软件定义网络流表溢出脆弱性分析及防御方法

软件定义网络交换机非常有限的流表容量使其存在严重的流表溢出脆弱性问题,为此利用软件定义网络易于管理路由规则的新特性,提出一种基于装箱优化的路由聚合算法,并进一步提出了流表溢出攻击的防御方法。采用传统的基于基数树的路由聚合算法产生初步聚合后的流表项节点,将其划分为包含不同数量节点的若干个流表项规则组,并基于装箱优化问题求解得到每个流表项规则组的新转发地址,再将转发地址修改后的流表项规则进行二次聚合,从而有效减少交换机流表中的流表项数量,达到防御流表溢出攻击的效果。实验结果表明:流表聚合率达到了54.9%,优于传统的基于基数树的路由聚合算法,并使得达成流表溢出攻击的攻击数据包数增加了125.8%;该方法可显著增加流表溢出攻击的实现难度,有效缓解流表溢出脆弱性问题,提升软件定义网络对该类攻击的防御能力。     

面向软件定义网络的流表优化方案

针对目前软件定义网络中细粒度的流匹配机制造成的网络流表项空间开销和查询开销爆炸式增长等问题,提出了一种全新的基于布隆过滤器(Bloom Filter)的多级流表结构。该结构为混合流表结构,采用Bloom Filter多级流表结构来存储流表项,主要着眼于提高软件定义网络(SDN)交换机流表的容量和加快流表项的匹配速度;在流表项语义层面,设计并实现了控制器与SDN交换机之间的中间适配层模块来解决语义冲突问题。基于真实流量的实验结果表明,在规则占用空间上,与传统流表相比,Bloom Filter在流表越精细的情况下优化比率越高,最高可达90.7%。随着流表项规则的增加,匹配耗时优化效率提高,匹配时间最多可减少99.4%。该问题的解决可望为SDN网络的大规模实用化部署奠定数据层面的基础。     

软件定义网络中OpenFlow流表空间优化技术研究进展

OpenFlow是软件定义网络(SDN)南向通信标准协议,SDN控制平面为北向通信提供编程接口,通过OpenFlow向数据平面下发流表表项实现路由管理、流量调度等功能.针对OpenFlow流表空间有限性和有效性问题,从硬件、软件、软硬件结合方面对当前OpenFlow流表空间优化技术进行比较分析,归纳并阐述流表存储机制改进、基于软件的流表扩容和流表超时时间管理3种优化方案,最后总结并展望流表空间优化未来的方向.     

SDN数据中心网络基于流表项转换的流表调度优化

针对基于软件定义网络(SDN)架构的数据中心网络中,SDN交换机流表资源的有限性导致的流表溢出或控制器拥塞等问题,引入空闲流表资源代价的概念描述了网络资源的利用率,并分析了空闲流表资源量与重复下发的流表项数量之间的关系,提出了一个基于流表超时机制的流表调度策略,依据流表项生存时间和匹配计数来进行静态流表项和动态流表项之间的实时转换.在Fat-tree拓扑SDN数据中心网络仿真实验中,对该机制对流表资源优化的有效性进行了验证.     

OpenFlow软交换机的性能测量

具有控制平面与数据平面分离架构的OpenFlow网络为网络创新提供了真实的试验平台.对OpenFlow交换机的工作过程进行了分析,并对OpenFlow软交换机的性能进行了测量分析.测量结果表明,无论对传输控制协议(transfer control protocol,TCP)流还是用户数据包协议(user datagram protocol,UDP)流,OpenFlow软交换机都具有良好的性能,能够满足搭建中小型试验网络的要求;如果有大量的短分组,其吞吐量会明显下降;同时,为高速率UDP流建立表项的过程,也会降低系统效率     

基于协议分析检测网络入侵的设计与实现

分析研究入侵检测工作原理,根据传统的入侵检测方法的不足,提出一种基于网络协议分析的入侵检测方法。系统使用多线程技术设计编写控制模块。系统根据已有的规则库测试系统是否被入侵,该系统能够利用入侵检测系统的检测结果,阻断攻击源,从而达到入侵防御的目的。     

基于SDN的家用路由器安全审计工具

在僵尸网络等威胁的环境下,本文提出了一种基于OpenFlow协议的无线路由器安全审计功能的设计与实现,旨在于通过计算信息熵检测路由器的流量是否存在异常,并将检测系统置于软件定义网络（software defined network,SDN）架构下,实现控制、展示功能.实验结果表明,整个系统能在明显检测网络中的DDoS攻击的前提下,使整个系统的运行内存仅有8 MB,网络负载仅有2.67%.      

基于SDN的QoS测量与路由规划系统设计与实现

采用OpenFlow技术,设计并实现了一套基于软件定义网络的QoS测量与路由规划系统.利用控制器与OpenFlow交换机之间的消息交互,实现SDN中链路时延、负载和丢包率的测量功能.针对QoS路由中存在的"多指标约束限制"问题,根据本文考虑的QoS指标(链路时延、负载和丢包率),改进并实现了一种自适应多指标限制路由算法.实验结果表明:该系统在准确测量链路QoS指标的同时,可以根据测量结果切换符合条件的路由路径,满足系统设计需求.     

联动型网络安全系统的设计与实现

为了防范信息系统遭受入侵或攻击,常会使用各种网络安全系统如防火墙、入侵检测系统建构防御系统,然而以现今的技术及现实状况,防御系统仍需要管理者紧密配合才能正确阻断攻击,为了让网络安全系统能更为灵敏且自动化针对攻击进行正确的防御动作,研究设计一个效能及安全性兼顾的联动型网络安全系统.     

基于SDN技术的大理学院校园网络设计研究

SDN的原理是将网络的控制平台和数据平台分离,由可编程控制器负责网络的数据转发策略。SDN的核心技术是OpenFlow。在SDN原理基础上,根据校园网的应用特点,设计了基于SDN技术的大理学院校园网的网络架构、拓扑、网络管理控制平台和虚拟化控制平台,分析了基于SDN的大理学院校园网的性能。