發(fā)布時間：2018-07-20 20:21

【摘要】：軟件定義網(wǎng)絡(luò)是一種新型的網(wǎng)絡(luò)架構(gòu),它將網(wǎng)絡(luò)的控制功能和轉(zhuǎn)發(fā)功能進(jìn)行解耦,實(shí)現(xiàn)了網(wǎng)絡(luò)控制的直接可編程。在這種架構(gòu)下,網(wǎng)絡(luò)是進(jìn)行集中管理的,管理員可以通過控制器來快速的配置網(wǎng)絡(luò)資源和動態(tài)調(diào)整網(wǎng)絡(luò)流量以應(yīng)對需求的變化。這幾種軟件定義網(wǎng)絡(luò)的優(yōu)勢在學(xué)術(shù)和工程中已經(jīng)得到了驗(yàn)證。但是軟件定義網(wǎng)絡(luò)作為發(fā)展起步?jīng)]多久的網(wǎng)絡(luò)架構(gòu)還面臨著諸多挑戰(zhàn),本論文主要探討數(shù)據(jù)層面的安全問題。在軟件定義網(wǎng)絡(luò)架構(gòu)下,傳統(tǒng)的網(wǎng)絡(luò)存在的ARP欺騙等地址偽造報文威脅依然存在,只是這些攻擊可能在形式上發(fā)生了變化。而且軟件定義網(wǎng)絡(luò)架構(gòu)還面臨新的安全挑戰(zhàn),即應(yīng)用可以通過重寫流表項(xiàng)來避開需要強(qiáng)制執(zhí)行的安全應(yīng)用規(guī)則,同時流表項(xiàng)之間也可能存在沖突。本文針對上面兩種安全問題,提出了一種軟件定義網(wǎng)絡(luò)架構(gòu)下數(shù)據(jù)層的攻擊防護(hù)策略。針對南向設(shè)備的潛在威脅,利用網(wǎng)絡(luò)中控制器對于全網(wǎng)狀態(tài)的感知能力,維護(hù)一個設(shè)備信息映射表,進(jìn)行偽造報文的檢測,這樣保證后續(xù)模塊收到的數(shù)據(jù)包地址都是正確的,同時論文在主機(jī)信用評估方面的設(shè)計(jì)使得本模塊能夠更容易的與其它安全模塊進(jìn)行耦合。針對高安全等級應(yīng)用規(guī)則被避開或覆蓋的情況,借鑒了頭部空間分析技術(shù)的思想,將流表項(xiàng)規(guī)則和安全規(guī)則分別生成規(guī)則空間,在應(yīng)用下發(fā)新規(guī)則時檢測其與兩個空間存不存在重疊。如果存在重疊,表示規(guī)則出現(xiàn)沖突,調(diào)用沖突解決模塊丟棄數(shù)據(jù)包或者進(jìn)行額外流表項(xiàng)的插入。
[Abstract]:The software defined network is a new type of network architecture, which decouples the control function and forwarding function of the network, and realizes the direct programmable of network control. Under this architecture, the network is centralized management. The administrator can quickly configure the network resources and dynamically adjust the network traffic to respond to the demand through the controller. Changes. The advantages of these software defined networks have been verified in academic and engineering. However, the software definition network is facing many challenges as a network architecture that has not been developed for long. This paper mainly discusses the security problems of the data level. Under the software definition network architecture, the existing ARP deception and other addresses exist in the traditional network. The threat of forged message still exists, but these attacks may change in form. And the software definition network architecture also faces new security challenges, that is, applications can avoid security application rules that need to be enforced by rewriting the flow table items, and there may be conflicts between the flow table items. This article aims at the above two kinds of security. This paper proposes an attack protection strategy for data layer under the software definition network architecture. In view of the potential threat to the southern device, using the network controller's perception of the whole network state, maintaining a device information mapping table and detecting the forged message, so that the data packet address received by the follow-up module is correct. At the same time, the design of the thesis in the host credit evaluation makes this module more easy to be coupled with other security modules. In view of the situation that the high security level application rules are avoided or covered, the idea of the head spatial analysis technology is used for reference, the rules of flow table and the safety rules are generated in the rule space respectively, and the new rules are issued under the application. If there is no overlap between two spaces, if there is an overlap, the representation rule conflicts, the call conflict resolution module discards the packet or inserts the extra flow table item.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 陶蓓蓓;網(wǎng)絡(luò)服務(wù)器防護(hù)策略淺析[J];電腦知識與技術(shù);2005年12期

2 呂克林;曲宏山;楊霞;;我國政府門戶網(wǎng)站面臨的安全威脅與防護(hù)策略[J];河南科技;2012年01期

3 石磊;于辰;王剛;柳旭日;;企業(yè)內(nèi)網(wǎng)終端數(shù)據(jù)防護(hù)策略的研究[J];華北電力技術(shù);2012年11期

4 梁秀花;;基于數(shù)據(jù)庫安全與防護(hù)的策略分析[J];電子技術(shù)與軟件工程;2014年06期

5 陳進(jìn);;淺析信息安全風(fēng)險與防護(hù)策略[J];福建電腦;2011年08期

6 王濤;網(wǎng)絡(luò)通道中的防護(hù)策略[J];河南科技;2002年17期

7 嚴(yán)明;;云計(jì)算中的云安全研究[J];現(xiàn)代商貿(mào)工業(yè);2009年20期

8 惠英;夏日游泳自我防護(hù)策略[J];青少年科學(xué)探索;2004年06期

9 陳方東;;計(jì)算機(jī)通信網(wǎng)絡(luò)安全與防護(hù)策略[J];信息通信;2014年02期

10 薄明霞;陳軍;王渭清;陳偉;;淺談云計(jì)算的安全隱患及防護(hù)策略[J];信息安全與技術(shù);2011年09期

相關(guān)會議論文 前2條

1 蔣偉;;運(yùn)營商IPTV平臺及承載安全問題分析和防護(hù)策略探討[A];四川省通信學(xué)會2012年學(xué)術(shù)年會論文集[C];2012年

2 王加瑩;;軟件定義OTN軟件定義網(wǎng)絡(luò)[A];OFweek寬帶通信與物聯(lián)網(wǎng)前沿技術(shù)研討會論文集[C];2013年

相關(guān)重要報紙文章 前10條

1 何寶宏;軟件定義的世界[N];人民郵電;2012年

2 本報記者 郭平;網(wǎng)絡(luò)向軟件定義融合演進(jìn)[N];計(jì)算機(jī)世界;2012年

3 鄧光青;軟件定義網(wǎng)絡(luò)風(fēng)頭正勁[N];中國質(zhì)量報;2013年

4 本報記者 郭濤;軟件定義存儲：市場“二八”開[N];中國計(jì)算機(jī)報;2013年

5 本報記者 郭濤 策劃;軟件定義未來[N];中國計(jì)算機(jī)報;2013年

6 本報記者 李旭陽;軟件定義汽車[N];計(jì)算機(jī)世界;2013年

7 梁敏;軟件定義時代來臨[N];電腦報;2013年

8 本報記者 劉春輝;全面的虛擬化是實(shí)現(xiàn)“軟件定義”的重要基石[N];人民郵電;2013年

9 本報記者 郭濤;軟件定義存儲也要“打假”[N];中國計(jì)算機(jī)報;2014年

10 沈建苗　編譯;軟件定義存儲,你準(zhǔn)備好了嗎？[N];計(jì)算機(jī)世界;2014年

相關(guān)博士學(xué)位論文 前9條

1 李索恒;軟件定義網(wǎng)絡(luò)中多媒體傳輸路由及緩存算法研究[D];中國科學(xué)技術(shù)大學(xué);2016年

2 肖鵬;數(shù)據(jù)中心下軟件定義網(wǎng)絡(luò)的部署及應(yīng)用[D];大連海事大學(xué);2016年

3 唐思圓;軟件定義網(wǎng)絡(luò)中資源高效的多播傳輸研究[D];中國科學(xué)技術(shù)大學(xué);2017年

4 王軍鋒;軟件定義物聯(lián)網(wǎng)路由研究[D];華中科技大學(xué);2016年

5 楊恩眾;軟件定義多媒體組播系統(tǒng)與傳輸策略研究[D];中國科學(xué)技術(shù)大學(xué);2017年

6 朱明;高效軟件定義車載網(wǎng)絡(luò)關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2016年

7 高強(qiáng);基于SDN的動態(tài)多播關(guān)鍵技術(shù)研究[D];上海大學(xué);2017年

8 彭宏玉;軟件定義移動網(wǎng)絡(luò)中能效優(yōu)化技術(shù)研究[D];北京郵電大學(xué);2016年

9 林萍萍;軟件定義網(wǎng)的東西向?qū)Φ然ヂ?lián)機(jī)制研究[D];清華大學(xué);2014年

相關(guān)碩士學(xué)位論文 前10條

1 楊寧;基于SDN架構(gòu)的攻擊防護(hù)策略[D];北京郵電大學(xué);2017年

2 閆湘靈;基于SDN的WLAN接入控制技術(shù)研究與設(shè)計(jì)[D];電子科技大學(xué);2017年

3 薛婧杰;多元架構(gòu)領(lǐng)導(dǎo)力模型在A集團(tuán)中的應(yīng)用研究[D];中國地質(zhì)大學(xué)(北京);2017年

4 汪謙;基于SDN的分布式拒絕服務(wù)攻擊防范方法研究[D];浙江大學(xué);2017年

5 雷殿富;基于SDN搭建視頻數(shù)據(jù)中心全局動態(tài)負(fù)載均衡網(wǎng)絡(luò)架構(gòu)[D];北京郵電大學(xué);2017年

6 韓威;基于SDN的車聯(lián)網(wǎng)信息交互[D];青島大學(xué);2017年

7 吳秀林;基于SDN的網(wǎng)絡(luò)虛擬化技術(shù)研究與應(yīng)用[D];電子科技大學(xué);2017年

8 李妮莎;關(guān)于珠江公司組織架構(gòu)優(yōu)化的研究[D];廣東外語外貿(mào)大學(xué);2017年

9 趙偉;軟件定義存儲模型的研究及實(shí)現(xiàn)[D];華北電力大學(xué)(北京);2017年

10 唐龍業(yè);基于主機(jī)防護(hù)策略的防火墻技術(shù)研究[D];山東科技大學(xué);2003年

，

本文編號：2134665