新型通信網路系統的安全態勢分析基礎理論和方法研究

隨著通信技術的不斷發展，軟體定義網路（Software Defined Network，SDN）已經成為新型通信網路系統的主流發展方向。基於軟體對網路編程的開放性，使得SDN的安全比傳統網路安全更為重要；SDN架構下必須建立一個有效的拓撲結構來組織這些大量的具有網路編程功能的設備，以實現高效的安全感知、存儲和計算；在SDN具有虛擬性和異構性的條件下，網路狀態的收集不全和語義鴻溝等問題，導致脆弱性分析困難；亟需探索對SDN實施多層次、多角度、多功能的安全威脅態勢評估；由於把控制平面和數據平面分開，需要有效地結合兩個平面的特徵對異常節點的入侵行為進行分析以提高容侵性。針對以上問題，目前尚缺乏有效基礎理論和方法研究。本項目從SDN的網路拓撲演變規律及結構模型、脆弱性分析、動態威脅態勢感知、入侵節點異常行為分析等方面開展研究工作，力求在軟體定義網路的安全態勢分析基礎理論和方法上取得創新性成果。

網路架構演化和安全態勢分析對各類場景下新型網路的安全、穩定、高效運行至關重要，已成為未來網路領域的核心問題。本課題針對SDN網路的拓撲演化、脆弱性分析、入侵檢測及安全態勢評估展開深入研究。經過為期五年的研究，項目組已圓滿完成了項目計畫書中所規定的全部研究內容，並高質量地實現了項目的預定目標。課題基本按原計畫進行，主要研究人員沒有發生變化。項目的突出成果主要包括：1、研究SDN拓撲架構向多租戶、多控制器和異構資源融合的演進，提出套用層感知技術，解決了多租戶SDN構建及其最佳化問題；結合集群控制、低能耗技術，提出多控制器拓撲架構，解決控制層單點失效及最佳化問題；在轉發層對網路資源建模，提出多種高效的異構資源聯合分配策略。2、研究SDN控制層、轉發層及全網脆弱性評估機制，對待評估的軟體漏洞類型等進行統一形式化描述和建模，並針對典型攻擊制定評估指標，為用戶高效管理SDN軟硬體資產提供支撐。3、在基於網路演算的QoS異常檢測、基於知識圖譜的內容威脅異常檢測、基於可信度管理的共謀攻擊減緩方面分別取得突破性進展。 4、研究SDN網路安全態勢評估要素抽取和安全狀態預測問題，並分別基於大數據分析和機器學習預測全網安全態勢變化。課題的部分安全模型得到了上海市公安、國家電網公司的套用，取得了較好的套用效果。以該課題為依託培養了碩士生11名，聯合培養了博士生5名；發表了132篇學術論文，其中SCI論文47篇、EI論文83篇。在IEEE Transactions/Journal等期刊上發表(含利用)論文31篇，在國際主流會議如IEEE INFOCOM、IEEE GLOBECOM、ICC上發表論文21篇；申請48項國家發明專利。總之，項目組在過去五年的任務執行過程既圓滿完成了預定目標，並不斷探索新技術和新方法去解決這些新問題。研究成果具有良好的理論和套用價值。