面向软件定义网络的入侵容忍控制器架构及实现被引量：4

Software-defined networking-oriented intrusion tolerance controller architecture and its implementation

下载PDF

导出

摘要针对软件定义网络(SDN)这一集中式网络控制环境中控制平面存在单点失效问题,提出一种基于入侵容忍思想的控制器架构,通过冗余、多样的中央控制器平台来提高网络可用性与可靠性。该架构利用一种控制器消息的比对方法来检测被入侵的控制器。首先,规定了需比对的关键消息类型和字段;其次,运用一致性裁决算法对不同控制器消息进行比对;最后,将消息异常的控制器进行网络隔离并重启恢复。基于Mininet的入侵容忍可靠性测试表明,该入侵容忍控制器架构可检测并过滤异常控制器消息。基于Mininet的控制器响应延迟测试表明,当容忍度设置为1和3时,下层网络请求延时分别增加16%和42%。基于Cbench的控制器响应延迟和吞吐量测试表明,该入侵容忍控制器性能处在各个子控制器(Ryu,Floodlight)性能水平之间,且向性能高的子控制器趋近。在实际应用中,可根据应用场景的安全级别配置子控制器的数量和类型,以满足对响应速度和入侵容忍度的要求。 In the centralized network control environment of Software-Defined Network（ SDN）, the problem of a single point of failure exists in the controlling plane. In order to solve the problem, a kind of controller architecture was proposed based on intrusion tolerance ideology to improve the availability and reliability of network by using the redundant and diverse central controller platform. In the proposed architecture, the intruded controllers were detected by comparing their messages.Firstly, the key message types and fields needing to be compared were defined. Then, different controller messages were compared using a consistency judgement algorithm. Finally, the controllers with abnormal messages would be isolated and restored. The Mininet-based intrusion tolerance reliability test demonstrated that the controller architecture based on intrusion tolerance could detect and filter the abnormal controller messages. The Mininet-based response-delay test showed that the requirement-delay of underlying network increased by 16% and 42% while the tolerance degree was 1 and 3 respectively. In addition, the Cbench-based response-delay and throughput tests showed that the performance of the intrusion tolerance controller lay among the subsidiary controllers, such as Ryu and Floodlight, and approached the advanced one. In practical application, the quantity and type of the subsidiary controllers can be configured according to the security level of application scenarios, and the proposed intrusion tolerance controller can satisfy the application requirements of response rate and intrusion tolerance degree.

作者黄亮姜帆荀浩马多贺王利明

机构地区中国科学院信息工程研究所信息安全国家重点实验室

出处《计算机应用》 CSCD 北大核心 2015年第12期3429-3436,共8页 journal of Computer Applications

基金中国科学院信息工程研究所所内创新项目(Y4Z0034102)

关键词软件定义网络入侵容忍控制器一致性检测消息比对 Software-Defined Network（SDN） intrusion tolerance controller consistency test comparison message

分类号 TP393.0 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献25

1Open Network Foundation. Software-defined networking: the new norm for networks [ EB/OL]. [ 2015- 04- 13 ]. https://www. opennetworking, org/images/stories/downloads/sdn-resourres/white- papers/wp-sdn-newnorm, pdf.
2MCKEOWN N, ANDERSON T, BALAKRISHNAN H, et al. Open- Flow: enabling innovation in campus networks [ J]. ACM SIG- COMM Computer Communication Review, 2008, 38(2): 69-74.
3FIELDING R T. Architectural styles and the design of network- based software architectures [ D]. Irvine: University of California,, 2000:76 - 85.
4SEZER S, SCOTI'HAYWARD S, CHOUHAN P K, et al. Are we ready for SDN? Implementation challenges for software-defined net- works [ J]. IEEE Communications Magazine, 2013, 51 (7) : 36 - 43.
5KREUTZ D, RAMOS F M, VERISSIMO P. Towards secure and de- pendable software-defined networks [ C]// Proceedings of the 2nd ACM SIGCOMM Workshop on Hot Topics in Software Defined Net- working. New York: ACM, 2013:55-60.
6HAN W, HU H, AHN G-J. LPM: layered policy management for software-defined networks [ C]// DBSEC 2014: Proceedings of the 28th Annual IFIP WG 11.3 Working Conference on Data and Appli- cations Security and Privacy, LNCS 8556. Berlin: Springer, 2014: 356 - 363.
7CHEN X, ZHAO B, MA S, et al. Leveraging master-slave Open- Flow controller arrangement to improve control plane resiliency in SD-EONs [ J]. Optics Express, 2015, 23(6): 7550 -7558.
8SHIN S, SONG Y, LEE T, et aL Rosemary: a robust, secure, and high-performance network operating system [ C]// CCS 2014: Pro- ceedings of the 2014 ACM SIGSAC Conference on Computer Com- munications Security. New York: ACM, 2014:78 -89.
9SHIN S, PORRAS P, YEGNESWARAN V, et al. FRESCO: Modu- lar composable security services for software-defined networks [ C/ OL] // Proceedings of the 2013 ISOC Network and Distributed Securi- ty Symposium. San Diego: Internet Society, 2013. [2015-05-01]. http://www, dussec-test-dyn, com/sites/default/files/07_2_0, pdf.
10PORRAS P, SHIN S, YEGNESWARAN V, et al. A security en- forcement kernel for OpenFlow networks [ C]/,/ Proceedings of the I st ACM SIGCOMM Workshop on Hot Topics in Software DefinedNetworking. New York: ACM, 2012:121-126.

同被引文献42

1HU Yannan WANG Wendong GONG Xiangyang QUE Xirong CHENG Shiduan.On Reliability-optimized Controller Placement for Software-Defined Networks[J].China Communications,2014,11(2):38-54. 被引量：25
2薛聪,马存庆,刘宗斌,章庆隆.一种安全SDN控制器架构设计[J].信息网络安全,2014(9):34-38. 被引量：6
3刘文懋,裘晓峰,陈鹏程,文旭韬,何新新,汪东升,李军.面向SDN环境的软件定义安全架构[J].计算机科学与探索,2015,9(1):63-70. 被引量：29
4张家华,杨种学,王江平,史煜凯,魏亮.融合DDoS威胁过滤与路由优化的SDN通信质量保障策略[J].电信科学,2015,31(4):121-127. 被引量：7
5邓炳光,刘兵,张治中.面向用户感知的LTE网络评估模型的设计与实现[J].电视技术,2015,39(13):76-82. 被引量：9
6姚潍,王娟,张胜利.基于决策树与朴素贝叶斯分类的入侵检测模型[J].计算机应用,2015,35(10):2883-2885. 被引量：14
7王辉,陈泓予,杨姗姗.基于树加权朴素贝叶斯算法的入侵检测技术研究[J].计算机应用与软件,2016,33(2):294-298. 被引量：6
8杜朝晖,朱文耀.云存储中利用属性基加密技术的安全数据检索方案[J].计算机应用研究,2016,33(3):860-865. 被引量：28
9王蒙蒙,刘建伟,陈杰,毛剑,毛可飞.软件定义网络:安全模型、机制及研究进展[J].软件学报,2016,27(4):969-992. 被引量：89
10周碧,段富.免疫细胞因子网络模型设计与仿真研究[J].现代电子技术,2016,39(8):21-25. 被引量：3

引证文献4

1顾泽宇,张兴明,林森杰.基于安全策略的负载感知动态调度机制[J].计算机应用,2017,37(11):3304-3310. 被引量：8
2李明照,白桂梅.网络抗入侵容忍度评估模型的设计与仿真[J].计算机仿真,2018,35(9):295-298. 被引量：1
3郭天伟,杨海东.面向医院SDN的网络安全研究[J].计算技术与自动化,2020,39(4):180-184. 被引量：1
4潘海霞,曹宁.基于SDN的数据中心端口故障检测方法设计[J].自动化与仪器仪表,2023(2):56-60. 被引量：2

二级引证文献12

1陈彤睿,马润年,王刚,伍维甲.基于事件驱动与定时迁移的平台动态防御策略[J].计算机工程,2019,45(9):105-111. 被引量：1
2樊永文,朱维军,班绍桓,陈永华.动态异构冗余数据保护安全架构[J].小型微型计算机系统,2019,40(9):1956-1961. 被引量：5
3方加娟.主动防御技术在软件开发中的应用[J].电脑知识与技术,2019,15(10X):15-18.
4朱正彬,刘勤让,刘冬培,王崇.拟态多执行体调度算法研究进展[J].通信学报,2021,42(5):179-190. 被引量：6
5刘昕林,黄建华,罗伟峰,黄国柱,杜浩文.动态异构冗余架构下Web实践及安全性分析[J].计算机应用,2021,41(S01):125-130. 被引量：4
6张青青,汤红波,游伟,普黎明.基于演化博弈的NFV拟态防御架构动态调度策略[J].计算机工程,2022,48(4):30-38. 被引量：5
7马海龙,王亮,胡涛,江逸茗,曲彦泽.网络空间拟态防御发展综述:从拟态概念到“拟态+”生态[J].网络与信息安全学报,2022,8(2):15-38. 被引量：4
8于慧霞.基于流量特征的网络信息安全评估模型[J].信息与电脑,2022,34(3):214-216.
9张静杨,牛聪,马曦.基于蚁狮算法的微电网能源随机优化调度方法[J].通信电源技术,2023,40(10):106-108.
10简雄,唐银清,黄斌文.基于SSA-SVM的网络入侵检测研究[J].计算技术与自动化,2023,42(3):113-117. 被引量：3

1戴月明,王金鑫,李彦伟.基于表决的分布式入侵容忍系统模型及量化分析[J].计算机应用研究,2011,28(6):2242-2246. 被引量：7
2康小军,何方白.基于WinPcap的网络吞吐量测试的设计与实现[J].电子科技,2007,20(11):39-42. 被引量：5
3张俊.基于Mininet和OpenDayLight的SDN构建[J].无线互联科技,2015,12(18):5-7. 被引量：3
4胡晓宇.SDN网络转发机制研究和应用场景分析[J].数码世界,2016,0(6):52-54.
5袁晓,蔡志平,刘书昊,喻颖.大规模网络仿真软件及其仿真技术[J].计算机技术与发展,2014,24(7):9-12. 被引量：13
6胡晓宇.SDN网络转发机制研究和应用场景分析[J].电子技术（上海）,2015,0(5):5-11. 被引量：1
7曾霞霞,唐荣洋.基于SDN的多服务器负载均衡的设计[J].宁德师范学院学报（自然科学版）,2016,28(3):286-290. 被引量：2
8袁晓,蔡志平.大规模网络仿真软件及其仿真技术[J].数码世界,2015,0(9):50-52. 被引量：1
9李林,马晶.基于OpenFlow的流量管理研究与设计[J].无线互联科技,2016,13(2):103-106.
10李宁,郝志安,李艳.OpenFlow网络架构实现与仿真研究[J].计算机与网络,2014,40(17):60-62. 被引量：4

计算机应用

2015年第12期

浏览历史

内容加载中请稍等...

面向软件定义网络的入侵容忍控制器架构及实现被引量：4

参考文献25

同被引文献42

引证文献4

二级引证文献12

相关作者

相关机构

相关主题

浏览历史

面向软件定义网络的入侵容忍控制器架构及实现 被引量：4

参考文献25

同被引文献42

引证文献4

二级引证文献12

相关作者

相关机构

相关主题

浏览历史

面向软件定义网络的入侵容忍控制器架构及实现被引量：4