN2plus等多個科研機構(gòu)中得到部署,國內(nèi)的一些知名高校和研究機構(gòu)也開始研究和部署SDN相關(guān)的試驗平臺。隨著SDN架構(gòu)的發(fā)展和相關(guān)設(shè)備的使用,基于OpenFlow協(xié)議的SDN網(wǎng)絡(luò)也面臨著很多新的安全問題。由于OpenFlow協(xié)議是無狀態(tài)的,數(shù)據(jù)平面不具備策略分析能力,攻擊者可以通過流表項修改數(shù)據(jù)包致使數(shù)據(jù)流繞過既定安全策略,導(dǎo)致規(guī)則沖突,大大降低網(wǎng)絡(luò)安全性能。在SDN網(wǎng)絡(luò)中,交換機等網(wǎng)絡(luò)設(shè)備對控制器下發(fā)的流規(guī)則是完全信任的,一旦流規(guī)則遭到了攻擊者的惡意篡改,整個網(wǎng)絡(luò)的安全性能將面臨嚴(yán)重威脅。攻擊者可以通過流規(guī)則改寫數(shù)據(jù)包頭域,從而達(dá)到繞過安全規(guī)則實行惡意攻擊的目的。就現(xiàn)階段研究而言,國內(nèi)外研究主要通過圖搜索、數(shù)據(jù)包頭空間解析等方法來實現(xiàn)規(guī)則沖突檢測,通過基于角色的身份認(rèn)證策略、添加流標(biāo)簽、數(shù)據(jù)重路由的方法來解決沖突,但仍存在以下問題有待改善:(1)圖搜索算法中建立圖索引時間長,數(shù)量多,導(dǎo)致檢測時間難以滿足網(wǎng)絡(luò)實際需求;(2)數(shù)據(jù)包頭空間解析算法中檢測準(zhǔn)確率高,但其對全網(wǎng)規(guī)則進(jìn)行遍歷的特性同樣導(dǎo)致檢測時間長;(3)在規(guī)則沖突解決中,基于角色的身份認(rèn)證,沒有考慮到規(guī)則之間的依賴性,導(dǎo)致誤報,漏報,而添加流標(biāo)簽的方法又有可能引進(jìn)新的匹配問題。依托國家重點基礎(chǔ)研究發(fā)展計劃(973計劃)項目—“可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系研究”,以檢測和解決SDN中的規(guī)則沖突為研究目標(biāo),本文對圖搜索算法、頭空間解析算法以及規(guī)則沖突解決方法提出相應(yīng)的優(yōu)化和改進(jìn)策略。本文的研究工作及主要貢獻(xiàn)如下:1.針對基于圖搜索的規(guī)則沖突檢測算法,提出了一種基于Path-Tree模型的規(guī)則沖突檢測機制,該方法利用Path-Tree的特性,將數(shù)據(jù)平面端到端的可達(dá)性集中于一次圖索引過程,所建立的最小等價圖大大減小了端到端之間可達(dá)性驗證的索引次數(shù),從而降低了檢測時間,仿真結(jié)果表明相比于檢測工具Flowchecker,本文在檢測時間上大約減少了14%。2.針對現(xiàn)有頭空間解析算法中規(guī)則沖突時間開銷大的問題,提出了一種高效的流規(guī)則沖突檢測算法,該機制通過壓縮流表項,建立基于端口的規(guī)則拓?fù)?根據(jù)該拓?fù)渲苯佑嬎愣说蕉说目蛇_(dá)性,從而快速地檢測網(wǎng)絡(luò)中的規(guī)則沖突。仿真結(jié)果表明在同等條件下,相比于現(xiàn)有的檢測機制,本文所提機制在檢測時間上可降低約15%。3.針對規(guī)則沖突解決中沒有考慮到規(guī)則之間的依賴性的問題,提出了一種基于安全路徑重路由的沖突解決方法。通過獲取實時的SDN網(wǎng)絡(luò)狀態(tài),定義交換機節(jié)點的某些性質(zhì)為特征值,并利用BP神經(jīng)網(wǎng)絡(luò)對節(jié)點行為進(jìn)行預(yù)測來判斷節(jié)點的安全狀態(tài),最后將節(jié)點情況實時反饋給控制器,控制器根據(jù)交換機情況選擇一條較安全的路徑進(jìn)行數(shù)據(jù)的重路由,從而實現(xiàn)規(guī)避危險節(jié)點,達(dá)到解決規(guī)則沖突的目的。
【學(xué)位授予單位】：戰(zhàn)略支援部隊信息工程大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.02
【圖文】：

圖 1.2 OpenFlow 框架換機能夠根據(jù)流表的轉(zhuǎn)發(fā)規(guī)則對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。目ow v1.0.0.這個版本中使用 12 條匹配項來對進(jìn)入交。表 1.1 OpenFlow 協(xié)議中的匹配項Ingress PortEther srcEther dstVLAN idVLAN priority CoSIP srcIP dstIP protoIP ToS bitsTCP/UDP src port

圖 1.4 論文研究內(nèi)容間關(guān)系以下三點：一種決策樹模型，在傳統(tǒng)網(wǎng)絡(luò)中可以對網(wǎng)絡(luò)驗證，利用該模型對 SDN 的數(shù)據(jù)平面規(guī)則網(wǎng)絡(luò)中轉(zhuǎn)發(fā)設(shè)備的端口為節(jié)點，轉(zhuǎn)發(fā)規(guī)則平面端到端的可達(dá)性集中于一次圖索引過數(shù)，從而降低了檢測時間，仿真結(jié)果驗證了與安全規(guī)則沖突的規(guī)則必然存在重寫操作進(jìn)行提煉，并對這些規(guī)則采取進(jìn)行統(tǒng)一的語進(jìn)行建模，以規(guī)則為節(jié)點，轉(zhuǎn)發(fā)行為為邊建為根節(jié)點反推相應(yīng)的源節(jié)點和目的節(jié)點，從比進(jìn)而發(fā)現(xiàn)規(guī)則沖突現(xiàn)象，仿真結(jié)果驗證了

圖 2.3 時間消耗圖3 看出，本章算法發(fā)現(xiàn)沖突的檢測速率相比 Flowchecker 平均提高 14要是利用 Path-Tree 的特性，在檢驗端到端可達(dá)性過程中不需要多次建索引的基礎(chǔ)上可以了解各端口間的可達(dá)性。同時，實驗中還選取了任意建立的時間開銷，本章算法與 Flowchecker 相比，其可達(dá)樹的時間開銷。本章 Stanford本章 Internet2Flowchecker StanfordFlowchecker Internet2

【參考文獻(xiàn)】

相關(guān)期刊論文 前6條

1 王鵑;王江;焦虹陽;王勇;陳詩雅;劉世輝;胡宏新;;一種基于OpenFlow的SDN訪問控制策略實時沖突檢測與解決方法[J];計算機學(xué)報;2015年04期

2 蘭巨龍;程東年;胡宇翔;;可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系研究[J];通信學(xué)報;2014年01期

3 徐濤;丁曉璐;李建伏;;K最短路徑算法綜述[J];計算機工程與設(shè)計;2013年11期

4 張宏科;羅洪斌;;智慧協(xié)同網(wǎng)絡(luò)體系基礎(chǔ)研究[J];電子學(xué)報;2013年07期

5 胡國政;洪帆;郭亞軍;;標(biāo)準(zhǔn)模型中可證安全的基于ID的身份認(rèn)證方案[J];小型微型計算機系統(tǒng);2007年11期

6 戚德虎,康繼昌;BP神經(jīng)網(wǎng)絡(luò)的設(shè)計[J];計算機工程與設(shè)計;1998年02期

本文編號：2800631