软件定义网络的主动攻击与防御机制研究
基本信息
结项摘要
Software Defined Network (SDN) is a new network architecture, featured in centralized network control, highly-efficient data forwarding, and flexible programing interface. It is shown that SDN can greatly ease the increasing complicated task of network management. However, due to its decoupled control/data plane, and the centralized control mode, SDN is very vulnerable to many active attacks. Considering the worldwide attention from both the academia and industry, and the promising future in national economy, it is very urgent to systematically study the security vulnerabilities of SDN (especially active attacks faced by SDN), and come up with proper and effective counter-measures. This project approaches this problem from three aspects: control plane, control channel, and data plane. We propose a research plan including policy integrity guarantee for controllers, abnormal OpenFlow message detection and traffic control, and lightweight rule enforcement verification, by leveraging distributed hash table, multi-queue scheduling, neural network, and homomorphic MAC, etc. These security mechanisms can detect and prevent malicious modification of SDN policies, denial of service of control channel, and malicious modification of flow table, in order to enhance the security, trust, and reliability of SDN.
软件定义网络(SDN)是一种新型计算机网络体系结构,具有中心式的网络控制、高效的数据转发和灵活的编程接口等特性,可极大的简化日趋复杂的网络管理任务。然而,正是由于数据/控制平面分离以中心控制的特点,SDN很容易受到主动攻击的威胁。考虑到SDN在国际学术和产业界的迅猛发展,以及在国民经济的广阔应用前景,对SDN的安全隐患特别是主动攻击进行系统的研究,并提出合理有效的防御机制显得十分必要和迫切。本项目从控制平面、控制信道、数据平面三个维度来分析SDN面临的主动攻击威胁,通过综合利用分布式哈希表、多队列调度、神经网络、同态消息验证码等技术手段,分别提出基于控制器策略完整性保障、异常OpenFlow消息检测和流量控制、轻量级的规则执行验证等研究方案,旨在对SDN中的策略篡改攻击、控制信道拒绝服务攻击、流表篡改攻击等主动攻击进行检测和防御,提高SDN网络的安全性、可信性和可靠性。
项目摘要
软件定义网络(SDN)是一种新型计算机网络体系结构,具有中心式的网络控制、高效的数据转发和灵活的编程接口等特性,可极大的简化日趋复杂的网络管理任务。然而,正是由于数据/控制平面分离以中心控制的特点,SDN很容易受到主动攻击的威胁。.本项目从控制平面、控制信道、数据平面三个维度来分析SDN面临的主动攻击威胁,取得了以下关键成果:(1)针对控制器策略篡改攻击,设计并实现了一种高性能的安全多控制器体系结构,可保证策略全局一致性,防止针对单个控制器策略篡改;(2)针对控制信道上的PacketIn 洪泛攻击,设计了基于动态多队列的公平调度方法,可有效隔离攻击交换机,保证控制器对正常请求的响应;(3)针对交换机流表篡改攻击,提出一种基于同态消息验证码的规则执行验证方法,可对控制器下发的规则是否在交换机正确执行进行验证,带宽开销相对于基于传统消息验证码方法减小近97%。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
跨社交网络用户对齐技术综述
跨社交网络用户对齐技术综述
城市轨道交通车站火灾情况下客流疏散能力评价
城市轨道交通车站火灾情况下客流疏散能力评价
基于FTA-BN模型的页岩气井口装置失效概率分析
基于FTA-BN模型的页岩气井口装置失效概率分析
基于图卷积网络的归纳式微博谣言检测新方法
基于图卷积网络的归纳式微博谣言检测新方法
多源数据驱动CNN-GRU模型的公交客流量分类预测
多源数据驱动CNN-GRU模型的公交客流量分类预测
张鹏的其他基金
miR-590-3p靶向微管蛋白辅助因子A(TBCA)调控EMT介导的肾透明细胞癌恶性进展机制研究
miR-590-3p靶向微管蛋白辅助因子A(TBCA)调控EMT介导的肾透明细胞癌恶性进展机制研究
相似国自然基金
大数据环境下软件定义网络组件式安全防御机制构建的研究
基于ForCES的软件定义网络(SDN)研究
FAST Magellan:高级软件定义网络编程
软件定义网络应用的编译互用性研究