软件定义网络中资源消耗型攻击及防御综述

在传统网络中,集成多种网络功能的控制平面和负责转发数据包的数据平面是紧密耦合的,并且通常嵌入在一个专用设备中,这严重限制了网络管理的灵活性和网络服务的创新性。软件定义网络（Software-Defined Networking,SDN）作为一种新型的网络范式,通过将控制平面与数据平面解耦克服了传统网络架构的不足。研究人员凭借全网视图可见性以及对网络设备直接编程的能力提出了诸多SDN应用场景,如数据中心网络、云和广域网。然而SDN带来的灵活性、可管理性以及可编程性等优点是以引入新的安全挑战为代价。本文聚焦SDN网络中的资源消耗型攻击,首先分层整理了SDN网络中的关键资源以及攻击目标,然后对控制平面、控制通道和数据平面存在的多种资源消耗型攻击以及现有防御机制做出了详细的分析和归纳,最后对未来的研究工作进行了展望,并提出了一些潜在的研究方向。     

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.     

基于OpenFlow的SDN专利技术分析

软件定义网络(SDN)作为一种新的网络架构,为打破传统的TCP/IP架构提供了可能,实现了控制平面与数据平面的解耦,可以满足未来互联网的需求。基于OpenFlow的SDN可以为新的网络应用与未来互联网技术的发展提供支持。基于此,从专利角度系统梳理基于OpenFlow的SDN技术的专利申请,对国内外专利申请量趋势、重要申请人分布及研究和发展重点进行可视化展示。     

基于OpenFlow的SDN网络安全分析与研究

基于Open Flow的SDN技术将网络的数据平面和控制平面相分离,通过部署中央控制器来实现对网络的管控,为未来网络的发展提供了一种新的解决思路。然而,这种新型网络管控方法与传统网络在分布式控制平面上通过封闭网络设备进行管控的方法有着根本区别,因而在实现集中化管理的同时将引入新的管理和安全问题。文章首先介绍了其三层架构的自身缺陷和可能存在的安全问题,并从SDN架构的基础设施层、南向接口、控制层、北向接口和应用层等几个方面分别进行分析,总结出SDN不同层次存在安全问题的原因;随后,文章从认证机制、控制层的备份和恢复、网络异常识别和防御机制、应用隔离和权限管理等四个方面总结了当前的相关研究进展和研究思路,并提出了可行的解决方案;最后,对全文进行总结和展望。     

LabelCast:一种普适的SDN转发平面抽象

在互联网体系结构演进过程中试验和部署新型网络协议比较困难,基于Openflow的软件定义网络SDN提供了一种简单易行的方法.OpenFlow基于流表实现了多级流水转发处理,然而Openflow不支持对网络中计算和存储等资源的描述,因此很难支持以内容为中心的新型网络.为扩展SDN能力,提出了一种普适的转发平面抽象LabelCast,以将多态网络地址映射到定长标签.转发平面基于Label表来查找和调度弱语义的转发操作相关的指令,Cast表对网络协议语义或状态相关的服务进行组织,支持动态扩展新型服务以满足新型网络体系结构复杂的处理功能.LabelCast能够支持基于流的端到端的交换和以数据或服务为中心的非端到端的新型网络体系结构,为SDN提供了一种普适的转发平面抽象.     

基于SDN的高校数据中心网络设计

软件定义网络SDN（Software-Defined Network）,或称软件驱动网络SDN（Software Driven Networks）是目前数据中心建设的一个很重要的热点技术,它将网络的控制平面和数据平台相分离,为数据中心的网络控制提供了一种全新的解决方案。对SDN的架构进行了分析,对比了不同的SDN/Overlay覆盖技术实现方法,重点介绍了覆盖（Overlay）方案在控制平面的思路和overlay网络如何与传统网络互通的方法。最后探讨了SDN是未来数据中心的发展趋势。     

应对DDoS攻击的SDN网络安全特性研究

软件定义网络将传统封闭的网络体系解耦为数据平面、控制平面和应用平面,实现网络的集中控制与管理,其突出特点是开放性和可编程性。本文重点研究SDN网络的安全特性,首先讨论SDN的发展现状,并展示如何通过利用SDN功能来解决网络安全中的一些长期问题。然后,描述了SDN面临的新的重要安全威胁-DDo S攻击,并讨论可用于预防和减轻此类威胁的可能技术。     

对SDN技术的研究与思考

SDN将网络的控制平面从交换机和路由器中的数据平面分离出来,代表着虚拟化从服务器到网络的演变。SDN如今已深入到网络架构的各个方面,其最大优势在于可以动态地为不同的互联网业务分配带宽资源。本文从SDN的定义及内涵入手,归纳SDN的关键技术和标准化研究进程,并结合网络设备商和运营商的SDN部署情况对产业现状进行深入的分析和总结。     

SDN架构及应用分析

SDN相对于传统网络具有极大的优点,它将网络的控制平面与数据转发平面进行分离,并实现可编程化控制。作为一种新型的网络架构技术,SDN逐渐成为学术界和产业界的研究热点。从SDN的基本概念和关键技术出发,进而研究SDN的基础架构和Open Flow架构,并对SDN的应用前景进行简要的分析。     

SDN中的端到端时延

随着大规模SDN的不断发展,用来管理和衡量网络性能的指标也越来越重要。端到端时延就是其中重要的部分,针对该指标已经提出了很多计算的方法,主要分为主动探测和被动探测,但是各有优缺点。因此,提出一种主动探测和被动探测相结合的方法,通过特殊方法计算出第一个数据包的时延,再通过快速方法计算相邻数据包端到端时延之差,得到所有数据包的端到端时延。实验结果表明,新方法在时钟不同步的情况下,可以有效地计算出端到端时延。     

软件定义网络的测量方法研究

测量技术是状态监测、性能管理、安全防御等网络研究的基础,在网络研究领域具有重要地位.相较于传统网络,软件定义网络在标准性、开放性、透明性等方面的优势给网络测量研究带来了新的机遇.测量数据平面和测量控制平面的分离,启发了通用和灵活的测量架构的设计与实现;标准化的编程接口,使得测量任务可以快速地开发和部署,中心化的网络控制可以基于反馈的测量结果实时地优化数据平面的硬件配置和转发策略,数据平面基于流表规则的处理机制支持对流量更加精细化地测量.但是,软件定义网络测量中额外部署的测量机制造成的资源开销与网络中有限的计算资源、存储资源、带宽资源产生了矛盾,中心化的控制平面也存在一定的性能瓶颈,这是软件定义网络测量研究中的主要问题和挑战.分别从测量架构、测量对象两方面对当前软件定义网络测量研究成果进行了归纳和分析,总结了软件定义网络测量的主要研究问题.最后,基于现有研究成果讨论了未来的研究趋势.     

基于SDN的CDN体系架构及关键技术研究

互联网应用带来流量持续增长,CDN成为提升用户体验的必然选择。在新业务需求和新技术的双重驱动下,电信运营商CDN需要提升CDN智能化能力,以适应快速变化的新业务。SDN是一种新型网络架构,通过将网络设备控制平面与数据转发平面分离,实现了网络的灵活控制。本文首先分析了SDN对CDN发展的影响,然后介绍了基于SDN的CDN体系架构,最后对实现基于SDN的CDN的关键技术进行探讨。     

基于软件定义网络的流量工程

作为一种新型网络架构,软件定义网络(software defined network,简称SDN)将网络的数据层和控制层分离,通过集中化控制和提供开放控制接口,简化网络管理,支持网络服务的动态应用程序控制.流量工程通过对网络流量的分析、预测和管理,实现网络性能的优化.在SDN中开展流量工程,可以为网络测量和管理提供实时集中的网络视图,灵活、抽象的控制方式以及高效、可扩展的维护策略,具有突出的研究意义.对基于SDN的流量工程相关工作进行综述.分别从测量的方法、应用和部署角度出发,对SDN中流量测量的基本框架、基于测量的正确态检测以及测量资源的管理进行概述.分析传统网络流量调度方案的问题,介绍SDN中数据流量和控制流量调度的主要方法.从数据层和控制层两个方面概述SDN中故障恢复方法.最后,总结并展望未来工作.     

软件定义网络控制平面的研究综述

软件定义网络(Software-defined network,SDN)作为一种新兴的网络范式,通过解耦控制平面与数据转发平面,集中控制并且聚集全网视图,在控制平面与数据平面建立开放接口,启用外部应用使得网络具有可编程性,从而弥补当前网络架构所存在的不足与限制。其中,控制器作为SDN中重要的组成部分,成为了研究的热点。针对软件定义网络控制平面控制器的研究,首先总结了当前SDN控制平面控制器技术发展的现状并对其进行归类;其次着重分析了当前控制器存在的一致性、可扩展性、负载均衡等一系列问题;最后探讨了软件定义网络技术未来的研究发展方向及趋势。     

可编程数据平面下基于DDPG的路由优化方法

针对于数据中心网络不均衡的流量分布,和在使用固定功能交换机的软件定义网络中部署强化学习模型时,不能精确感知网络状态导致的路由决策偏差问题,设计了一种在具有可编程数据平面的软件定义网络中,基于深度确定性策略梯度(DDPG)强化学习模型的路由优化方法.通过在可编程数据平面自定义数据包处理逻辑,获取细粒度、高精度的网络状态参...     

基于软件定义网络的域内路由保护方案研究

软件定义网络（SDN）是一种将控制平面和转发平面分离的新型网络体系结构。由于其灵活性和可控性得到了业界的青睐。然而,目前SDN采用最优路径转发报文,很难应对网络中频繁出现的节点或者链路故障。因此,为了提高SDN网络的可用性,提出了一种基于软件定义网络的域内路由保护方案（intra-domain routing protection scheme based on software defined network,RPBSDN）。该方案可以为网络中的每个源-目的对计算出多个备份下一跳,利用节点加入到最短路径树的偏序关系来保证转发路径没有路由环路。实验结果表明,该方案不仅具有较小的计算复杂度,而且大大提高了网络的可用性。     

一种针对基于OpenFlow的SDN网络中控制层面的DoS攻击研究

针对OpenFlow协议报文交换机制里所有非数据报文均需要通过PACKET_IN报文上传控制器的弱点,提出一种不停查询未知转发地址从而造成SDN网络控制层面资源耗尽的新型DoS攻击方式,同时基于SDN网络可编程性提出检测攻击与降低网络时延的解决策略。首先通过SDN控制器北向应用接口,使用Defense4ALL应用中自定义功能,针对DoS攻击特性检测网络中恶意流量。然后利用控制器动态配置特性,实时更新交换机配置文件,改变网络转发策略,从而减轻攻击对整个网络造成的影响。实验仿真表明,在大规模高速攻击中,该方法的检测成功率接近100%,在攻击源较少的慢速攻击中检测成功率低于80%,整体网络延迟降低10ms以上。所提出的解决策略可以有效减少针对控制平面的DoS攻击对整个网络的干扰。     

A tool for tracing network data plane via SDN/OpenFlow

SDN provides an approach to create desired network forwarding plane by programming applications. For a large-scale SDN network comprised of multiple domains and running multiple controller applications, it is difficult to measure and diagnose the problems of flow tables in data plane. Tracing the forwarding path of SDN is one of effective way for data plane state measurement. Previously proposed methods for debugging SDN were applied to a single administrative domain. There is less effort to trace the flow entries of the data plane in large-scale multi-domain SDN networks. In this paper, we propose a method of software defined data plane tracing in large-scale multi-domain SDN networks. Our method can trace forwarding paths, and get the matched flow entries and other customized trace information. We present the designs compatible with OpenFlow 1.0 and 1.3 switches. The performance and deployment effect are evaluated by simulation test and analysis. It shows that our method has better performance than traditional IP traceroute, and its deployment at about 20% of AS nodes can enable 70% of AS paths to be traceable.     

DoS Attack Detection Based on Deep Factorization Machine in SDN

Software-Defined Network (SDN) decouples the control plane of network devices from the data plane. While alleviating the problems presented in traditional network architectures, it also brings potential security risks, particularly network Denial-of-Service (DoS) attacks. While many research efforts have been devoted to identifying new features for DoS attack detection, detection methods are less accurate in detecting DoS attacks against client hosts due to the high stealth of such attacks. To solve this problem, a new method of DoS attack detection based on Deep Factorization Machine (DeepFM) is proposed in SDN. Firstly, we select the Growth Rate of Max Matched Packets (GRMMP) in SDN as detection feature. Then, the DeepFM algorithm is used to extract features from flow rules and classify them into dense and discrete features to detect DoS attacks. After training, the model can be used to infer whether SDN is under DoS attacks, and a DeepFM-based detection method for DoS attacks against client host is implemented. Simulation results show that our method can effectively detect DoS attacks in SDN. Compared with the K-Nearest Neighbor (K-NN), Artificial Neural Network (ANN) models, Support Vector Machine (SVM) and Random Forest models, our proposed method outperforms in accuracy, precision and F1 values.