软件定义网络(Software Defined Networking,SDN)作为一种新型网络创新架构,用于实现网络虚拟化的一种方式,自提出以来就成为了网络行业的研究热点,其广泛应用的同时,安全问题也受到越来越多的关注。指纹攻击作为网络安全面临的最严重...
详细信息
软件定义网络(Software Defined Networking,SDN)作为一种新型网络创新架构,用于实现网络虚拟化的一种方式,自提出以来就成为了网络行业的研究热点,其广泛应用的同时,安全问题也受到越来越多的关注。指纹攻击作为网络安全面临的最严重威胁之一,攻击者可以通过嗅探、抓取数据包等方法获取目标网络的关键指纹信息,进一步为后续发动更具威胁性的攻击奠定基础。现阶段国内外针对SDN指纹攻击的研究重点不够平衡:目前的研究重点主要集中在攻击方法方面,大多集中在攻击方法的发掘和实验验证,而对于防御方法的研究较少,缺乏系统性的分析和总结,无法形成完整的研究框架和体系,导致在SDN网络中仍然存在较大的安全隐患。基于此本文提出一种动态扰动和信息熵检测相结合的指纹攻击防御机制,研究工作主要内容如下:(1)讨论SDN网络所面临的指纹攻击威胁并分析了其攻击原理。由于SDN网络“三层—三接口”架构特性,使得攻击者可以通过判断构造的探测数据包是否触发了数据平面和控制平面的交互,观察数据包往返时延(Round—Trip Time,RTT)的变化,从而对SDN网络内的匹配规则等指纹信息进行推断。基于上述分析,本文提出一种结合移动平均算法、布隆过滤器(Bloom Filter)和数据包延时工具的数据包动态扰动方法,通过对数据流的初始少量数据包的扰动达到迷惑对手的目的。(2)在上述所提动态扰动方法的基础上,提出一种轻量级的基于多维特征的信息熵初检方法以实现对SDN网络的指纹攻击做出实时的处理反馈。这种方法是通过对数据包的多维特征进行统计计算,得出数据包的信息熵值,以此来推断是否存在异常流量。对于被判定为可疑的流量,进一步处理其所在的端口,并记录异常日志,以便进行后续的分析和处理。本文采用Mininet模拟SDN网络架构,并开展指纹攻击防御的仿真实验,实验结果证明了本文提出的防御机制的可行性,同时基于动态扰动和信息熵检测的SDN指纹攻击防御机制(SDN Fingerprinting Attack Defense Mechanism Based on Dynamic Perturbation and Information Entropy Detection,SFDDPIE)与其他现有研究工作中提出的防御机制相比,SFDDPIE在减少系统性能影响方面表现出了更为优越的性能。更具体地说,SFDDPIE不仅能够防止指纹攻击,还可以保持SDN网络的高性能水平,降低系统性能损失,并且可以快速、准确地检测出指纹攻击行为,从而及时采取应对措施。
暂无评论