【摘要】：隨著云計算及網(wǎng)絡(luò)技術(shù)的快速發(fā)展,計算機(jī)網(wǎng)絡(luò)中由用戶產(chǎn)生的請求及數(shù)據(jù)量呈爆炸性增長趨勢,傳統(tǒng)網(wǎng)絡(luò)越發(fā)不能滿足人們的需求,軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)應(yīng)運而生。軟件定義網(wǎng)絡(luò)具有軟件可編程、全局網(wǎng)絡(luò)可見性、支持網(wǎng)絡(luò)虛擬化等特點,其已被廣泛應(yīng)用于數(shù)據(jù)中心、廣域網(wǎng)、局域網(wǎng)、無線通信等領(lǐng)域,目前學(xué)術(shù)界及工業(yè)界已將SDN視為下一代網(wǎng)絡(luò)架構(gòu)。軟件定義網(wǎng)絡(luò)架構(gòu)推動了計算機(jī)網(wǎng)絡(luò)的快速發(fā)展,但隨著網(wǎng)絡(luò)攻防技術(shù)的快速發(fā)展,計算機(jī)網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全狀況日趨嚴(yán)峻,非法入侵、惡意攻擊等情況日益嚴(yán)重,尤其是近幾年爆發(fā)的高級持續(xù)性威脅(Advanced Persistent Threat,APT)因具有高強(qiáng)度的破壞性受到工業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。APT以竊取機(jī)密資料為目的,具有高隱蔽性及高威脅性。其一旦成功實施將導(dǎo)致國家、企業(yè)、組織及個人的重大損失,具備極強(qiáng)的危害性。因此本文對軟件定義網(wǎng)絡(luò)中的APT進(jìn)行了研究,針對APT中必需的掃描及隱蔽通信過程,結(jié)合軟件定義網(wǎng)絡(luò)的特點及數(shù)據(jù)挖掘技術(shù)設(shè)計了面向軟件定義網(wǎng)絡(luò)的APT檢測方案。論文的主要工作如下:研究了APT的特點,設(shè)計了APT檢測方案。該方案由掃描檢測機(jī)制與隱蔽通信檢測機(jī)制組成。掃描檢測機(jī)制首先利用sFlow抓取網(wǎng)絡(luò)流量并發(fā)送至SDN控制器;隨后從上述網(wǎng)絡(luò)流量中提取相應(yīng)特征值;最后采用貝葉斯分類算法對流量的特征值進(jìn)行分類以判斷此網(wǎng)絡(luò)特征值是否屬于掃描行為,基于此分類結(jié)果判斷網(wǎng)絡(luò)中是否存在掃描。隱蔽通信檢測機(jī)制首先利用軟件定義網(wǎng)絡(luò)的特點抓取網(wǎng)絡(luò)流量并從中獲取可能包含隱蔽通信的報文;隨后從上述報文中提取SSL證書,并計算用于表征該證書的特征值矩陣;最后調(diào)用孤立森林算法對證書的特征值進(jìn)行檢測以判斷證書是否為非法證書,基于此檢測結(jié)果判斷網(wǎng)絡(luò)中是否存在隱蔽通信。編程實現(xiàn)了APT檢測方案,其主要包括基于sFlow的流量采集模塊、掃描檢測算法模塊、基于Open Flow的流量采集模塊、基于孤立森林算法的隱蔽通信檢測算法模塊、掃描溯源抑制模塊與隱蔽通信溯源抑制模塊。使用Mininet搭建了仿真環(huán)境,在仿真環(huán)境中對APT檢測方案進(jìn)行了仿真實驗。實驗結(jié)果表明,本文所設(shè)計實現(xiàn)的APT檢測方案能夠及時準(zhǔn)確地發(fā)現(xiàn)軟件定義網(wǎng)絡(luò)中的掃描和隱蔽通信行為。
【圖文】：

西南交通大學(xué)碩士研究生學(xué)位論文 測服務(wù)器。然后隱蔽通信檢測服務(wù)器對導(dǎo)入的 SSL 數(shù)據(jù)進(jìn)行處理，書。之后，隱蔽通信檢測服務(wù)器對提取的 SSL 證書進(jìn)行計算，提取構(gòu)建特征值矩陣。隨后，，將證書特征值矩陣送入孤立森林檢測模塊法對特征值矩陣進(jìn)行計算，判斷其是否異常。若證書為異常，則表隱蔽通信，需要及時抑制，因此將警報事件發(fā)送至控制器的溯源抑制模塊對該 SSL 連接進(jìn)行抑制。定流量采集模塊通信檢測機(jī)制的特定流量采集模塊利用軟件定義網(wǎng)絡(luò)的特性進(jìn)行流器根據(jù)其中的惡意軟件發(fā)起與 C&C 服務(wù)器的通信，雙方先建立正后雙方進(jìn)行 SSL 通信。

定流量采集模塊通信檢測機(jī)制的特定流量采集模塊利用軟件定義網(wǎng)絡(luò)的特性進(jìn)行流器根據(jù)其中的惡意軟件發(fā)起與 C&C 服務(wù)器的通信，雙方先建立正后雙方進(jìn)行 SSL 通信。圖 3-6 接入層交換機(jī)上報報文
【學(xué)位授予單位】：西南交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前6條

1 程三軍;王宇;;APT攻擊原理及防護(hù)技術(shù)分析[J];信息網(wǎng)絡(luò)安全;2016年09期

2 孔鴻濱;梅芳;薛崗;;檢測分析隱蔽HTTP/HTTPS通信流量的方法及實現(xiàn)[J];云南大學(xué)學(xué)報(自然科學(xué)版);2016年S1期

3 周益周;王斌;謝小權(quán);;云環(huán)境下軟件定義入侵檢測系統(tǒng)設(shè)計[J];信息網(wǎng)絡(luò)安全;2015年09期

4 曹自剛;熊剛;趙詠;郭莉;方濱興;;隱蔽式網(wǎng)絡(luò)攻擊通道的兩步檢測方法(英文)[J];中國通信;2014年08期

5 王淑玲;李濟(jì)漢;張云勇;房秉毅;;SDN架構(gòu)及安全性研究[J];電信科學(xué);2013年03期

6 石利平;;基于TCP協(xié)議的端口掃描技術(shù)[J];電腦開發(fā)與應(yīng)用;2011年01期

相關(guān)博士學(xué)位論文 前1條

1 曹自剛;隱蔽式網(wǎng)絡(luò)攻擊檢測關(guān)鍵問題研究[D];北京郵電大學(xué);2015年

相關(guān)碩士學(xué)位論文 前3條

1 張楠;數(shù)據(jù)挖掘在入侵檢測中的應(yīng)用研究[D];電子科技大學(xué);2015年

2 齊開誠;IPv4/IPv6網(wǎng)絡(luò)攻擊溯源系統(tǒng)的研究與實現(xiàn)[D];北京郵電大學(xué);2014年

3 靳娜;DDoS攻擊下的數(shù)據(jù)包標(biāo)記優(yōu)化方案的研究[D];電子科技大學(xué);2013年

本文編號：2603092