基于贝叶斯攻击图的SDN安全预测方法

现有研究者采用威胁建模和安全分析系统的方法评估和预测软件定义网络(software defined network,SDN)安全威胁,但该方法未考虑SDN控制器的漏洞利用概率以及设备在网络中的位置,安全评估不准确。针对以上问题,根据设备漏洞利用概率和设备关键度结合PageRank算法,设计了一种计算SDN中各设备重要性的算法;根据SDN攻击图和贝叶斯理论设计了一种度量设备被攻击成功概率的方法。在此基础上设计了一种基于贝叶斯攻击图的SDN安全预测算法,预测攻击者的攻击路径。实验结果显示,该方法能够准确预测攻击者的攻击路径,为安全防御提供更准确的依据。

基于贝叶斯攻击图的SDN入侵意图识别算法的研究

针对目前已有的软件定义网络(SDN)安全预测方法中未考虑攻击代价以及控制器漏洞对SDN安全所产生的影响,提出了一种基于贝叶斯攻击图的SDN入侵意图识别算法。利用PageRank算法求出设备关键度,并与漏洞价值、攻击成本、攻击收益以及攻击偏好相结合构建攻击图,建立风险评估模型,对入侵路径进行预测。通过实验对比可以看出,所提模型能更准确地预测入侵路径,有效地保证安全预测的准确性,并为SDN的防御提供依据。

SDN 安全策略在数据中心防御网络攻击研究

在互联网业务飞速发展的背景下,网络上信息资源的安全问题逐渐成为网络空间的重点关注问题。SDN安全策略以其特有的网络监控功能逐渐被应用于数据资源的保护中,并且能够在保护数据的同时以较快的速度来防御网络攻击。本文通过分析SDN安全策略的优势与特点,从数据有效性的角度来探究SDN安全策略在数据中心实现网络攻击防御的应用对策,从而在实际的应用中优化信息传输的运作效率,以保障信息安全。

基于多维异构特征与反馈感知调度的SDN内生安全控制平面

为弥补现有研究在软件定义网络(Software-Defined Networking,SDN)控制平面未知漏洞防御方面的空白,本文提出了一种基于多维异构特征与反馈感知调度的内生安全控制平面的设计方案.该方案以“冗余、异构和动态”为切入点,通过组合执行体冗余集构建策略、多维异构元素着色策略和动态反馈感知调度策略,有效增加SDN控制平面对攻击者所呈现的执行体时空不确定性(逆转攻防不对称性).相关仿真结果表明该方案可以收敛全局执行体数目、增加执行体之间的多维异构度并降低系统全局失效率.

软件定义网络及安全防御技术研究

软件定义网络(SDN,software-defined networking)将传统网络控制平面与转发平面分离,形成集中式的控制器,开放了网络编程接口,简化网络管理,促进网络创新,优化网络运行。然而,SDN的"三层两接口"架构增加了网络攻击表面,导致诸多新的安全问题。首先,介绍SDN发展、特点及其工作原理,继而从应用层、北向接口、控制层、南向接口、数据层等5个层次归纳存在的安全问题,分析产生的原因;其次,针对各类安全问题讨论最新研究进展及现有解决方案;最后,总结SDN当前和未来的安全挑战,并展望未来SDN安全发展方向。

SDN和NFV安全问题研究及态势预测

5G网络主要基于软件定义网(software defined network,SDN)以及网络功能虚拟化(network functions virtualization,NFV)实现,因此5G网络较于4G网络的性能有了显著提升,但是5G网络更为庞大的网络结构也更容易暴露网络安全问题。基于此,本文首先列举了5G SDN/NFV架构下的安全威胁,并针对这类安全问题提出相应的防护方案,增强了SDN/NFV的安全性能,其次通过实验网络的安全攻防案例分析,提出一种基于XGBoost模型训练的SDN/NFV安全态势预测方法,实现覆盖范围广且先于防火墙、入侵防御系统(intrusion prevention system,IPS)发现安全威胁的效果,最后通过实际应用效果证明了该方法的有效性。

SDN攻防技术探析

传统网络先天性的创新与演进困难,使得软件定义网络(software-defined network,SDN)越来越受欢迎.但随着SDN技术的发展以及SDN网络的相继投入使用,SDN的安全问题日渐突出.从SDN网络体系结构及安全模型入手,分析、总结了SDN网络的应用平面、控制平面、数据平面及北/南向接口的安全问题及网络攻击方法,并据此提出了相应的应对策略和方法:定期检测程序漏洞及恶意代码,严格认证与授权,确保控制器安全,抵御DoS/DDoS攻击,解决流规则不合法性及不一致问题,确保数据安全,实施SDN安全最佳实践以及使用DELTA框架评估SDN安全等.

软件定义网络安全研究

随着网络规模的扩大及业务的多样化,原有的网络架构难以满足未来发展需求,软件定义网络(software defined networking,SDN)作为一种新型网络架构被提出。将控制平面从数据平面中分离出来,控制平面的集中管控简化了网络配置管理,实现了灵活部署,提高了网络性能。利用SDN的集中获取信息的特性可对网络中的安全威胁进行监督检测,提高网络安全性。然而SDN在带来便利的同时也带来了新的安全问题。文中从SDN的各层及接口对网络安全问题进行分析,并对现有的解决方案进行了分类,分别从提升SDN控制器安全性、DoS/DDoS攻击防御、流规则一致性、提升应用程序安全性、北向接口标准化这5个方面进行了探讨,进而得出结论,并对未来进行展望。

基于符号模型的Mynah协议安全性自动化分析

Openflow是目前使用最为广泛的SDN通信协议,由于其协议规范还在不断完善,因此存在一定的安全隐患,对Openflow协议及其相关应用的安全分析也越来越受到重视。Mynah协议是在Openflow协议的基础上实现的安全认证协议。对Mynah协议的保密性和认证性进行分析,基于符号模型,利用应用PI演算对Mynah协议进行形式化建模,并使用安全协议分析工具Proverif进行自动化分析。结果表明,Mynah协议并不具备保密性和认证性,为此,给出了Mynah协议中不具备保密性和认证性的解决办法。

SGuard：A Lightweight SDN Safe-Guard Architecture for DoS Attacks

Software Defined Networking(SDN) is a revolutionary networking paradigm towards the future network,experiencing rapid development nowadays.However,its main characteristic,the separation of control plane and data plane,also brings about new security challenges,i.e.,Denial-of-Service(DoS) attacks specific to Open Flow SDN networks to exhaust the control plane bandwidth and overload the buffer memory of Open Flow switch.To mitigate the DoS attacks in the Open Flow networks,we design and implement SGuard,a security application on top of the NOX controller that mainly contains two modules:Access control module and Classification module.We employ novel six-tuple as feature vector to classify traffic flows,meanwhile optimizing classification by feature ranking and selecting algorithms.All the modules will cooperate with each other to complete a series of tasks such as authorization,classification and so on.At the end of this paper,we experimentally use Mininet to evaluate SGuard in a software environment.The results show that SGuard works efficiently and accurately without adding more overhead to the SDN networks.

面向融合媒体应用的5G安全风险分析与对策研究

本文从5个方面介绍了5G媒体应用的融合性风险,从总体架构、安全参考模型和分层分域的安全域三大视角有针对性地给出了相应的风险对策,涉及网络切片安全、MEC安全和数据安全,并考虑了不同的安全责任主体关注的重点。