基于深度学习的SDN虚拟蜜网路由优化

针对传统蜜网所致的成本昂贵、流量控制不便及动态调整困难等问题,提出使用SDN、ODL与Mininet技术部署轻量级虚拟蜜罐,组建虚拟蜜网拓扑,使用深度学习技术DDPG优化路由选择路径.通过实验表明,优化后的路由选择机制具备动态调整网络结构,有较好的收敛性和选择性.使得网络在遭受攻击时,能将攻击转向蜜网,从而减少攻击造成的危害,增强网络主动防御能力.     

路由器拟态防御能力测试与分析

路由器是网络中的核心基础设备,但其面对基于漏洞和后门的攻击时却缺少有效的防御手段。拟态防御机制作为一种创新的主动防御方法引入到路由器的设计架构中,构建了路由器拟态防御原理验证系统。结合拟态防御机制的特性和路由器的特点,提出了针对路由器拟态防御原理验证系统的测试方法,并按照测试方法对该系统进行了全面测试,包括基础性能测试,拟态防御机制测试以及防御效果测试。测试结果表明,路由器拟态防御原理验证系统能在不影响路由器基本功能和性能指标的前提下实现了拟态防御机制,拟态防御机制能够改变固有漏洞或者后门的呈现性质,扰乱漏洞或后门的可锁定性与攻击链路通达性,大幅增加系统视在漏洞或后门的可利用难度。     

一种用于路径配置的SDN拟态防御架构

提出了一种支撑多路径负载均衡配置的SDN拟态防御架构,首先,针对以往强化学习方法的状态空间狭小,难以提取人工特征性等问题,利用深度强化学习方法,结合网络链路负载和流量特征,进行多路径的自适应配置,以确保网络服务的负载均衡。而后,将动态异构冗余架构引入SDN控制层,来确保生成的路径配置信息准确性,并利用Openflow中的packet_in消息进行数据转发路径效验机制的设计,由此建构SDN拟态防御架构;最后,通过仿真对比实验得出SDN拟态防御框架下的失效概率始终处于稳定的低位状态的结论,可见安全防御性能更优。     

基于蜜网的主动协同防御系统

传统的网络安全模型都是基于被动防御的技术,利用蜜网构成主动协同防御系统,在一定程度上克服了传统安全模型被动防御的缺陷。本文提出了虚拟蜜网的设计思路,并设计实现了适合于调试用途的虚拟蜜网。     

面向SDN/NFV环境的网络功能策略验证

SDN与NFV技术带来了网络管理的灵活性与便捷性，但SDN的动态转发策略可能导致网络功能策略失效，同时不同网络功能的策略可能互相影响，引起冲突问题。为了在基于SDN/NFV的云网络中对网络功能的策略进行验证，分析了网络功能与 SDN 设备之间、跨网络功能之间的策略冲突，建立了统一策略表达进行策略解析，设计策略验证方案、框架并进行原型实现，检验不同场景下的虚拟网络功能策略的正确性，并与现有策略冲突验证方案对比，用实验进行了有效性与性能分析。     

基于动态迁移的光传送网SDN低时延调度研究

光传送网SDN调度较传统网络具有更好的动态性,为了使SDN网络性能与大数据和云计算需求匹配,提出了一种低时延动态迁移策略.先以SDN网络结构、流表耗时、以及时延调整系数等变量构建通信代价模型,得到通信代价的目标与约束.基于通信代价模型对SDN网络架构采取动态迁移,根据路径请求量计算控制器的平均时延与累计效用,再利用控制与数据信道负载对流表采取动态调整.通过仿真,确定了光传送网SDN调度过程中,当控制器个数改变时,时延几乎不受影响;当数据量增加时,时延及其增速也能得到有效控制;在动态迁移后,负载差异度降低至迁移前的71.92％.实验结果表明所提方法能够有效降低光传送网SDN调度时延,并保证良好的网络负载均衡.     

蜜网动态部署研究与设计

针对蜜网系统在静态配置和维护方面存在的缺陷,提出了蜜网动态部署的思想及相应的算法。动态部署的蜜网系统,通过监控自身和物理网络环境收集信息,能够自动确定配置蜜网节点的类型及拓扑结构;当网络安全态势发生改变时能实时调整蜜网的结构。动态部署的第一阶段是融合蜜网及物理网络的信息对当前网络安全态势进行预测,然后蜜网中的虚拟节点仿照生物存活的算法进行动态调整。因此该动态部署体系能针对实时入侵活动来调整自身结构,具有更高的隐蔽性,对迷惑和降低黑客的攻击力作用较大。给出了蜜网部署的设计模型和相关算法,并在开源软件Honeyd基础上设计了原型系统。实验结果表明,动态部署方案在实践中具有较好的可行性,且在不提高成本的基础上比静态部署方案诱骗效果好。     

虚拟蜜网的设计与实现

传统的网络安全模型如防火墙和入侵检测等都是基于被动防御的技术,基于主动防御的蜜网技术在一定程度上克服了传统安全模型被动防御的缺陷。本文提出了虚拟蜜网的设计原则和体系结构,并设计实现了适合于调试用途的封闭式虚拟蜜网,最终证明了虚拟蜜网的有效性、可靠性和稳定性。     

SDN网络的路径规划监视机制

为了能够实现基于用户需求的路径规划,并实时对网络路径流量进行监控,向网络管理员提供路径调整依据,文章利用软件定义网络(Software-Defined Networking,SDN)控制与转发分离的特性,设计SDN网络下的路径规划监视机制。通过基于预设路径来生成和下发流表项,实现对网络路径的规划;并依据OpenFlow交换机流表项的匹配次数,动态衡量网络路径流量,实现对路径流量进行实时监控。在基于Mininet与OpenDayLight的实验平台上验证了路径规划的正确性以及路径流量监控的有效性。     

虚拟蜜网核心功能剖析与实例部署

传统蜜网硬件利用率低、配置复杂、管理难度大等缺点日渐凸显,如何解决这些问题越来越受到研究人员的关注。针对蜜网当前面临的问题,提出了使用虚拟技术构建蜜网的必要性。通过对蜜网关键技术的研究,分析并给出蜜网核心功能在虚拟系统中的工作流程,在此基础上设计并实现了一种虚拟蜜网的解决方案。实验结果表明,建立的虚拟蜜网工作良好,并在一定程度上解决了传统蜜网在硬件利用率、配置和管理等方面存在的问题。     

基于安全策略的负载感知动态调度机制

针对软件定义网络（SDN）网络控制器流规则篡改攻击等单点脆弱性威胁,传统安全解决方案如备份、容错机制等存在被动防御缺陷,无法从根本上解决控制层安全问题。结合目前移动目标防御、网络空间拟态防御等主动防御技术研究现状,提出一种基于异构冗余结构的动态安全调度机制。建立控制器执行体与调度体调度模型,根据系统攻击异常、异构度等指标,以安全性为原则设计动态调度策略;同时考虑系统负载因素,通过设计调度算法LA-SSA将调度问题转化为动态双目标优化问题,以实现优化的调度方案。仿真结果表明,对比静态结构,动态调度机制在累积异常值、输出安全率等指标上有明显优势,说明安全调度机制中的动态性与多样性能够显著提高系统抵御攻击能力,LA-SSA机制负载方差较安全优先调度更平稳,在实现安全调度的同时避免了负载失衡问题,验证了安全调度机制的有效性。     

虚拟Honeynet在校园网网络安全防御中的实现

蜜网技术作为一种主动防御机制, 为解决网络安全问题提供一种有效的方法. 通过使用蜜罐技术, 在学院校园网中部署虚拟蜜网, 实现对蜜网中数据的控制、捕获和分析. 通过对蜜网的访问收集攻击者的信息, 研究并分析其攻击战术、攻击动机以及相应的攻击策略, 从而减少校园网被黑客或木马攻击的机率.     

基于自优化的SDN交换机动态迁移机制

为提高SDN控制器的使用效率以及多控制器之间的负载均衡度,对多控制器的部署问题进行了研究,并提出了一种交换机动态迁移机制.该动态迁移机制基于周期性运行的自优化的算法实现,按照控制器的部署情况,将网络划分成多个域,通过分析各域内相关参数,分别找出负载最高和最低的控制器节点,并根据控制器负载和交换机请求率快速选择出最佳的迁移交换机和迁移目的地.控制器的负载均衡度、交换机请求的处理时延和算法的复杂度是算法设计中所考虑的主要因素.该算法的优点在于通过局部的动态调整实现了对SDN控制层的灵活管理.仿真结果表明,基于自优化的交换机动态迁移方案能够有效提高多控制器间的负载均衡度,减小流请求的处理时延,同时将运算复杂度保持在一个相对合理的水平.     

分布式虚拟陷阱网络系统的设计与实现

目前大部分安全技术被设计用来阻止未授权的可疑行为获取资源，同时安全工具是作为一种防御措施被布置，所以它们对网络的保护有限。在分析国内外研究现状的基础上，针对现有网络安全工具在入侵检测以及防护等方面的不足，设计和实现了分布式虚拟陷阱系统。该系统所分布的代理由混合Honeynet和低交互的Honeypot构成，降低了Honeypot固有的风险，增加了模拟的真实性，弥补了现存的各类Honeypot的不足。作为一种动态安全防御机制，可以有效地提高大规模网络的整体安全性，是传统安全机制的有力补充。     

基于拟态防御的SDN控制层安全机制研究

软件定义网络（Software-Defined Networking,SDN）的集中式管控为网络带来了创新与便利,但主控制器被赋予了足够的管理权限,仅依赖其自身内部的防御技术,难以确保其不发生异常,以独裁的能力来危害整个网络。本文提出基于拟态防御的SDN控制层安全机制,以一种多样化民主监督的方式,使用多个异构的等价控制器同时处理数据层的请求,通过对比它们的流表项来检测主控制是否存在恶意行为。其中,重点研究了如何在语义层面对比多个异构控制器的流表项,以解决它们在语法上的差异化问题。该安全机制不依赖于对恶意行为的先验知识,实验结果验证了它检测恶意行为是有效的,同时具有较好的性能。     

一种基于蜜网的网络安全防御技术*

基于主动防御的蜜网技术虽然在一定程度上克服了传统安全模型被动防御的缺陷,但入侵者仍能通过蜜网对内部网络和外部网络进行攻击,造成蜜网本身也存在一定的不安全因素。为此提出了一种基于蜜网的网络安全防御技术——用DMZ(非武装区)和两层防火墙来防止内部网络被入侵;用NIDS（网络入侵检测系统）和流量控制的方法来防止外部网络被攻击,从而较好地解决了传统网络安全模型存在的一些缺陷。     

云环境下面向拟态防御的反馈控制方法

云环境下的虚拟化技术,给用户带来了一些数据和隐私安全问题。针对云环境中虚拟机单一性、同质性和静态性等问题,文章提出一种云环境下面向拟态防御的反馈控制方法。该方法以云中虚拟机为基础,利用拟态防御技术对虚拟机进行拟态化封装,通过反馈控制架构对其实现闭环负反馈控制,并基于异构虚拟机动态轮换改变执行环境,保证虚拟机系统环境的随机性。实验表明该设计实现了对用户服务的错误容忍、可疑虚拟机检测和动态轮换,增加攻击者利用漏洞攻击的难度。