基于OpenFlow的移動(dòng)目標(biāo)防御研究與應(yīng)用.pdf

1、隨著大數(shù)據(jù)、云計(jì)算技術(shù)的不斷發(fā)展，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)已經(jīng)越來(lái)越難以滿足當(dāng)前的網(wǎng)絡(luò)應(yīng)用和服務(wù)的需求了，因而產(chǎn)生了軟件定義網(wǎng)絡(luò)這一新型網(wǎng)絡(luò)架構(gòu)，該架構(gòu)的主要特征是轉(zhuǎn)發(fā)與控制分離、集中控制、網(wǎng)絡(luò)可編程。傳統(tǒng)網(wǎng)絡(luò)中應(yīng)對(duì)安全威脅時(shí)采取的靜態(tài)配置部署防御措施，這種一定程度上固定不變的、被動(dòng)的方式很容易被攻擊者搜集到其所需要的信息，并通過(guò)滲透節(jié)點(diǎn)對(duì)其他主機(jī)進(jìn)行擴(kuò)散。而在軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)環(huán)境中則可以利用

2、集中控制的優(yōu)勢(shì)，引入移動(dòng)目標(biāo)防御思想，并在結(jié)合掌握全局網(wǎng)絡(luò)信息的情況下來(lái)構(gòu)建一個(gè)動(dòng)態(tài)的，不可預(yù)測(cè)的網(wǎng)絡(luò)環(huán)境，這種基于OpenFlow的移動(dòng)目標(biāo)防御技術(shù)通過(guò)化被動(dòng)為主動(dòng)的方式將會(huì)是未來(lái)網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重要的發(fā)展方向。
　　針對(duì)靜態(tài)網(wǎng)絡(luò)容易被偵查滲透的缺點(diǎn)，本文在軟件定義網(wǎng)絡(luò)中發(fā)揮新型架構(gòu)的優(yōu)勢(shì)同時(shí)在保證地址不斷變化的同時(shí)還能不影響網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)，提出一種基于OpenFlow的移動(dòng)目標(biāo)防御技術(shù)。在控制器中產(chǎn)生虛擬地址，通過(guò)下發(fā)流表

3、到交換機(jī)并在數(shù)據(jù)包交付主機(jī)時(shí)用虛擬地址替代真實(shí)地址的效果，發(fā)送數(shù)據(jù)包時(shí)源主機(jī)查詢目的主機(jī)的IP地址時(shí)返回的是目的主機(jī)的虛擬地址，而當(dāng)數(shù)據(jù)包到達(dá)目的主機(jī)時(shí)，數(shù)據(jù)包的源地址封裝的是源主機(jī)的虛擬地址，保證通信雙方是不能看到對(duì)方的真實(shí)地址，網(wǎng)絡(luò)主機(jī)變成移動(dòng)目標(biāo)，并進(jìn)行路徑跳變，防御網(wǎng)絡(luò)偵查滲透。同時(shí)使用sFlow協(xié)議對(duì)軟件定義網(wǎng)絡(luò)網(wǎng)絡(luò)進(jìn)行監(jiān)控，引入一個(gè)時(shí)間周期和觸發(fā)機(jī)制，當(dāng)鏈路流量滿足觸發(fā)條件時(shí)下發(fā)新流表執(zhí)行改變目標(biāo)地址，阻斷鏈路流量，防止?jié)B透