發(fā)布時(shí)間：2020-08-22 11:29

【摘要】：軟件定義網(wǎng)絡(luò)(Software-DefinedNetworking,SDN)是一種新型網(wǎng)絡(luò)架構(gòu),它將傳統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)平面和控制平面解耦合,并通過高度集中的控制邏輯來管理和操作網(wǎng)絡(luò)。由于網(wǎng)絡(luò)的高度可編程性和動(dòng)態(tài)配置功能使得網(wǎng)絡(luò)管理具有很強(qiáng)的靈活性和便利性。目前,SDN網(wǎng)絡(luò)已經(jīng)在美國(guó)的Internet2、日本的JGN2plus等多個(gè)科研機(jī)構(gòu)中得到部署,國(guó)內(nèi)的一些知名高校和研究機(jī)構(gòu)也開始研究和部署SDN相關(guān)的試驗(yàn)平臺(tái)。隨著SDN架構(gòu)的發(fā)展和相關(guān)設(shè)備的使用,基于OpenFlow協(xié)議的SDN網(wǎng)絡(luò)也面臨著很多新的安全問題。由于OpenFlow協(xié)議是無狀態(tài)的,數(shù)據(jù)平面不具備策略分析能力,攻擊者可以通過流表項(xiàng)修改數(shù)據(jù)包致使數(shù)據(jù)流繞過既定安全策略,導(dǎo)致規(guī)則沖突,大大降低網(wǎng)絡(luò)安全性能。在SDN網(wǎng)絡(luò)中,交換機(jī)等網(wǎng)絡(luò)設(shè)備對(duì)控制器下發(fā)的流規(guī)則是完全信任的,一旦流規(guī)則遭到了攻擊者的惡意篡改,整個(gè)網(wǎng)絡(luò)的安全性能將面臨嚴(yán)重威脅。攻擊者可以通過流規(guī)則改寫數(shù)據(jù)包頭域,從而達(dá)到繞過安全規(guī)則實(shí)行惡意攻擊的目的。就現(xiàn)階段研究而言,國(guó)內(nèi)外研究主要通過圖搜索、數(shù)據(jù)包頭空間解析等方法來實(shí)現(xiàn)規(guī)則沖突檢測(cè),通過基于角色的身份認(rèn)證策略、添加流標(biāo)簽、數(shù)據(jù)重路由的方法來解決沖突,但仍存在以下問題有待改善:(1)圖搜索算法中建立圖索引時(shí)間長(zhǎng),數(shù)量多,導(dǎo)致檢測(cè)時(shí)間難以滿足網(wǎng)絡(luò)實(shí)際需求;(2)數(shù)據(jù)包頭空間解析算法中檢測(cè)準(zhǔn)確率高,但其對(duì)全網(wǎng)規(guī)則進(jìn)行遍歷的特性同樣導(dǎo)致檢測(cè)時(shí)間長(zhǎng);(3)在規(guī)則沖突解決中,基于角色的身份認(rèn)證,沒有考慮到規(guī)則之間的依賴性,導(dǎo)致誤報(bào),漏報(bào),而添加流標(biāo)簽的方法又有可能引進(jìn)新的匹配問題。依托國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃(973計(jì)劃)項(xiàng)目—“可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系研究”,以檢測(cè)和解決SDN中的規(guī)則沖突為研究目標(biāo),本文對(duì)圖搜索算法、頭空間解析算法以及規(guī)則沖突解決方法提出相應(yīng)的優(yōu)化和改進(jìn)策略。本文的研究工作及主要貢獻(xiàn)如下:1.針對(duì)基于圖搜索的規(guī)則沖突檢測(cè)算法,提出了一種基于Path-Tree模型的規(guī)則沖突檢測(cè)機(jī)制,該方法利用Path-Tree的特性,將數(shù)據(jù)平面端到端的可達(dá)性集中于一次圖索引過程,所建立的最小等價(jià)圖大大減小了端到端之間可達(dá)性驗(yàn)證的索引次數(shù),從而降低了檢測(cè)時(shí)間,仿真結(jié)果表明相比于檢測(cè)工具Flowchecker,本文在檢測(cè)時(shí)間上大約減少了14%。2.針對(duì)現(xiàn)有頭空間解析算法中規(guī)則沖突時(shí)間開銷大的問題,提出了一種高效的流規(guī)則沖突檢測(cè)算法,該機(jī)制通過壓縮流表項(xiàng),建立基于端口的規(guī)則拓?fù)?根據(jù)該拓?fù)渲苯佑?jì)算端到端的可達(dá)性,從而快速地檢測(cè)網(wǎng)絡(luò)中的規(guī)則沖突。仿真結(jié)果表明在同等條件下,相比于現(xiàn)有的檢測(cè)機(jī)制,本文所提機(jī)制在檢測(cè)時(shí)間上可降低約15%。3.針對(duì)規(guī)則沖突解決中沒有考慮到規(guī)則之間的依賴性的問題,提出了一種基于安全路徑重路由的沖突解決方法。通過獲取實(shí)時(shí)的SDN網(wǎng)絡(luò)狀態(tài),定義交換機(jī)節(jié)點(diǎn)的某些性質(zhì)為特征值,并利用BP神經(jīng)網(wǎng)絡(luò)對(duì)節(jié)點(diǎn)行為進(jìn)行預(yù)測(cè)來判斷節(jié)點(diǎn)的安全狀態(tài),最后將節(jié)點(diǎn)情況實(shí)時(shí)反饋給控制器,控制器根據(jù)交換機(jī)情況選擇一條較安全的路徑進(jìn)行數(shù)據(jù)的重路由,從而實(shí)現(xiàn)規(guī)避危險(xiǎn)節(jié)點(diǎn),達(dá)到解決規(guī)則沖突的目的。
【學(xué)位授予單位】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.02
【圖文】：

圖 1.2 OpenFlow 框架換機(jī)能夠根據(jù)流表的轉(zhuǎn)發(fā)規(guī)則對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。目ow v1.0.0.這個(gè)版本中使用 12 條匹配項(xiàng)來對(duì)進(jìn)入交。表 1.1 OpenFlow 協(xié)議中的匹配項(xiàng)Ingress PortEther srcEther dstVLAN idVLAN priority CoSIP srcIP dstIP protoIP ToS bitsTCP/UDP src port

圖 1.4 論文研究?jī)?nèi)容間關(guān)系以下三點(diǎn)：一種決策樹模型，在傳統(tǒng)網(wǎng)絡(luò)中可以對(duì)網(wǎng)絡(luò)驗(yàn)證，利用該模型對(duì) SDN 的數(shù)據(jù)平面規(guī)則網(wǎng)絡(luò)中轉(zhuǎn)發(fā)設(shè)備的端口為節(jié)點(diǎn)，轉(zhuǎn)發(fā)規(guī)則平面端到端的可達(dá)性集中于一次圖索引過數(shù)，從而降低了檢測(cè)時(shí)間，仿真結(jié)果驗(yàn)證了與安全規(guī)則沖突的規(guī)則必然存在重寫操作進(jìn)行提煉，并對(duì)這些規(guī)則采取進(jìn)行統(tǒng)一的語進(jìn)行建模，以規(guī)則為節(jié)點(diǎn)，轉(zhuǎn)發(fā)行為為邊建為根節(jié)點(diǎn)反推相應(yīng)的源節(jié)點(diǎn)和目的節(jié)點(diǎn)，從比進(jìn)而發(fā)現(xiàn)規(guī)則沖突現(xiàn)象，仿真結(jié)果驗(yàn)證了

圖 2.3 時(shí)間消耗圖3 看出，本章算法發(fā)現(xiàn)沖突的檢測(cè)速率相比 Flowchecker 平均提高 14要是利用 Path-Tree 的特性，在檢驗(yàn)端到端可達(dá)性過程中不需要多次建索引的基礎(chǔ)上可以了解各端口間的可達(dá)性。同時(shí)，實(shí)驗(yàn)中還選取了任意建立的時(shí)間開銷，本章算法與 Flowchecker 相比，其可達(dá)樹的時(shí)間開銷。本章 Stanford本章 Internet2Flowchecker StanfordFlowchecker Internet2

【參考文獻(xiàn)】

相關(guān)期刊論文 前6條

1 王鵑;王江;焦虹陽;王勇;陳詩雅;劉世輝;胡宏新;;一種基于OpenFlow的SDN訪問控制策略實(shí)時(shí)沖突檢測(cè)與解決方法[J];計(jì)算機(jī)學(xué)報(bào);2015年04期

2 蘭巨龍;程?hào)|年;胡宇翔;;可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系研究[J];通信學(xué)報(bào);2014年01期

3 徐濤;丁曉璐;李建伏;;K最短路徑算法綜述[J];計(jì)算機(jī)工程與設(shè)計(jì);2013年11期

4 張宏科;羅洪斌;;智慧協(xié)同網(wǎng)絡(luò)體系基礎(chǔ)研究[J];電子學(xué)報(bào);2013年07期

5 胡國(guó)政;洪帆;郭亞軍;;標(biāo)準(zhǔn)模型中可證安全的基于ID的身份認(rèn)證方案[J];小型微型計(jì)算機(jī)系統(tǒng);2007年11期

6 戚德虎,康繼昌;BP神經(jīng)網(wǎng)絡(luò)的設(shè)計(jì)[J];計(jì)算機(jī)工程與設(shè)計(jì);1998年02期

本文編號(hào)：2800631