论文部分内容阅读
计算机网络的发展给日常工作和生活带来了诸多便利,与此同时随着网络需求的急剧增加,也暴露出越来越多的安全问题,如用户接入网络时缺少安全认证、网络被恶意攻击、计算机病毒等,所以对用户而言网络安全可信已是基本需求。提高网络安全可信性的方式主要包括对现有网络架构进行可信改造以及围绕着可信网络技术提出新的安全架构。网络可信的建立基于对全局网络的感知和集中控制,打破传统网络架构的局限性,提出新型网络可信架构也成为重点研究的课题。软件定义网络(Software Defined Networking,简称SDN)最先由斯坦福大学提出的新型网络架构,其重构了传统网络架构,将传统网络架构中转发设备的数据转发和逻辑控制功能解耦,通过控制功能实现集中控制,并通过其开放的用户编程接口实现网络的可编程以及对网络资源更加细粒度的管控。SDN技术对于网络的可编程能力以及对网络数据流的管控调度能力方面表现的优势,将会给可信网络技术及其架构的研究带来一定的影响。本文针对网络中常见的攻击如ARP、DHCP、DDo S攻击,以及网络中需要实现的按需通信问题,利用SDN对网络的可编程性以及集中控制特性设计和实现了可信网络系统。其中主要包括网络安全防御子系统和ACL管控子系统。网络安全防御子系统基于SDN中的Open Flow网络流对于常见的攻击进行检测和防御,在用户接入网络时进行安全性认证,在不改变ARP协议工作流程的情况下有效防止和追踪ARP攻击,通过主动测量和被动测量相结合的方式提取DDo S攻击时的流量特征,并使用K-CUSUM算法进行检测,最后结合SDN技术实现攻击流的队列限速。由于CUSUM算法在检测低强度DDo S攻击时实时性不高的问题,本文会在其基础上考虑攻击的强度并加以改进,因此文中使用改进后的K-CUSUM算法对DDo S攻击进行检测。ACL管控子系统基于网络层和传输层协议,在局域网中实现按需通信,对双方通信请求进行细粒度管控。最后,本文介绍了Floodlight控制器、Mininet网络仿真平台等工具,搭建了Open Flow网络仿真环境,对基于SDN的可信网络系统进行功能测试,并对结果进行分析。