發(fā)布時間：2020-11-16 17:10

　　 近年來,網(wǎng)絡(luò)安全事件頻發(fā),從2014年雅虎5億用戶信息遭竊取,到2017年全球范圍的勒索病毒事件,無不昭示著網(wǎng)絡(luò)安全問題已經(jīng)成為關(guān)系國家民生經(jīng)濟的重大問題。隨著計算機技術(shù)的發(fā)展,軟件定義網(wǎng)絡(luò)(SDN)、網(wǎng)絡(luò)功能虛擬化(NFV)和云計算技術(shù)興起,網(wǎng)絡(luò)架構(gòu)也正朝著數(shù)據(jù)中心網(wǎng)絡(luò)遷移。傳統(tǒng)的安全解決方案,由于對安全設(shè)備的過度依賴及封閉的服務(wù)交付方式,在靈活性、擴展性、移動性等方面難以滿足新型數(shù)據(jù)中心網(wǎng)絡(luò)的安全需求。于是,Gartner公司提出了軟件定義安全(SDS,Software Defined Security)的思想,將安全功能軟件化,通過對軟件統(tǒng)一的邏輯管理,提升安全方案的靈活性和擴展性,提供快速的安全響應(yīng)。軟件定義安全的提出引發(fā)了業(yè)界的研究熱潮,涌現(xiàn)出許多的研究成果和產(chǎn)品。但是現(xiàn)有的研究成果,雖然實現(xiàn)了安全功能的軟件化,但這些安全功能仍然與控制層或數(shù)據(jù)層的耦合度比較高,移動性支持不足。此外,大部分研究都集中于安全控制器的設(shè)計以及應(yīng)用服務(wù)的編排,忽略了安全功能的部署策略的研究,而安全功能的部署在很大程度上影響著安全功能的執(zhí)行效果。針對以上問題,本文提出一種基于軟件定義的網(wǎng)絡(luò)動態(tài)安全系統(tǒng),充分考慮到軟件定義安全對于擴展性、靈活性和移動性的需求,實現(xiàn)對于安全功能的靈活管理,為用戶提供動態(tài)的安全服務(wù)。本文主要工作包括:(1)基于軟件定義安全思想設(shè)計了網(wǎng)絡(luò)動態(tài)安全系統(tǒng)架構(gòu),提出了可行的安全解決方案;(2)提出了一種基于網(wǎng)絡(luò)服務(wù)報頭協(xié)議的分層安全功能鏈方案,通過策略驅(qū)動,進行主動式的安全防護;(3)提出了一種基于組路由介數(shù)中心性的網(wǎng)絡(luò)關(guān)鍵位置節(jié)點集選擇算法,用于網(wǎng)絡(luò)安全功能的部署,并對該算法的性能進行了測試;(4)創(chuàng)新性地提出一種基于“發(fā)布/訂閱”模式的安全功能部署方案,實現(xiàn)對安全功能的靈活調(diào)度,為網(wǎng)絡(luò)提供動態(tài)的安全防護。(5)基于SDN開源控制器Ryu和Mininet工具,進行了網(wǎng)絡(luò)動態(tài)安全系統(tǒng)的開發(fā)和搭建。在此基礎(chǔ)上,本文結(jié)合搭建的系統(tǒng)環(huán)境,從多角度對所提出方案的功能進行了評估和測試,充分證明了其正確性和可行性。
【學(xué)位單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

全是一種安全理念，自其被提出以來，業(yè)界有許多研，提出了自己的安全架構(gòu)、技術(shù)與實踐。??于軟件定義的思想，提出了?“自適應(yīng)安全”（Ａｄａｐｔｉｖｅ１），該模型強調(diào)持續(xù)性的安全防護，可以幫助企業(yè)和全投入進行分類，以保證安全投入的均衡性。Ｇａｒｔｎｅｒ火墻等傳統(tǒng)安全措施進行檢測和防范己經(jīng)無法應(yīng)對現(xiàn)化的安全響應(yīng)才是解決安全風險擴張問題的關(guān)鍵，因的重要支柱。同時，該模型假設(shè)網(wǎng)絡(luò)攻擊的滲透能力受到持續(xù)性傷害，因此對系統(tǒng)和行為進行持續(xù)監(jiān)控是建自適應(yīng)安全模型，一方面需要將安全防護貫穿預(yù)測、方面，在每個階段都需要結(jié)合多種手段進行保障。Ｇ１４年度十大信息安全技術(shù)之一，將“自適應(yīng)安全”列以說，“自適應(yīng)安全”是“軟件定義安全”的一個編排種安全能力解決遇到的安全問題。???

圖１．２論文結(jié)構(gòu)圖??第二章，相關(guān)技術(shù)介紹。介紹了本文的設(shè)計中所用到的關(guān)鍵技術(shù)，主要包括軟件定??義安全技術(shù)、ＳＤＮ控制器等。??第三章，網(wǎng)絡(luò)關(guān)鍵節(jié)點集選擇算法研究。對網(wǎng)絡(luò)關(guān)鍵節(jié)點集選擇問題進行了闡述，??分析了目前網(wǎng)絡(luò)關(guān)鍵節(jié)點集選擇算法的研究進展，并提出了基于ＧＲＢＣ的網(wǎng)絡(luò)關(guān)鍵節(jié)??點集選擇算法，在此基礎(chǔ)上對算法的性能進行了測試和評估，證明了該算法的優(yōu)越性。??第四章，服務(wù)編排與服務(wù)鏈技術(shù)研究。對編排與服務(wù)鏈技術(shù)解決的主要問題進行了??闡述，分析了目前服務(wù)功能鏈技術(shù)的研宄進展，在此基礎(chǔ)上提出了策略驅(qū)動的分層安全??功能鏈解決方案，用于網(wǎng)絡(luò)安全應(yīng)用的編排。??第五章，網(wǎng)絡(luò)動態(tài)安全系統(tǒng)總體設(shè)計。闡述了本文的系統(tǒng)方案的設(shè)計需求，針對研??究目標和研究內(nèi)容，提出本文的設(shè)計思想和采用的主要方案和技術(shù)，介紹了本文方案的??總體設(shè)計。??第六章，網(wǎng)絡(luò)動態(tài)安全系統(tǒng)詳細設(shè)計。詳細介紹了本文的方案設(shè)計，對各個模塊結(jié)構(gòu)、功能、算法、流程等進行了詳細的介紹。??，。，

２．１軟件定義安全??２．１．１基本原理??軟件定義安全的基本架構(gòu)如圖２．１所示。其基本架構(gòu)主要分為三層：應(yīng)用層、控制??層、物理層，各層之間通過開放ＡＰＩ進行通信。??＊應(yīng)用層＿?（Ａｐｐｌｉｃａｔｉｏｎ?Ｌａｙｅｒ）：所有的安全應(yīng)用都部署在應(yīng)用層。安全應(yīng)用是根??據(jù)特定的安全需求所開發(fā)的應(yīng)用程序，這些安全應(yīng)用利用控制層的開放接口實??現(xiàn)相應(yīng)的安全功能。同時，應(yīng)用層提供了對用戶的服務(wù)交付。??＊控制層（ＣｏｎｔｒｏｌＬａｙｅｒ）：控制層是軟件定義安全架構(gòu)的核心，負責所有的控制ｊ??和管理操作，包括安全資源池管理、安全信息的收集和分析、安全策略的解析１??和執(zhí)行等。所有的安全機制都是從安全設(shè)備中抽象出來的，并集成于控制器中�！�??通常在控制層實施的安全解決方案包括防病毒、防火墻、防垃圾郵件、入侵防??護等。??＊物理層（Ｐｈｙｓｉｃａｌ?Ｌａｙｅｒ）：物理層處于軟件定義安全架構(gòu)的底層，也稱為數(shù)據(jù)層。??該層是安全策略的執(zhí)行者
【參考文獻】

相關(guān)期刊論文 前1條

1 王蒙蒙;劉建偉;陳杰;毛劍;毛可飛;;軟件定義網(wǎng)絡(luò):安全模型、機制及研究進展[J];軟件學(xué)報;2016年04期

本文編號：2886466