随着互联网的不断普及,网络规模急剧膨胀,网络结构越来越复杂,网络管理的难度也越来越大,同时网络安全问题也越来越突出。面对复杂严峻的网络安全形势,传统网络安全解决方案显得臃肿而迟钝。SDN(Software Defined NetWorking,软件定义网络)技术的出现为网络安全问题的解决提供了新的思路。 本文基于CERNET(China Education and Research Network,中国教育科研网)的实际环境,使用SDN技术对相关网络安全问题解决方案进行探索和验证,实现了一个基于SDN技术的网络入侵追踪和响应系统。该系统通过OpenFlow交换机控制报文的转发,在不影响网络正常流量的情况下,实现对可疑流量的采集与分析、对恶意流量的拦截的自动化响应功能。并且该系统有着良好的可扩展性,可以很方便地加入对新型响应任务的支持。 本文首先指出现有HYDRA系统存在的不足,然后根据系统现有的不足提出研究内容,再根据研究成果对系统现有不足进行改进。使改进后的系统成为一个插件化的网络应急响应平台,平台提供两方面的功能:一方面能够对网络安全事件及时响应,尽可能减少网络攻击造成的损失,另一方面能够对网络恶意流量进行追踪监测,尽可能找到攻击的源头,从而从根本上解决网络安全威胁。 HYDRA系统架构的改进是本文的工作重点。首先对系统架构改进做了需求分析,然后根据需求分析结果提出并实现相应的解决方案。 对RYU控制器的研究与功能拓展是本文的另一工作重点。论文首先介绍了SDN控制器的概念,然后介绍RYU控制器,提出系统对控制器的需求并说明了系统选择RYU控制器的理由,随后针对系统需求对RYU控制器作了一些功能拓展。 HYDRA系统的响应任务生命周期管理是本文的研究重点。作为一个插件化的网络应急响应平台,需要面对不同类型不同数量的响应任务请求,因此需要一个完善的任务管理机制保证不同任务合理有序的得到响应。 论文的最后介绍了HYDRA系统的实验环境,并对系统总体功能和对RYU控制器的拓展功能进行了验证。通过跟踪系统实际响应的一个案例对系统功能做了验证,结果表明,对HYDRA系统的改进是成功的。再根据系统实际响应的案例对控制器的拓展功能进行了验证。验证结果表明,对RYU控制器的改造是成功的。
展开▼
