軟體定義網路的主動攻擊與防禦機制研究

軟體定義網路（SDN）是一種新型計算機網路體系結構，具有中心式的網路控制、高效的數據轉發和靈活的編程接口等特性，可極大的簡化日趨複雜的網路管理任務。然而，正是由於數據/控制平面分離以中心控制的特點，SDN很容易受到主動攻擊的威脅。考慮到SDN在國際學術和產業界的迅猛發展，以及在國民經濟的廣闊套用前景，對SDN的安全隱患特別是主動攻擊進行系統的研究，並提出合理有效的防禦機制顯得十分必要和迫切。本項目從控制平面、控制信道、數據平面三個維度來分析SDN面臨的主動攻擊威脅，通過綜合利用分散式哈希表、多佇列調度、神經網路、同態訊息驗證碼等技術手段，分別提出基於控制器策略完整性保障、異常OpenFlow訊息檢測和流量控制、輕量級的規則執行驗證等研究方案，旨在對SDN中的策略篡改攻擊、控制信道拒絕服務攻擊、流表篡改攻擊等主動攻擊進行檢測和防禦，提高SDN網路的安全性、可信性和可靠性。

軟體定義網路（SDN）是一種新型計算機網路體系結構，具有中心式的網路控制、高效的數據轉發和靈活的編程接口等特性，可極大的簡化日趨複雜的網路管理任務。然而，正是由於數據/控制平面分離以中心控制的特點，SDN很容易受到主動攻擊的威脅。 本項目從控制平面、控制信道、數據平面三個維度來分析SDN面臨的主動攻擊威脅，取得了以下關鍵成果：（1）針對控制器策略篡改攻擊，設計並實現了一種高性能的安全多控制器體系結構,可保證策略全局一致性，防止針對單個控制器策略篡改；（2）針對控制信道上的PacketIn 洪泛攻擊，設計了基於動態多佇列的公平調度方法，可有效隔離攻擊交換機，保證控制器對正常請求的回響；（3）針對交換機流表篡改攻擊，提出一種基於同態訊息驗證碼的規則執行驗證方法，可對控制器下發的規則是否在交換機正確執行進行驗證，頻寬開銷相對於基於傳統訊息驗證碼方法減小近97%。