共查询到18条相似文献,搜索用时 513 毫秒
1.
软件定义网络(Software-Defined Network,SDN)是一种新兴的网络架构,完全解耦了数据平面与控制平面。控制平面集中制定并下发全网决策,数据平面单纯负责数据转发。通过控制平面的开放接口,SDN实现了网络的可编程性。在未来SDN大面积部署应用的过程中,各个平面的性能优化技术将面临诸多挑战。首先,分析了SDN架构中控制平面和数据平面的性能优化技术的发展现状。其次,总结了各平面性能优化过程中所面临的问题。最后,展望了SDN性能优化方面的未来研究趋势。 相似文献
2.
3.
4.
5.
在传统网络中,集成多种网络功能的控制平面和负责转发数据包的数据平面是紧密耦合的,并且通常嵌入在一个专用设备中,这严重限制了网络管理的灵活性和网络服务的创新性。软件定义网络(Software-Defined Networking,SDN)作为一种新型的网络范式,通过将控制平面与数据平面解耦克服了传统网络架构的不足。研究人员凭借全网视图可见性以及对网络设备直接编程的能力提出了诸多SDN应用场景,如数据中心网络、云和广域网。然而SDN带来的灵活性、可管理性以及可编程性等优点是以引入新的安全挑战为代价。本文聚焦SDN网络中的资源消耗型攻击,首先分层整理了SDN网络中的关键资源以及攻击目标,然后对控制平面、控制通道和数据平面存在的多种资源消耗型攻击以及现有防御机制做出了详细的分析和归纳,最后对未来的研究工作进行了展望,并提出了一些潜在的研究方向。 相似文献
6.
近两年分布式拒绝服务攻击(Distributed Denial of Service,DDoS)以平均26%的速率增长,是网络安全的严重威胁之一。论文提出一种适用于软件定义网络(software-define-network,SDN)的DDoS实时入侵检测与即时防御方法RT-XB(Real-Time XGBoost-Bloom Filter)。该方法首先在SDN数据平面使用P4编程,以自定义的方式进行数据包收集;然后对其提取攻击特征向量并做必要的优化处理;再后使用极限梯度增强(extreme gradient boosting,XGBoost)算法构建分类器识别异常数据包,并由此确定攻击源;最后在数据平面构建攻击数据包特征的BF(Bloom Filter)实现对后续攻击数据包的快速识别,并通过修改流表匹配动作的方式做出即时防御。实验结果显示,与现有同类方法相比,RT-XB充分整合了SDN和机器学习的优点,不仅实时检测效率高,假阳性率可控,而且即时防御功能较强。 相似文献
7.
传统软件定义网络(SDN)中的分布式拒绝服务(DDoS)攻击检测方法需要控制平面与数据平面进行频繁通信,这会导致显著的开销和延迟,而目前可编程数据平面由于语法无法实现复杂检测算法,难以保证较高检测效率。针对上述问题,提出了一种基于可编程协议无关报文处理(P4)可编程数据平面的DDoS攻击检测方法。首先,利用基于P4改进的信息熵进行初检,判断是否有可疑流量发生;然后再利用P4提取特征只需微秒级时长的优势,提取可疑流量的六元组特征导入数据标准化—深度神经网络(data standardization-deep neural network,DS-DNN)复检模块,判断其是否为DDoS攻击流量;最后,模拟真实环境对该方法的各项评估指标进行测试。实验结果表明,该方法能够较好地检测SDN环境下的DDoS攻击,在保证较高检测率与准确率的同时,有效降低了误报率,并将检测时长缩短至毫秒级别。 相似文献
8.
随着软件定义网络的大规模应用,软件定义网络的安全性显得愈发重要。基于异构思想的容错控制平面作为一种重要的防御思路,近年来越来越引起研究者的注意。但是现有容错控制平面的研究中忽视了异构原件中的同构漏洞问题,这大大降低了容错控制架构对软件定义网络的安全收益。从异构原件中的同构漏洞出发,首先分析了同构漏洞对控制平面的安全影响,然后以此为基础对容错控制平面的容忍能力进行量化,构造出一个最大化容忍能力的控制平面布局方法。实验仿真证明了所提方法可以有效降低控制平面的故障概率,攻击者在对基于所提方法构造的控制平面进行攻击时,需要花费更多的攻击成本才可以瘫痪控制平面。 相似文献
9.
10.
近年来,人工智能(Artificial Intelligence,AI )以强劲势头吸引着学术界和工业界的目光,并被广泛应用于各种领域.计算机网络为人工智能的实现提供了关键的计算基础设施.然而,传统网络固有的分布式结构,往往无法快速、精准地提供人工智能所需要的计算能力,导致人工智能难以实际应用和部署.软件定义网络(Software Defined Networking,SDN)提出集中控制的理念,中央控制器能够按需快速地为人工智能适配计算能力,从而实现其全面部署.将人工智能与SDN网络相结合,实现智能化软件定义网络,既可以解决棘手的传统网络问题,也能够促进网络应用创新.因此,本文首先研究将人工智能应用于软件定义网络所存在的问题,深入分析基于人工智能的SDN的优势,说明软件定义网络与人工智能结合的必要性.其次,自底向上的从SDN的数据平面、控制平面和应用平面角度出发,思考了不同网络平面与人工智能的结合.通过描述智能化软件定义网络的相关研究历程,介绍了智能软件定义网络在路由优化、网络安全和流量安全三方面的关键技术和面对的挑战.最后结合其他新兴领域说明智能软件定义网络的优势和前景,并对未来研究工作进行了展望. 相似文献
11.
12.
针对软件定义网络(SDN)的数据平面数据泄露问题、提出一种新的基于OpenFlow协议的数据安全处理机制。首先,重构OpenFlow协议的流表结构,设计实现包括安全匹配字段、安全动作在内的OpenFlow数据安全策略;然后,设计中心化管理控制器,通过开发的多个功能模块使控制器及时感知网络变化,有效管控全局网络,维护和下发数据加(解)密密钥、数据安全策略;其次,深度重构开放虚拟交换机OVS架构,设计实现数据安全策略匹配和数据安全处理的完整流程,编写数据净载信息提取接口,通过开发的多个功能模块使OVS能够根据数据安全策略细粒度匹配数据包,并对匹配成功的数据包进行完整数据安全处理操作;最后,搭建软硬件平台,对该机制的加解密处理结果和延时、吞吐量以及CPU使用率进行测试。实验结果表明:该机制可以准确对数据进行加解密操作,延时和吞吐量均处于正常水平;但CPU使用率在45%~60%浮动,开销较大,有待后续优化。 相似文献
13.
14.
SDN(Software Defined Networking,软件定义网络)是一种新型的网络架构,是网络实现自动化部署灵活管理的一个重要方式。SDN技术将网络的数据平面和控制平面相分离,从而实现了网络流量的灵活控制。因此,基于SDN技术提出了一种基于SDN网络的安全设备路由模型,该模型结合改进的内嵌式安全设备最短路由算法和旁路式最短路由算法及神经网络最短路由算法,得到一种高效的安全设备路由策略,并且在此基础上构建了一个网络安全服务调度系统,能够在安全设备混合部署的复杂网络环境中,按用户需求提供个性化的安全服务;同时,通过计算较低网络成本的最短安全路径,提高了网络的路由效率和资源利用率。 相似文献
15.
郁峰 《电脑与微电子技术》2014,(16):13-20
随着网络业务的多元化与网络基础服务能力的不断提升,企业网、云计算、数据中心等大量新兴应用场景迅速丰富,传统网络已不能满足其不断涌现的可扩展性、可管理性及安全保障等新需求,这一现状有力地推动以SDN为代表的当代网络架构的发展。然而随着学术界与产业界对SDN技术的研究及其设备的普及,安全问题逐渐成为制约其进一步发展的关键因素之一。针对SDN架构的技术发展背景进行分析,然后简析SDN技术的核心架构原理及目前的发展现状;结合SDN架构特点,针对其安全特性及其所面临的安全威胁进行详细分析,并深入讨论SDN网络安全研究的范畴与新兴发展方向。 相似文献
16.
传统网络安全架构通过将流量引导经过硬件形式的网络安全功能设备来保障网络安全,该架构由形式固定的硬件组成,导致网络安全区域部署形式单一,可扩展性较差,在面对网络安全事件时无法灵活地做出调整,难以满足未来网络的安全需求。面向网络安全资源池的智能服务链系统基于软件定义网络与网络功能虚拟化技术,能够有效解决上述问题。基于网络功能虚拟化技术新增虚拟形式的网络安全功能网元,结合已有的硬件网元构建虚实结合的网络安全资源池,并基于软件定义网络技术实现对连接网元的交换设备的灵活控制,从而构建可动态调节的网络安全服务链;基于安全日志检测与安全规则专家库实现对网络安全事件的检测与生成对应的响应方案,从而能够在面对网络安全事件时通过集中式控制的方式实现服务链的动态智能调节;对服务链的部署过程进行数学建模并设计了一种启发式的服务链优化编排算法,实现服务链的优化部署。通过搭建原型系统并进行实验,结果表明,所设计系统能够在面对安全事件时在秒级时间内完成安全事件的检测,并能够在分钟级时间内完成对安全服务链的自动调整,所设计的服务链优化部署算法能够将服务链对虚拟安全资源池中资源的占用降低 65%。所设计系统有望运用于园区与数据中心网络出口处的网络安全区域,简化该区域的运维并提高该区域的部署灵活度。 相似文献
17.
In recent years, the widespread TCP/IP computer network model has been replaced by the software-defined network model, where the control plane is separated from the data plane and is logically centralized. The new model requires a revision of traditional network control protocols. One group of such revised protocols consists of multicast routing protocols. In this paper, the multicast routing protocols used in traditional TCP/IP networks are analyzed, and their basic disadvantages and difficulties in their application in software-defined networks are revealed. Multicast routing algorithms that use the capabilities of software-defined networks and ensure the optimization and reliability of routes in multicast routing are described. These algorithms are exempt from the drawbacks of traditional networks. The proposed algorithms are implemented as an application for the RunOS controller. This experimental study shows that the delays due to the use of the proposed algorithms for restructuring routes satisfy the requirements of telecommunications operators of large regional networks. 相似文献
18.
在软件定义广域网(SD-WAN)中, 链路故障会导致大量丢包, 严重时会引起部分网络瘫痪. 现有的流量工程方法通过在数据平面提前安装备份路径能够加快故障恢复过程, 但在资源受限的情况下难以适应各种网络故障情况, 从而使恢复后的网络性能下降. 为了保证网络在故障恢复之后的性能并减少备份资源的消耗, 本文提出一种基于拥塞及内存感知的主动式故障恢复方案(CAMA), 不仅能够将受影响数据流进行快速重定向, 还能实现负载均衡避免恢复后潜在的链路拥塞. 实验结果表明, 与已有方案相比, CAMA能有效利用备份资源, 在负载均衡上有较好的性能, 且仅需少量备份规则即可覆盖所有单链路故障情况. 相似文献