本文關(guān)鍵詞：SDN安全控制器的優(yōu)化設(shè)計與實現(xiàn)，由筆耕文化傳播整理發(fā)布。

【摘要】：軟件定義網(wǎng)絡(Software Defined Networking, SDN)通過軟件的形式重構(gòu)了現(xiàn)有網(wǎng)絡,其集中控制、控制與數(shù)據(jù)分離以及可編程開放等特性對未來網(wǎng)絡技術(shù)的發(fā)展產(chǎn)生深遠影響。從安全的角度來說,SDN的集中性和開放性給自身帶來了較大的安全挑戰(zhàn),同時也提供了高度靈活的集中監(jiān)控、分析和響應系統(tǒng),為傳統(tǒng)安全防護應用提供了新的思路。 借鑒了控制與數(shù)據(jù)分離的思想,“SDN網(wǎng)絡安全技術(shù)研究”項目組設(shè)計了一種軟件定義的安全體系,其核心為安全控制器,能夠與SDN環(huán)境中的各組件進行協(xié)同保護,實現(xiàn)多種安全場景。然而原系統(tǒng)的架構(gòu)、功能與性能并不能完全滿足軟件定義安全的需求。 通過對SDN安全需求和方案的調(diào)查研究,本文總結(jié)出：針對SDN控制中樞的性能瓶頸,采用分布式的架構(gòu)擴展方案是一種有效的思路；基于OpenFlow流進行流量監(jiān)控和入侵檢測能夠利用SDN的優(yōu)勢實現(xiàn)算法改善和性能優(yōu)化；為滿足多樣化的SDN安全應用需求,應提供靈活開放的應用接口,提出“安全即服務”的解決方案。 在調(diào)研結(jié)果的基礎(chǔ)上,本文對安全控制器原系統(tǒng)的架構(gòu)、性能和功能進行如下了優(yōu)化設(shè)計：基于消息隊列對原有系統(tǒng)的架構(gòu)進行分布式改造,實現(xiàn)可擴展和松耦合架構(gòu)；基于分布式流計算框架Storm解決了原系統(tǒng)在實時處理大量數(shù)據(jù)場景下的性能瓶頸,提升系統(tǒng)的整體性能；改進了流量檢測規(guī)則的機制,使安全控制器向應用提供更開放靈活的接口；在改進規(guī)則的基礎(chǔ)上,優(yōu)化了原系統(tǒng)DDoS檢測的算法,設(shè)計并實現(xiàn)了一種基于OpenFlow統(tǒng)計特性的端口掃描檢測機制。最后通過性能對比實驗,證明了分布式架構(gòu)改造和功能優(yōu)化給原系統(tǒng)帶來的性能提升,以及基于OpenFlow流統(tǒng)計特性的入侵檢測相對于傳統(tǒng)IDS的優(yōu)勢。
【關(guān)鍵詞】：軟件定義網(wǎng)絡 安全 優(yōu)化 分布式 入侵檢測
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• ABSTRACT5-10
• 第一章 緒論10-14
• 1.1. 研究背景與意義10-11
• 1.2. 研究現(xiàn)狀11-12
• 1.3. 主要研究內(nèi)容與成果12-13
• 1.4. 論文組織結(jié)構(gòu)13-14
• 第二章 相關(guān)技術(shù)介紹14-26
• 2.1. 基于OpenFlow的軟件定義網(wǎng)絡技術(shù)14-18
• 2.1.1. OpenFlow技術(shù)簡介14
• 2.1.2. OpenFlow的體系結(jié)構(gòu)14-16
• 2.1.3. OpenFlow的規(guī)范16-18
• 2.2. 分布式消息驅(qū)動技術(shù)18-21
• 2.2.1. 消息驅(qū)動機制18-20
• 2.2.2. 分布式消息中間件技術(shù)20-21
• 2.2.3. 常見的分布式消息中間件21
• 2.3. 大數(shù)據(jù)流式計算技術(shù)21-23
• 2.3.1. 大數(shù)據(jù)的計算技術(shù)21-22
• 2.3.2. 流式計算技術(shù)22-23
• 2.4. 入侵檢測技術(shù)23-25
• 2.4.1. 入侵檢測系統(tǒng)的簡介與分類23-24
• 2.4.2. 入侵檢測的工作方式24-25
• 2.5. 本章小結(jié)25-26
• 第三章 基于分布式的架構(gòu)優(yōu)化26-48
• 3.1. 架構(gòu)改進的需求分析26-29
• 3.1.1. 安全控制器的功能與架構(gòu)26-27
• 3.1.2. 模塊間的事件調(diào)度協(xié)同機制27-28
• 3.1.3. 架構(gòu)的不足28-29
• 3.2. 基于消息隊列的架構(gòu)分布式優(yōu)化29-33
• 3.2.1. 基于分布式消息隊列的改造29
• 3.2.2. Rabbit MQ的工作原理29-30
• 3.2.3. 消息機制的改進設(shè)計30-31
• 3.2.4. 消息機制改進的實現(xiàn)31-33
• 3.3. 基于消息隊列的模塊部署改進設(shè)計33-34
• 3.4. 基于分布式流計算技術(shù)的性能優(yōu)化34-43
• 3.4.1. 方案的選擇34-35
• 3.4.2. Storm的工作方式35-37
• 3.4.3. 流監(jiān)控模塊基于Storm的分布式改進設(shè)計37-43
• 3.5. 系統(tǒng)部署的改進設(shè)計43-45
• 3.5.1. 部署方案的改進設(shè)計43-45
• 3.5.2. 部署與監(jiān)控的自動化實現(xiàn)45
• 3.6. 本章小結(jié)45-48
• 第四章 流量監(jiān)控機制的優(yōu)化48-58
• 4.1. 流量監(jiān)控機制的改進48-50
• 4.1.1. 方案的調(diào)研48-49
• 4.1.2. 腳本訂閱規(guī)則機制的實現(xiàn)49
• 4.1.3. 改進的Anti-SYN flood檢測規(guī)則49-50
• 4.2. 從不同角度實現(xiàn)的入侵檢測功能擴展50-52
• 4.2.1 基于數(shù)據(jù)包特征匹配的入侵檢測50-51
• 4.2.2 基于統(tǒng)計特性分析的入侵檢測51-52
• 4.3. 基于OpenFlow流統(tǒng)計特性的端口掃描檢測機制52-56
• 4.3.1 端口掃描檢測的原理52-53
• 4.3.2 Snort的端口掃描檢測機制53
• 4.3.3 基于OpenFlow流統(tǒng)計特性的端口掃描檢測53-56
• 4.4. 本章小結(jié)56-58
• 第五章 優(yōu)化后的性能對比實驗58-70
• 5.1. 分布式改造的性能對比實驗58-64
• 5.1.1 安全控制器的DDoS攻擊檢測流程與實驗條件58-59
• 5.1.2 分布式與單機架構(gòu)的性能對比59-62
• 5.1.3 分布式流監(jiān)控模塊不同數(shù)據(jù)分發(fā)方式的對比62-64
• 5.2. 檢測機制改進的性能對比實驗64-65
• 5.3. 基于OpenFlow統(tǒng)計特性的端口掃描檢測實驗65-68
• 5.3.1 安全控制器與Snort端口掃描檢測的性能對比65-66
• 5.3.2 檢測性能與分布式節(jié)點數(shù)量的關(guān)系66-68
• 5.4. 本章小結(jié)68-70
• 第六章 總結(jié)與展望70-72
• 參考文獻72-76
• 附錄1 論文使用縮寫說明76-78
• 致謝78

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前2條

1 王淑玲;李濟漢;張云勇;房秉毅;;SDN架構(gòu)及安全性研究[J];電信科學;2013年03期

2 孫大為;張廣艷;鄭緯民;;大數(shù)據(jù)流式計算:關(guān)鍵技術(shù)及系統(tǒng)實例[J];軟件學報;2014年04期

  本文關(guān)鍵詞：SDN安全控制器的優(yōu)化設(shè)計與實現(xiàn)，由筆耕文化傳播整理發(fā)布。

，

本文編號：293387