面向网络层的动态跳变技术研究进展

首先,介绍了网络层跳变技术的基本概念并给出了其所能抵御的安全威胁;接着,从传统网络和软件定义网络给出了网络层跳变技术的两种模型和通信方式;然后,从跳变属性、跳变的实现方式和跳变的触发方式3个方面对网络层跳变技术进行分类,并给出网络层跳变的两种评估模型;最后,总结了网络层跳变技术目前仍然存在的问题,以及相应的发展方向.     

基于端口跳变的SDN网络DoS防御技术

端口跳变是移动目标防御典型技术,通过持续改变服务端口来隐藏服务标识和迷惑攻击者。利用SDN网络逻辑集中控制与网络可编程特性,提出基于端口跳变的SDN网络防御技术,使用SDN控制器承担服务端的端口跳变功能,不但可减轻服务端负载,且可提前检测过滤恶意数据包,并能抵御内部攻击者。理论分析与实验结果表明,所提技术对SDN控制器负载增加较少,可有效抵御DoS攻击。     

网络地址跳变对扫描能力的影响评估

移动目标防御(Moving target defense)通过增加系统攻击表面的不确定性,为防御者提供了一种新的攻击防御策略。IP地址跳变是一种典型的网络层移动目标防御机制,它通过IP地址的不确定性,增加攻击者对攻击目标的定位难度。然而对于一个采用IP地址跳变机制的系统,判断其是否具备足够的抵御扫描攻击的能力,这与系统所具备的IP地址资源、采用的跳变方法以及相关跳变参数设定等因素有一定关系,需要建立适合的量化评估模型才能进行精确的评估。对经典的IP地址跳变机制进行梳理和分析,比较主机型和网关型IP地址跳变机制的优缺点。针对IP地址跳变机制的抗扫描能力提出量化评估模型,可用于评估特定IP地址跳变机制在不同参数组合情况下的抗扫描能力。     

基于路径与端址跳变的SDN网络主动防御技术

为解决已有路径跳变技术难以抵御全局截获分析攻击及已有端址跳变技术跳变同步难、部署难度大等问题,提出基于路径与端址跳变的SDN网络主动防御技术.首先,将路径跳变问题建模为约束求解问题,使用可满足性模理论求解器求解获得满足重复约束和容量约束的多条路径,然后,依据特定跳变时隙向所选跳变路径上的所有OpenFlow交换机下发对应的端址跳变流表项,使这些交换机对数据流进行正确转发的同时,更改其端口与地址信息.理论分析与实验结果表明：所提技术可以以较小的通信时延开销与计算开销实现通信双方传输路径与传输路径上端口与地址的随机跳变,且可提升SDN网络对于全局截获分析攻击、拒绝服务攻击与内部威胁的主动防御能力.     

基于双重地址跳变的移动目标防御方法

网络系统的确定性和静态性使得防御处在被动之中,移动目标防御作为一种改变攻守态势的防御理念被提出.针对嗅探和扫描攻击,文章提出一种基于双重地址跳变的移动目标防御方法——DAH.通过双重虚拟地址跳变频率分级,有效解决通信服务质量和跳变频率之间的矛盾,利用低频虚拟地址跳变保证网络可用性,利用高频虚拟地址跳变抵御嗅探攻击.通过...     

SDN/IP网络动态路由系统设计

传统IP网络到SDN的网络升级会经历一段两种网络共存的过渡期。本文为SDN/IP网络设计了一种普适和灵活的动态路由系统,系统为混合网络提供动态路由功能,解决不同网络设备间无法协作执行动态路由的问题。动态路由系统部署于SDN控制器中,由动态路由引擎、路由应用和网络管理应用等组成。系统中,网络管理应用根据外部信息配置网络,动态路由引擎为SDN交换机计算路由表,路由应用将路由表转化为流表下发至SDN交换机,SDN交换机按照流表转发数据包。经过实验验证,本系统能够实现传统路由器与SDN交换机之间的路由消息互通,两种网络设备能够根据各自计算出的路由信息转发数据包。本系统对IP网络与SDN的混合组网具有重要意义。     

基于SDN架构的IP RAN网络演进研究

移动网络向宽带化发展,需要高品质的移动回传网络支持,实现更多的业务需求和更高的业务要求。SDN是一种新型网络技术,支持控制和转发功能分离,提供可编程的开放接口,能够提供更灵活的网络控制和业务能力。本文提出基于SDN架构的IP RAN演进方案,支持多种业务在统一的SDN基础设施中部署。     

基于透明同步与随机时隙的SDN网络地址端口跳变方案

将地址端口跳变技术引入SDN网络主动防御中,提出基于透明同步和随机时隙的SDN网络地址端口跳变（TSRI-SNAPH）方案。针对严格时间同步和ACK同步技术存在的严格时间同步难达到、同步报文易被截获分析等问题,充分利用SDN网络逻辑集中控制特性,将跳变功能置于SDN控制器,可实现通信双方的透明跳变同步,不但不需要严格的时间同步,也不需要发送额外的同步报文。针对固定跳变时隙方案易被截获分析的问题,提出基于泊松到达过程的随机跳变时隙方案,可有效增加截获分析的难度和开销。理论分析与实验结果表明,TSRI-SNAPH方案在负载增加较少的情况下,可有效抵御截获分析和拒绝服务攻击,且可有效防范内部威胁。     

基于伪造IP地址检测的轻量级DDoS防御方法

由于网络速率的不断增加和网络带宽的不断变大,采用维持连接状态的方式进行DDoS攻击防御变得越来越困难。通过检查伪造IP地址防御DDoS攻击是高速链路上防御DDoS攻击的一种有效方法。由Wang Haining 等人提出的HCF在训练完全的情况下对伪造IP地址具有较强的检测能力。但由于网络流量构成的显著变化,网络流量的动态性明显增强。在当前网络环境下的HCF很难训练完全,从而使得HCF在当前网络环境下的检测能力大幅降低。基于HCF使用的基本原理在其基础之上引入了主机安全指数的概念,并修改了其实现的数据结构     

IP RAN SDN的研究与实践

随着LTE网络的发展,IP RAN进入大规模建设阶段,针对大规模网络运营中面临的问题,提出了在IP RAN中引入SDN技术,首先对IP RAN SDN技术路线进行了分析,然后论述了IP RAN SDN网络架构、关键技术,结合现网试点情况对部署效果进行了预测;最后,就运营商在未来IP RAN SDN研究中将持续关注的问题进行了阐述。     

移动目标防御的攻击面动态转移技术研究综述

移动目标防御作为一种动态、主动的防御技术,能够通过不断转移攻击面,减少系统的静态性、同构性和确定性,以此挫败攻击者的攻击.随着网络攻击手段的不断发展和变化,深入研究移动目标防御对网络空间安全具有重要意义,而攻击面的动态转移技术作为移动目标防御领域的重点问题,一直受到研究人员的广泛关注.利用攻击面动态转移技术所具有的不确定性、动态性和随机性等优势,实现信息系统的动态防御,可以有效克服传统防御手段的确定性、静态性和同构性的不足.首先梳理了攻击面的基本概念,并具体阐释了攻击面以及攻击面转移的形式化定义;其次,分析了攻击面4个层次的动态转移技术——数据攻击面、软件攻击面、网络攻击面和平台攻击面,并对不同的动态转移技术进行分析和比较,分别指出它们的优点和缺陷;最后,还从多层次攻击面动态转移技术的融合、攻击面动态转移的综合评估方法、基于感知的攻击面动态转移方法、基于三方博弈模型的攻击面转移决策等方面讨论了未来移动目标防御中攻击面动态转移可能的研究方向.     

大规模SDN设备共享ip资源管理分配方法研究

针对传统方法中存在的路径标识不明确和流量调度不合理等问题,采用SDN架构法对共享IP资源管理进行合理分配。依据SDN架构原理,结合MPLS格式对路径进行标识。采用流量调度方法解决标识过程中出现的交换信息过多问题,并设计流量任务调度表,以该表为依据,提出一种集中式IP资源分配方案。从物理角度出发,采用叠加网络结构设计理念,对流量传输情况进行分析,依据流量传输结果,实现逻辑状态下IP资源管理的合理分配。通过实验对比结果可知,采用SDN架构法对路径标识,精准度最高可达到85%,对于IP资源管理分配效果较好。     

面向SDN的移动目标防御技术研究进展

软件定义网络是基于开放标准的灵活架构,通过控制层管理网络功能和服务,具有控转分离、集中控制的特性;移动目标防御技术致力于构建一个不断变换的环境以提高网络系统的视在不确定性,需要灵活可定制、集中可控制的网络架构加以实施,因此将移动目标防御与软件定义网络相结合已成为更具应用价值研究热点。首先,分别介绍了软件定义网络和移动目标防御的基本概念,概括了软件定义网络所面临的安全威胁,阐述了面向SDN的移动目标防御的实现模型;其次,分别从SDN数据层、控制层和应用层归纳了移动目标防御的技术方法;最后,总结了现有SDN动态防御面临的挑战,对面向SDN的移动目标防御技术发展方向进行了展望。     

GPRS远传系统动态IP的一种解决方案

针对多数基于GPRS无线网络的数据远传系统中数据中心IP地址动态变化的问题,提出一种新的解决方案。该方案克服了传统实现方案需额外申请动态域名的缺点,简化了下位机程序设计,实现了GPRS终端与数据中心的正确连接,保证了系统稳定性、效率、成本间的平衡。