论文部分内容阅读
近年来,随着棱镜计划、邮件门、电信网络诈骗等网络安全事件的相继发生,网络安全性越来越受到世界各国的高度重视。作为一种全新的网络体系架构——智慧协同网络,其安全性问题亟待解决。当前,针对智慧协同网络的研究主要集中在智慧服务匹配、资源动态适配等方面,在网络安全性方面,尚有广阔的研究空间。因此,本文依托国家“973”计划立项项目“智慧协同网络理论基础研究”,主要围绕智慧协同网络中安全防御的关键理论与技术展开研究。本文在综合分析智慧协同网络中“控制与数据”和“身份与位置”分离机制安全性的基础上,对接入网中面向终端的DDoS(Distributed DenialofService)攻击防御和面向网络组件的DDoS攻击防御,以及核心网中窃听防御和安全部署等问题,分别进行了研究,完善了网络安全防御体系,为智慧协同网络的大规模部署提供了理论依据和技术支持。论文主要工作和创新点如下:(1)提出了一种基于状态特征的智慧协同网络脆弱性评估方法当前的安全性研究或侧重于身份与位置分离机制,或侧重于控制与数据分离机制,然而基于单一机制的分析方法无法对网络进行全面评估,难以发现两种分离机制因相互影响而造成的资源损耗、信息篡改等潜在威胁。因此,本文提出了一种基于状态特征的智慧协同网络脆弱性评估方法。在充分考虑两种分离机制网络通信特点的基础上,该方法通过简化智慧协同网络的逻辑结构及其基本通信模式,建立了智慧协同网络分析模型;并进一步细化了变迁、库所、有向弧权重和令牌数量等条件,模拟出网络运行状态;最终,从令牌数量、时序、逻辑等方面分析评估了智慧协同网络的稳定性与安全性,并给出了相应的安全防御建议。本文所提出的评估方法涵盖了分析对象、状态转移、逻辑分析、参考模型和模型图等五个方面,相比已有的安全分析方法,分析对象更加全面,分析过程更加具体,分析逻辑更加严密。(2)提出了一种面向核心网监听与蠕虫传播的全局标识动态映射防御机制传统标识管理方式相对固化,缺乏对网络转换设备的保护,容易遭受网络监听与蠕虫传播。为此,本文提出了一种面向核心网监听与蠕虫传播的全局标识动态映射防御机制。该机制根据智慧协同网络中接入标识与路由标识分离映射的特性,提出了选择限制条件和分配限制条件,确立了标识分配原则,并给出了相应的选择算法与分配算法;提出了不重复概率与覆盖周期,以评估网络监听防御效率;模拟了三种不同映射机制,用于对比不同防御机制对蠕虫传播的防御效率。验证结果表明,该管理机制可有效降低核心网路由标识的重复概率,相对于传统映射方式,能够更加有效地抑制蠕虫快速传播。(3)提出了一种面向目标组件DDoS攻击的接入网包检测与防御方法已有的检测方法分析元素单一、引用算法固定,不适用于面向目标组件的DDoS攻击的探测。为此,本文提出了一种面向目标组件DDoS攻击的接入网包检测与防御方法。该方法充分分析了面向目标组件的DDoS攻击,利用其目标单一、源多样的特性,选择了以目的地址为中心的检测元素作为判断依据,并结合网络组件层的集中控制以及 GHSOM(Growing Hierarchical Self-Organization Mapping)算法,实现了更高效的DDoS攻击检测,并依据受攻击对象分别提出防御方案。验证结果表明,本文所提出的DDoS攻击检测方法较基于传统检测六元组的DDoS攻击检测方法,具有更高的检测效率,同时可以降低合法数据包与攻击数据包速率之比对检测效率的影响。(4)提出了一种面向网络DDoS攻击的接入网流检测与防御方法新型DDoS攻击具有单一流量低、整体数据量大的特点,严重威胁智慧协同网络中接入交换路由组件与映射解析服务组件间通信。然而,现有方法难以准确检测、防御这种攻击。为此,本文提出了一种面向网络DDoS攻击的接入网流检测方法。该方法按照流量大小对数据流完成分类,使用SPRT(Sequential Probability Ratio Test)统计工具,并综合考虑了 TN(True Negatives)和 FP(False Positives)两种错误判定方式,对接收的流信息进行系统分析,以判定目标端口的脆弱性,从而确定攻击者连接的接入网端口。验证结果显示,所提检测方法相比基于低流量数据流比例、低流量数据流数量或信息熵的检测方法,具有更高的灵敏性,更多样的检测功能,以及更准确的检测结果。(5)提出了一种基于族群时延的核心网控制组件安全部署方案现有的部署方案仅考虑了传输时延,严重影响网络收敛速率和网络弹性。为此,本文提出了一种基于族群时延的核心网控制组件安全部署方案。基于发送时延和传输时延,本方案提出了平均时延最小化模型和最大时延最小化模型,进一步推导出了时延优化模型,并对所提模型的最优解进行了论证。作为对比,本文对已有部署方式进行完善,归纳出传输时延优化模型。针对本文提出的时延优化模型设计了输送算法,针对传输时延优化模型设计了传输算法。验证结果显示本文提出的时延优化模型较传输时延优化模型对已部署的控制组件位置变化影响更小,可降低平均时延、最大时延、总时延以及等待时延50%以上,从而增快网络收敛速率,降低核心网管理复杂度,提升防御机制实现效率。