SDN安全態(tài)勢評估系統(tǒng).pdf

1、軟件定義網(wǎng)絡(luò)(Software Defined Network)作為一種全新的網(wǎng)絡(luò)架構(gòu)得到業(yè)界和研究人員充分的關(guān)注和研究。從數(shù)據(jù)轉(zhuǎn)發(fā)面設(shè)備的設(shè)計研發(fā)到轉(zhuǎn)發(fā)面與控制面的南向接口標(biāo)準(zhǔn)化的推進(jìn)與完善，再到控制器中軟件模塊北向接口和網(wǎng)絡(luò)應(yīng)用功能的開發(fā)演進(jìn)都表明軟件定義網(wǎng)絡(luò)在未來有廣闊的前景。
　　伴隨著SDN的快速發(fā)展，SDN安全方面的問題越來越受到研究人員的重視，特別是如何在SDN中實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)面安全態(tài)勢的有效檢測和評估。但現(xiàn)有的

2、安全研究方案很少有對SDN網(wǎng)絡(luò)的安全態(tài)勢做出量化評估。本文提出一種SDN網(wǎng)絡(luò)安全態(tài)勢評估方案，方案充分利用SDN全局、集中控制的優(yōu)勢，在控制器上對整個網(wǎng)絡(luò)的安全狀況進(jìn)行實時監(jiān)測。方案主體分為異常檢測模塊和網(wǎng)絡(luò)安全態(tài)勢評估模塊。異常檢測模塊針對三類典型網(wǎng)絡(luò)攻擊的特點抽取出要在SDN中進(jìn)行檢測的具體特征。安全態(tài)勢評估模塊則根據(jù)得到的統(tǒng)計數(shù)據(jù)利用貝葉斯理論進(jìn)行安全態(tài)勢評估，并且根據(jù)不同攻擊的威脅程度基于層次分析法分配不同的擬合權(quán)值。實驗表明異

3、常檢測模塊能快速監(jiān)測到三類攻擊導(dǎo)致的網(wǎng)絡(luò)異常，該網(wǎng)安全態(tài)勢評估模塊能對不同威脅程度的攻擊做出準(zhǔn)確、敏捷的度量。系統(tǒng)簡潔、靈活，以較少的資源實現(xiàn)對SDN網(wǎng)絡(luò)安全狀況的監(jiān)測和評估。具體地將本文做了以下幾點工作：
　　1．本文出一個開放的SDN網(wǎng)絡(luò)安全態(tài)勢評估框架?？蚣芫哂虚_放性和可擴(kuò)展性，網(wǎng)絡(luò)開發(fā)和維護(hù)人員可以根據(jù)各自特定的需求對安全框架進(jìn)行擴(kuò)展，同時評估模塊所得的評估結(jié)果可以被其它上層應(yīng)用所使用。
　　2．設(shè)計了對SDN網(wǎng)絡(luò)進(jìn)