面向软件定义网络架构的入侵检测模型设计与实现

针对传统入侵检测方法无法检测软件定义网络（SDN）架构的特有攻击行为的问题,设计一种基于卷积神经网络（CNN）的入侵检测模型。首先,基于SDN流表项设计了特征提取方法,通过采集SDN特有攻击样本形成攻击流表数据集;然后,采用CNN进行训练和检测,并针对SDN攻击样本量较小而导致的识别率低的问题,设计了一种基于概率的加强训练方法。实验结果表明,所提的入侵检测模型可以有效检测面向SDN架构的特有攻击,具有较高的准确率,所提的基于概率的加强学习方法能有效提升小概率攻击的识别率。     

网络入侵容忍技术研究

容忍入侵技术是一种融合了容错技术和密码技术的新型网络安全技术。它承认系统存在脆弱点,并假定其中某些脆弱点可能会被攻击者利用。容忍入侵设计的目标是使系统在受到攻击,甚至某些部件受到破坏或被攻击者操控时,仍能维护正常的基本服务。传统的安全技术更多强调的是如何保护系统以使之免受入侵;而容忍入侵更强调了系统的某些部分即使已经受到攻击者破坏或被攻击者成功控制时,系统如何继续对外提供服务,并保证数据的秘密性和完整性。显然,这种新型信息安全技术更符合当前信息可生存性的需求,是一种很有前途的安全防护手段。     

基于软件定义网络的云平台入侵防御方案设计与实现

针对传统的入侵防御系统是串联在网络环境中,处理能力有限且易造成网络拥塞的问题,面向云计算应用,设计了一种基于软件定义网络（SDN）的入侵防御方案。首先,在OpenStack平台中集成了SDN控制器。然后,利用控制器的可编程特性,设计了入侵检测和控制器的联动机制,实现了入侵防御功能。联动机制实现原理是在入侵检测系统检测到入侵时把入侵信息传给控制器,控制器下发安全策略到虚拟交换机,达到过滤入侵流量、动态阻止入侵行为的目的。最后,通过实验将所提方案与传统入侵防御方案相比较,对比分析结果表明,相比传统方案能成功检测85%入侵（攻击速率为12000 packet/s）,所提方案的入侵检测效率在90%以上（攻击效率为40000 packet/s）,可以用于提高云环境下入侵防御的检测效率。     

入侵容忍系统设计

当入侵检测成为网络安全的热点的同时,入侵容忍的概念也悄然升起。论文主要通过对入侵容忍概念和常用入侵容忍方法进行总结,并根据研究提出了设计入侵容忍系统的必须具有的基础结构。该基础结构为设计入侵容忍系统提供了参考的标准。     

基于贝叶斯网络的入侵容忍系统

提出一种基于贝叶斯网络的入侵容忍系统,给出系统的运行流程.用进程特性向量来表示一个具体的进程,并对进程特性进行具体的分类.提出利用贝叶斯网络模型来描述进程的运行过程,给出基于贝叶斯网络推理的进程类型概率值的计算公式,构造了用于确定进程危险程度的危险函数,并用实例说明了对入侵进程的具体识别过程.     

DBSL: 一种面向入侵容忍的分布式入侵检测方法

面向入侵容忍的入侵检测是网络安全最前沿的研究热点之一,它是确保系统在威胁性的环境下提供预定服务的重要技术.容侵系统服务于复杂网络环境中,入侵往往在多个终端并发发生,传统入侵检测算法无法有效分析分布式入侵特征并且未对入侵后的系统恢复提供线索,不再适用.该文在研究分布式入侵特征的基础上,结合机器学习思想,提出了一种基于改进的分布式贝叶斯结构学习的入侵检测方法—DBSL方法.该方法特别适合于检测分布式入侵.文中对DBSL方法实现的关键问题进行了详细的讨论和分析.     

DBSL：一种面向入侵容忍的分布式入侵检测方法

面向入侵容忍的入侵检测是网络安全最前沿的研究热点之一,它是确保系统在威胁性的环境下提供预定服务的重要技术.容侵系统服务于复杂网络环境中,入侵往往在多个终端并发发生,传统入侵检测算法无法有效分析分布式入侵特征并且未对入侵后的系统恢复提供线索,不再适用.该文在研究分布式入侵特征的基础上,结合机器学习思想,提出了一种基于改进的分布式贝叶斯结构学习的入侵检测方法—DBSL方法.该方法特别适合于检测分布式入侵.文中对DBSL方法实现的关键问题进行了详细的讨论和分析.     

软件定义网络控制平面的研究综述

软件定义网络(Software-defined network,SDN)作为一种新兴的网络范式,通过解耦控制平面与数据转发平面,集中控制并且聚集全网视图,在控制平面与数据平面建立开放接口,启用外部应用使得网络具有可编程性,从而弥补当前网络架构所存在的不足与限制。其中,控制器作为SDN中重要的组成部分,成为了研究的热点。针对软件定义网络控制平面控制器的研究,首先总结了当前SDN控制平面控制器技术发展的现状并对其进行归类;其次着重分析了当前控制器存在的一致性、可扩展性、负载均衡等一系列问题;最后探讨了软件定义网络技术未来的研究发展方向及趋势。     

基于入侵容忍的分布式数据库安全体系结构

分析了分布式数据库系统的结构及其面临的安全问题,提出了一种基于容侵技术的分布式数据库体系结构。从事务处理的角度出发,结合入侵检测和容侵技术,对被攻击的部分进行定位和修复,为合法用户提供不间断的服务。采用门限秘密共享技术,实现关键数据的机密性。     

基于诱骗机制的网络容侵模型的设计与实现

目前的网络安全机制存在很多缺陷,而入侵容忍的出现弥补了现有网络安全机制的不足,因此建立容侵机制非常必要.对于容侵机制所关注的两方面分别进行了分析与设计,并完成了一个完整容侵模型的设计与实现.     

基于路径及反馈的软件定义网络策略更新方案*

软件定义网络(Software-Defined Networking,SDN)虽是具有逻辑集中控制特点的网络架构,但其底层的数据平面依旧是分布式的系统,由此产生的策略更新不一致问题将导致数据包的错误处理,进而引起一系列不正确的网络行为。就此问题,本文提出了基于路径及反馈的策略更新方案,通过对旧流行踪的准确定位实现新、旧流的并行传输,并基于BP神经网络建立了相应的网络性能反馈模型,根据网络状态动态调节数据包重放时机,旨在确保一致性的同时,获得更加良好的网络性能。MATLAB训练结果以及基于POX、Mininet的仿真实验表明,反馈模型的建立能够准确刻画网络性能的变化,该方案与同类研究相比具有更优良的网络性能、更新效率、通用性、隔离性以及相当低的规则空间消耗。     

基于改进型拍卖的软件定义网络交换机迁移机制

多控制器软件定义网络(SDN)中交换机迁移策略单一,造成迁移效率低且多次迁移。为此,提出一种基于改进型拍卖的交换机迁移机制PASMM,将交换机的迁移问题优化成为控制器剩余资源的拍卖问题,通过提高处于供不应求状态的控制器资源的交易价格,完成拍卖过程,实现控制器和交换机的重新部署,提高网络效益。仿真实验表明,与典型的交换机迁移策略相比,PASMM达到了较好的控制器负载均衡,PACKET_IN消息的响应时间减少了约13.5%,同时随着交换机流请求的增大,PASMM的迁移时间最少。     

基于ARMA模型预测的交换机流表更新算法

针对SDN网络中交换机在网络流量高峰期流表匹配率低以及控制器负载过重的问题,提出了一种基于自回归移动平均（ARMA）模型预测的交换机流表更新算法。算法首先收集每个取样周期内的新增流表项数量作为历史数据,然后使用ARMA模型对收集的历史数据进行分析,预测下一个周期内新增加的流表项数量,并结合当前流表空间的使用情况,清除交换机中过去一段时间内使用频率较低的流表项。采用真实数据中心网络数据的模拟实验结果表明,与流表更新的一般方法相比,该算法有效地提高了交换机流表的匹配率,并减少了交换机与控制器之间交互的次数,降低了控制器端的负载。     

基于入侵容忍的证书撤销列表机制研究

公钥基础设施(PKI)系统中,认证机构(CA)签名不易伪造,对基于证书撤销列表(CRL)的证书撤销系统的入侵通常是破坏系统的可用性和数据的完整性,针对这一特点,设计了入侵容忍CRL服务系统。系统利用冗余的多台服务器存储CRL,在进行多机之间的数据复制和使用时,采取随机选择主服务器的被动复制算法及选择最近更新的CRL简单表决算法。在实验给定的入侵攻击条件下,入侵容忍的CRL系统比无容忍系统的证书撤销查询正确率提高了近20%,但也增加了系统的开销。实验结果表明,适当地增加CRL服务器的数量能够提高证书撤销查询的正确率且控制系统的开销。     

车载CAN总线脱离攻击及其入侵检测算法

CAN总线脱离攻击作为一种新型的攻击方式，通过CAN总线通信的错误处理机制，可以使节点不断产生通信错误并从CAN总线上脱离。针对上述攻击所引发的车载CAN总线通信安全问题，提出了一种车载CAN总线脱离攻击入侵检测算法。首先，总结了车载CAN总线脱离攻击发生的条件与特点，指出正常报文与恶意报文的同步发送是实现总线脱离攻击的难点，并利用前置报文满足同步发送的条件来实现总线脱离攻击。其次，提取了CAN总线脱离攻击的特征，通过累计错误帧的发送数量，并根据报文发送频率的变化实现了对CAN总线脱离攻击的检测。最后，利用基于STM32F407ZGT6的CAN通信节点模拟车内电子控制单元（ECU），实现了恶意报文和被攻击报文的同步发送。进行了CAN总线脱离攻击实验和入侵检测算法的验证。实验结果表明，检测算法对高优先级恶意报文的检测率在95%以上，因此可以有效保护车载CAN总线通信网络的安全。     

车载CAN总线脱离攻击及其入侵检测算法

CAN总线脱离攻击作为一种新型的攻击方式,通过CAN总线通信的错误处理机制,可以使节点不断产生通信错误并从CAN总线上脱离。针对上述攻击所引发的车载CAN总线通信安全问题,提出了一种车载CAN总线脱离攻击入侵检测算法。首先,总结了车载CAN总线脱离攻击发生的条件与特点,指出正常报文与恶意报文的同步发送是实现总线脱离攻击的难点,并利用前置报文满足同步发送的条件来实现总线脱离攻击。其次,提取了CAN总线脱离攻击的特征,通过累计错误帧的发送数量,并根据报文发送频率的变化实现了对CAN总线脱离攻击的检测。最后,利用基于STM32F407ZGT6的CAN通信节点模拟车内电子控制单元（ECU）,实现了恶意报文和被攻击报文的同步发送。进行了CAN总线脱离攻击实验和入侵检测算法的验证。实验结果表明,检测算法对高优先级恶意报文的检测率在95%以上,因此可以有效保护车载CAN总线通信网络的安全。     

针对大规模软件定义网络的子域划分及控制器部署方法

针对大规模软件定义网络（SDN）的多控制器部署模型计算复杂度高的问题,定义了控制链路可靠性等多个衡量网络服务质量的指标,并提出一种针对大规模SDN的子域划分及控制器部署方法。首先,该方法利用改进的标签传播算法（LPA）将网络划分成多个子域,然后在子域中分别部署控制器。在考虑控制链路平均时延、可靠性以及控制器负载均衡等多个性能指标的基础上,将问题模型的计算复杂度降低至仅与网络规模呈线性关系。实验结果表明,所提算法与原始的LPA相比,控制器负载均衡性得到明显优化;与容量受限的控制器部署（CCP）算法相比,模型的计算复杂度和网络服务质量得到明显改善：在Internet2拓扑中,控制链路平均时延最多减小9%,控制链路可靠性最多增强10%。