《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 一種面向軟件定義網(wǎng)絡的安全態(tài)勢感知方法
一種面向軟件定義網(wǎng)絡的安全態(tài)勢感知方法
2020年信息技術與網(wǎng)絡安全第4期
鄭忠斌1,黎聰2,王朝棟1
(1.工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心(上海)有限公司,上海 201303;2.同濟大學,上海 200092)
摘要: 隨著互聯(lián)網(wǎng)基礎設施的飛速發(fā)展和新應用的不斷涌現(xiàn),拒絕服務攻擊作為網(wǎng)絡層攻擊的一個典例始終是安全人員重點防范的對象,而新興的SDN網(wǎng)絡在控制層和基礎設施層同樣也有受到拒絕服務攻擊的風險。在現(xiàn)有的安全技術中,網(wǎng)絡安全態(tài)勢感知技術獨特的優(yōu)勢使之能同時有效地用于傳統(tǒng)網(wǎng)絡與SDN網(wǎng)絡。研究了應用于網(wǎng)絡安全態(tài)勢感知的相關算法,并實現(xiàn)了一個基于JDL多傳感器數(shù)據(jù)融合的網(wǎng)絡安全態(tài)勢感知模型,并將其應用于SDN網(wǎng)絡中對拒絕服務攻擊的感知和評估。實驗結(jié)果顯示與單純使用IDS的方法相比,融合決策的誤報率和漏報率均有所下降,且輸出的態(tài)勢值具有一定的準確度,符合系統(tǒng)安全管理人員直觀評估的結(jié)果。
中圖分類號:TP393
文獻標識碼:A
DOI: 10.19358/j.issn.2096-5133.2020.04.002
引用格式:鄭忠斌,黎聰,王朝棟.一種面向軟件定義網(wǎng)絡的安全態(tài)勢感知方法[J].信息技術與網(wǎng)絡安全,2020,39(5):5-12.
A security situation awareness method for software defined network
Zheng Zhongbin1,Li Cong2,Wang Chaodong1
(1.Industrial Internet Innovation Center (Shanghai) Co.,Ltd.,Shanghai 201303,China;2.Tongji University,Shanghai 200092,China)
Abstract: With the rapid development of Internet infrastructure and the constant emergence of new applications,denialofservice attack as a typical example of network layer attack is always the object that security personnel focus on preventing.Emerging as it is,SDN network also risks of getting denialofservice attack in its control layer and infrastructure layer.Among the current security technologies,the unique advantages of Network Security Situational Awareness technology have rendered NSSA competitive in applying both to traditional network model and SDN.Hence this paper studies the application of algorithms in the network security situational awareness,and implements a JDLmultisensordatafusionbased network security situational awareness model,applied to SDN network perception and evaluation of Denial of Service attacks.The experimental results show that the false alarm rate (negative positive) and nonresponse rate (positive negative) of fusion decision have both remarkably decreased compared with the IDS method,and the situational value of the output is of certain accuracy,which is in line with the intuitive evaluation results of system administrator.
Key words : network security;situational awareness;software defined network;data fusion;denial of service attacks

0    引言

隨著互聯(lián)網(wǎng)基礎設施的飛速發(fā)展和新應用的不斷涌現(xiàn),網(wǎng)絡在規(guī)模和拓撲上都日趨擴大化、復雜化,各種層出不窮、更新?lián)Q代的網(wǎng)絡攻擊給安全管理者帶來了巨大的挑戰(zhàn)。在諸多網(wǎng)絡攻擊手段中,拒絕服務攻擊作為歷史最為久遠、造成資產(chǎn)損失最為嚴重的攻擊手段之一,始終是政企以及軍方網(wǎng)絡安全管理人員重點防范的對象。自1999年第一次分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)出現(xiàn)以來,DDoS攻擊經(jīng)歷了探索期、組織攻擊期、國家網(wǎng)絡戰(zhàn)期幾個階段,直至今天已成為高度普及化、成熟化、組織化的攻擊方式。從2008年至今,智能聯(lián)網(wǎng)終端設備的全面普及產(chǎn)生的大量的僵尸網(wǎng)絡更是為不法分子開展DDoS攻擊提供了便利。2018年3月出現(xiàn)的MemcacheUDP以TB級的帶寬攻擊了Github,引發(fā)了網(wǎng)絡安全從業(yè)者的警惕,意味著目前的DDoS攻擊制造出TB乃至PB級的攻擊已不是難事。鑒于目前的服務器的帶寬壓力承載量大多不足以應對此種級別的攻擊,一次精心預謀的DDoS攻擊將不僅會造成網(wǎng)絡資產(chǎn)損失,也會造成企業(yè)乃至國家政府機構(gòu)的職能癱瘓,產(chǎn)生的后果難以估量。




本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000003198





作者信息:

鄭忠斌1,黎聰2,王朝棟1

(1.工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心(上海)有限公司,上海 201303;2.同濟大學,上海 200092)


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉(zhuǎn)載。