网络空间安全问题不仅是学术界和产业界的热点,更是引起了国家战略层面的关注。面对日新月异的网络攻击方式,传统的网络防御方案难以很好地应对。网络虚拟化技术的发展,为网络空间安全问题的研究提供了新的途径。本文旨在应用网络虚拟化技术搭建一个通用的网络攻防模拟环境,对传统网络中难以处理的新型网络攻击,在虚拟化的抽象网络中进行合理地表达和分析,并将制定的防御策略部署到实体网络中。论文针对模拟环境的模型、框架以及可用性和扩展性等关键问题展开了深入研究,并取得以下成果:(1)提出了一种基于网络虚拟化技术的攻防模拟环境的理论模型。该模型对实体网络的关键元素和其受到的攻击行为进行了抽象和形式化定义。在此基础上,设计了模拟环境的基本框架。论文将模拟环境中的虚拟网络构建问题抽象成升级节点选择问题,证明了其NPC的计算复杂度并设计了相应的启发式算法。相关的评估实验表明,升级节点选择策略大大加强网络的可控性和对流量的操纵能力。(2)设计了一致性更新机制GUM(Generalized Update Model)。保证配置更新过程中的网络行为的一致性,是系统可用性的重要保障。GUM对于一致性需求进行抽象和形式化表达,并通过状态-资源依赖图和操作关系图规划网络更新操作的执行顺序以及处理可能产生的冲突。实验证明了相比于最新的两阶段更新等方案,GUM在更新速度和降低资源消耗上都有显著提高。(3)设计了一种高效的规则管理方案IRMS(Intelligent Rule Management Scheme)。IRMS将流表规则分为基于路径的规则和基于节点的规则。对于前者采用主动式策略,提前计算所有可行路径,并将相应的基于路径的规则在流到来之前安装。而对于基于节点的规则,则采用应激式策略,将它们划分成互不相交的规则块,并将其与控制平面的交互限制在网络边缘。仿真实验证明,IRMS在规则存储、缓存以及更新时间上,相比最新的规则管理方案都有明显的优势。(4)基于上述研究成果,设计和实现了一种链路洪泛攻击场景下的模拟环境。链路洪泛攻击是一种新型的数据平面攻击,它通过合法的低速率流量去拥塞精心选择的链路,从而切断目标区域通信。模拟环境通过虚拟和实体网络的协同,设计快速拥塞定位机制,攻击检测算法以及基于全局流量工程的防御机制。实验证明,该环境可以有效缓解链路洪泛攻击对于目标区域通信质量的影响。