首页 | 本学科首页   官方微博 | 高级检索  
检索     
共有20条相似文献,以下是第1-20项 搜索用时 841 毫秒

1.  一种用于路径配置的SDN拟态防御架构  
   陈荔《微型电脑应用》,2022年第1期
   提出了一种支撑多路径负载均衡配置的SDN拟态防御架构,首先,针对以往强化学习方法的状态空间狭小,难以提取人工特征性等问题,利用深度强化学习方法,结合网络链路负载和流量特征,进行多路径的自适应配置,以确保网络服务的负载均衡。而后,将动态异构冗余架构引入SDN控制层,来确保生成的路径配置信息准确性,并利用Openflow中的packet_in消息进行数据转发路径效验机制的设计,由此建构SDN拟态防御架构;最后,通过仿真对比实验得出SDN拟态防御框架下的失效概率始终处于稳定的低位状态的结论,可见安全防御性能更优。    

2.  一种面向SDN的拟态化架构设计  
   张文建  宋克  魏帅  赵博《信息工程大学学报》,2021年第22卷第1期
   作为SDN的“控制大脑”,控制器承载着SDN网络的诸多控制功能,通过对SDN网络安全威胁的分析,将应用程序、控制器、操作系统以及处理器纳入拟态界,构建了面向SDN的拟态化架构。该架构的设计引入了新问题,通过分析问题的根源,设计了拟态代理以及异构执行体之间的同步方法,创建了以多数一致表决为裁决算法的拟态架构抗攻击性模型。最后,在搭建的仿真和测试环境的基础上,分析了该拟态架构的安全性以及性能。仿真和测试结果表明该拟态架构具备高安全性,并在吞吐量和延迟等方面得到了改善。    

3.  MVX-CFI:一种实用的软件安全主动防御架构  
   姚东  张铮  张高斐  邬江兴《信息安全学报》,2020年第5卷第4期
   软件安全是网络空间安全中最重要的环节。早期的软件安全解决方案大多是发现安全威胁后再逐一解决的被动防御方案。为了有效应对各类安全威胁,防御方法逐渐从被动过渡到主动。在众多的主动防御方法中,从系统执行架构角度出发构建内生防御能力的软件多变体执行架构技术受到了广泛关注,它通过异构、冗余执行体之间的相对正确性检查发现攻击行为,不依赖于具体安全威胁的特征检测,可实时检测并防御大多数已知、甚至未知安全威胁。然而,该方法面向实际应用部署存在较大的性能瓶颈。控制流完整性(CFI)是一种理想的安全解决方案,但由于其性能损失和兼容性问题也未被广泛采用。本文将两者有效结合提出一种基于多变体执行架构的CFI (MVX-CFI)。MVX-CFI是一种基于执行架构的、动态、透明的CFI实施方法,它能够有效捕获软件整个运行时控制流的走向并发现由攻击等恶意行为引起的非法路径转移。MVX-CFI通过MVX可形式化验证的高可信表决机制在运行时动态建立描述应用程序高频执行路径的控制流子图(Sub-CFG),并作为检测模型正向反馈到MVX用于辅助检测,减少了传统MVX大量重复的表决工作,提高了MVX的执行性能。Sub-CFG具有在线分离软件执行过程中高频路径和低频路径的能力,这一特性为软件预置后门的检测提供了一种思路。实验评估表明,本文的改进方法提高了原架构的执行效率,同时保证了在安全防御方面的有效性。    

4.  软件定义网络中的异常流量检测研究进展  
   徐玉华  孙知信《软件学报》,2020年第31卷第1期
   软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.本文对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中研究方向.    

5.  SDN环境下的DDoS检测与缓解机制  
   贾锟  王君楠  刘峰《信息安全学报》,2021年第6卷第1期
   软件定义网络(Software-defined Network,SDN)以可编程的形式定义路由,对传统网络架构进行了一次彻底颠覆。通过采用中心化的拓扑结构,SDN有效实现了对网络基础设施的全局控制。然而这种中心化的拓扑极易受到网络攻击的威胁,如分布式拒绝服务攻击(Distributed Denial of Service,DDoS)。传统的DDoS通过堵塞交换机带宽,消耗控制器计算资源的方式实现拒绝服务。近年来,又有新型的DDoS变种通过攻击控制器与交换机通信的南向通道,攻击交换机流表的方式实现拒绝服务。为了缓解传统DDoS和新型DDoS带来的安全问题,本文提出了一个面向SDN的轻量化DDoS检测防御框架SDDetector (SoftwareDefined Detector)。可以在粗粒度和细粒度两种模式下运行,粗粒度模式通过提取SDN交换机中的统计特征对可疑的攻击行为进行阈值警报;触发警报后,细粒度模式再进行二次特征提取,并利用熵检测算法和SVM检测算法做进一步地攻击判别。研究发现,熵检测算法擅长处理采用源IP伪造技术的DDoS攻击以及针对SDN的新型DDoS攻击;而SVM检测算法擅长处理基于应用层协议的、需要交互的DDoS攻击。SDDetector以近似并行的模式运行两种算法,自动使特征提取速度最快的算法来完成攻击检测,从而大幅降低了系统对攻击的响应时间。经过实验验证发现,在特定场景下,本文提出的模型能够比单一的检测方案少用75%的响应时间。    

6.  拟态防御体系攻击检测研究与分析  
   朱绪全  杨盾《软件》,2022年第1期
   网络空间拟态防御技术是一种采用动态异构冗余架构的新型主动防御技术,论述了基于拟态防御体系的攻击检测方法,能够检测定位漏洞并及时修复,完成从静态防御到动态防御的转变,提高对未知漏洞和后门攻击的防御能力。    

7.  基于端口跳变的SDN网络DoS防御技术  
   唐秀存  张连成  史晓敏  徐良华《计算机应用研究》,2016年第33卷第10期
   端口跳变是移动目标防御典型技术,通过持续改变服务端口来隐藏服务标识和迷惑攻击者。利用SDN网络逻辑集中控制与网络可编程特性,提出基于端口跳变的SDN网络防御技术,使用SDN控制器承担服务端的端口跳变功能,不但可减轻服务端负载,且可提前检测过滤恶意数据包,并能抵御内部攻击者。理论分析与实验结果表明,所提技术对SDN控制器负载增加较少,可有效抵御DoS攻击。    

8.  基于GSPN的拟态DNS构造策略研究  
   任权  邬江兴  贺磊《信息安全学报》,2019年第4卷第2期
   网络空间拟态防御系统(Cyberspace Mimic Defense System,CMDS)采用动态异构冗余架构以及多模表决机制将不确定威胁转化为概率可控的事件,从而实现了自主可控、安全可信。为进一步研究拟态构造策略在不同干扰场景下的稳态可用性和感知安全性,本文采用广义随机Petri网(Generalized Stochastic Petri Net,GSPN)建模,分析了不同干扰场景下采用不同拟态构造策略对系统性能和构造成本的影响,实验结果表明拟态防御系统可以根据反馈控制信息对不同干扰场景进行策略替换,从而实现系统的稳定可用性和感知安全性。同时通过反馈控制能有效控制不同服务器解析时延差值,对实际拟态DNS系统部署有重要指导意义。    

9.  拟态构造的Web服务器异构性量化方法  
   张杰鑫  庞建民  张铮《软件学报》,2020年第31卷第2期
   拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统,其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击,以实现系统安全风险可控.在分析拟态防御技术原理的基础上,论证异构性如何提高拟态构造的Web服务器的安全性,并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上,将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性,提出了一种适用于量化异构性的量化方法,通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法,工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明,该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.    

10.  一种基于拟态防御机制的SDN虚拟蜜网  
   《计算机工程与应用》,2019年第1期
   针对传统蜜网部署不方便,流量控制困难,蜜网动态调整较复杂的缺陷,利用SDN技术灵活的控制机制与容器高速、轻量的技术特性,设计了具有动态可调整特性的SDN虚拟蜜网,结合拟态防御机制为SDN虚拟蜜网提供动态调整的依据,并通过博弈论验证了基于拟态防御机制的SDN虚拟蜜网的有效性。利用Containernet仿真实验平台搭建出SDN虚拟蜜网,并设计实现了基于拟态防御机制的动态跳变,通过实验验证了该蜜网的可行性。    

11.  基于Mycat的拟态数据库中间件研究  
   曹国栋  倪明  喻卫东  王灿《计算机系统应用》,2019年第28卷第10期
   数据库系统的安全不仅依赖于数据库本身的安全,还受网络环境和操作系统的安全性影响,拟态防御是邬江兴院士首次提出的基于动态异构冗余体系架构,协同实现数据库所依赖环境,使数据库安全由被动防御变为主动防御.本文通过Mycat作为数据库中间件,通过对数据库的读写分离,集群的高可用,分布式事务处理,对指纹化SQL识别,以减轻单一数据库的数据存取和处理压力.Mycat将数据库模块变为异构动态冗余模式,实现数据库拟态化,使数据高效,快速,安全的存取和切分.    

12.  软件定义网络:安全模型、机制及研究进展  被引次数:1
   王蒙蒙  刘建伟  陈杰  毛剑  毛可飞《软件学报》,2016年第27卷第4期
   软件定义网络(software defined networking,简称SDN)初步实现了网络控制面与数据面分离的思想,然而在提供高度开放性和可编程性的同时,网络自身也面临着诸多安全问题,从而限制了SDN在很多场景下的大规模部署和应用.首先对SDN的架构和安全模型进行分析;其次,从"SDN特有/非特有的典型安全问题"和"SDN各层/接口面临的安全威胁"两方面,对SDN中存在的典型安全威胁和安全问题进行分析和归纳;随后从6个方面对现有SDN安全问题的主要解决思路及其最新研究进展分别进行探讨,包括SDN安全控制器的开发、控制器可组合安全模块库的开发和部署、控制器Do S/DDo S攻击防御方法、流规则的合法性和一致性检测、北向接口的安全性和应用程序安全性;最后对SDN安全方面的标准化工作进行了简要分析,并对SDN安全方面未来的研究趋势进行了展望.    

13.  基于深度学习的软件定义网络应用策略冲突检测方法  
   李传煌  程成  袁小雍  岑利杰  王伟明《电信科学》,2017年第11期
   在基于OpenFlow的软件定义网络(SDN)中,应用被部署时,相应的流表策略将被下发到OpenFlow交换机中,不同应用的流表项之间如果产生冲突,将会影响交换机的实际转发行为,进而扰乱特定应用的正确部署以及SDN的安全.随着SDN规模的扩大以及需要部署应用的数量的剧增,交换机中的流表数量呈现爆炸式增长.此时若采用传统的流表冲突检测算法,交换机将会耗费大量的系统计算时间.结合深度学习,首次提出了一种适合SDN中超大规模应用部署的智能流表冲突检测方法.实验结果表明,第一级深度学习模型的AUC达到97.04%,第二级模型的AUC达到99.97%,同时冲突检测时间与流表规模呈现线性增长关系.    

14.  一种动态多路径冗余的网络传输架构的研究  
   《计算机应用与软件》,2019年第4期
   提出一种动态多路径冗余的网络传输架构。该传输架构使用移动目标防御、数据冗余编码、多路径传输控制协议等理念和技术,应用层实现并提升传输的可靠性和完整性,给网络传输带来容错容侵能力。其中,由纠删码技术所带来的冗余性,使用RS编码为传输的数据文件单元进行冗余编码处理,使得网络传输可验证、可恢复;由多路径技术所带来的异构性,对数据文件进行分块传输,且传输内容彼此异构,使得多个数据流在公共网络中表现为相互独立,加大被攻击者识别的难度;由地址跳变技术所带来的动态性和随机性,能够有效抵御基于网络资源标识的扫描攻击。该网络传输架构能够有效防御恶意嗅探、窃听、中间人攻击和重放攻击,能够有效防止数据文件传输被恶意阻断、篡改。同时,传输架构具备一定的网络安全态势感知能力。理论分析了使用该拟态传输架构能够带来的传输安全性提升,评估了各种攻击模式下的攻击成功率,并设计了一系列实验,最终得出结论:在带来5%~14%的传输时间开销的情况下,能够提高传输可靠性27%~40%。    

15.  基于动态异构冗余机制的路由器拟态防御体系结构  
   马海龙  伊鹏  江逸茗  贺磊《信息安全学报》,2017年第2卷第1期
   路由器作为网络空间的基础核心要素,其安全性能对网络安全具有决定性意义。但由于它的封闭性、专用性和复杂性,导致其存在的漏洞更多,后门隐藏更深。目前对路由器的安全防御手段均为被动式“补漏洞、堵后门”的“亡羊补牢”式的防御,不仅防御滞后更无法应对未知的安全威胁。本文基于拟态防御技术,在路由器体系架构上引入异构冗余功能执行体,通过动态调度机制,随机选择多个异构执行体工作,在相同外部激励的情况下,通过比对多个异构功能执行体的输出结果,对功能执行体进行异常检测,实现路由系统的主动防御。实验结果表明,该架构可以明显提升攻击链中每一步攻击的实施难度,增加攻击成本,并能抵御基于未知漏洞与后门的攻击。    

16.  一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法  
   王鹃  王江  焦虹阳  王勇  陈诗雅  刘世辉  胡宏新《计算机学报》,2015年第38卷第4期
   软件定义网络SDN(Software-Defined Networking)是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构,可通过软件编程的形式定义和控制网络,其控制平面和转发平面分离及开放性可编程的特点,为新型互联网体系结构研究提供了新的实验途径,也极大地推动了下一代互联网的发展.OpenFlow是SDN的主要协议,定义了SDN控制器与交换机之间的通信标准.目前,很多基于OpenFlow的SDN设备已经在实际中得到了部署.但是,基于OpenFlow的SDN却面临很多安全挑战.其中一个重要的挑战是如何建立一个安全可靠的SDN防火墙应用.由于OpenFlow协议的无状态性,现有的SDN防火墙可以被通过改写交换机中的流表项轻松绕过.针对这一安全威胁,作者提出了基于Flowpath的实时动态策略冲突检测与解决方法.通过获取实时的SDN网络状态,能够准确地检测防火墙策略的直接和间接违反,并且一旦发现冲突,可以基于Flowpath进行自动化和细粒度的冲突解决.最后,作者在开源控制器Floodlight上实现了一个安全增强的防火墙应用FlowVerifier,并基于Mininet对FlowVerifier的性能进行了评估.结果表明FlowVerifier能够检测和自动化地解决SDN网络中由于流表改写而引入的策略冲突及其带来的安全威胁.    

17.  拟态Web蜜罐的研究与设计  
   张双双  卜佑军  陈博  王涵  陈韵  蔡翰智《工业控制计算机》,2022年第1期
   随着信息技术的快速发展,互联网的安全问题日益突出,攻守双方的失衡现状更是加剧了网络安全问题。蜜罐技术是防御方的一次主动出击,作为一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。虽然蜜罐可以一定程度上发现并延缓攻击者的攻击行为,但是越来越多的安全事件表明,在蜜罐本身系统不安全的情况下,攻击者可以利用高交互蜜罐作为跳板,进行进一步的攻击行为。为了保证蜜罐本身的安全,基于拟态防御动态异构冗余的思想,将拟态防御理论与传统蜜罐相结合,设计并实现一种基于HTTP协议的拟态Web高交互蜜罐。从而在实现攻击目标可诱捕,攻击路径可追溯,攻击数据可分析的基础上,保证高交互蜜罐的安全。    

18.  基于SDN架构的地址跳变技术研究  
   高诚  陈世康  王宏  董青《通信技术》,2015年第48卷第4期
   网络嗅探作为网络攻击的前奏,对于网络安全存在较大威胁。为增强网络本身的抗嗅探窃听能力,在移动目标防御网络的地址跳变技术的研究基础上提出了一种基于传输过程的地址跳变方案,主要思想是在SDN网络架构下,控制器通过为传输路由上交换机下发不同流表来实现IP地址的跳变。仿真结果表明,可以以较小的网络开销实现跳变机制,并使网络对于网络嗅探达到较高的防御能力。    

19.  层次型多中心的SDN控制器部署  
   张栋  郭俊杰  吴春明《电子学报》,2017年第45卷第3期
   软件定义网络(SDN)通过转发与控制分离,借助控制面的集中化实现网络的灵活性和开放性.控制器部署是SDN部署运行的基础和前提.针对层次型多中心SDN的控制器部署问题,该文采用多层k路划分方法实现大规模SDN网络的区域划分,将传统的SDN多控制器直接部署转化为区域划分和域内控制器部署,同时通过减少图划分的域间割边数以降低SDN跨域流数量以提高流表构建效率.通过实验验证,较其他传统方法,该文提出的层次型多中心控制器部署方法可有效减少网络通信代价,降低流表构建代价.    

20.  web服务器拟态防御原理验证系统测试与分析  
   张铮  马博林  邬江兴《信息安全学报》,2017年第2卷第1期
   web服务器拟态防御原理验证系统是基于拟态防御原理的新型web安全防御系统,利用异构性、冗余性、动态性等特性阻断或扰乱网络攻击,以达成系统安全风险可控的要求。针对传统的测试方法实施于web服务器拟态防御原理验证系统中存在不足、不适应复杂安全功能测试以及难以实现准确度量等问题,本文提出了适用于拟态防御架构的web服务器测试方法,基于让步规则改进了灰盒测试,还丰富了漏洞和后门利用复杂度的含义。并以此为基础设计适于该系统的测试方案、测试原则和测试方法,在性能、兼容性、功能实现、HTTP协议一致性,安全性这些方面进行了全面的测试和分析。    

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号