一种防御SDN路由欺骗攻击的轻量级解决方案

针对现有技术对某些特定分布式拒绝服务(Distributed Denial of Service, DDoS)攻击检测精度不够的问题,提出了一种防御软件定义网络(Software Defined Network, SDN)中路由欺骗(Route Spoofing, RS)攻击的轻量级解决方案.该方案通过分析路由欺骗产生的原因,在数据平面OpenFlow交换机上设计了选择性阻塞扩展模块,一旦检测器发现RS攻击,交换机将生成的报警包发送给控制器,控制器通过发送转发规则阻止攻击者节点恶意使用其他用户的活动通信路由.仿真结果表明,本文方法可以有效地检测出SDN中的DDoS攻击,相关指标也充分显示了解决方案的可行性和正确性.     

SDN架构下ARP攻击的解决方案及示例

网络上的安全一直是一个突出的问题,在本地网络中,ARP协议工作在较底层,安全性经常被忽略,并且容易受到黑客攻击.在新的网络架构SDN架构中,ARP攻击仍然是一个严重的网络安全问题,而且在这种网络架构中,不仅网络终端节点会暴露在攻击的风险下,控制器也容易遭受到攻击.因此,文章提出基于SDN架构的一种ARP攻击的解决方案....     

基于博弈论的SDN多控制器负载均衡机制研究

针对软件定义网络为了提高控制平面的可扩展性和可靠性而设计的多控制器部署,导致控制器负载不均衡和网络稳定性与控制器性能变差的问题,提出了一种基于博弈论的负载均衡机制,以改善多控制器的负载不均衡问题.首先,过载控制器邀请相邻从控制器作为博弈者参与博弈而构建博弈域;然后,以控制器与交换机之间的时延和交换机迁移成本集合粒子群算...     

SDN环境下基于KNN的DDoS攻击检测方法

DDo S攻击是当前互联网面临的主要威胁之一,如何快速准确地检测DDo S攻击是网络安全领域研究的热点问题。文中提出了一种在SDN环境下基于KNN算法的模块化DDo S攻击检测方法,该方法选取SDN网络的5个关键流量特征,采用优化的KNN算法对选取的流量特征进行流量异常检测,最后基于NOX控制器和Net FPGA交换机进行了实验验证。实验结果表明:相对其他的分类检测算法,所提的检测方案具有更高的识别率和更低的误报率。     

SDN环境下基于PCA-DNN的扫描攻击检测模型研究

随着互联网技术的飞速发展,网络安全问题凸显。攻击者通常使用网络扫描来获取相关信息,为下一步入侵所使用。通过扫描检测来抵御和阻止相关攻击至关重要。软件定义网络(software define network,SDN)的可编程性和控制器的全局视图能力能够快速响应网络中的问题。深度学习在垃圾邮件过滤、智能防火墙、入侵检测和网络管理等方面取得了长足的进步。本文提出了一种SDN中基于主成分分析-深度神经网络(principal component analysis-deep neural networks, PCA-DNN)的扫描攻击检测模型,模拟地址解析协议(address resolution protocol,ARP)、传输控制协议(transmission control protocol,TCP)、用户数据包协议(user datagram protocol,UDP)和因特网控制报文协议(internet control message protocol,ICMP)等4种类型的扫描流量来评估模型。实验表明,该模型节省了计算时间,确保了检测精度,对4种扫描流量的精确率和召回率均达到98%。     

SDN中DDoS攻击的高效联合检测和防御机制

为解决软件定义网络(SDN,software-defined networking)控制器所面临的DDoS攻击问题,本文提出一个高效率的联合检测和防御机制.联合检测部分采用改进自组织映射(SOM,self-organizing mapping)算法和多维条件熵算法相结合,通过对自组织映射算法的改进,与多维条件熵算法相互提供反馈信息,达到高效联合检测目的.联合防御部分采用常规防御模块与快速防御模块相结合,通过调整优先级的方式针对不同的检测结果采取不同的防御策略.大量实验表明,本文的联合检测机制可以达到95.2%的检测率;与单独的防御机制相比,联合防御机制中控制器的响应时间可以平均降低0.11s.     

SDN中基于流特征的DDoS攻击与闪拥事件检测

在软件定义网络(software defined networking, SDN)中,由于集中管理与可编程的特点,其安全性面临着巨大的挑战。恶意攻击者容易利用SDN网络的安全漏洞进行分布式拒绝服务(distributed denial of service,DDoS)攻击,而对DDoS攻击与闪拥事件检测的分析不论是对预防恶意流量还是电子数据取证都至关重要。提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法,其中可调节的φ-熵增加不同数据类型间的距离以便在流形成初期及时发现攻击行为。对一些常见的DDoS攻击方式进行详细分析,并通过获取交换机中流表的多维特征对样本进行训练分类,在有效检测DDoS攻击流量的同时还能在一定程度上区分DDoS攻击与闪拥事件。通过Mininet平台进行仿真实验,实验表明,该方法可以有效提高DDoS攻击检测率并降低闪拥事件误报率,验证了实验的准确性和有效性。     

基于蝙蝠算法的SDN多控制器部署

对于大型SDN网络,多控制器的部署和应用需求迫切。提出了一种基于蝙蝠算法的多控制器部署方法,同时优化了3个指标:最小化平均控制时延、最小化控制器负载差异度和去除孤立节点。通过在迭代时不断优化达到平均控制时延最小化;限制控制器负载利用率保证控制器间负载均衡,利用标签传递算法去除孤立节点保证域内通信。仿真结果表明该方法可以保证SDN网络在无孤立节点的情况下,获得最小时延以及负载均衡的多控制器部署方案。     

基于网络划分的SDN分布式控制器部署

针对大规模SDN(software defined networking)网络中分布式控制器部署问题,以优化网络弹性和可靠性为目标,提出两阶段控制器部署算法(TSCP, two-stage controller placement):利用节点相似度划分控制域,使得控制域内设备之间的连通性强、连接紧密,增强控制域的网络弹性;选择控制路径平均失效率最小的控制器集合作为控制器部署,提高网络可靠性。通过约束控制域的规模和设备(交换机或控制器)之间传播时延,使控制域的交换机个数均衡,控制器的部署合理。通过定义性能指标,实验对比GCP算法、K*-means算法,结果表明TSCP算法可以优化控制域的规模,均衡控制域的交换机个数,减少控制器个数,网络弹性和可靠性均表现较好。     

SDN网络中基于拓扑分域的故障恢复方法

在软件定义网络中,为了实现链路故障的快速恢复,通常采用主动式恢复方法。现有主动式恢复方法的备份路径设计往往难以兼顾故障恢复的备份资源消耗和恢复时延。为了在节省备份资源的基础上减少恢复时延,文章提出了一种主动式单链路故障恢复方案(LBR),对主路径中的前半部分和后半部分链路采取分而治之的方式,不同故障位置的链路规划不同的备份路径,以实现快速故障恢复和对备份流表项资源的合理利用。最后,将LBR方案与基于最短路径重路由的方案(ST方案和FLR方案)、回溯方案(DT方案)进行对比实验。实验结果表明LBR方案实现了恢复时延和资源利用上的有效平衡：与基于最短路径重路由的方案相比,LBR方案能更有效地利用备份资源;与回溯方案相比,在主路径节点数为4~11时,LBR方案的恢复时延减少了34%~44%。

     

基于逻辑拓扑的虫孔攻击检测

虫孔攻击(wormhole attack)是一种主要针对无线传感器网络的重大安全威胁,通常难以检测和预防.分析了虫孔攻击对于网络节点邻居数目的影响,提出了一种基于网络逻辑拓扑的攻击检测方法.在假设实现了某种邻居节点发现过程的前提下,首先对网络节点进行邻居数目判断和连通性检测,筛选出可能的受攻击节点集合;随后根据攻击特征对候选节点集合进行分析判断,从而确定是否存在虫孔攻击.与现有检测算法相比,该方法能进一步区分位于隧道两端的受攻击节点集合,从而降低相应的安全风险.初步分析表明,虽然可能受节点密度、攻击半径、攻击位置以及其他随机因素的影响,但通过必要的修正措施仍然可以得到较为可信的检测结果.该方法无时间同步和节点定位要求,算法复杂度大致为O(n).     

SDN：颠覆性的网络技术构架创新

相对于传统网络构架来说,软件定义网络(software-defined networking,SDN)是一种颠覆性的网络技术构架创新,这种网络架构打破了网络领域多年来的沉寂,逐渐成为各个专业领域的热门议题.从电信业(communicationtechnology,CT)和信息业(information technology,IT)的比较出发,对当今网络技术发展的瓶颈进行分析,描述了SDN 和网络功能虚拟化(network function virtualization,NFV)2种典型的标准网络架构,阐述了SDN作为网络重构技术的必要性,详细分析了其核心价值、面临的主要挑战以及应用场景,继而引申到产业链重构的机遇和挑战;阐述了对SDN战略层面的相关思考.     

SDN环境下基于动态阈值的DDoS攻击检测方法研究

软件定义网络SDN技术改变了传统网络中数控结合的局面,简化了网络管理。然而,SDN面对分布式拒绝服务DDoS攻击时也显得捉襟见肘。探讨了SDN环境下基于动态阈值的DDoS攻击检测问题。通过SDN网络的特点,提出了一种由触发检测和深度检测相结合的DDoS检测机制。该机制先根据收集到的流量状态计算网络环境的熵,并根据网络条件推导出一个动态阈值来进行粗粒度的异常预警。深度检测在预警信息后启动,通过基于机器学习的分类算法进行判断环境是否遭受到DDoS攻击。最后通过仿真环境实验表明,该机制可以有效的检测出环境是否遭受攻击,具有较高的检测率和较低的误检率。     

SDN环境下基于Renyi熵的低速率分布式拒绝攻击的检测

针对现在对低速率分布式拒绝攻击的研究不足,提出了一种在软件定义网络(SDN)环境下,利用Renyi熵来检测L-DDoS的方法.该方法首先在控制器上收集PACKET_IN数据包,然后基于目的 IP来计算Renyi熵,最后通过设定一定的阈值来检测异常流量.实验结果表明:相比于利用香农熵的检测方法,该方法通过调整一定目的 IP熵的阶数可以检测L-DDoS攻击流量从而降低误警率.     

ARP欺骗攻击类型及防御方案

分析ARP原理以及欺骗网关攻击、仿冒网关攻击、“中间人”攻击和泛洪攻击4种常见的ARP欺骗攻击类型，结合电子政务网ARP防御的应用实例，提出一种采用DHCP服务器和交换机的DHCPRelayAgent、DHCPSnooping功能进行防御ARP欺骗攻击的方案。该方案能够防止接入终端任何ARP欺骗攻击，可以有效解决ARP欺骗攻击问题。     

DOS攻击原理与防御策略研究

随着互联网应用的推广普及,威胁网络可靠运行的安全问题变得极为重要,本文通过介绍DOS攻击的概念、原理和分类,提出了针对整个系统的DOS攻击防范策略建议。     

基于SDN架构的最短路由优化算法研究

本文提出一种基于软件定义的无线Mesh网络路由协议(SDWMR),将软件定义网络(SDN)与无线M esh网络相结合,由具有全局网络视图的逻辑集中控制器负责所有控制决策;首先通过控制器与M esh节点建立初始路径,根据初始路径进行最短路径优化,优化过程由Dijkstra最短路由算法完成;其次将优化后的规则通过初始路径传输到各个底层Mesh节点中．当路径传输大规模流量时本文以分流算法均衡路径负载,从而避免路径拥塞．SDN的引入为无线Mesh解决了路径故障问题,并且提升了路由效率．本文路由协议已使用M ininet-Wifi网络模拟工具仿真,仿真结果表明,在网络吞吐量、丢包率、延迟等网络性能方面SDWM R协议优于已有的路由协议如混合OpenFlow的优化链路状态路由协议(OF-OLSR)、三阶段路由协议(ThreeStage)等．     

基于CDN与SDN结合的多区域划分融合架构

为提高内容分发网络(content delivery network,CDN)分发管道的智能分配响应速度,文章提出了一种基于CDN和软件定义网络(software defined network,SDN)相结合的相关架构。该结构是将SDN的控制与转发分离架构和CDN网络结合,将CDN网络的转发平面与控制平面分离,将控制平面集中起来,并将SDN的控制平面划分区域管理,使得数据转发时的管道更加智能和迅速,区域划分则能让用户在管理上更加清晰明了,流量管道的转发上也更加透明。最后与传统CDN-SDN架构进行对比,结果表明该文所提出的架构比以往的架构在数据转发时管道智能选择以及连接方面有了一定的优化提升。     

论黑客的攻击技术及防御策略

讨论了计算机网络上常见的黑客行为的危害 ,对黑客的拒绝服务攻击技术进行了分析 ,并对防范黑客的拒绝服务攻击 ,保证网络安全提出了相应的策略。