發(fā)布時間：2020-11-16 17:10

　　 近年來,網(wǎng)絡安全事件頻發(fā),從2014年雅虎5億用戶信息遭竊取,到2017年全球范圍的勒索病毒事件,無不昭示著網(wǎng)絡安全問題已經(jīng)成為關系國家民生經(jīng)濟的重大問題。隨著計算機技術的發(fā)展,軟件定義網(wǎng)絡(SDN)、網(wǎng)絡功能虛擬化(NFV)和云計算技術興起,網(wǎng)絡架構也正朝著數(shù)據(jù)中心網(wǎng)絡遷移。傳統(tǒng)的安全解決方案,由于對安全設備的過度依賴及封閉的服務交付方式,在靈活性、擴展性、移動性等方面難以滿足新型數(shù)據(jù)中心網(wǎng)絡的安全需求。于是,Gartner公司提出了軟件定義安全(SDS,Software Defined Security)的思想,將安全功能軟件化,通過對軟件統(tǒng)一的邏輯管理,提升安全方案的靈活性和擴展性,提供快速的安全響應。軟件定義安全的提出引發(fā)了業(yè)界的研究熱潮,涌現(xiàn)出許多的研究成果和產(chǎn)品。但是現(xiàn)有的研究成果,雖然實現(xiàn)了安全功能的軟件化,但這些安全功能仍然與控制層或數(shù)據(jù)層的耦合度比較高,移動性支持不足。此外,大部分研究都集中于安全控制器的設計以及應用服務的編排,忽略了安全功能的部署策略的研究,而安全功能的部署在很大程度上影響著安全功能的執(zhí)行效果。針對以上問題,本文提出一種基于軟件定義的網(wǎng)絡動態(tài)安全系統(tǒng),充分考慮到軟件定義安全對于擴展性、靈活性和移動性的需求,實現(xiàn)對于安全功能的靈活管理,為用戶提供動態(tài)的安全服務。本文主要工作包括:(1)基于軟件定義安全思想設計了網(wǎng)絡動態(tài)安全系統(tǒng)架構,提出了可行的安全解決方案;(2)提出了一種基于網(wǎng)絡服務報頭協(xié)議的分層安全功能鏈方案,通過策略驅動,進行主動式的安全防護;(3)提出了一種基于組路由介數(shù)中心性的網(wǎng)絡關鍵位置節(jié)點集選擇算法,用于網(wǎng)絡安全功能的部署,并對該算法的性能進行了測試;(4)創(chuàng)新性地提出一種基于“發(fā)布/訂閱”模式的安全功能部署方案,實現(xiàn)對安全功能的靈活調度,為網(wǎng)絡提供動態(tài)的安全防護。(5)基于SDN開源控制器Ryu和Mininet工具,進行了網(wǎng)絡動態(tài)安全系統(tǒng)的開發(fā)和搭建。在此基礎上,本文結合搭建的系統(tǒng)環(huán)境,從多角度對所提出方案的功能進行了評估和測試,充分證明了其正確性和可行性。
【學位單位】：北京郵電大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

全是一種安全理念，自其被提出以來，業(yè)界有許多研，提出了自己的安全架構、技術與實踐。??于軟件定義的思想，提出了?“自適應安全”（Ａｄａｐｔｉｖｅ１），該模型強調持續(xù)性的安全防護，可以幫助企業(yè)和全投入進行分類，以保證安全投入的均衡性。Ｇａｒｔｎｅｒ火墻等傳統(tǒng)安全措施進行檢測和防范己經(jīng)無法應對現(xiàn)化的安全響應才是解決安全風險擴張問題的關鍵，因的重要支柱。同時，該模型假設網(wǎng)絡攻擊的滲透能力受到持續(xù)性傷害，因此對系統(tǒng)和行為進行持續(xù)監(jiān)控是建自適應安全模型，一方面需要將安全防護貫穿預測、方面，在每個階段都需要結合多種手段進行保障。Ｇ１４年度十大信息安全技術之一，將“自適應安全”列以說，“自適應安全”是“軟件定義安全”的一個編排種安全能力解決遇到的安全問題。???

圖１．２論文結構圖??第二章，相關技術介紹。介紹了本文的設計中所用到的關鍵技術，主要包括軟件定??義安全技術、ＳＤＮ控制器等。??第三章，網(wǎng)絡關鍵節(jié)點集選擇算法研究。對網(wǎng)絡關鍵節(jié)點集選擇問題進行了闡述，??分析了目前網(wǎng)絡關鍵節(jié)點集選擇算法的研究進展，并提出了基于ＧＲＢＣ的網(wǎng)絡關鍵節(jié)??點集選擇算法，在此基礎上對算法的性能進行了測試和評估，證明了該算法的優(yōu)越性。??第四章，服務編排與服務鏈技術研究。對編排與服務鏈技術解決的主要問題進行了??闡述，分析了目前服務功能鏈技術的研宄進展，在此基礎上提出了策略驅動的分層安全??功能鏈解決方案，用于網(wǎng)絡安全應用的編排。??第五章，網(wǎng)絡動態(tài)安全系統(tǒng)總體設計。闡述了本文的系統(tǒng)方案的設計需求，針對研??究目標和研究內容，提出本文的設計思想和采用的主要方案和技術，介紹了本文方案的??總體設計。??第六章，網(wǎng)絡動態(tài)安全系統(tǒng)詳細設計。詳細介紹了本文的方案設計，對各個模塊結構、功能、算法、流程等進行了詳細的介紹。??，。，

２．１軟件定義安全??２．１．１基本原理??軟件定義安全的基本架構如圖２．１所示。其基本架構主要分為三層：應用層、控制??層、物理層，各層之間通過開放ＡＰＩ進行通信。??＊應用層＿?（Ａｐｐｌｉｃａｔｉｏｎ?Ｌａｙｅｒ）：所有的安全應用都部署在應用層。安全應用是根??據(jù)特定的安全需求所開發(fā)的應用程序，這些安全應用利用控制層的開放接口實??現(xiàn)相應的安全功能。同時，應用層提供了對用戶的服務交付。??＊控制層（ＣｏｎｔｒｏｌＬａｙｅｒ）：控制層是軟件定義安全架構的核心，負責所有的控制ｊ??和管理操作，包括安全資源池管理、安全信息的收集和分析、安全策略的解析１??和執(zhí)行等。所有的安全機制都是從安全設備中抽象出來的，并集成于控制器中�！�??通常在控制層實施的安全解決方案包括防病毒、防火墻、防垃圾郵件、入侵防??護等。??＊物理層（Ｐｈｙｓｉｃａｌ?Ｌａｙｅｒ）：物理層處于軟件定義安全架構的底層，也稱為數(shù)據(jù)層。??該層是安全策略的執(zhí)行者
【參考文獻】

相關期刊論文 前1條

1 王蒙蒙;劉建偉;陳杰;毛劍;毛可飛;;軟件定義網(wǎng)絡:安全模型、機制及研究進展[J];軟件學報;2016年04期

本文編號：2886466