共查询到20条相似文献,搜索用时 93 毫秒
1.
当你惬意地享受网络带给你的便利——收取Email,在线购物……你是否想到,你写给女友的Email、银行帐号变成数据包在网上传送时,会通过网络流入别人的计算机?这不耸人听闻。因为嗅探完全可以让这种设想变成实实在在的危险…… 相似文献
2.
为解决已有路径跳变技术难以抵御全局截获分析攻击及已有端址跳变技术跳变同步难、部署难度大等问题,提出基于路径与端址跳变的SDN网络主动防御技术.首先,将路径跳变问题建模为约束求解问题,使用可满足性模理论求解器求解获得满足重复约束和容量约束的多条路径,然后,依据特定跳变时隙向所选跳变路径上的所有OpenFlow交换机下发对应的端址跳变流表项,使这些交换机对数据流进行正确转发的同时,更改其端口与地址信息.理论分析与实验结果表明:所提技术可以以较小的通信时延开销与计算开销实现通信双方传输路径与传输路径上端口与地址的随机跳变,且可提升SDN网络对于全局截获分析攻击、拒绝服务攻击与内部威胁的主动防御能力. 相似文献
3.
4.
软件定义网络(Software Defined Network,SDN)的控制与转发分离、统一配置管理的特性使其网络部署的灵活性、网络管理的动态性以及网络传输的高效性均有大幅提升,但是其安全性方面的问题却比较突出。综述了基于OpenFlow的SDN在安全方面的研究现状,首先根据SDN的三层架构分析了其脆弱性,介绍SDN不同平面面临的安全威胁,并根据网络攻击的流程来介绍当前主要的攻击手段,包括目标网络探测、伪造欺骗实现网络接入以及拒绝服务攻击和信息窃取;其次,针对不同攻击环节,分别从探测阻断、系统加固、攻击防护3个方面对当前主要的防御手段进行论述;最后,从SDN潜在的攻击手段和可能的防御方法两方面来探讨未来SDN安全的研究趋势。 相似文献
5.
为了保护关键基础设施的服务器免受DDoS攻击,文章引入移动目标防御技术,提出了一种SDN环境下基于端址跳变的DDoS防御方法.使用基于双重Counter Bloom Filter的DDoS攻击检测算法持续监测并快速发现DDoS攻击,SDN控制器通过下发流表过滤恶意流量,并通知可信客户端按照轮询策略从端址映射表中选择新的... 相似文献
6.
本文首先介绍了网络嗅探的原理及其潜在的安全隐患,然后给出了检测网络中是否存在嗅探器的方法,最后根据不同的网络安全需求,提出了几种可以消除网络嗅探的方案。 相似文献
7.
ARP协议是用来将IP地址解析为MAC地址的,ARP欺骗简单说来就是冒名顶替其他计算机的MAC地址,从而截获发送给其他计算机的数据信息。 相似文献
8.
软件定义网络的出现为防御DDoS攻击提供了新的思路.首先,从网络体系结构角度建模分析了DDoS攻击所需的3个必要条件:连通性、隐蔽性与攻击性;然后,从破坏或限制这些必要条件的角度出发,提出了一种能够对抗DDoS攻击的软件定义安全网络机制SDSNM(software defined security networking mechanism).该机制主要在边缘SDN网络实现,同时继承了核心IP网络体系架构,具有增量部署特性.利用云计算与Chord技术设计实现了原型系统,基于原型系统的测量结果表明,SDSNM具有很好的扩展性和可用性. 相似文献
9.
针对软件定义网络(SDN)中传统的分布式拒绝服务(DDoS)攻击的防御方案往往忽略了降低SDN工作负载的重要性,并且未考虑攻击缓解的及时性的问题,提出一种SDN中高效协同防御DDoS攻击的方案。首先,通过将部分防御任务卸载到数据平面中,降低控制平面的开销并充分利用数据平面的资源;然后,若检测到异常则产生快速数据路径(XDP)规则,以及时缓解攻击,同时将数据平面的统计信息交由控制平面来进一步检测和缓解攻击,从而在提升准确率的同时进一步降低控制器开销;最后,根据控制平面确定的异常源更新XDP规则。为验证所提方案的有效性,利用Hyenae攻击工具产生了3种不同类型的攻击数据。相较于依赖于控制平面的支持向量机(SVM)方案、新架构防御方案和跨平面协作的防御方案,在防御及时性方面,所提方案分别提高了33.33%、28.57%和21.05%;在中央处理器(CPU)消耗方面,所提方案分别降低了33、11和4个百分点。实验结果表明,所提方案能很好地防御DDoS攻击且有较低的性能开销。 相似文献
10.
11.
在软件定义网络(SDN)虚拟网络映射中,现有研究者主要考虑请求接受率方面,而忽视了SDN中底层资源失效的问题。为此,针对SDN中可靠性虚拟网络映射(SVNE)问题,提出了一种联合先验式保护和后验式恢复的虚拟网络映射保障机制。首先,在虚拟请求接受之前,对SDN物理网络区域性资源进行感知;然后,采用先验式保护机制为映射域内相对剩余资源变小的虚拟网络元素预留备份物理资源,并将此扩展虚拟网络通过D-ViNE算法映射至物理网络中;最后,在未备份虚拟网络元素发生故障时,采用后验式恢复算法完成故障的恢复,对节点和链路分别采用重映射和重路由的方法完成恢复。实验结果表明,与基于SDN的生存性虚拟网络映射算法(SDN-SVNE)相比,在虚拟请求接受率方面提高了21.9%。另外,该保护机制在虚拟级别故障恢复率、物理级别故障恢复率等方面也具有优势。 相似文献
12.
针对已有虚拟数据中心(VDC)管理平台具有代码固化、后续升级困难等缺陷,设计和实现一种基于软件定义网络(SDN)的VDC管理平台。该平台由VDC管理子系统(VDCM)、VDC计算资源控制子系统(VDCCRC)和VDC网络资源控制子系统(VDCNRC)组成,子系统之间通过RESTful API交互建立起松耦合架构。VDCNRC通过SDN控制器管理数据中心网络资源,VDCCRC通过开源云平台管理数据中心计算资源,VDC管理子系统中内置VDC管理算法框架,可快速开发适用于实际生产环境的VDC管理算法。使用Mininet、Openstack、Floodlight搭建了测试环境,验证了该平台可通过Openstack来控制虚拟机的启动、迁移和删除,可通过Openflow控制器实现VDC网络带宽资源隔离,并支持VDC创建、删除和修改等操作。 相似文献
13.
针对传统的入侵防御系统是串联在网络环境中,处理能力有限且易造成网络拥塞的问题,面向云计算应用,设计了一种基于软件定义网络(SDN)的入侵防御方案。首先,在OpenStack平台中集成了SDN控制器。然后,利用控制器的可编程特性,设计了入侵检测和控制器的联动机制,实现了入侵防御功能。联动机制实现原理是在入侵检测系统检测到入侵时把入侵信息传给控制器,控制器下发安全策略到虚拟交换机,达到过滤入侵流量、动态阻止入侵行为的目的。最后,通过实验将所提方案与传统入侵防御方案相比较,对比分析结果表明,相比传统方案能成功检测85%入侵(攻击速率为12000 packet/s),所提方案的入侵检测效率在90%以上(攻击效率为40000 packet/s),可以用于提高云环境下入侵防御的检测效率。 相似文献
14.
针对传统入侵检测方法无法检测软件定义网络(SDN)架构的特有攻击行为的问题,设计一种基于卷积神经网络(CNN)的入侵检测模型。首先,基于SDN流表项设计了特征提取方法,通过采集SDN特有攻击样本形成攻击流表数据集;然后,采用CNN进行训练和检测,并针对SDN攻击样本量较小而导致的识别率低的问题,设计了一种基于概率的加强训练方法。实验结果表明,所提的入侵检测模型可以有效检测面向SDN架构的特有攻击,具有较高的准确率,所提的基于概率的加强学习方法能有效提升小概率攻击的识别率。 相似文献
15.
An SDN‐based moving target defense (MTD) model maps the physical network elements to a considerably larger space than the original address space and creates different times of validity randomly to generate mapping addresses on the basis of the security level of the targets accessed, making it more difficult for attackers to find the targets. The methods used to make the MTD technique work include generating different times of validity and coefficients of difficulty for the address mapping randomly based on the security level of the targets accessed, changing the mapping destination IPv4 to IPv6 (to increase the target space by several orders of magnitude), transforming the IP, MAC addresses, and the protocol ports, and mapping the SDN network elements. All of these measures increase the difficulty of network reconnaissance, making it more difficult for attackers to obtain authentic target information. In this paper, we present the relevant technological background, discuss the design of a new security adaptive system model based on SDN, and propose a target security level identification algorithm and a network element information mapping algorithm. 相似文献
16.
针对软件定义网络(SDN)中控制平面的负载均衡问题,提出了一种基于多目标优化的动态交换机迁移算法(M-DSMA)。该算法首先将交换机与控制器之间的映射关系转变为0-1矩阵优化问题;其次,通过基于NSGA-Ⅱ的多目标遗传算法同时优化控制平面负载均衡度和交换机迁移所产生的通信开销这两个相互冲突的目标。在多目标优化过程中,利用适应度函数选择个体进行交叉变异,随后采用快速非支配排序对种群进行精英策略,产生下一代种群,使得整个种群不断进化,搜索较优的解。仿真实验结果表示,相比于动态交换机迁移算法(DSMA),M-DSMA在有效均衡控制平面负载的同时,降低了30%~50%的通信开销,且在提高控制平面可扩展性方面具有明显优势。 相似文献
17.
针对软件定义网络(SDN)多控制器负载均衡过程中控制器之间通信开销大以及控制器吞吐量低等问题,提出一种分层式控制器负载均衡机制。基于分层式架构,通过超级控制器与域控制器协作完成负载均衡,并采用预定义负载阈值以减少域控制器与超级控制器之间的消息交换开销;同时,该机制可以有效选择出过载最重的域控制器,并从该过载域控制器所控制的交换机中选取多个符合迁移标准的交换机,将其同时分别迁移到多个综合性能高的域控制器上,从而解决多控制器间负载不均衡问题。实验结果表明,与层次式SDN控制器协同负载均衡方案(COLBAS)以及用于控制器负载均衡的动态和自适应算法(DALB)相比,所提机制系统的消息数量降低了约79个百分点,且该系统的吞吐量分别比DALB、COLBAS分别提高了约8.57%、52.01%。所提机制能够有效降低通信开销,并提高系统吞吐量,有更好的负载均衡效果。 相似文献
18.
针对目前车联网(VANET)数据转发效率低的问题,提出了软件定义网络(SDN)的数据转发策略和路由选择技术。首先,采用了软件定义车联网的分层控制结构,由局部控制器和全局控制器组成,实现数据转发和控制分离,可灵活控制数据转发的方向;然后,设计了单条路段的车辆路由机制,该机制预测车辆节点位置并采用贪心策略,实现数据的稳定传输;其次,设计了多个需求间的路段路由机制,该机制采用广度优先搜索(BFS)算法和边集相结合的方式,实现多个需求间路径不相交,缓解带宽瓶颈问题;最后,通过仿真验证,对比无线自组网按需平面距离向量(AODV)路由,所提出的数据转发策略和路由选择算法在数据分组接收率上提高40%以上,平均延迟时间降低60%左右。实验结果表明,软件定义车联网的数据转发策略和路由选择技术能够提高数据转发效率,减少平均收包延时。 相似文献
19.
针对各种智能设备在移动蜂窝网络中的普及及移动流量需求日益增长的问题,研究控制无线电带宽并将其分配给多个无线电用户设备,提出了一个基于软件定义网络(SDN)的资源分配框架,以及LTE/WLAN多无线电网络中异构资源分配算法。该框架将SDN范式应用到LTE-WLAN集成网络的异构资源分配,并进行了扩展,以整体的方式分配LTE/WLAN多无线电网络中的异构射频带宽。通过将集中式解决方案的功能分解到指定的网络实体的方式,来处理异构资源。模拟实验表明,所提框架可以较好地平衡网络吞吐量和用户公平性,且算法收敛性较好。 相似文献
20.
针对软件定义网络(SDN)环境下的媒体分发网络的接入控制问题,提出了一种综合考虑服务节点和传输链路服务性能优化问题的接入控制方案。该方案利用SDN控制器对路由器的直接管控和对全网的感知能力,对应用层上服务节点服务性能和网络层上服务节点到用户之间的传输链路的服务性能进行联合优化,减少了链路拥塞对数据传输和用户服务质量的影响。首先,为SDN服务系统的接入控制过程建立部分可观Markov决策过程(POMDP)模型;然后,使用基于观测的随机策略作为系统的接入控制策略;最后,通过策略梯度算法对接入控制策略进行优化,求解出模型的最优策略。仿真结果表明,与尽力而为的服务策略相比,基于POMDP模型的最优接入控制策略使系统性能提高了10%,验证了所提方法的有效性。 相似文献