SDN中交换机控制代理拒绝服务攻击研究

针对软件定义网络(SDN)交换机控制代理吞吐量有限的不足,提出一种交换机控制代理拒绝服务攻击方法。为保护SDN交换机控制代理资源,设计层次化多阈值的攻击检测方案,通过计算SDN交换机及交换机各端口所关联的Packet-In消息的速率,并将其与给定的阈值进行比较来检测攻击。实验结果表明,该方法可实时检测交换机控制代理拒绝服务攻击,与同类攻击检测方法相比,不仅能够识别攻击流量,定位攻击发生的位置,而且不需要改变网络架构。     

软件定义网络数据平面安全综述

软件定义网络将数据平面与控制平面解耦,旨在更快地引入网络创新,并从根本上实现大型网络的自动化管理。架构创新带来了挑战与机遇,安全问题限制了软件定义网络的广泛采用。针对数据平面的攻击可能会损毁整个软件定义网络,首先介绍了数据平面结构与发展趋势;然后分析了数据平面安全风险,指出漏洞,确定潜在的攻击场景,并给出2种具体解决方案,讨论其意义与局限性;最后展望未来的安全研究方向。     

面向针对性攻击的SDVN控制层鲁棒性方案

将软件定义网络应用于车联网能显著提升其性能,但该方法也面临传统SDN要应对的安全问题.基于软件定义车联网体系架构中控制平面可能面临的针对性节点攻击问题,提出一种鲁棒的控制器放置方法.该方法结合传统的SDN控制平面部署问题,首先将控制平面鲁棒性问题建模为交换机与控制器的连通冗余性问题,提升交换机在极端情形下与控制器的连通...     

SDN环境中基于交叉熵的分阶段DDoS攻击检测与识别

针对软件定义网络易遭受DDoS攻击、监控负荷重等问题,提出一种分阶段多层次、基于交叉熵的DDoS攻击识别模型。采用监控SDN交换机CPU使用率的初检方法预判异常状态;引入交叉熵理论对异常交换机的目的IP交叉熵和PACKET_IN数据包联合检测,对正常与异常流量的特征分布相似性进行定量分析;通过选取的基于交叉熵的特征对流量进行检测识别。实验表明,在使用Mininet模拟SDN网络环境中,该检测方法可高效定位出异常网络设备,减轻了常态化监控时的设备负荷,同时相比信息熵检测方法及其他方法,拥有更高的灵敏度,降低了DDOS检测中的漏报率和误报率。     

面向软件定义网络的两级DDoS攻击检测与防御

分布式拒绝服务(DDoS)攻击一直是互联网的主要威胁之一,在软件定义网络(SDN)中会导致控制器资源耗尽,影响整个网络正常运行。针对SDN网络中的DDoS攻击问题,文章设计并实现了一种两级攻击检测与防御方法。基于控制器北向接口采集交换机流表数据并提取直接特征和派生特征,采用序贯概率比检验(Sequential Probability Ratio Test,SPRT)和轻量级梯度提升机(LightGBM)设计两级攻击检测算法,快速定位攻击端口和对攻击类型进行精准划分,通过下发流表规则对攻击流量进行实时过滤。实验结果表明,攻击检测模块能够快速定位攻击端口并对攻击类型进行精准划分,分类准确率达到98%,攻击防御模块能够在攻击发生后2 s内迅速下发防御规则,对攻击流量进行过滤,有效保护SDN网络的安全。     

SDN环境下基于BP神经网络的DDoS攻击检测方法*

软件定义网络是一种全新的网络架构,集中控制是其主要优势,但若受到DDoS 攻击则会造成信息不可达,也容易造成单点失效。为了有效的识别DDoS攻击,提出了一种SDN环境下基于BP神经网络的DDoS攻击检测方法：该方法获取OpenFlow交换机的流表项,分析SDN环境下DDoS攻击特性,提取出与攻击相关的流表匹配成功率、流表项速率等六个重要特征;通过分析六个相关特征值的变化,采用BP神经网络算法对训练样本进行分类,实现对DDoS攻击的检测。实验结果表明,该方法在有效提高识别率的同时,降低了检测时间。通过在软件定义网络环境中的部署,验证了该方法的有效性。     

软件定义网络中资源消耗型攻击及防御综述

在传统网络中,集成多种网络功能的控制平面和负责转发数据包的数据平面是紧密耦合的,并且通常嵌入在一个专用设备中,这严重限制了网络管理的灵活性和网络服务的创新性。软件定义网络（Software-Defined Networking,SDN）作为一种新型的网络范式,通过将控制平面与数据平面解耦克服了传统网络架构的不足。研究人员凭借全网视图可见性以及对网络设备直接编程的能力提出了诸多SDN应用场景,如数据中心网络、云和广域网。然而SDN带来的灵活性、可管理性以及可编程性等优点是以引入新的安全挑战为代价。本文聚焦SDN网络中的资源消耗型攻击,首先分层整理了SDN网络中的关键资源以及攻击目标,然后对控制平面、控制通道和数据平面存在的多种资源消耗型攻击以及现有防御机制做出了详细的分析和归纳,最后对未来的研究工作进行了展望,并提出了一些潜在的研究方向。     

异构容错控制平面的安全性分析

随着软件定义网络的大规模应用,软件定义网络的安全性显得愈发重要。基于异构思想的容错控制平面作为一种重要的防御思路,近年来越来越引起研究者的注意。但是现有容错控制平面的研究中忽视了异构原件中的同构漏洞问题,这大大降低了容错控制架构对软件定义网络的安全收益。从异构原件中的同构漏洞出发,首先分析了同构漏洞对控制平面的安全影响,然后以此为基础对容错控制平面的容忍能力进行量化,构造出一个最大化容忍能力的控制平面布局方法。实验仿真证明了所提方法可以有效降低控制平面的故障概率,攻击者在对基于所提方法构造的控制平面进行攻击时,需要花费更多的攻击成本才可以瘫痪控制平面。     

SDN网络边缘交换机异常检测方法

软件定义网络(SDN)为网络赋予了可编程性，降低了网络管理的复杂性，促进了新型网络技术的发展。SDN交换机作为数据转发与策略执行的设备，其权限不应被未经授权的实体窃取。然而，SDN交换机并不总是执行控制器下发的命令，恶意攻击者通过侵蚀SDN交换机对网络进行隐秘而致命的攻击，严重影响用户的端到端通信质量。通信顺序进程(CSP)作为针对并发系统设计的建模语言，可对SDN交换机-交换机，以及交换机-主机间的交互进行准确的描述。文中使用CSP对SDN交换机、终端主机进行建模，对两种异常交换机定位方法进行理论分析，并在实例化的模型系统中验证检测方法在边缘交换机作为出口交换机恶意转发时的有效性，结果表明无法检测该异常行为。针对这一问题，提出了边缘交换机异常检测方法，主机记录统计信息并通过构造特殊的数据包触发packet＿in消息完成与控制器之间的信息传递，控制器收集统计信息并利用边缘交换机与主机之间的统计信息一致性检测边缘交换机的异常传输行为。最后，基于ryu控制器在mininet平台上进行实验，实验结果表明，边缘交换机异常检测方法可以成功检测异常行为。     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。     

DSR协议下数据包攻击及防御机制

移动Ad—hoc网络又称移动自组网、多跳网络,是一种特殊的、在不借助中心管理的情况下,在有限的范围内实现多个移动终端临时互联的网络。由于Adhoc网络自身的特殊性,其路由协议的设计与传统固定网络有很大不同,而且种类繁多,DSR协议便是其中一种。DSR协议也被称做动态源路由协议,它作为Ad—hoc网络的路由协议之一,最大特点是在发送的每个数据包中放入一个完整的、按序排列的路由信息,并且在传递数据包的过程中依赖着这些路由信息去完成工作。文章主要介绍了Ad—hoc网络中的DSR协议的工作方式,针对其安全性提出一种新的攻击模型——数据包攻击,并通过模拟实验,给出了数据包攻击的检测方法和防御策略,能够成功地发现并有效地阻碍数据包攻击。     

数据中心网络中一种半集中式SDN路由策略

在SDN体系架构中把网络控制功能从网络设备（交换机/路由器）里分离出来,集中到中心节点控制器上,交换机只负责数据平面的功能（通过流表进行数据转发）。在大规模的数据中心网络中,路由/流表的计算和分发完全由中心控制器完成,控制器成为网络的性能瓶颈和脆弱点。为了解决上述问题,本文提出半集中式SDN路由技术,其主要思想是每个交换机节点不需要控制器的参与,可以自主构建一个基础流表,基于基础流表,交换机可以完成基本的数据转发工作。而控制器负责更高级的路由选路（故障处理）工作,从而大大减轻控制器的负担。针对控制器的高级路由选路工作,本文通过对现有SDN网络中的故障恢复机制的特性以及限制的分析,在基础流表的基础上设计一套局部迂回故障检测恢复机制。基于该机制,控制器能够及时检测到网络故障,并在极短的时间内进行故障恢复,实现控制器的高级路由选路工作。     

分布式SOM结合K-均值聚类的软件定义网络泛洪攻击检测方法

针对软件定义网络（SDN）泛洪攻击导致的上层性能瓶颈和过载问题,提出一种分布式自组织映射（DSOM）结合K-均值聚类的网络流量攻击检测方法。首先,位于应用层的DSOM控制器将现有数据集发送给集成了DSOM扩展包的交换机,在每个交换机上分别训练DSOM映射;然后,在预定时间内合并DSOM映射;最后,DSOM控制器将合并后的DSOM映射发送到所有OpenFlow交换机,利用K-均值聚类完成最终的分类。实验结果表明,DSOM方案能够有效检测异常流量、解决瓶颈问题,相比传统方法具有一定的优势。此外,该方法提高了系统对攻击流量的反应速度,同时给网络系统带来较小的开销。     

基于可编程协议无关报文处理的分布式拒绝服务攻击检测

传统软件定义网络（SDN）中的分布式拒绝服务（DDoS）攻击检测方法需要控制平面与数据平面进行频繁通信,这会导致显著的开销和延迟,而目前可编程数据平面由于语法无法实现复杂检测算法,难以保证较高检测效率。针对上述问题,提出了一种基于可编程协议无关报文处理（P4）可编程数据平面的DDoS攻击检测方法。首先,利用基于P4改进的信息熵进行初检,判断是否有可疑流量发生;然后再利用P4提取特征只需微秒级时长的优势,提取可疑流量的六元组特征导入数据标准化—深度神经网络（data standardization-deep neural network,DS-DNN）复检模块,判断其是否为DDoS攻击流量;最后,模拟真实环境对该方法的各项评估指标进行测试。实验结果表明,该方法能够较好地检测SDN环境下的DDoS攻击,在保证较高检测率与准确率的同时,有效降低了误报率,并将检测时长缩短至毫秒级别。     

SDN环境下的LDoS攻击检测与防御技术

低速率拒绝服务(LDoS)攻击是一种新型的网络攻击方式,其特点是攻击成本低,隐蔽性强。作为一种新型的网络架构,软件定义网络(SDN)同样面临着LDoS攻击的威胁。但SDN网络的控制与转发分离、网络行为可编程等特点又为LDoS攻击的检测和防御提供了新的思路。提出了一种基于OpenFlow协议的LDoS攻击检测和防御方法。通过对每条OpenFlow数据流的速率单独进行统计,并利用信号检测中的双滑动窗口法实现对攻击流量的检测,一旦检测到攻击流量,控制器便可以通过下发流表的方式实现对攻击行为的实时防御。实验表明,该方法能够有效检测出LDoS攻击,并能够在较短时间内实现对攻击行为的防御。     

泰州市中医院计算机网络系统防ARP攻击的构建

介绍了泰州市中医院计算机网络系统防ARP攻击的设计与实现方案.从防ARP攻击三层交换机的选型.再到接入层交换机的接入.具体功能网段的划分以及整个网络安全设置的考虑.都作了详细的阐述.     

DoS Attack Detection Based on Deep Factorization Machine in SDN

Software-Defined Network (SDN) decouples the control plane of network devices from the data plane. While alleviating the problems presented in traditional network architectures, it also brings potential security risks, particularly network Denial-of-Service (DoS) attacks. While many research efforts have been devoted to identifying new features for DoS attack detection, detection methods are less accurate in detecting DoS attacks against client hosts due to the high stealth of such attacks. To solve this problem, a new method of DoS attack detection based on Deep Factorization Machine (DeepFM) is proposed in SDN. Firstly, we select the Growth Rate of Max Matched Packets (GRMMP) in SDN as detection feature. Then, the DeepFM algorithm is used to extract features from flow rules and classify them into dense and discrete features to detect DoS attacks. After training, the model can be used to infer whether SDN is under DoS attacks, and a DeepFM-based detection method for DoS attacks against client host is implemented. Simulation results show that our method can effectively detect DoS attacks in SDN. Compared with the K-Nearest Neighbor (K-NN), Artificial Neural Network (ANN) models, Support Vector Machine (SVM) and Random Forest models, our proposed method outperforms in accuracy, precision and F1 values.     

绕过防火墙的攻击与防范

防火墙已经成为网络安全领域非常重要的技术之一,然而随着攻击手段的日新月异,许多攻击都能绕过防火墙进行入侵攻击,而防火墙本身对于这种攻击无能为力,这对网络带来巨大的安全隐患。文章介绍了防火墙的基本知识,分析了绕过防火墙的攻击手段,最后结合入侵检测技术研究防范绕过防火墙的攻击。     

内容中心网络中DoS攻击问题综述

“内容中心网络”（Content Centric Networking,CCN）是未来互联网架构体系群中极具前景的架构之一。尽管CCN网络的全新设计使其能够抵御目前网络存在的大多数形式DoS攻击,但仍引发了新型的DoS攻击,其中危害较大的两类攻击是兴趣包泛洪攻击和缓存污染攻击。这两类DoS攻击利用了CCN网络自身转发机制的安全逻辑漏洞,通过泛洪大量的恶意攻击包,耗尽网络资源,并导致网络瘫痪。与传统IP网络中DoS攻击相比,CCN网络中的内容路由、内嵌缓存和接收者驱动传输等新特征,对其DoS攻击的检测和防御方法都提出了新的挑战。本文首先介绍CCN网络的安全设计和如何对抗已有的DoS攻击,然后从多角度描述、比较CCN中新型DoS攻击的特点,重点阐述了兴趣包泛洪攻击和缓存污染攻击的分类、检测和防御方法,以及它们所面临的问题挑战,最后对全文进行总结。