应对DDoS攻击的SDN网络安全特性研究

软件定义网络将传统封闭的网络体系解耦为数据平面、控制平面和应用平面,实现网络的集中控制与管理,其突出特点是开放性和可编程性。本文重点研究SDN网络的安全特性,首先讨论SDN的发展现状,并展示如何通过利用SDN功能来解决网络安全中的一些长期问题。然后,描述了SDN面临的新的重要安全威胁-DDo S攻击,并讨论可用于预防和减轻此类威胁的可能技术。     

安全可控的SDN技术研究

自主创新,建设安全可控的网络是我国信息化建设的重要内容。自主安全可控的网络建设的核心思想是在采用自主国产网络设备组网的基础上通过自定义、可编程方式实现数据底层传输和上层控制的分离,进而提升网络设备运行和网络维护效率,增强网络的安全性、可管理性。本文在分析目前网络架构风险的基础上,基于SDN技术设计了一种自主安全可控的网络,并对技术原理、实现方案进行了详细论述。     

基于拟态防御的SDN控制层安全机制研究

软件定义网络（Software-Defined Networking,SDN）的集中式管控为网络带来了创新与便利,但主控制器被赋予了足够的管理权限,仅依赖其自身内部的防御技术,难以确保其不发生异常,以独裁的能力来危害整个网络。本文提出基于拟态防御的SDN控制层安全机制,以一种多样化民主监督的方式,使用多个异构的等价控制器同时处理数据层的请求,通过对比它们的流表项来检测主控制是否存在恶意行为。其中,重点研究了如何在语义层面对比多个异构控制器的流表项,以解决它们在语法上的差异化问题。该安全机制不依赖于对恶意行为的先验知识,实验结果验证了它检测恶意行为是有效的,同时具有较好的性能。     

基于虚拟化安全网络扩展的SDN安全架构

采用控制、转发分离架构的软件定义网络（SDN）为网络的可编程性与开放性提供极大便利,但也给网络的安全性带来诸多挑战。提出一种虚拟安全网络（Virtualized Security Networks）与数据层中间盒扩展相结合的SDN安全架构,给出该架构的实现要点,并以实验验证其架构实现。测试表明该架构较其他方式具有更好的性能与可扩展性,同时其更有利于传统网络环境下的安全保障机制面向SDN网络架构的过渡迁徙。     

面向SDN数据平面故障恢复的备份机制

软件定义网络(SDN)作为一种新型的网络架构,通过将网络设备的控制平面与数据平面分离开来,实现了对网络的灵活控制。由于数据平面承担着数据转发的重要任务,直接影响着网络的正常通信,因此一旦网络中发生故障,保证数据平面的正常运行显得尤为重要。本文设计了一种面向数据平面的备份机制,将保留最后全局一致的流表版本作为热备份,同时把常驻流表以文件的形式存储在交换机中作为冷备份,两者结合的备份机制提高了数据平面在故障发生下的生存能力。通过搭建实验平台对该机制进行验证,证明了机制的有效性,保障了通信的正常进行,在故障快速恢复和降低备份资源开销上也均有一定优势。     

基于SDN的OpenFlow交换机数据包流水线处理机制

目前,软件定义网络(Software Defined Networking,SDN)已成为网络研究与开发的重点,但相关的研究与开发工作还仅仅局限于园区网络和数据中心网络等。由于SDN控制层与数据层处理效率的限制,SDN面向互联网这样超大规模网络的研究还基本处于空白阶段。为了提升SDN的性能以使其适应大规模网络的特点,挖掘SDN数据层中并行加速处理的可能性,提出了将流水线技术应用到SDN数据层中交换机对数据包的转发过程。另外,结合SDN南向接口OpenFlow协议提供的交换机工作规范,设计了适用于OpenFlow交换机数据包转发的三级流水线处理机制。仿真实验说明,将流水线应用到SDN中能有效加快OpenFlow交换机的数据包转发速度。     

基于OpenFlow的SDN网络安全分析与研究

基于Open Flow的SDN技术将网络的数据平面和控制平面相分离,通过部署中央控制器来实现对网络的管控,为未来网络的发展提供了一种新的解决思路。然而,这种新型网络管控方法与传统网络在分布式控制平面上通过封闭网络设备进行管控的方法有着根本区别,因而在实现集中化管理的同时将引入新的管理和安全问题。文章首先介绍了其三层架构的自身缺陷和可能存在的安全问题,并从SDN架构的基础设施层、南向接口、控制层、北向接口和应用层等几个方面分别进行分析,总结出SDN不同层次存在安全问题的原因;随后,文章从认证机制、控制层的备份和恢复、网络异常识别和防御机制、应用隔离和权限管理等四个方面总结了当前的相关研究进展和研究思路,并提出了可行的解决方案;最后,对全文进行总结和展望。     

一种串口安全模块的设计与实现

针对目前移动计算机系统信息存储和传输安全水平较低的缺陷，该文结合具体应用，提出了一种串口安全模块的设计方案，实现了安全模块设置、信息加/解密、自毁等功能。该方案已经应用于某手持计算机项目中，增加的串口安全模块满足了移动计算机系统中无线通信和存储信息的安全性需求。     

基于流量调度的SDN数据中心网络拥塞控制算法

针对采用软件定义网络(SDN)的数据中心网络拥塞的问题,提出一种基于流量调度的数据中心网络拥塞控制算法。当链路发生拥塞时,该算法首先判别拥塞链路中 链路上关键度最大的大流,然后对大流进行重路由计算,选择调度开销最小的流,并进行调度代价计算,最后对调度代价最小的流进行调度。实验结果表明,所提算法能够有效缓解网络拥塞,降低丢包率,提高链路利用率,使得网络性能更为稳定。     

基于区块链的软件定义网络数据帧安全验证机制

为构建安全高效的网络环境,必须对伪造、受篡改数据帧进行有效的识别与过滤。然而,在软件定义网络（SDN）中,现有的安全验证机制通常在验证设备受到攻击或恶意控制时无法有效运行。为解决上述问题,提出了基于区块链的SDN数据帧安全验证机制。首先,设计帧转发证明（PoFF）共识算法并以此为基础建立轻量型区块链系统;然后,基于该系统构建针对SDN数据帧的安全验证体系;最后,提出可灵活调节的半随机选择验证模式以兼顾验证效率与资源开销。仿真结果表明,在同等比例的交换机被恶意控制情况下,所提机制的漏检概率较基于哈希链的验证机制有明显降低。其中,当受控交换机占比为40%时,降低效果尤其显著：此时所提机制在基本验证模式下的漏检概率低于32%,在辅助以半随机验证后可进一步降到7%,均远低于基于哈希链的验证机制72%的漏检概率;且所提机制引入的资源开销与通信代价在合理范围内。此外,即使在SDN控制器完全失效情况下,所提机制仍可保持良好的验证性能与效率。     

软件定义网络中交换机处理时延的仿真

针对目前的网络仿真工具在对软件定义网络(SDN)的仿真过程中,未考虑交换机的处理时延的问题,提出一种处理时延的仿真方法,目的是为了使仿真结果更加真实和准确。该方法首先将交换机的转发处理过程分解为对流表的查询操作和执行不同的动作;然后,利用交换机的处理器频率和访存周期,将查询流表和执行动作转换为处理时间。实验中测量了真实环境中不同配置的交换机处理时延,并与利用该方法仿真出的处理时延进行对比。实验结果表明,利用该方法仿真出的处理时延和真实交换机的处理时延基本一致,该方法能够较准确地仿真交换机处理时延。     

基于软件定义网络的云平台入侵防御方案设计与实现

针对传统的入侵防御系统是串联在网络环境中,处理能力有限且易造成网络拥塞的问题,面向云计算应用,设计了一种基于软件定义网络（SDN）的入侵防御方案。首先,在OpenStack平台中集成了SDN控制器。然后,利用控制器的可编程特性,设计了入侵检测和控制器的联动机制,实现了入侵防御功能。联动机制实现原理是在入侵检测系统检测到入侵时把入侵信息传给控制器,控制器下发安全策略到虚拟交换机,达到过滤入侵流量、动态阻止入侵行为的目的。最后,通过实验将所提方案与传统入侵防御方案相比较,对比分析结果表明,相比传统方案能成功检测85%入侵（攻击速率为12000 packet/s）,所提方案的入侵检测效率在90%以上（攻击效率为40000 packet/s）,可以用于提高云环境下入侵防御的检测效率。     

面向软件定义网络架构的入侵检测模型设计与实现

针对传统入侵检测方法无法检测软件定义网络（SDN）架构的特有攻击行为的问题,设计一种基于卷积神经网络（CNN）的入侵检测模型。首先,基于SDN流表项设计了特征提取方法,通过采集SDN特有攻击样本形成攻击流表数据集;然后,采用CNN进行训练和检测,并针对SDN攻击样本量较小而导致的识别率低的问题,设计了一种基于概率的加强训练方法。实验结果表明,所提的入侵检测模型可以有效检测面向SDN架构的特有攻击,具有较高的准确率,所提的基于概率的加强学习方法能有效提升小概率攻击的识别率。     

基于软件定义网络的虚拟数据中心管理平台

针对已有虚拟数据中心（VDC）管理平台具有代码固化、后续升级困难等缺陷,设计和实现一种基于软件定义网络（SDN）的VDC管理平台。该平台由VDC管理子系统（VDCM）、VDC计算资源控制子系统（VDCCRC）和VDC网络资源控制子系统（VDCNRC）组成,子系统之间通过RESTful API交互建立起松耦合架构。VDCNRC通过SDN控制器管理数据中心网络资源,VDCCRC通过开源云平台管理数据中心计算资源,VDC管理子系统中内置VDC管理算法框架,可快速开发适用于实际生产环境的VDC管理算法。使用Mininet、Openstack、Floodlight搭建了测试环境,验证了该平台可通过Openstack来控制虚拟机的启动、迁移和删除,可通过Openflow控制器实现VDC网络带宽资源隔离,并支持VDC创建、删除和修改等操作。     

基于软件定义网络的可靠性虚拟网络映射保障机制

在软件定义网络（SDN）虚拟网络映射中,现有研究者主要考虑请求接受率方面,而忽视了SDN中底层资源失效的问题。为此,针对SDN中可靠性虚拟网络映射（SVNE）问题,提出了一种联合先验式保护和后验式恢复的虚拟网络映射保障机制。首先,在虚拟请求接受之前,对SDN物理网络区域性资源进行感知;然后,采用先验式保护机制为映射域内相对剩余资源变小的虚拟网络元素预留备份物理资源,并将此扩展虚拟网络通过D-ViNE算法映射至物理网络中;最后,在未备份虚拟网络元素发生故障时,采用后验式恢复算法完成故障的恢复,对节点和链路分别采用重映射和重路由的方法完成恢复。实验结果表明,与基于SDN的生存性虚拟网络映射算法（SDN-SVNE）相比,在虚拟请求接受率方面提高了21.9%。另外,该保护机制在虚拟级别故障恢复率、物理级别故障恢复率等方面也具有优势。     

软件定义网络中控制数据平面一致性的验证

针对软件定义网络(SDN)中控制层网络策略与数据层流规则不一致的问题，提出了验证控制与数据平面的一致性(VeriC)检测模型。首先，通过交换机上的VeriC管道实现数据包处理子系统的功能：对数据包进行采样，采样数据包经过交换机时，对其中的标签字段进行更新；然后，更新完成后将标签值发送到服务器并保存在实际标签值组；最后，将实际标签值组与已保存的正确标签值组一起发送到验证子系统，进行一致性验证，若不通过，则进一步将两组标签值发送到定位子系统，找出流表项发生错误的交换机。通过ns-3模拟器生成一个含有4 Pod的胖树拓扑，在其中VeriC的一致性检测和故障交换机定位的准确度高于VeriDP，并且VeriC的总体性能高于2MVeri模型。理论分析和仿真结果表明，VeriC检测模型不仅能够进行一致性检测，对错误交换机进行精确定位，而且定位故障交换机所用的时间少于对比检测模型。     

软件定义车联网的数据转发策略和路由选择技术

针对目前车联网（VANET）数据转发效率低的问题,提出了软件定义网络（SDN）的数据转发策略和路由选择技术。首先,采用了软件定义车联网的分层控制结构,由局部控制器和全局控制器组成,实现数据转发和控制分离,可灵活控制数据转发的方向;然后,设计了单条路段的车辆路由机制,该机制预测车辆节点位置并采用贪心策略,实现数据的稳定传输;其次,设计了多个需求间的路段路由机制,该机制采用广度优先搜索（BFS）算法和边集相结合的方式,实现多个需求间路径不相交,缓解带宽瓶颈问题;最后,通过仿真验证,对比无线自组网按需平面距离向量（AODV）路由,所提出的数据转发策略和路由选择算法在数据分组接收率上提高40%以上,平均延迟时间降低60%左右。实验结果表明,软件定义车联网的数据转发策略和路由选择技术能够提高数据转发效率,减少平均收包延时。     

基于软件定义网络的反嗅探攻击方法

网络嗅探攻击中,攻击者从网络节点或链路捕获和分析网络通信数据、监视网络状态、窃取用户名和密码等敏感信息。在攻击发生时,攻击者通常处于静默状态,传统的网络防护手段如防火墙、入侵检测系统（IDS）或入侵防御系统（IPS）很难发现并有效抵御攻击。从网络结构入手,提出基于软件定义网络（SDN）的动态路径跳变（DPH）通信机制,依据空间和时间约束条件,动态改变通信节点之间的路径,宏观上将通信流量相对均匀地分布在多条传输链路中,增加网络嗅探攻击中获取完整数据的难度。实验仿真结果说明,在一定的网络规模下,动态路径跳变能够在不明显降低网络传输性能的条件下有效防御嗅探攻击。     

基于软件定义网络的分层式控制器负载均衡机制

针对软件定义网络（SDN）多控制器负载均衡过程中控制器之间通信开销大以及控制器吞吐量低等问题,提出一种分层式控制器负载均衡机制。基于分层式架构,通过超级控制器与域控制器协作完成负载均衡,并采用预定义负载阈值以减少域控制器与超级控制器之间的消息交换开销;同时,该机制可以有效选择出过载最重的域控制器,并从该过载域控制器所控制的交换机中选取多个符合迁移标准的交换机,将其同时分别迁移到多个综合性能高的域控制器上,从而解决多控制器间负载不均衡问题。实验结果表明,与层次式SDN控制器协同负载均衡方案（COLBAS）以及用于控制器负载均衡的动态和自适应算法（DALB）相比,所提机制系统的消息数量降低了约79个百分点,且该系统的吞吐量分别比DALB、COLBAS分别提高了约8.57%、52.01%。所提机制能够有效降低通信开销,并提高系统吞吐量,有更好的负载均衡效果。