基于SDN的家用路由器安全审计工具

在僵尸网络等威胁的环境下,本文提出了一种基于OpenFlow协议的无线路由器安全审计功能的设计与实现,旨在于通过计算信息熵检测路由器的流量是否存在异常,并将检测系统置于软件定义网络（software defined network,SDN）架构下,实现控制、展示功能.实验结果表明,整个系统能在明显检测网络中的DDoS攻击的前提下,使整个系统的运行内存仅有8 MB,网络负载仅有2.67%.      

探讨SDN流表的回溯式负载均衡技术应用与优化

SDN软件定义网络是新型的网络架构,体现出良好的转发与控制解耦、集中控制等特性,较好地解决流量不均衡分布而引发的热路径瓶颈问题,对于解决网络流量不均衡分布而引发的热路径问题有重要的作用。为此,本文重点探讨和研究基于SDN流表的回溯式负载均衡技术,构建基于SDN流表的回溯式负载均衡系统,提升网络路径负载均衡的适应性。     

软件定义网络中OpenFlow流表空间优化技术研究进展

OpenFlow是软件定义网络(SDN)南向通信标准协议,SDN控制平面为北向通信提供编程接口,通过OpenFlow向数据平面下发流表表项实现路由管理、流量调度等功能.针对OpenFlow流表空间有限性和有效性问题,从硬件、软件、软硬件结合方面对当前OpenFlow流表空间优化技术进行比较分析,归纳并阐述流表存储机制改进、基于软件的流表扩容和流表超时时间管理3种优化方案,最后总结并展望流表空间优化未来的方向.     

SDN网络中基于流特征值的DDoS攻击检测方法

DDo S攻击对互联网信息安全构成严重威胁,是网络空间安全领域研究的重要热点。通过对比传统网络环境及软件定义网络环境的攻击检测研究,提出基于软件定义网络的流特征值的DDo S攻击检测判断研究。利用SDN控制器的集中控制特性,提取流表中的与DDo S相关的六元组特征值信息,进行DDo S攻击检测判断研究。     

基于蜜罐技术的网络主动防御系统研究

从主动防御的角度研究网络安全策略,介绍了网络安全主动防御系统结构及系统设计中入侵诱骗系统、入侵行为重定向、日志服务器控制等部件的关键实现技术,通过把网络安全主动防御系统与传统的防火墙和入侵检测系统联动,架构基于蜜罐技术的网络安全主动防御系统,将入侵者的入侵行为引入一个可以控制的范围,研究其使用的方法和技术,动态采取相应的防范措施.实验表明,基于蜜罐技术的网络主动防御策略可以有效地抵御来自网络外部的攻击和内部的威胁,实现了网络安全的综合防御,极大地提升了网络安全.     

针对SDN基础设施的拒绝服务攻击防护框架

为了进一步缓解针对SDN基础设施的典型拒绝服务攻击(数据-控制平面饱和攻击),提出了一种控制器和交换机协作式的安全防护框架,即FloodShield.在该攻击中,攻击者通过洪泛伪造数据包,使数据平面产生大量表项缺失和packet-in数据包,从而消耗SDN基础设施不同层次的资源:数据平面的TCAM资源、控制通道的带宽资源和控制器的CPU资源等.通过对这种攻击的详尽分析,提出并设计了易部署、全面性和轻量化的FloodShield防护框架.该框架主要使用了2个关键技术:1)源地址验证,用于在数据平面过滤源地址伪造的数据包;2)有状态数据包监控,用于监控源地址真实流量的状态,并基于流量评价打分和网络资源使用量采用动态的防护措施.实验结果表明,相比于之前的防护框架,FloodShield在消耗更少系统资源的同时,对SDN架构的数据平面、控制通道和控制平面都提供了有效的保护.     

结合信息熵的多Agent网络安全审计模型

针对目前网络安全审计中存在网络日志数据分析的智能性不高及安全审计模型采用的集中式结构负担重等缺点,设计一种新的多Agent网络安全审计模型,并在该模型中引入一种改进的基于信息熵的攻击检测算法.在实际运行环境中,通过对DDoS等攻击行为进行模拟和成功检测,证明该改进模型能够有效审计部分网络入侵,提高安全审计效率和日志数据...     

链路洪泛攻击的SDN移动目标防御机制

针对Crossfire分布式拒绝服务(distributed denial of service,DDoS)攻击,该文提出一种基于软件定义网络(software defined network,SDN)的攻击防御机制。在对Crossfire攻击分析基础上,设计一个SDN流量层级的集中监测及分流控制模型并部署到防御机制中,利用SDN的重路由策略疏解被攻击链路的拥塞负载,通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。利用SDN的移动目标防御(mobile target defense,MTD)机制动态调整网络配置和网络行为并诱使攻击者对攻击流量进行调整,提高诱饵服务器对攻击的检测效率。实验结果表明:该机制可以有效防御Crossfire攻击且SDN的防御机制和重路由策略不会造成显著开销。     

软件定义网络DDoS联合检测系统

分布式拒绝服务(distributed denial-of-service,DDoS)攻击已成为网络安全的最大威胁之一。传统的对抗方式如入侵检测、流量过滤和多重验证等,受限于静态的网络架构,存在明显的缺陷。软件定义网络(software-defined networking,SDN)作为一种新型动态网络体系,其数控分离、集中控制与动态可编程等特性颠覆了现有的网络架构,为对抗DDoS攻击提供了新的思路。现有基于SDN的DDoS防护方案处于研究的起步阶段,且存在较多问题。针对现有方案中检测周期过小将导致系统开销大的问题,该文提出由触发检测和深度检测相结合的DDoS联合检测方案,将低开销、粗粒度的触发检测算法与高精度、细粒度的深度检测算法相结合,在保障高检测精度的前提下降低了系统的复杂度;同时,在Mininet平台上实现了基于SDN的DDoS攻击检测系统,设计实验对系统进行测试和评估。实验结果表明:该系统具有开销小、检测准确率高的特性,实用价值较强。     

基于Flume的网络安全可视化系统

随着互联网使用者的快速增长,网络安全问题也不断增多.传统的基于日志的入侵检测系统在处理海量信息时存在着实时性不足,认知负担过重等缺点.本文提出了一种基于Flume的网络安全日志可视化方法,利用Flume处理日志信息的高效性,实时收集网络安全日志,结合数据可视化方法,挖掘隐藏的网络异常信息.与传统的基于数据库存储的安全分析相比,提高了数据处理的实时性,能够更直观的展现网络网络异常.     

基于OpenFlow的SDN网络环境下DDoS攻击检测系统

为了在软件定义网络(SDN)环境中有效解决分布式拒绝服务攻击(DDoS)的问题,提出了一种主被动结合、统计流表特征的DDoS攻击检测方法.利用SDN网络架构在部署DDoS攻击检测系统方面灵活和多维度的特点,通过控制器从大量的网络设备中早期发现受害主机,并有针对性的进行攻击检测.首先通过packet_in消息被动统计作为预判,进而下发监控流表进一步细粒度统计特征,并利用XGBoost算法构造异常检测分类器进行分类攻击.最后在OpenDayLight控制器中实现了上述DDoS攻击检测系统,并在Mininet网络中进行了评估验证.结果表明,这种检测方法可以高效定位出遭受DDoS攻击的网络设备并检测出受害主机,XGBoost算法应用在此场景中可以在保证检测率的同时发挥其处理效率高的特性,适用于此系统.     

基于软件定义网络的MPLS TE和VPN网络实现方法

利用SDN网络可编程特性和全局网络资源抽象性,提出了一种基于Open Flow协议的软件定义MPLS流量工程TE和虚拟专用网VPN的实现方法.该方法使用传统标准MPLS的数据面和基于Open Flow协议的更加简单且可扩展的控制面,且在原型系统中验证了MPLS TE和VPN功能.原型验证结果也进一步说明了软件定义网络技术对于简化传统TCP/IP协议体系网络控制面和现有网络设备软件的复杂性均很有效果.     

网络安全防御体系的构建及功能配置

分析了网络安全防御体系构建的重要性。划分网络安全域的界限。传统简单的网络安全模式,满足不了具有复杂关系的网络的安全需求。提出了实施访问控制技术及网络入侵检测技术,分别用于在网络安全域之间的边界管理安全策略及监测攻击侵犯之中,从而保护D M Z提供给授权用户访问的数据。     

基于SDN的地震信息网络中DOS攻击研究

软件定义网络(SDN)近年来获得了巨大的发展势头。然而,在进行任何大规模部署之前,首先要了解这种新的网络架构所带来的安全问题。本文首先对基于SDN的地震信息网络架构进行分析,对其中潜在的安全性问题进行研究;随后,针对地震信息网络中,SDN控制器面临DOS攻击进行重点分析,介绍了两种SDN网络中常见的DOS攻击,并对基于SDN的地震信息网的抗DOS攻击防御方法进行探索;最后对基于SDN的地震信息网络安全方面未来的研究趋势进行展望。     

软件定义联网的建模与分析

软件定义联网（SDN）作为一项成功的数据中心的联网技术实践,已经成为工业界和学术界的一个研究热点.但SDN还存在一系列值得研究和澄清的技术问题,包括什么是SDN技术原理？SDN在哪些方面扩展了现有网络？SDN究竟有哪些潜在的应用价值？SDN对未来网络的发展有何影响？SDN是否可以真正推动现有网络的变革或演进？针对以上问题,采用统一建模语言（UML）建模方法,构建了SDN的系统模型和构件模型,描述SDN系统构成以及SDN内在的功能单元以及相互之间的关系,分析了SDN核心的控制面和数据面分离的原理,分析了单个逻辑SDN控制器的局限性;并得出结论：SDN仅在网络层实现了分组流控制与分组流转发的分离,并没有涉及到现有互联网或电信网其他功能层的控制与数据的分离,SDN有可能应用于所有基于分组流转发的网络应用,单一SDN逻辑控制器仅仅适用于IP网络城内分组流转发,无法适用于互联网和电信网现有控制结构;为了支持现有互联网或电信网的应用,需要进一步研究和扩展SDN相关技术.     

一个融合网络安全信息的安全事件分析与预测模型

提出了一种融合网络安全信息的安全事件分析与预测模型·该模型能够对来自以IDS为主的多种安全部件和关键主机日志系统的网络安全信息进行校验、聚集和关联,从而整体上降低安全部件的误报率,扩展对网络中复杂攻击识别能力;能够结合目标网络安全策略,对目标网络的安全状况进行准确评估,分析出网络真正威胁所在;还能够基于特定攻击场景,对未来可能发生的具体攻击行为做预测,从而尽早发现潜在威胁,为采取有效响应措施赢得宝贵时间·     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

如何防范企业内部网络被非法入侵

计算机网络的广泛应用,给企业带来便利的同时,也制造了非法入侵的安全隐患。为解决这一难题,本文重点从网络七层协议中的应用层入手,在访问控制和权限机制、非法入侵防范等方面进行深入探讨。访问控制和权限机制分为系统级和软件级两个部分,非法入侵防范分为防火墙系统预防、入侵监测系统、日志审计分析、数据联动保护和报警、灾难恢复机制、网络安全的管理等六个方面。通过深入分析,以求解决企业非法入侵的问题。     

基于SDN技术的网络入侵阻断系统设计

针对当前防火墙或入侵阻断设备进行网络攻击防御存在适应性差和成本高的问题,设计了基于OpenFlow的入侵阻断规则,实现了对攻击流量的过滤及对入侵阻断过程的灵活控制;分析并测量了基于入侵阻断规则生成OpenFlow流表项的性能;引入OpenFlow交换机(H3CS6300),测量了在生产环境下OpenFlow流表项的数量和单位时间内OpenFlow报文数量(OpenFlow PPS)对OpenFlow Channel的性能的影响,发现OpenFlow PPS对OpenFlow Channel的性能具有决定性作用,随着OpenFlow PPS的增加,OpenFlow Channel的性能急剧下降,响应时间呈指数级增长.设计并实现了基于SDN技术的网络入侵阻断系统,实现了对攻击流量的阻断、对恶意流量的样本采集,证明了使用SDN技术构建入侵防御系统的可行性.     

网络管理中安全策略与安全信息共享模型研究

基于策略管理是网络管理的一种新的研究方向.文章首先给出了策略的定义及现有几种策略定义方式;同时结合考虑共享安全信息的多样化特性,提出了一种共享安全策略与安全信息的组件模型以期实现网络安全的整体防御需要.