軟件定義網(wǎng)絡(luò)（Software Defined Networking,SDN）提出控制與轉(zhuǎn)發(fā)相分離的集中式控制架構(gòu),提供開(kāi)放的編程接口和細(xì)粒度的報(bào)文操作,為網(wǎng)絡(luò)應(yīng)用帶來(lái)了創(chuàng)新與便利。SDN作為一種新型的網(wǎng)絡(luò)架構(gòu),同時(shí)也面臨著新的安全挑戰(zhàn),主要反映在控制層,包括管控集中、控制器漏洞和惡意應(yīng)用。針對(duì)此,研究者提出了多種多樣的解決方法,例如,融入傳統(tǒng)防御技術(shù)、采用安全機(jī)制及優(yōu)化控制器部署等,但均存在各自的缺陷,尤其是不能較好地防御控制層中的未知安全威脅。擬態(tài)防御是一種新型的主動(dòng)防御技術(shù),通過(guò)構(gòu)造動(dòng)態(tài)、異構(gòu)、冗余的架構(gòu)提高信息系統(tǒng)內(nèi)生的安全性,旨在改變當(dāng)前網(wǎng)絡(luò)“易攻難守”的困局。研究者在理論推導(dǎo)和工程實(shí)踐中均驗(yàn)證了擬態(tài)防御技術(shù)對(duì)目標(biāo)系統(tǒng)的安全增益,逐步在有高安全需求的信息領(lǐng)域中推廣應(yīng)用。因此,探索將擬態(tài)防御技術(shù)應(yīng)用到SDN的控制層中,對(duì)于提高網(wǎng)絡(luò)的安全性具有重要的意義。基于此,本文研究了軟件定義網(wǎng)絡(luò)中擬態(tài)防御的關(guān)鍵技術(shù),首先,提出具體可行的防御架構(gòu)并解決引入的新問(wèn)題,然后,量化研究其中的安全調(diào)度策略和擬態(tài)同步問(wèn)題。主要研究成果包括:1.針對(duì)當(dāng)前SDN網(wǎng)絡(luò)中的安全問(wèn)題,提出一種具有動(dòng)態(tài)、異構(gòu)、冗... 

【文章來(lái)源】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)河南省

【文章頁(yè)數(shù)】：120 頁(yè)

【學(xué)位級(jí)別】：博士

【部分圖文】：

OpenFlow原型實(shí)例

第一章 緒論 表 1 SDN 中的安全問(wèn)題 安全問(wèn)題 位置 后果 SDN 獨(dú)有？ 虛假數(shù)據(jù)流 數(shù)據(jù)層 DoS 攻擊的后門 否 交換機(jī)薄弱點(diǎn)攻擊 數(shù)據(jù)層 轉(zhuǎn)發(fā)癱瘓，且危害逐步擴(kuò)大 否 控制通道攻擊 數(shù)據(jù)層與控制層 控制通道被嗅探 是 控制器薄弱點(diǎn)攻擊 控制層 攻破控制器，掌握整個(gè)網(wǎng)絡(luò) 是 缺乏安全認(rèn)證機(jī)制 控制層與管理層 部署惡意應(yīng)用，危害網(wǎng)絡(luò) 是 管理站薄弱點(diǎn)攻擊 管理層 間接攻擊控制器 否 缺乏追溯或恢復(fù)的可信資源 整體 難以快速診斷和恢復(fù)網(wǎng)絡(luò)故障 否 1)管控集中傳統(tǒng)網(wǎng)絡(luò)的路由和交換設(shè)備采用分布式管理和控制，在單一或部分節(jié)點(diǎn)受到攻擊的下，通常僅導(dǎo)致部分網(wǎng)絡(luò)失效。而SDN網(wǎng)絡(luò)采用集中式管控的架構(gòu)，在單一控制器節(jié)控制器通道被攻破的情況下，將能致癱或惡意管控整個(gè)網(wǎng)絡(luò)，造成更大的危害。

圖 4 傳統(tǒng)防御模式 域中，采用異構(gòu)冗余的方法能夠增強(qiáng)目標(biāo)系統(tǒng)的可構(gòu)造”（Dissimilar Redundancy Structure, DRS）[55][一些由宕機(jī)錯(cuò)誤（Benign fault）或拜占庭錯(cuò)誤（B一定程度的抗攻擊效果。然而，DRS本質(zhì)上仍是境以及相關(guān)漏洞或后門的可利用條件也是固定不變影響攻擊表面的可達(dá)性。這使得攻擊者可以通過(guò)反或后門的交集，從而實(shí)現(xiàn)協(xié)同攻擊，同時(shí)也能夠持RS架構(gòu)中導(dǎo)入基于閉環(huán)負(fù)反饋的控制機(jī)制和移D）的動(dòng)態(tài)思想[60][61]，理論上能夠改變其構(gòu)造場(chǎng)景定性。這種基于DRS的“基因再造”形態(tài)，我們ogeneous Redundancy，DHR)架構(gòu)，即擬態(tài)防御。擊特性[41]，正逐步在具有高安全需求的各信息裝域中。

【參考文獻(xiàn)】：
期刊論文
[1]路由器擬態(tài)防御能力測(cè)試與分析[J]. 馬海龍,江逸茗,白冰,張建輝.  信息安全學(xué)報(bào). 2017(01)
[2]web服務(wù)器擬態(tài)防御原理驗(yàn)證系統(tǒng)測(cè)試與分析[J]. 張錚,馬博林,鄔江興.  信息安全學(xué)報(bào). 2017(01)
[3]網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 鄔江興.  信息安全學(xué)報(bào). 2016(04)
[4]網(wǎng)絡(luò)空間擬態(tài)安全防御[J]. 鄔江興.  保密科學(xué)技術(shù). 2014(10)
[5]The TianHe-1A Supercomputer: Its Hardware and Software[J]. 楊學(xué)軍,廖湘科,盧凱,胡慶豐,宋君強(qiáng),蘇金樹(shù).  Journal of Computer Science & Technology. 2011(03)
[6]計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)的分析與研究[J]. 劉寶旭,馬建民,池亞平.  計(jì)算機(jī)工程. 2007(10)
[7]基于ForCES體系結(jié)構(gòu)的IPv6路由器的研究與實(shí)現(xiàn)[J]. 王寶生,夏毅,陳曉梅,趙鋒.  國(guó)防科技大學(xué)學(xué)報(bào). 2006(03)
[8]一種基于服務(wù)體/執(zhí)行流的新型操作系統(tǒng)構(gòu)造模型[J]. 吳明橋,陳香蘭,張曄,龔育昌.  中國(guó)科學(xué)技術(shù)大學(xué)學(xué)報(bào). 2006(02)
[9]一種主動(dòng)防御的網(wǎng)絡(luò)傳輸系統(tǒng)[J]. 胡漢平,梁興,張寶良.  電子學(xué)報(bào). 2005(04)



本文編號(hào)：3389277