基于SDN的网络安全威胁及趋势分析

随着信息技术的发展,网络的功能和性能面临新的挑战.传统网络接入流程复杂、切换频繁,在网络固化等方面存在不足;近年来新发展起来的SDN(Software Defined Networking,软件定义网络)技术,其集中式智能化管理、控制与数据分离、以应用为主导的可编程特性等优点给网络的发展带来了新的机遇和挑战.然而SDN在为网络提供高度开放性和可编程性的同时,也使网络自身面临着诸多安全问题.本文对SDN网络中存在的典型安全威胁和安全问题进行了分析和归纳,并对SDN在网络安全方面未来的研究趋势进行了展望.     

基于OpenFlow的SDN网络攻防方法综述

软件定义网络(Software Defined Network,SDN)的控制与转发分离、统一配置管理的特性使其网络部署的灵活性、网络管理的动态性以及网络传输的高效性均有大幅提升,但是其安全性方面的问题却比较突出。综述了基于OpenFlow的SDN在安全方面的研究现状,首先根据SDN的三层架构分析了其脆弱性,介绍SDN不同平面面临的安全威胁,并根据网络攻击的流程来介绍当前主要的攻击手段,包括目标网络探测、伪造欺骗实现网络接入以及拒绝服务攻击和信息窃取;其次,针对不同攻击环节,分别从探测阻断、系统加固、攻击防护3个方面对当前主要的防御手段进行论述;最后,从SDN潜在的攻击手段和可能的防御方法两方面来探讨未来SDN安全的研究趋势。     

一种安全SDN控制器架构设计

控制器是软件定义网络（SDN）的核心,其安全对SDN至关重要。基于开源的SDN控制器基础架构,文章分析并总结了控制器在不同管理模式下网络信息保护、应用程序管理、模块处理流程中存在的安全问题。针对这些安全问题,文章提出了一种安全SDN控制器架构,通过加入共享网络信息库、冲突检测、入侵容忍模块等多种安全功能,解决控制器单点失效、控制逻辑不一致等问题,可以提高SDN的安全性。     

基于OpenFlow的SDN网络安全分析与研究

基于Open Flow的SDN技术将网络的数据平面和控制平面相分离,通过部署中央控制器来实现对网络的管控,为未来网络的发展提供了一种新的解决思路。然而,这种新型网络管控方法与传统网络在分布式控制平面上通过封闭网络设备进行管控的方法有着根本区别,因而在实现集中化管理的同时将引入新的管理和安全问题。文章首先介绍了其三层架构的自身缺陷和可能存在的安全问题,并从SDN架构的基础设施层、南向接口、控制层、北向接口和应用层等几个方面分别进行分析,总结出SDN不同层次存在安全问题的原因;随后,文章从认证机制、控制层的备份和恢复、网络异常识别和防御机制、应用隔离和权限管理等四个方面总结了当前的相关研究进展和研究思路,并提出了可行的解决方案;最后,对全文进行总结和展望。     

SDN多控制器共识机制研究综述

【背景】伴随着区块链逐渐应用于新一代互联网络的域名、路由、公钥等基础设施,其重要性日益彰显。作为区块链以及整个分布式系统领域的核心技术,共识机制直接影响着区块链的处理能力、可扩展性及安全性,也影响着其在互联网基础设施中的根基。【目的】对软件定义网络SDN(Software Defined Network)中用于实现多控制器之间数据共享的共识机制设计进行综述,分析当前设计中存在的问题并提出解决方案,为相关研究工作提供参考。【方法】本文首先对共识机制的研究现状进行了概述,然后重点对SDN多控制器共识机制设计的研究现状进行了综述,对其中存在的问题进行了分析,并基于区块链技术提出了解决方案,介绍了当前将区块链技术应用于SDN网络的研究现状。【结果】当前SDN多控制器共识机制在实际部署中多采用以Raft为代表的宕机容错类共识机制,无法应对控制器或交换机等恶意行为,现有研究尝试引入拜占庭容错类共识解决该问题,并针对共识机制在SDN网络中的应用进行自适应设计以提高系统运行性能,但当前的SDN控制层中的用于实现控制器间数据共享的共识机制设计仍存在着共识网络部署不灵活、控制器运行共识机制带来巨大开销方面的问题。【结论】本文提出的基于区块链的控制器层数据共享第三方服务具有安全、可信、部署灵活等方面的优势,可为上述问题提供解决方案。本文提出的基于区块链的SDN网络可信基础设施作为数据共享服务的扩展架构,可为SDN提供多种安全可信服务。     

基于SDN的天地一体化网络控制器部署方法综述

软件定义网络(Software Define Network,SDN)推动了传统网络的发展,将SDN引入天地一体化网络能够极大程度地调动各层级网络的资源,实现天地一体化网络的智能管控;首先,介绍了天地一体化网络和软件定义网络,论述了基于SDN的天地一体化网络架构的研究现状;随后,介绍了SDN控制器的性能指标并对比了当前的SDN多控制器部署方法,综述了基于SDN的天地一体化信息网络的控制器部署策略;最后,对未来基于SDN的天地一体化网络控制器部署方法进行了展望和归纳总结。     

基于混合制排队模型的SDN控制器性能评估研究

软件定义网络SDN将逻辑控制与数据转发相分离,提高了网络的灵活性和可编程能力,成为近年来未来网络领域的研究热点。SDN在实际应用部署时将面临控制器性能瓶颈的挑战,因而有必要理解SDN控制器的性能特性。为此,首先对SDN控制器中Packet-In消息的到达过程和处理时间进行分析,进而基于排队论提出了一种容量有限的SDN控制器性能评估模型M/M/1/m,推导得出了该模型的性能参数,包括:平均等待队长、平均等待时间、平均队列长度和平均逗留时间。最后,采用控制器性能测试工具Cbench对该模型进行了实验评估。实验结果表明:相对于现有其它模型,该模型的估计时延更接近于实际测量时延,可更精确地描述SDN控制器的性能。     

应对DDoS攻击的SDN网络安全特性研究

软件定义网络将传统封闭的网络体系解耦为数据平面、控制平面和应用平面,实现网络的集中控制与管理,其突出特点是开放性和可编程性。本文重点研究SDN网络的安全特性,首先讨论SDN的发展现状,并展示如何通过利用SDN功能来解决网络安全中的一些长期问题。然后,描述了SDN面临的新的重要安全威胁-DDo S攻击,并讨论可用于预防和减轻此类威胁的可能技术。     

基于SDN/NFV的安全服务链自动编排部署框架

针对云计算等虚拟化环境的安全防护问题,提出了一种基于SDN/NFV技术思想的安全服务链自动编排部署框架.论文通过扩展ABAC策略模型以描述用户的安全需求,采用优先级解决策略冲突以编排虚拟安全设备,依据网络中虚拟安全设备实例负载与实时链路传输时延来调度网络流,最终由SDN控制器生成流表下发到网络中完成流量重定向,实现了根据安全需求自动构建安全服务链的过程.整个框架在基于开源控制器FloodLight和虚拟安全设备的实验环境中实现了自动编排部署,取得了预期效果.     

思科推出多合一系统级安全工具

简化安全部署,提高网络自适应威胁防御能力 6月28日,思科系统公司在北京举办题为“以攻为守,主动安全”的思科第二届安全峰会。会上,展示了思科自防御网络(SDN)战略第三阶段的重要安全解决方案思科自适应安全设备(ASA)5500系列,该解决方案可以帮助客户更加有效地管理、消除其联网业务系统和应用所面临的安全威胁,标志着思科自防御网络(SDN)战略第三阶段自适应威胁防御(ATD)巳经进入安全实现阶段。     

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.     

软件定义网络架构下的安全问题综述

随着网络业务的多元化与网络基础服务能力的不断提升,企业网、云计算、数据中心等大量新兴应用场景迅速丰富,传统网络已不能满足其不断涌现的可扩展性、可管理性及安全保障等新需求,这一现状有力地推动以SDN为代表的当代网络架构的发展。然而随着学术界与产业界对SDN技术的研究及其设备的普及,安全问题逐渐成为制约其进一步发展的关键因素之一。针对SDN架构的技术发展背景进行分析,然后简析SDN技术的核心架构原理及目前的发展现状;结合SDN架构特点,针对其安全特性及其所面临的安全威胁进行详细分析,并深入讨论SDN网络安全研究的范畴与新兴发展方向。     

电网企业移动智能终端的安全性分析

随着电力信息化进程的不断推进．移动应用也逐渐渗透电力运营的方方面面。但移动智能终端在给企业带来便利的同时,由于其便携性、系统开放性以及功能不断扩展等特点,也给企业带来巨大的安全威胁。在分析企业移动智能终端面临安全威胁的基础上,从硬件、操作系统、外围接口、应用软件和数据多个层面给出安全方案,保障电网移动业务安全稳定运行。     

Enabling security functions with SDN: A feasibility study

Software-defined networking (SDN) is being strongly considered as the next promising networking platform, and studies regarding SDN have been actively conducted accordingly. However, the security of SDN remains undefined and unknown when considering the enhancement of network security in SDN. In this paper, we verify whether SDN can enhance network security. Specifically, the idea of enabling security functions with diverse SDN features is explored thoroughly. In order to elucidate the feasibility of SDN-based security functions, we implement four types of security functions with SDN in Floodlight applications: (i) in-line mode security functions (e.g. firewalls and IPS), (ii) passive mode security functions (e.g. IDS), (iii) network anomaly detection functions (e.g. scan and DDoS detector), and (iv) advanced security functions (e.g. stateful firewall and reflector networks). Furthermore, we focus on discovering issues that might arise throughout the implementation of SDN-based security applications and discuss how these issues can be addressed. In order to appropriately prove the feasibility of the SDN-based security applications, we evaluate our Floodlight applications in real testbeds that consist of SDN-enabled switches and a number of physical hosts.     

Exploring the security landscape: NoC-based MPSoC to Cloud-of-Chips

In this paper, we present a detailed and systematic overview of communication security aspects of Multi-Processor Systems-on-Chip (MPSoC) and the emerging potential threats on the novel Cloud-of-Chips (CoC) paradigm. The CoC concept refers to highly scalable and composable systems, assembled not only at system design-time using RTL, like traditional SoC, but also at integrated circuit (IC) packaging time thanks to 3D-IC integration technology. Practical implementation of CoC systems needs to solve the problem of scalable, configurable and secure communication not only between different functional blocks in a single ICs, but also between different ICs in a single package, and between different packages on the same or different PCBs and even between different systems. To boost such extremely flexible communication infrastructure CoC system relies on Software-Defined Network-on-Chip (SDNoC) paradigm that combines design-time configurability of on-chip systems (NoC) and highly configurable communication of macroscopic systems (SDN). This study first explores security threats and existing solutions for traditional MPSoC platforms. Afterwards, we propose SDNoC as an alternative to MPSoC communication security, and we further extend our discussion to CoC systems to identify additional security concerns. Moreover, we present a comparison of SDNoC based approach over existing approaches and discuss its potential advantages.     

软件定义网络控制平面的研究综述

软件定义网络(Software-defined network,SDN)作为一种新兴的网络范式,通过解耦控制平面与数据转发平面,集中控制并且聚集全网视图,在控制平面与数据平面建立开放接口,启用外部应用使得网络具有可编程性,从而弥补当前网络架构所存在的不足与限制。其中,控制器作为SDN中重要的组成部分,成为了研究的热点。针对软件定义网络控制平面控制器的研究,首先总结了当前SDN控制平面控制器技术发展的现状并对其进行归类;其次着重分析了当前控制器存在的一致性、可扩展性、负载均衡等一系列问题;最后探讨了软件定义网络技术未来的研究发展方向及趋势。     

入侵检测研究综述

入侵检测是动态安全技术中最核心的技术之一。从体系结构的演变、检测方法分析和系统测评工作三个方面对当前入侵检测的研究进行技术性综述,讨论了现有的入侵检测体系结构,详细分析了各种入侵检测方法,对现有的入侵检测评估工作进行了总结,指出了当前入侵检测研究中存在的问题和今后发展的趋势。     

A survey on the usability and practical applications of Graphical Security Models

This paper presents and discusses the current state of Graphical Security Models (GrSM), in terms of four GrSM phases: (i) generation, (ii) representation, (iii) evaluation, and (iv) modification. Although many studies focused on improving the usability, efficiency, and functionality of GrSMs (e.g., by using various model types and evaluation techniques), the networked system is evolving with many hosts and frequently changing topologies (e.g., Cloud, SDN, IoT etc.). To investigate the usability of GrSMs, this survey summarizes the characteristics of past research studies in terms of their development and computational complexity analysis, and specify their applications in terms of security metrics, availability of tools and their applicable domains. We also discuss the practical issues of modeling security, differences of GrSMs and their usability for future networks that are large and dynamic.