论文部分内容阅读
随着互联网技术的迅速发展和普及,网络的规模变得越来越庞大,应用类型和数量急速增加,网络业务的形式和需求也发生了很大的变化。互联网在不断发展的过程中,在不同阶段提出了很多协议以满足业务对网络能力的需求,导致网络中存在大量各种各样的不关联的协议,网络设备的结构和功能复杂化,增加了管理的难度。管理员通常只能使网络处于静态的运作模式以避免网络服务中断的风险。另一方面,以云计算、大数据为代表的新兴业务,使得网络中存在大量的虚拟机和海量数据交换,要求网络能够根据用户需求动态分配资源,传统的网络架构已很难适应这些新业务的要求。OpenFlow网络是一种新型的网络架构,实现了控制和转发分离,由集中式的控制器管理整个网络中的设备。OpenFlow网络可以通过软件定义转发,提供开放的接口来编程控制网络,简化了网络管理,增加了网络的灵活性,能有效地满足新业务的需求。 OpenFlow技术集中管理网络中的交换机,可以编程控制数据流的转发,非常适合安全领域的应用。另一方面,OpenFlow技术可能给网络引入新的安全问题,如果网络中设备不可信或者已经被入侵控制,对整个网络的威胁极大。本文提出一种基于深度包检测技术的OpenFlow网络安全监控系统方案,作为可信的第三方系统部署在OpenFlow网络中,通过分析网络中关键节点的捕获的数据包,还原网络中交换机、主机等设备的信息和网络拓扑状态,监控网络中控制器和交换机之间的交互信令,进行网络中安全策略的审查。本文在对OpenFlow技术、深度包检测技术和拓扑发现技术等相关技术研究的基础上,分析系统需求并完成系统设计,实现了OpenFlow网络安全监控原型系统,通过实验平台对系统功能进行了验证。