软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.     

软件定义网络架构下的安全问题综述

随着网络业务的多元化与网络基础服务能力的不断提升,企业网、云计算、数据中心等大量新兴应用场景迅速丰富,传统网络已不能满足其不断涌现的可扩展性、可管理性及安全保障等新需求,这一现状有力地推动以SDN为代表的当代网络架构的发展。然而随着学术界与产业界对SDN技术的研究及其设备的普及,安全问题逐渐成为制约其进一步发展的关键因素之一。针对SDN架构的技术发展背景进行分析,然后简析SDN技术的核心架构原理及目前的发展现状;结合SDN架构特点,针对其安全特性及其所面临的安全威胁进行详细分析,并深入讨论SDN网络安全研究的范畴与新兴发展方向。     

软件定义网络的测量方法研究

测量技术是状态监测、性能管理、安全防御等网络研究的基础,在网络研究领域具有重要地位.相较于传统网络,软件定义网络在标准性、开放性、透明性等方面的优势给网络测量研究带来了新的机遇.测量数据平面和测量控制平面的分离,启发了通用和灵活的测量架构的设计与实现;标准化的编程接口,使得测量任务可以快速地开发和部署,中心化的网络控制可以基于反馈的测量结果实时地优化数据平面的硬件配置和转发策略,数据平面基于流表规则的处理机制支持对流量更加精细化地测量.但是,软件定义网络测量中额外部署的测量机制造成的资源开销与网络中有限的计算资源、存储资源、带宽资源产生了矛盾,中心化的控制平面也存在一定的性能瓶颈,这是软件定义网络测量研究中的主要问题和挑战.分别从测量架构、测量对象两方面对当前软件定义网络测量研究成果进行了归纳和分析,总结了软件定义网络测量的主要研究问题.最后,基于现有研究成果讨论了未来的研究趋势.     

基于软件定义网络的流量工程

作为一种新型网络架构,软件定义网络(software defined network,简称SDN)将网络的数据层和控制层分离,通过集中化控制和提供开放控制接口,简化网络管理,支持网络服务的动态应用程序控制.流量工程通过对网络流量的分析、预测和管理,实现网络性能的优化.在SDN中开展流量工程,可以为网络测量和管理提供实时集中的网络视图,灵活、抽象的控制方式以及高效、可扩展的维护策略,具有突出的研究意义.对基于SDN的流量工程相关工作进行综述.分别从测量的方法、应用和部署角度出发,对SDN中流量测量的基本框架、基于测量的正确态检测以及测量资源的管理进行概述.分析传统网络流量调度方案的问题,介绍SDN中数据流量和控制流量调度的主要方法.从数据层和控制层两个方面概述SDN中故障恢复方法.最后,总结并展望未来工作.     

无线软件定义网络研究前景展望

软件定义网络是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。软件定义网络能够改变现有的数据发送规则,由转发设备决定的僵硬模式能够显著提高数据发送的服务质量。目前软件定义网络的无线网络条件下应用的研究还处于起步阶段,本文分析了无线网络中实现软件定义网络可能遇到的困难与机遇。     

基于软件定义网络的技术与安全体系探索

软件定义网络为一种全新的网络体系结构,其应用有效弥补了传统网络结构过于扁平化、安全防护手段单一的弊端,在提升网络安全等级、降低运维管理难度方面优势突出.本文介绍软件定义网络技术的基本特征,分析基于软件定义网络的安全体系构建,并对其在企业内网中的应用经验进行总结,以搭建系统化的软件定义网络技术体系,为其研究应用提供理论参...     

软件定义网络可信连接设计与实现

软件定义网络（software defined networking,SDN）将控制层和数据转发层分离,由控制层对数据转发层进行统一管理。目前控制层及数据转发层设备间完整性认证机制尚不完善,若平台完整性损坏的设备接入网络,会给整个SDN网络带来严重的安全问题。为确保双方设备在完整可信的前提下建立连接,进而在源头上保障设备安全、网络可信,提出了一种新的SDN可信连接方案。该方案以可信网络远程设备认证技术为基础,利用可信平台模块作为可信支撑,在SDN数据转发设备与控制器的连接过程中添加完整性认证环节。测试分析表明,该方案有效可行,符合实际应用。     

基于软件定义网络的实验室防火墙架构设计

针对高校网络实验室安全性较弱的问题,提出了一种基于软件定义网络的防火墙系统建设方案。该防火墙系统采用高性能软硬件系统和相结合的设计思路,以信息处理过程与数据交互过程中的安全防护为研究对象,在高校教师团队与专业技术公司的协同合作下,打造提升校园网络安全性,同时具备教学与科研功能的防火墙系统创新实验平台。在该平台上进行了实验,实验结果表明,开发的防火墙不仅可以抑制因控制器系统的引入而导致的网络攻击,而且能够成功地监控所有网络连接。     

软件定义网络数据平面安全综述

软件定义网络将数据平面与控制平面解耦,旨在更快地引入网络创新,并从根本上实现大型网络的自动化管理。架构创新带来了挑战与机遇,安全问题限制了软件定义网络的广泛采用。针对数据平面的攻击可能会损毁整个软件定义网络,首先介绍了数据平面结构与发展趋势;然后分析了数据平面安全风险,指出漏洞,确定潜在的攻击场景,并给出2种具体解决方案,讨论其意义与局限性;最后展望未来的安全研究方向。     

一种防御DDoS攻击的软件定义安全网络机制

软件定义网络的出现为防御DDoS攻击提供了新的思路.首先,从网络体系结构角度建模分析了DDoS攻击所需的3个必要条件：连通性、隐蔽性与攻击性;然后,从破坏或限制这些必要条件的角度出发,提出了一种能够对抗DDoS攻击的软件定义安全网络机制SDSNM（software defined security networking mechanism）.该机制主要在边缘SDN网络实现,同时继承了核心IP网络体系架构,具有增量部署特性.利用云计算与Chord技术设计实现了原型系统,基于原型系统的测量结果表明,SDSNM具有很好的扩展性和可用性.     

基于软件定义无线网络的协作式路由实现和性能分析

无线mesh网络的冗余式设计往往导致WiFi AP的带宽资源不能得到充分利用.由于无线广播的特性,报文会同时被多个节点所接收.在协作式网络中,这些冗余的WiFi AP可以作为辅助节点帮助其他链路进行数据传输.这种协作式路由在传统网络中给资源受限的WiFi AP带来了额外的通信和计算开销,从而实现较为困难.软件定义无线网络(software defined wireless networking, SDWN)集中式架构提供了辅助节点之间及辅助节点与控制器之间的通信机制,使得最佳辅助节点的全局化选择成为可能.在分析现有协作式路由的基础上,提出了基于软件定义无线网络协作式路由算法,其中路由发现由WiFi AP完成,而路由有效性验证、辅助节点的选取和链路干扰模型的更新等全局且计算负载较大的工作由软件定义无线网络中的控制器进行.通过对现有OpenFlow协议的扩展,在测试平台上验证并实现了基于软件定义无线网络的协作式路由.测试结果表明:该面向服务质量的协作式路由相比传统路由能够显著提高网络传输带宽和降低报文传输延迟.     

支持网络切片和绿色通信的软件定义虚拟化接入网

接入网络中存在大量不同的接入技术和海量的接入设备,导致运营复杂度和成本急剧增加,这迫使运营商亟待寻找一种有效的解决方案来提升收支比,以此实现可持续的商业模式.为了应对这些挑战,提出了一种基于软件定义网络(software defined networking, SDN)的新型接入网体系架构SDVAN,其可以提供具有高成本效益的网络管控机制,同时具备高扩展性并支持定制化.SDVAN将所有物理设备的控制平面抽象化集中化,并通过软件定义的方式实现对接入网的灵活定制.SDVAN节点的可编程性为不同的接入技术提供了弹性支持.此外,SDVAN还提供了一种高效的资源建模机制和网络抽象方法,实现了网络服务的自动化编排,并可基于信任级别来体现网络的可视性和可控性.最后,SDVAN实现了支持多租户和多版本网络设备的网络切片功能.实验结果证明了SDVAN方案在网络节能、资源利用率、成本等方面的有效性和实用性.     

软件定义网络中延迟满足的路由选择与实时调度更新

由于数据流的动态性和流量负载转移,软件定义网络（software defined networking,简称SDN）需要频繁更新数据平面以优化网络性能.大多数已有路由更新策略首先根据网络当前流量状态确定目标路由配置,然后更新数据流的路由.然而,由于交换机基于TCAM（ternary content addressable memory）进行流表更新的速度较慢,导致路由更新的延迟通常较大.当网络规模大或网络拓扑结构经常变化时,路由更新的延迟可能更大.研究发现,大多数数据流的持续时间很短且整个网络的流量强度在一段时间后会发生变化.如果路由更新延迟过长,更新后的路由配置可能不再有效.为此,研究了SDN的实时路由更新问题,提出了延迟满足的路由选择和调度更新策略（delay satisfied route selection and updating scheme,简称DSRSU）.与大多数现有研究不同,DSRSU同时从控制平面路径选择和数据平面的更新调度两方面来联合优化,降低路由更新的延迟.路径选择阶段只选择部分数据流进行路由更新;更新调度阶段通过建立更新关系图挖掘数据流的更新先后顺序,进一步加快路由更新速度.仿真分析结果表明,与现有几种路由更新策略相比,DSRSU能够在大幅度降低路由更新延迟的同时,达到与现有策略相似的网络性能.     

创建软件定义网络中的进程级纵深防御体系结构

云计算因其资源的弹性和可拓展性,在为用户提供各项服务时,相对于传统方式占据了先机。在用户考虑是否转向云计算时,一个极其重要的安全风险是：攻击者可以通过共享的云资源对云用户发起针对虚拟机的高效攻击。虚拟机作为云服务的基本资源,攻击者在攻击或者租用了某虚拟机之后,通过在其中部署恶意软件,并针对云内其他虚拟机发起更大范围的攻击行为,如分布式拒绝服务型攻击。为防止此种情况的发生,提出基于软件定义网络的纵深防御系统,以及时检测可疑虚拟机并控制其发出的流量,抑制来自该虚拟机的攻击行为并减轻因攻击所受到的影响。该系统以完全无代理的非侵入方式检测虚拟机状态,且基于软件定义网络,对同主机内虚拟机间或云主机间的网络流量进行进程级的监控。实验结果表明了该系统的有效性。     

基于多路广播树的SDN多路径路由算法

传统的网络使用基于最短路径的单一路径路由,无法有效地利用网络的全部带宽。软件定义网络(Software Defined Networking,SDN)采用中心化的控制平面能方便地实现对路由的精确控制。针对SDN网络下的多路径路由问题,提出了基于多路广播树的路由存储结构及相应的多路径选择算法。该算法根据各路径的可用带宽和时延进行概率分配,优先选择可用带宽大和时延小的路径。实验结果表明,该算法能快速地进行路由,并有效地减小传输时延和增大吞吐率。     

基于软件定义安全的服务功能链设计

随着云计算的高速发展和广泛应用,云环境下安全防护成为亟待解决的问题.针对如何灵活、动态的调度虚拟化的安全设备问题,论文提出基于软件定义安全的服务功能链,根据用户需求构建安全服务功能链,调度安全资源池中的虚拟安全设备,实验证明本文方法的有效性.     

面向软件定义网络的隐蔽通信检测机制

为提高软件定义网络抵抗高级持续性威胁的能力,对软件定义网络特性及高级持续性威胁中的隐蔽通信进行了分析,提出了一种适用于软件定义网络的高效隐蔽通信检测机制.该隐蔽通信检测机制首先利用软件定义网络抓取网络流量并从中获取可能包含隐蔽通信的报文;随后从上述报文中提取SSL证书,并计算用于表征该证书的特征值;最后采用孤立森林算法对证书的特征值进行检测以判断证书是否为非法证书,基于此检测结果判断网络中是否存在隐蔽通信.实验结果及分析表明,该隐蔽通信检测机制能够提高隐蔽通信检测精度,降低隐蔽通信误检率;同时该机制可扩展性较高,能够适用于不同应用场景.