基于 SDN的网络攻击防御平台研究.docVIP

基于 SDN的网络攻击防御平台研究 　　摘要：传统以防火墙为中心的网络攻击防御系统有其盲点，SDN 交换机通过协同作业刚好可以弥补这个盲点，该研究通过实验了解 SDN 协同防御机制，在内网可以通过 0.6 秒的反应时间达到 98.5%的 scan packet 阻拦率，有效地把防御阵线由防火墙直接拉到贴近使用者的交换机，SDN 交换机将来在网络安全领域十分值得期待。 　　关键词：SDN；OpenFlow；网络攻击防御 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）26-0050-02 　　1 简介 　　传统上在讨论网络攻击防御的时候，基本架构是以防火墙、UTM 为主，入侵监测系统为辅，这架构在当大部分的威胁都来自外网的时候是有用的，但是当时代慢慢改变，BYOD 与 APT 等攻击慢慢把 Malware 渗透进内网的时候，LAN-to-LAN attack 并不容易让防火墙察觉，因此，在攻击趋势慢慢挪向内网的今天，防火墙与内网使用者的距离似乎就显得有点远了。 　　近年来 Software-Defined Networking 这概念提供大家另外一种思考的面向，监测是否可以分割交换机的 control plane 与 data plane，并且封装其操作 data plane 的复杂度，让各家厂牌的交换机只要遵循一种统一的 AP