新型通信网络系统的安全态势分析基础理论和方法研究

With the development of the communication technologies, Software Defined Network (SDN) has become the mainstream trend of new communication network systems. Based on its openness for software to network programming, the security of SDN is more important than that of the traditional network. In order to realize efficient security awareness and secured storage/calculation, it is necessary to build up effective topology to organize massive devices with network programming functionalities. Given the virtuality and heterogeneity features of SDN, vulnerability analysis is difficult due to lack of network status and semantic gap. There is an urgent necessity to carry out security evaluation of such networks in a multi-level, multi-angle and multi-functional manner. Regarding the separation between control and data planes, we must combine the features of both planes to analyze the intrusion behaviors of the outliers. Up till now, very few effective basic theories and methods have been reported for the above security challenges. To address the above problems, we propose this project to study the network topology evolution and structure model, vulnerability analysis, dynamic threats situational awareness, intrusion behavior analysis and so on. We intend to make innovative achievements in basic theory and methodology of security situation analysis for SDN.

随着通信技术的不断发展，软件定义网络（Software Defined Network，SDN）已经成为新型通信网络系统的主流发展方向。基于软件对网络编程的开放性，使得SDN的安全比传统网络安全更为重要；SDN架构下必须建立一个有效的拓扑结构来组织这些大量的具有网络编程功能的设备，以实现高效的安全感知、存储和计算；在SDN具有虚拟性和异构性的条件下，网络状态的收集不全和语义鸿沟等问题，导致脆弱性分析困难；亟需探索对SDN实施多层次、多角度、多功能的安全威胁态势评估；由于把控制平面和数据平面分开，需要有效地结合两个平面的特征对异常节点的入侵行为进行分析以提高容侵性。针对以上问题，目前尚缺乏有效基础理论和方法研究。本项目从SDN的网络拓扑演变规律及结构模型、脆弱性分析、动态威胁态势感知、入侵节点异常行为分析等方面开展研究工作，力求在软件定义网络的安全态势分析基础理论和方法上取得创新性成果。

网络架构演化和安全态势分析对各类场景下新型网络的安全、稳定、高效运行至关重要，已成为未来网络领域的核心问题。本课题针对SDN网络的拓扑演化、脆弱性分析、入侵检测及安全态势评估展开深入研究。经过为期五年的研究，项目组已圆满完成了项目计划书中所规定的全部研究内容，并高质量地实现了项目的预定目标。课题基本按原计划进行，主要研究人员没有发生变化。.项目的突出成果主要包括：1）研究SDN拓扑架构向多租户、多控制器和异构资源融合的演进，提出应用层感知技术，解决了多租户SDN构建及其优化问题；结合集群控制、低能耗技术，提出多控制器拓扑架构，解决控制层单点失效及优化问题；在转发层对网络资源建模，提出多种高效的异构资源联合分配策略。2）研究SDN控制层、转发层及全网脆弱性评估机制，对待评估的软件漏洞类型等进行统一形式化描述和建模，并针对典型攻击制定评估指标，为用户高效管理SDN软硬件资产提供支撑。3）在基于网络演算的QoS异常检测、基于知识图谱的内容威胁异常检测、基于可信度管理的共谋攻击减缓方面分别取得突破性进展。 4）研究SDN网络安全态势评估要素抽取和安全状态预测问题，并分别基于大数据分析和机器学习预测全网安全态势变化。.课题的部分安全模型得到了上海市公安、国家电网公司的应用，取得了较好的应用效果。以该课题为依托培养了硕士生11名，联合培养了博士生5名；发表了132篇学术论文，其中SCI论文47篇、EI论文83篇。在IEEE Transactions/Journal等期刊上发表(含利用)论文31篇，在国际主流会议如IEEE INFOCOM、IEEE GLOBECOM、ICC上发表论文21篇；申请48项国家发明专利。.总之，项目组在过去五年的任务执行过程既圆满完成了预定目标，并不断探索新技术和新方法去解决这些新问题。研究成果具有良好的理论和应用价值。