《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 一種面向軟件定義網(wǎng)絡(luò)的安全態(tài)勢感知方法
一種面向軟件定義網(wǎng)絡(luò)的安全態(tài)勢感知方法
2020年信息技術(shù)與網(wǎng)絡(luò)安全第4期
鄭忠斌1,黎聰2,王朝棟1
(1.工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心(上海)有限公司,上海 201303;2.同濟大學(xué),上海 200092)
摘要: 隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的飛速發(fā)展和新應(yīng)用的不斷涌現(xiàn),拒絕服務(wù)攻擊作為網(wǎng)絡(luò)層攻擊的一個典例始終是安全人員重點防范的對象,而新興的SDN網(wǎng)絡(luò)在控制層和基礎(chǔ)設(shè)施層同樣也有受到拒絕服務(wù)攻擊的風(fēng)險。在現(xiàn)有的安全技術(shù)中,網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)獨特的優(yōu)勢使之能同時有效地用于傳統(tǒng)網(wǎng)絡(luò)與SDN網(wǎng)絡(luò)。研究了應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知的相關(guān)算法,并實現(xiàn)了一個基于JDL多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知模型,并將其應(yīng)用于SDN網(wǎng)絡(luò)中對拒絕服務(wù)攻擊的感知和評估。實驗結(jié)果顯示與單純使用IDS的方法相比,融合決策的誤報率和漏報率均有所下降,且輸出的態(tài)勢值具有一定的準(zhǔn)確度,符合系統(tǒng)安全管理人員直觀評估的結(jié)果。
中圖分類號:TP393
文獻標(biāo)識碼:A
DOI: 10.19358/j.issn.2096-5133.2020.04.002
引用格式:鄭忠斌,黎聰,王朝棟.一種面向軟件定義網(wǎng)絡(luò)的安全態(tài)勢感知方法[J].信息技術(shù)與網(wǎng)絡(luò)安全,2020,39(5):5-12.
A security situation awareness method for software defined network
Zheng Zhongbin1,Li Cong2,Wang Chaodong1
(1.Industrial Internet Innovation Center (Shanghai) Co.,Ltd.,Shanghai 201303,China;2.Tongji University,Shanghai 200092,China)
Abstract: With the rapid development of Internet infrastructure and the constant emergence of new applications,denialofservice attack as a typical example of network layer attack is always the object that security personnel focus on preventing.Emerging as it is,SDN network also risks of getting denialofservice attack in its control layer and infrastructure layer.Among the current security technologies,the unique advantages of Network Security Situational Awareness technology have rendered NSSA competitive in applying both to traditional network model and SDN.Hence this paper studies the application of algorithms in the network security situational awareness,and implements a JDLmultisensordatafusionbased network security situational awareness model,applied to SDN network perception and evaluation of Denial of Service attacks.The experimental results show that the false alarm rate (negative positive) and nonresponse rate (positive negative) of fusion decision have both remarkably decreased compared with the IDS method,and the situational value of the output is of certain accuracy,which is in line with the intuitive evaluation results of system administrator.
Key words : network security;situational awareness;software defined network;data fusion;denial of service attacks

0    引言

隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的飛速發(fā)展和新應(yīng)用的不斷涌現(xiàn),網(wǎng)絡(luò)在規(guī)模和拓撲上都日趨擴大化、復(fù)雜化,各種層出不窮、更新?lián)Q代的網(wǎng)絡(luò)攻擊給安全管理者帶來了巨大的挑戰(zhàn)。在諸多網(wǎng)絡(luò)攻擊手段中,拒絕服務(wù)攻擊作為歷史最為久遠、造成資產(chǎn)損失最為嚴(yán)重的攻擊手段之一,始終是政企以及軍方網(wǎng)絡(luò)安全管理人員重點防范的對象。自1999年第一次分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)出現(xiàn)以來,DDoS攻擊經(jīng)歷了探索期、組織攻擊期、國家網(wǎng)絡(luò)戰(zhàn)期幾個階段,直至今天已成為高度普及化、成熟化、組織化的攻擊方式。從2008年至今,智能聯(lián)網(wǎng)終端設(shè)備的全面普及產(chǎn)生的大量的僵尸網(wǎng)絡(luò)更是為不法分子開展DDoS攻擊提供了便利。2018年3月出現(xiàn)的MemcacheUDP以TB級的帶寬攻擊了Github,引發(fā)了網(wǎng)絡(luò)安全從業(yè)者的警惕,意味著目前的DDoS攻擊制造出TB乃至PB級的攻擊已不是難事。鑒于目前的服務(wù)器的帶寬壓力承載量大多不足以應(yīng)對此種級別的攻擊,一次精心預(yù)謀的DDoS攻擊將不僅會造成網(wǎng)絡(luò)資產(chǎn)損失,也會造成企業(yè)乃至國家政府機構(gòu)的職能癱瘓,產(chǎn)生的后果難以估量。




本文詳細內(nèi)容請下載:http://ihrv.cn/resource/share/2000003198





作者信息:

鄭忠斌1,黎聰2,王朝棟1

(1.工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心(上海)有限公司,上海 201303;2.同濟大學(xué),上海 200092)


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。