基于SDN的拓撲安全研究
發(fā)布時間:2022-12-17 15:41
軟件定義網(wǎng)絡(luò)(software-defined networking,SDN)是一種新型的網(wǎng)絡(luò)結(jié)構(gòu),與傳統(tǒng)網(wǎng)絡(luò)不同的是SDN分離了網(wǎng)絡(luò)中的控制平面與數(shù)據(jù)平面,其中控制平面由邏輯集中的控制器組成,數(shù)據(jù)平面由轉(zhuǎn)發(fā)設(shè)備組成。具有網(wǎng)絡(luò)控制權(quán)的控制器是SDN的核心優(yōu)勢之一,但也擴大了攻擊面,成為攻擊者的重點攻擊對象。現(xiàn)有研究表明控制器中的全局拓撲視圖可以被攻擊者輕易篡改。攻擊者通過發(fā)起拓撲攻擊可以偽裝成網(wǎng)絡(luò)中的服務(wù)器以獲取客戶機的流量,也可以偽造虛假鏈路進而創(chuàng)建黑洞路由或發(fā)起中間人攻擊,造成巨大危害。雖然研究者們已經(jīng)提出了大量的防御模型以防御拓撲攻擊,但這些模型適用場景有限,并不總是能夠起到保護控制器中全局拓撲視圖的作用。本文對現(xiàn)有防御模型進行了安全分析,解析了它們的防御原理,并在此基礎(chǔ)上提出了2種新的拓撲攻擊,攻擊者能夠巧妙地繞過現(xiàn)有防御模型的攻擊檢測,偽裝成服務(wù)器或偽造鏈路。除此之外,本文共建立了9種拓撲攻擊威脅模型,深入分析這些威脅模型的攻擊原理。為了防御拓撲攻擊,本文從攻擊原理出發(fā),對每種攻擊都采取不同的防御策略,確保能夠全面有效的保護控制器中的拓撲視圖。我們提出了一種基于信息熵的數(shù)學模...
【文章頁數(shù)】:77 頁
【學位級別】:碩士
【文章目錄】:
摘要
Abstract
第一章 緒論
1.1 研究背景
1.2 國內(nèi)外研究現(xiàn)狀
1.3 研究的目的和意義
1.4 本文篇幅以及內(nèi)容介紹
1.5 本章小結(jié)
第二章 SDN架構(gòu)和拓撲發(fā)現(xiàn)機制漏洞
2.1 SDN架構(gòu)
2.2 Open Flow協(xié)議
2.3 拓撲發(fā)現(xiàn)機制
2.3.1 主機發(fā)現(xiàn)
2.3.2 鏈路發(fā)現(xiàn)
2.4 拓撲發(fā)現(xiàn)機制漏洞
2.4.1 主機發(fā)現(xiàn)漏洞
2.4.2 鏈路發(fā)現(xiàn)漏洞
2.5 現(xiàn)有防御模型的安全性分析
2.6 本章小結(jié)
第三章 威脅模型
3.1 概述
3.2 主機攻擊威脅模型
3.2.1 主機位置劫持攻擊威脅模型
3.2.2 Port Probe攻擊威脅模型
3.2.3 Port Probe攻擊變體威脅模型
3.3 鏈路攻擊威脅模型
3.3.1 LLDP偽造攻擊威脅模型
3.3.2 LLDP中繼攻擊威脅模型
3.3.3 Port Amnesia攻擊威脅模型
3.3.4 Port Amnesia攻擊變體威脅模型
3.3.5 Reverse Loop攻擊威脅模型
3.3.6 Topology Freezing攻擊威脅模型
3.4 本章小結(jié)
第四章 Policy Topo防御策略
4.1 整體概述
4.2 防御主機攻擊
4.2.1 防御主機位置劫持攻擊和Port Probe攻擊
4.2.2 防御Port Probe攻擊變體
4.3 防御鏈路攻擊
4.3.1 防御LLDP偽造攻擊
4.3.2 防御LLDP中繼攻擊
4.3.3 判斷延時高低和基于信息熵的數(shù)學模型
4.3.4 防御Port Amnesia攻擊
4.3.5 防御Port Amnesia攻擊變體
4.3.6 防御Reverse Loop和 Topology Freezing攻擊
4.4 本章小結(jié)
第五章 Policy Topo的實現(xiàn)
5.1 Policy Topo整體架構(gòu)
5.2 端口管理模塊
5.3 主機驗證模塊
5.3.1 判斷主機遷移
5.3.2 主機復(fù)用事件
5.3.3 端口復(fù)用事件
5.3.4 判斷主機非法遷移
5.4 鏈路驗證模塊
5.4.1 合法鏈路的更新
5.4.2 校驗LLDP幀的完整性
5.4.3 校驗LLDP幀的來源
5.4.4 判斷非法鏈路
5.4.5 更新Link表與Secure表
5.5 時間復(fù)雜度分析
5.6 本章小結(jié)
第六章 Policy Topo評價
6.1 實驗環(huán)境
6.2 Policy Topo的有效性測試
6.2.1 防御主機攻擊
6.2.2 防御鏈路攻擊
6.3 Policy Topo的性能評價
6.4 τ的計算間隔
6.5 本章小結(jié)
總結(jié)與展望
參考文獻
攻讀碩士學位期間取得的研究成果
致謝
附件
【參考文獻】:
期刊論文
[1]一種基于OpenFlow的SDN訪問控制策略實時沖突檢測與解決方法[J]. 王鵑,王江,焦虹陽,王勇,陳詩雅,劉世輝,胡宏新. 計算機學報. 2015(04)
[2]軟件定義網(wǎng)絡(luò)(SDN)研究進展[J]. 張朝昆,崔勇,唐翯翯,吳建平. 軟件學報. 2015(01)
本文編號:3720197
【文章頁數(shù)】:77 頁
【學位級別】:碩士
【文章目錄】:
摘要
Abstract
第一章 緒論
1.1 研究背景
1.2 國內(nèi)外研究現(xiàn)狀
1.3 研究的目的和意義
1.4 本文篇幅以及內(nèi)容介紹
1.5 本章小結(jié)
第二章 SDN架構(gòu)和拓撲發(fā)現(xiàn)機制漏洞
2.1 SDN架構(gòu)
2.2 Open Flow協(xié)議
2.3 拓撲發(fā)現(xiàn)機制
2.3.1 主機發(fā)現(xiàn)
2.3.2 鏈路發(fā)現(xiàn)
2.4 拓撲發(fā)現(xiàn)機制漏洞
2.4.1 主機發(fā)現(xiàn)漏洞
2.4.2 鏈路發(fā)現(xiàn)漏洞
2.5 現(xiàn)有防御模型的安全性分析
2.6 本章小結(jié)
第三章 威脅模型
3.1 概述
3.2 主機攻擊威脅模型
3.2.1 主機位置劫持攻擊威脅模型
3.2.2 Port Probe攻擊威脅模型
3.2.3 Port Probe攻擊變體威脅模型
3.3 鏈路攻擊威脅模型
3.3.1 LLDP偽造攻擊威脅模型
3.3.2 LLDP中繼攻擊威脅模型
3.3.3 Port Amnesia攻擊威脅模型
3.3.4 Port Amnesia攻擊變體威脅模型
3.3.5 Reverse Loop攻擊威脅模型
3.3.6 Topology Freezing攻擊威脅模型
3.4 本章小結(jié)
第四章 Policy Topo防御策略
4.1 整體概述
4.2 防御主機攻擊
4.2.1 防御主機位置劫持攻擊和Port Probe攻擊
4.2.2 防御Port Probe攻擊變體
4.3 防御鏈路攻擊
4.3.1 防御LLDP偽造攻擊
4.3.2 防御LLDP中繼攻擊
4.3.3 判斷延時高低和基于信息熵的數(shù)學模型
4.3.4 防御Port Amnesia攻擊
4.3.5 防御Port Amnesia攻擊變體
4.3.6 防御Reverse Loop和 Topology Freezing攻擊
4.4 本章小結(jié)
第五章 Policy Topo的實現(xiàn)
5.1 Policy Topo整體架構(gòu)
5.2 端口管理模塊
5.3 主機驗證模塊
5.3.1 判斷主機遷移
5.3.2 主機復(fù)用事件
5.3.3 端口復(fù)用事件
5.3.4 判斷主機非法遷移
5.4 鏈路驗證模塊
5.4.1 合法鏈路的更新
5.4.2 校驗LLDP幀的完整性
5.4.3 校驗LLDP幀的來源
5.4.4 判斷非法鏈路
5.4.5 更新Link表與Secure表
5.5 時間復(fù)雜度分析
5.6 本章小結(jié)
第六章 Policy Topo評價
6.1 實驗環(huán)境
6.2 Policy Topo的有效性測試
6.2.1 防御主機攻擊
6.2.2 防御鏈路攻擊
6.3 Policy Topo的性能評價
6.4 τ的計算間隔
6.5 本章小結(jié)
總結(jié)與展望
參考文獻
攻讀碩士學位期間取得的研究成果
致謝
附件
【參考文獻】:
期刊論文
[1]一種基于OpenFlow的SDN訪問控制策略實時沖突檢測與解決方法[J]. 王鵑,王江,焦虹陽,王勇,陳詩雅,劉世輝,胡宏新. 計算機學報. 2015(04)
[2]軟件定義網(wǎng)絡(luò)(SDN)研究進展[J]. 張朝昆,崔勇,唐翯翯,吳建平. 軟件學報. 2015(01)
本文編號:3720197
本文鏈接:http://sikaile.net/guanlilunwen/ydhl/3720197.html
最近更新
教材專著
