基于端口跳变的SDN网络DoS防御技术

端口跳变是移动目标防御典型技术,通过持续改变服务端口来隐藏服务标识和迷惑攻击者。利用SDN网络逻辑集中控制与网络可编程特性,提出基于端口跳变的SDN网络防御技术,使用SDN控制器承担服务端的端口跳变功能,不但可减轻服务端负载,且可提前检测过滤恶意数据包,并能抵御内部攻击者。理论分析与实验结果表明,所提技术对SDN控制器负载增加较少,可有效抵御DoS攻击。     

面向软件定义网络的两级DDoS攻击检测与防御

分布式拒绝服务(DDoS)攻击一直是互联网的主要威胁之一,在软件定义网络(SDN)中会导致控制器资源耗尽,影响整个网络正常运行。针对SDN网络中的DDoS攻击问题,文章设计并实现了一种两级攻击检测与防御方法。基于控制器北向接口采集交换机流表数据并提取直接特征和派生特征,采用序贯概率比检验(Sequential Probability Ratio Test,SPRT)和轻量级梯度提升机(LightGBM)设计两级攻击检测算法,快速定位攻击端口和对攻击类型进行精准划分,通过下发流表规则对攻击流量进行实时过滤。实验结果表明,攻击检测模块能够快速定位攻击端口并对攻击类型进行精准划分,分类准确率达到98%,攻击防御模块能够在攻击发生后2 s内迅速下发防御规则,对攻击流量进行过滤,有效保护SDN网络的安全。     

基于IPv6分段路由的高校网络流量调度算法

高校网络流量调度算法的数据包转发吞吐率较低,研究基于互联网协议第6版(Internet Protocol version 6,IPv6)分段路由的高校网络流量调度算法。采集高校网络数据,通过网关将数据封装成IPv6数据报文,再转发至交换机与控制器建立通信,制定数据包转发规则;设定添加传输控制协议(Transmission Control Protocol,TCP)的和式增加积式减少(Additive Increase Multiplicative Decrease,AIMD)机制,收敛网络流量,均匀分配带宽的平衡状态,调整网卡分配宽带,进行流量预估;判断链路的网络流量,求解最优路径,实现网络流量调度。实验结果表明,运用设计方法处理转发的吞吐率较高,有效提高高校网络的服务质量。     

基于SDN的web访问控制应用的实现

软件定义网络(Software Defined Network,SDN)及其主流协议OpenFlow通过解耦控制平面与数据平面,提供应用平面编程接口,给数据中心提供了更为方便的网络设备管理手段。本文基于OpenDayLight(ODL)控制器北向接口,在一个对外提供web服务的网络中,实现了控制用户访问某一TCP/IP协议端口的功能,并能使管理员进行实时配置。     

SDN网络边缘交换机异常检测方法

软件定义网络(SDN)为网络赋予了可编程性，降低了网络管理的复杂性，促进了新型网络技术的发展。SDN交换机作为数据转发与策略执行的设备，其权限不应被未经授权的实体窃取。然而，SDN交换机并不总是执行控制器下发的命令，恶意攻击者通过侵蚀SDN交换机对网络进行隐秘而致命的攻击，严重影响用户的端到端通信质量。通信顺序进程(CSP)作为针对并发系统设计的建模语言，可对SDN交换机-交换机，以及交换机-主机间的交互进行准确的描述。文中使用CSP对SDN交换机、终端主机进行建模，对两种异常交换机定位方法进行理论分析，并在实例化的模型系统中验证检测方法在边缘交换机作为出口交换机恶意转发时的有效性，结果表明无法检测该异常行为。针对这一问题，提出了边缘交换机异常检测方法，主机记录统计信息并通过构造特殊的数据包触发packet＿in消息完成与控制器之间的信息传递，控制器收集统计信息并利用边缘交换机与主机之间的统计信息一致性检测边缘交换机的异常传输行为。最后，基于ryu控制器在mininet平台上进行实验，实验结果表明，边缘交换机异常检测方法可以成功检测异常行为。     

基于改进的NetFPGA的网络流量控制系统研究

OpenFlow是一种软件定义网络的解决方案,而现有的OpenFlow并没有考虑网络中不同连接的优先级。针对该方法的不足,基于开源的NetFPGA平台基础上,提出并设计了一种带优先级网络流量控制系统。系统通过报头解析器对数据包的优先级进行识别;在数据包处理模块中,将不同优先级别的数据包分配到不同的队列中,并通过令牌对队列进行管理;通过NOX控制器设置数据流的优先权和速率。由于加入了带优先级的流量处理模块,可以在满足整个网络流量约束的情况下对具有高优先级的连接数据优先处理;通过TCP和UDP两种连接环境下的实验验证了系统的有效性是具有一定的实际应用价值。     

基于规则拟合的TCP数据包流量混淆系统

互联网时代,TCP网络连接和数据包交换,在实现远程数据传输和信息发送的同时,也为应用程序和用户的网络行为暴露了一个可供检测和追踪的薄弱环节。网络流量混淆可以实现在不改变原有数据包承载内容和连接任务的前提下,改变并混杂原有网络流量的时序特征,达到对于网络连接和通信行为的隐私保护。通过分析TCP连接和数据包分布,解析TCP/IP数据包的应用层、传输层、网络层信息,从而实现实时的数据包分布拟合或混淆操作。采用Android平台上典型应用App的网络连接和流量传输作为实验对象,对设计的流量拟合及混淆的效果进行了分析验证。实验结果表明,提出的方案能够有效改变单个应用程序的网络流量特征,实现对于给定目标的流量特征模拟,或者指定混淆操作的组合叠加。     

SonicWALL UTM设备在学校的应用

随着网络技术及其应用的普及,网络安全问题日益凸现, 防火墙技术也日新月异。然而传统的防火墙设备如第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙只能检测 IP 层和 TCP/UDP 层的协议和端口,设置安全策略,并不检测数据包的净荷,即实际传输的数据内容。内网的服务器要对外提供服务,必然要开放相应的服务端口供用户访问,然而如今的网络安全威胁已经由针对 TCP/IP 协议本身漏洞的攻击转向针对操作系统和应用漏洞的攻击和入侵,安全威胁采用防火墙开放的合法端口进入内部网络,同时各种蠕虫病毒、木马等通过 Internet 广泛传播,造成网络瘫痪,间谍软件进入内网用户的电脑窃取私密信息。而这些复合型的网络安全威胁正是隐藏在 IP 数据包的净荷,即数据包的内容当中,前三代传统的防火墙对它们无能为力。     

软件定义网络与传统网络混杂场景下的地址解析协议代理机制

在软件定义网络(SDN)与传统网络混杂场景下,针对以太网中最常见的地址解析协议(ARP)请求数据包泛洪问题,提出一种新型的ARP代理机制。该机制利用SDN对全网集中管控的优势,对接入网络中的主机信息进行记录,实时感知主机动态变化和网络故障并动态更新,从而绝大多数ARP请求可由控制器直接响应。仿真结果显示:该机制继承了以太网简单易用的特点,对终端完全透明,与现有的硬件设备兼容,可降低网络的数据流量,并允许网络环路的存在,从而提高了以太网的可扩展性。     

基于软件定义网络的流量工程

作为一种新型网络架构,软件定义网络(software defined network,简称SDN)将网络的数据层和控制层分离,通过集中化控制和提供开放控制接口,简化网络管理,支持网络服务的动态应用程序控制.流量工程通过对网络流量的分析、预测和管理,实现网络性能的优化.在SDN中开展流量工程,可以为网络测量和管理提供实时集中的网络视图,灵活、抽象的控制方式以及高效、可扩展的维护策略,具有突出的研究意义.对基于SDN的流量工程相关工作进行综述.分别从测量的方法、应用和部署角度出发,对SDN中流量测量的基本框架、基于测量的正确态检测以及测量资源的管理进行概述.分析传统网络流量调度方案的问题,介绍SDN中数据流量和控制流量调度的主要方法.从数据层和控制层两个方面概述SDN中故障恢复方法.最后,总结并展望未来工作.     

改进PSO-LSSVM算法的SDN网络流量预测模型

SDN技术解决了IP网络布设困难、更新繁琐等突出问题, 近年来发展迅速. 本文针对SDN网络流量预测问题, 提出首先采用混沌理论对时间序列样本群进行相空间重构, 随后引入最小二乘支持向量机(LSSVM)构建SDN网络流量预测模型, 并结合改进的粒子群算法(PSO)对其关键参数进行优化. 实验结果证明, 该模型有效提高了SDN网络流量预测精度与误差控制水平, 具有良好的实际应用价值.     

基于软件定义网络技术实现人工智能网络体系架构

软件定义网络(Software Defined Network,SDN)拥有着集中控制、分布式路由和控制平面与转发平面相分离的特点,相比传统的TCP/IP网络,提高了网络的灵活性,并提供了网络可编程的能力。假设控制器能够获取底层网络的特征,并加以分析应用到网络管理中,将会有很好的应用前景。鉴于此,提出了一种基于SDN的人工智能网络架构。该系统使用SDN控制器从底层网络中获取到大量的各类信息,并利用大数据以及人工智能技术加以分析,得到底层网络的特征数据。而这些特征数据会被用来辅助控制器对于下层网络的管理的决策。     

基于SDN的OpenFlow交换机数据包流水线处理机制

目前,软件定义网络(Software Defined Networking,SDN)已成为网络研究与开发的重点,但相关的研究与开发工作还仅仅局限于园区网络和数据中心网络等。由于SDN控制层与数据层处理效率的限制,SDN面向互联网这样超大规模网络的研究还基本处于空白阶段。为了提升SDN的性能以使其适应大规模网络的特点,挖掘SDN数据层中并行加速处理的可能性,提出了将流水线技术应用到SDN数据层中交换机对数据包的转发过程。另外,结合SDN南向接口OpenFlow协议提供的交换机工作规范,设计了适用于OpenFlow交换机数据包转发的三级流水线处理机制。仿真实验说明,将流水线应用到SDN中能有效加快OpenFlow交换机的数据包转发速度。     

基于Snort的动态自适应多媒体数据处理方法

针对Snort网络入侵检测系统在大网络流量下出现丢包率高的问题,通过对多媒体数据特征进行分析,设计了对网络流量中多媒体数据包的识别方法和两种处理方法,并提出动态自适应多媒体数据处理方法,该方法可以根据网络流量变化和系统处理能力变化自动调整对多媒体数据的处理方式,从而有效降低丢包率.     

面向SDN环境的软件定义安全架构

Open Flow协议无深度包检测能力使其在安全应用中受限,同时现有安全解决方案不能适应软件定义网络(software-defined networking,SDN)的发展。提出了一个分布式的软件定义安全架构(software-defined security architecture,SDSA),可将安全功能从SDN控制器解耦到专有的安全控制器和安全APP,提供了全局流和局部数据包层面的检测和防护,以抵御SDN和虚拟化环境中的各类攻击。全局视图和知识库有助于进行快速准确的决策,安全数据和控制分离既极大简化了安全设备的处理逻辑,又使得安全控制器具有灵活的控制平面,并且实时下发策略到设备和动态牵引流量,从而使得整个防护响应大大加快。实验表明SDSA架构可有效防护Do S、端口扫描和异常大流量等各类攻击。     

主动检测网络扫描技术

提出一种基于TCP端口和标志位异常检测的主动检测扫描技术。通过主动学习被保护网络提供的服务端口和TCP标志字段的分布特征，判断出每个到达数据包的异常性，检测各种基于TCP的扫描行为包括慢扫描和隐蔽扫描等多种系统扫描行为。测试表明，主动扫描技术具有很高检测率和较低的误报警率。     

基于深度学习的网络流时空特征自动提取方法

流量异常检测是网络入侵检测的主要途径之一,也是网络安全领域的一个热门研究方向。通过对网络流量进行实时监控,可及时有效地对网络异常进行预警。目前,网络流量异常检测方法主要分为基于规则和基于特征工程的方法,但现有方法需针对网络流量特征的变化需重新人工收集规则或 构造特征,工作量大且繁杂。为解决上述问题,该文提出一种基于卷积神经网络和循环神经网络的深度学习方法来自动提取网络流量的时空特征,可同时提取不同数据包之间的时序特征和同一数据包内字节流的空间特征,并减少了大量的人工工作。在 MAWILab 网络轨迹数据集上进行的验证分析结果表明,该文所提出的网络流时空特征提取方法优于已有的深度表示学习方法。     

检测使用Web反射器的攻击

攻击者在大规模DDoS网络攻击中使用反射器向受害者发送洪水包,Web服务器被攻击者利用为TCP反射器不仅加剧了网络攻击的程度,也消耗了正常Web服务资源。分析了Web反射器所在网络的入出口流量特点,以及攻击者利用Web反射器发起攻击时的数据包特性,利用流入和流出反射器网络TCP数据包的特性,通过对网络流量的异常统计检测和实时在线分析来检测Web反射器。模拟实验表明,可以检测出利用Web服务器进行的大规模DRDoS攻击。     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。     

基于分类和时序的SDN流表更新一致性方案

软件定义网络（Software Defined Networking, SDN）实现了网络的集中控制和网络资源的灵活调度,已成为下一代网络的热点。确保SDN网络流表更新的一致性,对保障网络配置更新过程的正确性,和SDN网络的有效、安全运行,具有重要的意义。本文针对SDN网络配置更新所引起的数据包处理不一致问题,提出一种基于分类和时序的SDN流表更新一致性方案。通过设计交换机分类方案及优化更新顺序,实现了SDN流表更新的一致性和新、旧路径的数据并行传输,在保证方案良好通用性和隔离性的基础上,有效控制了更新时间和交换机存储空间的占用率,并降低了控制器的上传负载。