一種面向軟件定義網絡的安全態勢感知方法
2020年信息技術與網絡安全第4期
鄭忠斌1,黎聰2,王朝棟1
(1.工業互聯網創新中心(上海)有限公司,上海 201303;2.同濟大學,上海 200092)
摘要: 隨著互聯網基礎設施的飛速發展和新應用的不斷涌現,拒絕服務攻擊作為網絡層攻擊的一個典例始終是安全人員重點防范的對象,而新興的SDN網絡在控制層和基礎設施層同樣也有受到拒絕服務攻擊的風險。在現有的安全技術中,網絡安全態勢感知技術獨特的優勢使之能同時有效地用于傳統網絡與SDN網絡。研究了應用于網絡安全態勢感知的相關算法,并實現了一個基于JDL多傳感器數據融合的網絡安全態勢感知模型,并將其應用于SDN網絡中對拒絕服務攻擊的感知和評估。實驗結果顯示與單純使用IDS的方法相比,融合決策的誤報率和漏報率均有所下降,且輸出的態勢值具有一定的準確度,符合系統安全管理人員直觀評估的結果。
中圖分類號:TP393
文獻標識碼:A
DOI: 10.19358/j.issn.2096-5133.2020.04.002
引用格式:鄭忠斌,黎聰,王朝棟.一種面向軟件定義網絡的安全態勢感知方法[J].信息技術與網絡安全,2020,39(5):5-12.
文獻標識碼:A
DOI: 10.19358/j.issn.2096-5133.2020.04.002
引用格式:鄭忠斌,黎聰,王朝棟.一種面向軟件定義網絡的安全態勢感知方法[J].信息技術與網絡安全,2020,39(5):5-12.
A security situation awareness method for software defined network
Zheng Zhongbin1,Li Cong2,Wang Chaodong1
(1.Industrial Internet Innovation Center (Shanghai) Co.,Ltd.,Shanghai 201303,China;2.Tongji University,Shanghai 200092,China)
Abstract: With the rapid development of Internet infrastructure and the constant emergence of new applications,denialofservice attack as a typical example of network layer attack is always the object that security personnel focus on preventing.Emerging as it is,SDN network also risks of getting denialofservice attack in its control layer and infrastructure layer.Among the current security technologies,the unique advantages of Network Security Situational Awareness technology have rendered NSSA competitive in applying both to traditional network model and SDN.Hence this paper studies the application of algorithms in the network security situational awareness,and implements a JDLmultisensordatafusionbased network security situational awareness model,applied to SDN network perception and evaluation of Denial of Service attacks.The experimental results show that the false alarm rate (negative positive) and nonresponse rate (positive negative) of fusion decision have both remarkably decreased compared with the IDS method,and the situational value of the output is of certain accuracy,which is in line with the intuitive evaluation results of system administrator.
Key words : network security;situational awareness;software defined network;data fusion;denial of service attacks
0 引言
隨著互聯網基礎設施的飛速發展和新應用的不斷涌現,網絡在規模和拓撲上都日趨擴大化、復雜化,各種層出不窮、更新換代的網絡攻擊給安全管理者帶來了巨大的挑戰。在諸多網絡攻擊手段中,拒絕服務攻擊作為歷史最為久遠、造成資產損失最為嚴重的攻擊手段之一,始終是政企以及軍方網絡安全管理人員重點防范的對象。自1999年第一次分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)出現以來,DDoS攻擊經歷了探索期、組織攻擊期、國家網絡戰期幾個階段,直至今天已成為高度普及化、成熟化、組織化的攻擊方式。從2008年至今,智能聯網終端設備的全面普及產生的大量的僵尸網絡更是為不法分子開展DDoS攻擊提供了便利。2018年3月出現的MemcacheUDP以TB級的帶寬攻擊了Github,引發了網絡安全從業者的警惕,意味著目前的DDoS攻擊制造出TB乃至PB級的攻擊已不是難事。鑒于目前的服務器的帶寬壓力承載量大多不足以應對此種級別的攻擊,一次精心預謀的DDoS攻擊將不僅會造成網絡資產損失,也會造成企業乃至國家政府機構的職能癱瘓,產生的后果難以估量。
本文詳細內容請下載:http://www.rjjo.cn/resource/share/2000003198
作者信息:
鄭忠斌1,黎聰2,王朝棟1
(1.工業互聯網創新中心(上海)有限公司,上海 201303;2.同濟大學,上海 200092)
此內容為AET網站原創,未經授權禁止轉載。