基于SDN技术的网络入侵阻断系统设计

针对当前防火墙或入侵阻断设备进行网络攻击防御存在适应性差和成本高的问题,设计了基于OpenFlow的入侵阻断规则,实现了对攻击流量的过滤及对入侵阻断过程的灵活控制;分析并测量了基于入侵阻断规则生成OpenFlow流表项的性能;引入OpenFlow交换机(H3CS6300),测量了在生产环境下OpenFlow流表项的数量和单位时间内OpenFlow报文数量(OpenFlow PPS)对OpenFlow Channel的性能的影响,发现OpenFlow PPS对OpenFlow Channel的性能具有决定性作用,随着OpenFlow PPS的增加,OpenFlow Channel的性能急剧下降,响应时间呈指数级增长.设计并实现了基于SDN技术的网络入侵阻断系统,实现了对攻击流量的阻断、对恶意流量的样本采集,证明了使用SDN技术构建入侵防御系统的可行性.     

基于SDN流量测量的数据中心多路径传输研究

为了避免链路出现拥塞,针对数据中心流调度策略在进行数据流迁移尤其是大流的迁移容易产生数据流丢包并出现接收端数据包乱序,从而造成网络吞吐量降低的问题,基于SDN/OpenFlow架构,提出了一种采用熔断机制的动态路由算法F-TAM;同时,设计了新的测量方法来获取精确的链路状态时效信息,当算法被触发时能及时计算出合理的熔断时间,从而能充分利用网络中存在的多路径进行负载均衡,并解决了由于传输路径的不同时延所造成的接收端数据包乱序问题.实验结果表明:F-TAM能够利用网络中的冗余链路进行细粒度负载均衡并提升网络吞吐量,且不会出现接收端数据包乱序的问题.     

基于SDN的动态资源分配算法

针对软件定义网络(SDN)能够执行多种并发、 动态网络测量任务的特点, 提出一种自适应的网络测量框架. 该框架能动态调整分配给各测量任务的资源, 从而确保用户层面上对测量精度的要求. 设计并实现了相应的系统原型, 并采用3种不同的网络测量业务对该方法进行验证. 实验结果表明, 该方法在任务测量精度满足率和任务拒绝率上具有更优的性能, 与传统方法相比精确性更高.     

SDN数据中心网络基于流表项转换的流表调度优化

针对基于软件定义网络(SDN)架构的数据中心网络中,SDN交换机流表资源的有限性导致的流表溢出或控制器拥塞等问题,引入空闲流表资源代价的概念描述了网络资源的利用率,并分析了空闲流表资源量与重复下发的流表项数量之间的关系,提出了一个基于流表超时机制的流表调度策略,依据流表项生存时间和匹配计数来进行静态流表项和动态流表项之间的实时转换.在Fat-tree拓扑SDN数据中心网络仿真实验中,对该机制对流表资源优化的有效性进行了验证.     

基于SDN的数据中心网络中考虑等待时间的流调度策略研究

随着云计算、大数据、工业互联网的发展,越来越多的应用服务被部署到数据中心,其中一些数据密集型应用程序要求流在尽可能短的时间内完成.提出了一种考虑等待时间的流调度策略(flow priority scheduling algorithm considering wait time,FPWT),该策略在划分流的优先级时不仅...     

基于区块链的SDN数据平面错误流规则检测

由于软件定义网络（SDN）的数据平面只负责流量转发,并不具备识别流规则是否正确的功能,使得攻击者可通过恶意向数据平面注入错误流规则,造成网络拥塞和信息泄露,甚至是网络瘫痪等严重后果.鉴于区块链的可追溯、不可篡改等特性,提出了一个在控制平面运行的基于区块链的错误流规则检测（FFRD-BC）机制,当控制器向数据平面下发流规则的同时将其存储到区块链中,通过随机选择数据平面中的流规则并验证其是否存在于区块链中,来检测出数据平面中第三方行动者注入的错误流规则.其次,在FFRD-BC的流规则检测阶段,引入基于实用拜占庭容错共识算法的投票验证策略,避免由于区块链节点一致性不稳定而导致的误检情况.实验结果表明：随着检测次数的增加,提出的FFRD-BC机制能够有效检测数据平面中第三方行动者注入的错误流规则,并且与自主验证策略相比有效降低了误检率.     

基于SDN和NFV融合的网络切片资源分配优化算法

软件定义网络(Software Defined Network,SDN)和网络功能虚拟化(Network Function Virtualization,NFV)已经成为新一代网络体系结构的新范式.SDN和NFV可以有效地提高部署和管理服务功能链(Service Function Chains,SFCs)的灵活性.文中...     

基于Open vSwitch的SDN网络平台构建方法

针对软件定义网络实验环境问题,对SDN网络及其工作原理进行了分析,提出了一种在x86架构上基于Open v Switch的SDN网络平台的构建方法,降低了网络平台搭建的成本,测试了此网络架构下主机间、主机与因特网的连通性.测试结果表明:使用这种方法搭建SDN网络正确有效,为后续研究奠定了基础.     

基于SDN架构的最短路由优化算法研究

本文提出一种基于软件定义的无线Mesh网络路由协议(SDWMR),将软件定义网络(SDN)与无线M esh网络相结合,由具有全局网络视图的逻辑集中控制器负责所有控制决策;首先通过控制器与M esh节点建立初始路径,根据初始路径进行最短路径优化,优化过程由Dijkstra最短路由算法完成;其次将优化后的规则通过初始路径传输到各个底层Mesh节点中．当路径传输大规模流量时本文以分流算法均衡路径负载,从而避免路径拥塞．SDN的引入为无线Mesh解决了路径故障问题,并且提升了路由效率．本文路由协议已使用M ininet-Wifi网络模拟工具仿真,仿真结果表明,在网络吞吐量、丢包率、延迟等网络性能方面SDWM R协议优于已有的路由协议如混合OpenFlow的优化链路状态路由协议(OF-OLSR)、三阶段路由协议(ThreeStage)等．     

一种基于SDN技术的星载交换系统组网架构

为了解决目前星载交换系统中路由交换技术的协议开销大、信令复杂、服务质量(QoS)保障能力弱等问题,提出一种基于软件定义网络(SDN)技术的星载交换系统组网架构,对卫星通信SDN控制器和星载SDN交换机的系统结构和功能模块进行了初步设计,实现了星载交换系统控制平面与转发平面的分离,为进一步开展相关研究打下了基础。通过实验仿真,分析比较了SDN星载交换系统和传统星载交换系统的系统负荷和路由收敛时间。结果表明,SDN星载交换系统在降低星载计算能力需求和有效提高拓扑结构稳定性上具有明显优势,可以有效减少传统星载交换系统的有效负荷,优化卫星信道资源利用率,提高卫星通信网络的QoS保障能力。     

基于网络划分的SDN分布式控制器部署

针对大规模SDN(software defined networking)网络中分布式控制器部署问题,以优化网络弹性和可靠性为目标,提出两阶段控制器部署算法(TSCP, two-stage controller placement):利用节点相似度划分控制域,使得控制域内设备之间的连通性强、连接紧密,增强控制域的网络弹性;选择控制路径平均失效率最小的控制器集合作为控制器部署,提高网络可靠性。通过约束控制域的规模和设备(交换机或控制器)之间传播时延,使控制域的交换机个数均衡,控制器的部署合理。通过定义性能指标,实验对比GCP算法、K*-means算法,结果表明TSCP算法可以优化控制域的规模,均衡控制域的交换机个数,减少控制器个数,网络弹性和可靠性均表现较好。     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

基于流类型的SDN数据平面故障恢复算法

软件定义网络(software defined networking,SDN)的网络拓扑中,链路故障恢复目标是保证故障恢复时延在可容忍范围内、减少数据包丢失和节约交换机存储资源.现有研究方法对链路故障恢复考虑了恢复时延、数据包丢失率、网络吞吐量等因素,没有考虑数据流对网络带宽的要求及运营商/用户的一些特殊限制.为了解决以上问题,同时满足故障恢复时延要求和运营商/用户定制化需求,提出了基于流类型的SDN数据平面故障恢复算法(failure recovery algorithm based on flow type in SDN data plane,FR-FT).该方法根据服务质量要求将数据流分为3类,将运营商/客户的定制化需求绑定到不同数据流上,根据对应约束条件对不同类型数据流制定不同故障恢复策略.仿真结果表明,该方法可以减少交换机流表项消耗、故障恢复时延、数据包丢失率.     

多媒体信息服务系统的传输网络技术

讨论了如何将现有的有线电视传输网络以及电话通讯网络升级,以适合多媒体信息服务系统技术的需要,同时也介绍了光纤电缆混合网和非对称数字用户线等适合于多媒体信息服务系统的接入技术。     

基于LE-Trie的SDN访问控制策略研究

为解决SDN(software defined networks)网络面临的网络安全问题,提出了基于集中控制思想的访问控制策略,将访问控制规则下发到源交换机,由此可以在源头上抑制无效的数据流.通过采用区间值起止点的最大公共前缀作为构建LE-Trie的基本元素,解决了IP地址和端口的区间无法在树中进行构造的问题.在此基础上,提出了基于多区域LE-Trie(multi-area-domain LE-Trie MADLT)的规则检测和匹配方法.该算法将对规则的顺序匹配转化为对多域的匹配,减少了匹配次数,从而提高了访问控制服务器的工作效率.对比实验结果表明,在进行冲突检测时,MADLT在时间性能上较顺序算法平均提高2.97倍,较传统Tiie算法平均提高30.4％;在进行规则匹配时,MADLT在时间性能上较顺序算法平均提高2.3倍,较传统Trie算法平均提高16.3％.由此证明,本文提出的集中访问控制策略可以有效地实现SDN网络中的数据访问控制.     

一种基于深度强化学习的SDN路由算法

为解决软件定义网络(SDN)中的流量工程(TE)问题,提出了一种深度强化学习路由(DRL-Routing)算法.该算法使用较全面的网络信息来表示状态,并使用一对多的网络配置来进行路由选择,奖励函数可以调整往返路径的网络吞吐量.仿真结果表明,DRL-Routing可以获得更高的奖励,并且经过适当的训练后,能使各交换机之间...     

基于分类服务网络模型的延迟计算

给出了网络分类服务系统中网络流的确定型延迟的计算方法和估计。     

大数据互联网时代光纤通信技术的发展与挑战

随着信息通信技术及各种高速带宽业务的飞速发展,对承载这些业务的光纤传输网络在功能及网络灵活性、扩展性方面提出了更高要求,其必须在实现大容量、超高速传送的同时实现网络智能化转型.软件定义网络(software defined networking,SDN)技术被视作具有颠覆性的网络革命技术,必将促进网络技术的发展,促进网...