SDN环境下基于LightGBM的DDoS流量分类

软件定义网络(SDN)以其高度的网络可编程性和灵活性,通过将控制平面与数据平面解耦,克服了传统网络中存在的问题,近年来成为一种新的网络结构。但由于控制器是SDN的核心部分,因此更容易发生攻击,尤其是分布式拒绝服务攻击(DDoS),已经成为SDN环境的最大安全威胁。分布式拒绝服务(DDoS)攻击会使SDN控制器和交换机流表过载,导致网络性能下降,甚至瘫痪整个网络。检测攻击速度快、精度高,误报率低是解决DDoS攻击的关键。为此,我们通过公开的入侵检测数据集IDS2018,使用LightGBM算法训练DDoS分类模型,实现对正常流量和DDoS攻击流量的分类。对比XGBoost算法,改进后的LightGBM算法分类效果更好。使用虚拟环境Mininet构建SDN拓扑,使用Ryu作为SDN控制器。模拟DDoS攻击并通过sFlow RT收集攻击流量,利用训练好的DDoS流量分类模型进行检测,模型五折交叉验证AUC达到0.81。     

基于嗅探技术的字段操纵攻击研究

软件定义网络(SDN)为网络基础设施提供灵活性、可管理性以及可编程性的同时，引入了诸多新型的攻击向量。该文介绍了攻击者针对OpenFlow关键字段发起的恶意操纵攻击，并设计了3种基于数据包转发时延的嗅探技术以保证字段操纵攻击在真实SDN网络中的可实施性。实验结果表明，字段操纵攻击严重消耗了SDN网络资源，进而导致合法用户之间的通信性能明显降低。     

全要素SDN指纹攻击及其模糊混淆防御机制研究

软件定义网络（Software-Defined Networking，SDN）的"三层两接口"架构使攻击者可以通过分析数据包往返时延分布规律推测网络类型、控制器类型及关键流规则等指纹信息.目前SDN指纹攻击及其防御研究基本处于空白状态，为此，本文系统构建了全要素SDN指纹攻击链，并在双重时间维度分别设计了概率加扰和控制器混淆调度防御机制，通过渐变概率加扰与最优混淆调度协同提升SDN指纹信息隐藏度.实验结果表明该机制能够在有效隐藏SDN指纹信息的同时减少对网络性能的影响.     

基于SDN的云数据中心网络

随着云计算技术的发展和成熟,传统网络架构和技术已经难以适应云数据中心的发展.SDN技术为云数据中心网络部署提供了新的解决方案,被认为是云数据中心网络架构的未来演进方向.本文首先分析了云数据中心发展面临的主要问题和SDN技术特点,然后对比分析业界几种主流的SDN实现方案,考虑技术成熟度和部署难易的问题,深入分析了SDN Overlay方案,最后探讨了云数据中心网络的发展趋势.     

基于贝叶斯攻击图的SDN安全预测方法

现有研究者采用威胁建模和安全分析系统的方法评估和预测软件定义网络（software defined network, SDN）安全威胁,但该方法未考虑SDN控制器的漏洞利用概率以及设备在网络中的位置,安全评估不准确。针对以上问题,根据设备漏洞利用概率和设备关键度结合PageRank算法,设计了一种计算SDN中各设备重要性的算法;根据SDN攻击图和贝叶斯理论设计了一种度量设备被攻击成功概率的方法。在此基础上设计了一种基于贝叶斯攻击图的SDN安全预测算法,预测攻击者的攻击路径。实验结果显示,该方法能够准确预测攻击者的攻击路径,为安全防御提供更准确的依据。     

基于贝叶斯攻击图的SDN入侵意图识别算法的研究

针对目前已有的软件定义网络（SDN）安全预测方法中未考虑攻击代价以及控制器漏洞对SDN安全所产生的影响,提出了一种基于贝叶斯攻击图的SDN入侵意图识别算法。利用PageRank算法求出设备关键度,并与漏洞价值、攻击成本、攻击收益以及攻击偏好相结合构建攻击图,建立风险评估模型,对入侵路径进行预测。通过实验对比可以看出,所提模型能更准确地预测入侵路径,有效地保证安全预测的准确性,并为SDN的防御提供依据。     

融合DDoS威胁过滤与路由优化的SDN通信质量保障策略

提出了将DDoS威胁识别与路由优化有机结合的软件定义网络(SDN)通信质量保障策略,即在DDoS攻击造成部分网络链路拥塞的情况下,对异常数据分组进行识别过滤,同时生成最优路径,以保障网络通信质量.首先,设计了一种SDN架构下的分布式入侵检测系统,实现了对欺骗报文、异常报文以及破坏报文3类DDoS威胁的检测识别和过滤处理.其次,实现了一种最优路径的生成算法.实验测试结果表明,部署了通信质量保障策略的SDN可有效识别并滤除DDoS攻击数据分组,且处理过程中网络平均传输时延无激增.     

一种基于软件定义网络的通信网络保护方法

为了应对互联网数据传输过程中的分布式拒绝服务攻击(DDoS),提高互联网数据传输的安全性,通过对SYN泛洪 攻击机理进行分析研究,提出应对SYN泛洪攻击较为有效的软件定义网络(SDN)防御机制,分析其防御机理,建立 SDN信息熵计算模型,并构建了实际仿真计算实验环境, 研究结果证明SDN能够较为快速有效的对SYN泛洪攻击进行防御,同时能够对类似于SYN攻击的其他DDoS攻击进行有效防御。     

中国移动为何推动5G与SDN/NFV协同发展

随着近代生活节奏的加快,网络的普及程度极大提高,人们对于网络的依赖性逐渐增强,也就对网速的要求越来越高,升级5G网络,联系SDN/NFV协同发展已经成为网络发展的潮流,本文从5G网络的发展方向与SDN/NFV的关系探究中国移动推动5G与SDN/NFV协同发展的必要性.     

SDN环境下基于条件熵的DDoS攻击检测研究

随着软件定义网络(SDN)研究的发展,其安全性越来越受到重视。由于集中控制和软件可编程的特点,使得SDN容易遭受分布式拒绝服务攻击(DDo S)攻击的威胁。针对基于信息熵的DDo S攻击检测方法的改进,文章提取了流表项中的TTL和源IP地址,得到相同TTL值下源IP地址的条件熵,进一步使用滑动窗口非参数CUSUM算法来分析熵值变化以检测DDo S攻击,最后运用仿真实验验证了其有效性。该方法拥有更低的误报率和更高的敏感度,占用资源少,检测速度快,非常适合SDN环境。     

SDN技术在城域传送网中的应用研究

主要描述了SDN技术在城域传送网中的应用。介绍了SDN技术的核心思想、体系架构和应用于现有传送网络的驱动力和切入点,对下阶段SDN技术在城域传送网的应用发展作了展望。     

基于SDN的光传送网研究

SDN作为目前通信行业热门技术,主要利用控制和数据相分离的思想,对网络和业务进行可编程,从而解决目前互联网技术的快速发展下带来的宽带需求量大、建设成本高、调度不灵活等问题,虽然SDN的网络演进还处于初级阶段,但SDN对整个光传送网带来的影响仍需要积极研究。     

FMD: A DoS mitigation scheme based on flow migration in software‐defined networking

Software‐defined networking (SDN) emerges as the next generation of networking architecture, aiming to improve the network manageability and adaptability. However, because of the centralized control policy, SDN is liable to suffering from the denial of service attack in both the data plane and the control plane. To resist the attack and prevent the network from being paralyzed, we propose a novel mitigation scheme named flow migration defense, which uses a slave controller as a substitution to endure flooding requests mitigated from the master controller. Considering the special case that the normal requests may be regarded as the malicious ones, these requests are reforwarded back to the master controller on the basis of the round‐robin scheduling. To prevent the master controller from being flooded by the reforwarded requests, we design the adaptive rate adjustment method to adjust the reforwarding rate. Compared with multilevel feedback queue and FloodDefender, simulations demonstrate that flow migration defense can mitigate the SDN‐aimed denial of service attack efficiently with a better performance in terms of request response time, packet loss rate, and mitigation time.     

DDoS attack detection and defense based on hybrid deep learning model in SDN

Software defined network (SDN) is a new kind of network technology,and the security problems are the hot topics in SDN field,such as SDN control channel security,forged service deployment and external distributed denial of service (DDoS) attacks.Aiming at DDoS attack problem of security in SDN,a DDoS attack detection method called DCNN-DSAE based on deep learning hybrid model in SDN was proposed.In this method,when a deep learning model was constructed,the input feature included 21 different types of fields extracted from the data plane and 5 extra self-designed features of distinguishing flow types.The experimental results show that the method has high accuracy,it’s better than the traditional support vector machine (SVM) and deep neural network (DNN) and other machine learning methods.At the same time,the proposed method can also shorten the processing time of classification detection.The detection model is deployed in SDN controller,and the new security policy is sent to the OpenFlow switch to achieve the defense against specific DDoS attack.     

基于SDN的移动互联网业务感知监测的解决方案

随着移动互联网应用的蓬勃发展和普及,其业务感知体验已经成为普通用户衡量运营商网络质量的重要因素,实现网络可”自我感知”应用业务质量将变得十分重要。SDN(Software-defined network,软件定义网络)技术未来将在5G网络中,特别是在IP Ran(IP Radio Access Network,IP 无线接入网)网络演进中将扮演重要角色。本文基于此背景,对如何利用SDN技术来实现移动业务感知采集和监测进行了分析讨论,并提出技术方案。通过本方案对移动互联网流量的采集与分析,可以及时定位故障,侦测资源使用情况,合理调度资源,提高资源利用率,进而增加投入产出比。     

基于SDN的宽带接入网用户认证方式研究

通过介绍SDN的层次结构和OpenFlow的工作原理,分析了现有宽带接入业务的2种典型认证方式,讨论了它们在SDN技术构建的宽带接入网中的实现方式、网络结构和优缺点,证明了IPoE认证方式更适合应用于未来的SDN宽带接入网络。     

Method for Overflow Attack Defense of SDN Network Flow Table Based on Stochastic Differential Equation

In order to avoid the overflow problem of network flow table caused by hackers attacking the network in the process of using the network, a method for overflow attack defense of SDN network flow table based on stochastic differential equation is proposed. In this method, the stochastic differential equation is first proposed, and the drift coefficient and diffusion coefficient of the equation are expanded and adjusted by Taylor. By using the limit theorem, the spillover attack of SDN network is weakly converged to an approximate two-dimensional Markov diffusion process, and the improved stochastic differential equation is obtained. Then, according to the stochastic nature of SDN network attack, the stochastic differential equation is transformed into an amplitude equation, which is based on the amplitude. The equation establishes a SDN attack detection scheme based on flow table statistics, which detects the spillover attacks of SDN network flow tables. Finally, according to the test results, it is proposed to use other switches instead of network flow table overflow switches to control the data upload rate, thus reducing the possibility of network crash and meeting the attack defense requirements of flow table overflow. The simulation results show that the proposed method has better detection performance and shorter running time, and can provide help for network security related work.

     

5G网络切片技术研究

网络切片技术作为5G网络演进过程中的一项关键技术,其作为SDN框架体系中的核心内容,能够将网络设备控制面和数据面分离开来处理形成逻辑独立,实现网络流量的灵活控制和智能化网络管理,受到了越来越多的关注和研究。从网络切片技术架构出发,介绍了5G网络切片的建立和UE对网络切片的选择过程。着重分析探讨了当前5G网络切片的研究现状和技术热点,指出了网络切片技术的发展预测和研究趋势,为后续研究和系统演进提供指导。     

IDC系统组网设计探讨

【】：IDC业务近年来发展迅速,组网技术也是多种多样,本文简明扼要的介绍一种代表性规划设计组网方法,能够为快速搭建IDC系统提供参考。文中重点介绍网络安全设备之间的链路如何连接、网络安全设备覆盖流量比例、DPI系统和信息安全系统的对接、SDN技术应用,并提出IDC后台管理系统需要提供的基本功能。     

SDN/NFV技术演进趋势分析

作为未来网络领域的关键技术,SDN/NFV在工业互联网、5G切片、云化电信网络等应用场景先后成熟。2019年,SDN/NFV技术正式进入v2.0发展阶段。梳理了SDN/NFV技术的演进历程,归纳了其v2.0阶段的整体架构和关键技术,给出了我国产业界发展的建议。