軟件定義網(wǎng)絡(Software-Defined Networking,SDN)憑借其可編程性與開放靈活的特點成為未來網(wǎng)絡發(fā)展的趨勢�？刂破髯鳛镾DN網(wǎng)絡功能的核心部件,具有極其重要的作用和地位,但也因此導致其成為網(wǎng)絡攻擊的焦點,一旦控制器被惡意劫持,攻擊者可以任意修改流規(guī)則實現(xiàn)對網(wǎng)絡流行為的控制,造成嚴重的安全威脅。針對SDN控制器安全問題,現(xiàn)有的解決方案仍具有防御被動性、靜態(tài)性的缺陷,多為了提升控制層的可用性,而無法有效防御控制器被劫持控制的局面,特別是面對基于0day漏洞、系統(tǒng)后門等所發(fā)動的高級持續(xù)威脅(Advanced Persistent Threat,APT)尚力不從心。本文結合擬態(tài)防御理論,構建一種SDN控制器主動防御機制,通過異構冗余控制器架構以及動態(tài)防御策略,增加控制器對網(wǎng)絡攻擊所呈現(xiàn)的動態(tài)性和不確定性,進而加大攻擊者利用系統(tǒng)弱點實現(xiàn)控制器劫持的難度,提高了控制器的安全可靠性和防御靈活性。本文主要研究內(nèi)容包括:1.針對現(xiàn)階段控制器安全研究方案所具有的防御被動性、靜態(tài)性缺陷,結合擬態(tài)防御理論相關研究,設計一種基于動態(tài)多樣性的控制器主動防御機制,根據(jù)控制器執(zhí)行體異構度與調(diào)度歷史更新原則建立調(diào)度算法以確定執(zhí)行體選調(diào)方案。仿真實驗對多種方案進行了對比分析,結果表明相比靜態(tài)結構,動態(tài)多樣性調(diào)度能夠有效提升控制器系統(tǒng)的安全系數(shù),同時所提算法避免了調(diào)度局部極值問題。2.針對控制器主動防御過程中不同狀態(tài)的防御策略選擇問題,建立馬爾可夫攻防博弈模型,以分析控制器攻防博弈過程中動態(tài)化、多樣化的攻防狀態(tài),根據(jù)防御容忍度和攻擊表面的改變量定義了攻防雙方收益函數(shù)并通過非線性規(guī)劃解決均衡策略選擇問題,仿真實驗對比移動目標防御模型驗證了本文模型的安全性,同時基于控制器執(zhí)行體弱點信息評估了不同狀態(tài)下的攻防策略,給出了多種攻擊路徑下的最優(yōu)防御措施。3.針對復雜多樣的攻擊手段,通過動態(tài)性、主動性的防御能顯著增加攻擊難度,但這種主動式的防御難免產(chǎn)生一定的防御代價,而面對不同類型的攻擊方式存在防御效率方面的問題,通過建立控制器主動防御過程中的安全收益與防御代價模型,結合增強學習相關算法,設計一種自適應選擇防御動作時間間隔的控制器主動防御機制,仿真實驗對比了幾種不同偏向的防御者類型,驗證了平衡型的防御策略能夠減少不必要的主動防御損耗,提高防御效率和防御靈活性。
【學位單位】：戰(zhàn)略支援部隊信息工程大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

戰(zhàn)略支援部隊信息工程大學碩士學位論文N所擁有的最大的優(yōu)勢在于其提供了對下層網(wǎng)絡維持全局這種抽象將精力專注到網(wǎng)絡應用上去。這種相對于傳統(tǒng)N成為建立下一代網(wǎng)絡基礎設施建設的核心技術。應用控制網(wǎng)絡管理員安全規(guī)則網(wǎng)絡用戶SDN應用安全應用管理應用供應商服務SDN控制器控制器數(shù)據(jù)流設備交換機APIAPI (OF Protocol)

Flow_Modresponses ControllerReplicas圖 1.3 BFT 控制器架構制器架構能夠?qū)崿F(xiàn)對故障控制器或者受攻擊者控機制的實現(xiàn)依賴于各個控制器節(jié)點所達成的容錯繁地通信協(xié)商以確定惡意節(jié)點；另外，BFT控制ave控制器，并由master控制器將來自數(shù)據(jù)層的請制器的純潔性是非常重要的，而當master控制器換協(xié)議完成新的master節(jié)點選舉，這同樣引入了器架構能夠緩解控制器單點失效問題，提高了S究意義。然而，現(xiàn)有的分布式控制器仍然為靜態(tài)攻擊者就有足夠的時間對控制層網(wǎng)絡進行探測和控制器的可用性，并沒有實質(zhì)性地提高控制器對門等所導致的惡意劫持威脅，控制器安全形勢依

全解決方案及調(diào)度策略，本文從攻擊異常統(tǒng)計、安全靠性方面進行分析對比�；谇拔耐{模型與調(diào)度模間內(nèi)所發(fā)生的系統(tǒng)異常次數(shù)衡量。擇靜態(tài)控制器結構 SS 與三種動態(tài)控制器模型 TRSA行體運行時間內(nèi)平均累積異常值 CNE 可以發(fā)現(xiàn)，如積異常值體現(xiàn)了靜態(tài)攻擊者對目標系統(tǒng)攻擊曲線，曲攻擊能力，在初始的一段時間內(nèi)攻擊所致系統(tǒng)累積異線性增長；而存在調(diào)度機制的動態(tài)系統(tǒng)中，系統(tǒng)累積量低于無調(diào)度靜態(tài)方案。相比基于時間隨機調(diào)度機制常值維持在更低的增長率，SA 調(diào)度模式下，執(zhí)行體集度，但這一結果并非確定。SA 調(diào)度機制在降低累積異SA 而言，前者對于控制累積異常值增長率即攻擊者攻性最優(yōu)的調(diào)度策略，但總體而言穩(wěn)定在較低的水平。

【參考文獻】

相關期刊論文 前3條

1 胡延楠;王文東;龔向陽;闞喜戎;程時端;;軟件定義網(wǎng)絡中可靠性優(yōu)化控制器的位置研究(英)[J];中國通信;2014年02期

2 陳小軍;方濱興;譚慶豐;張浩亮;;基于概率攻擊圖的內(nèi)部攻擊意圖推斷算法研究[J];計算機學報;2014年01期

3 姜偉;方濱興;田志宏;張宏莉;;基于攻防博弈模型的網(wǎng)絡安全測評和最優(yōu)主動防御[J];計算機學報;2009年04期

本文編號：2826688