基于SDN的恶意域名防护系统的研究与实现.PDFVIP

书收稿日期：２０１６０３１４；修回日期：２０１６０４２８　　基金项目：赛尔网络下一代互联网技术创新项目（ＮＧ 作者简介：张玉芳（１９６５），女，教授，博士，主要研究方向为数据挖掘、计算机网络 （ｚｈａｎｇｙｆ＠ｃｑｕ．ｅｄｕ．ｃｎ）；李小兵（１９９０），男，硕士研究生，主 要研究方向为软件定义网络；熊忠阳（１９６２），男，教授 ，博导，主要研究方向为数据挖掘、互联网应用关键技术；洪超（１９８７），男，硕士，主要研究 方向为无线传感器网络；陈文（１９８９），男，硕士，主要研究方向为数据挖掘． 基于 ＳＤＮ的恶意域名防护系统的研究与实现 张玉芳，李小兵，熊忠阳，洪　超，陈　文 （重庆大学 计算机学院，重庆 ４０００４４） 摘　要：基于 ＳＤＮ（软件定义网络）新型网络架构，研究并实现了恶意域名防护系统。分析了恶意域名防护系 统的各功能模块及工作流程。使用 Ｍｉｎｉｎｅｔ虚拟平台搭建系统网络环境，基于 Ｆｌｏｏｄｌｉｇｈｔ控制器开发系统的恶意 域名防护模块，通过 ＯｐｅｎＦｌｏｗ协议抽象底层网络资源，并开放 ＲＥＳＴＡＰＩ给上层的恶意域名防护管理器应用。 设计了三个循序渐进的实验场景以验证系统的有效性。实验结果表明，基于 ＳＤＮ的恶意域名防护系统能有效 防范用户访问恶意域名网站。 关键词：软件定义网络；ＯｐｅｎＦｌｏｗ；恶意域名；恶意域名防护 中图分类号：ＴＰ３９３．０８　　文献标志码：Ａ　　 文章编号：１００１３６９５（２０１７）０４１１６６０６ ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１００１３６９５．２０１７．０４．０４８ Ｒｅｓｅａｒｃｈａｎｄｉｍｐｌｅｍｅｎｔａｔｉｏｎｏｆｐｒｏｔｅｃｔｉｏｎｓｙｓｔｅｍａｇａｉｎｓｔ ｍａｌｉｃｉｏｕｓｄｏｍａｉｎｎａｍｅｂａｓｅｄｏｎＳＤＮ ＺｈａｎｇＹｕｆａｎｇ，ＬｉＸｉａｏｂｉｎｇ，ＸｉｏｎｇＺｈｏｎｇｙａｎｇ，ＨｏｎｇＣｈａｏ，ＣｈｅｎＷｅｎ （ＳｃｈｏｏｌｏｆＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅ，ＣｈｏｎｇｑｉｎｇＵｎｉｖｅｒｓｉｔｙ，Ｃｈｏｎｇｑｉｎｇ４０００４４，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ：ＢａｓｅｄｏｎｔｈｅａｒｃｈｉｔｅｃｔｕｒｅｏｆＳＤＮ（ｓｏｆｔｗａｒｅｄｅｆｉｎｅｄｎｅｔｗｏｒｋｉｎｇ），ｔｈｉｓｐａｐｅｒｓｔｕｄｉｅｄａｎｄｒｅａｌｉｚｅｄｔｈｅｐｒｏｔｅｃｔｉｏｎｓｙｓ ｔｅｍａｇａｉｎｓｔｍａｌｉｃｉｏｕｓｄｏｍａｉｎｎａｍｅ．Ａｎｄａｎａｌｙｚｅｄｍａｉｎｆｕｎｃｔｉｏｎａｌｍｏｄｕｌｅｓａｎｄｗｏｒｋｆｌｏｗｏｆｔｈｅｐｒｏｔｅｃｔｉｏｎｓｙｓｔｅｍ．Ｉｔｃｏｎｓｔｒｕｃ ｔｅｄｅｎｖｉｒｏｎｍｅｎｔｏｆｎｅｔｗｏｒｋｆｏｒｔｈｉｓｓｙｓｔｅｍｂｙｕｓｉｎｇＭｉｎｉｎｅｔｐｌａｔｆｏｒｍ．ＤｅｖｅｌｏｐｅｄｍｏｄｕｌｅｓｏｆｔｈｅｓｙｓｔｅｍｂａｓｅｄｏｎＦｌｏｏｄｌｉｇｈｔ ｃｏｎｔｒｏｌｅｒｗｈｉｃｈｃａｎａｂｓｔｒａｃｔｕｎｄｅｒｌｙｉｎｇｎｅｔｗｏｒｋｒｅｓｏｕｒｃｅｓｂｙＯｐｅｎＦｌｏｗｐｒｏｔｏｃｏｌａｎｄｏｐｅｎＲＥＳＴＡＰＩｔｏｕｐｐｅｒｍａｎａｇｅｍｅｎｔａｐ ｐｌｉｃａｔｉｏｎ．Ｆｉｎａｌｙ，ｔｈｉｓｐａｐｅｒｖｅｒｉｆｉｅｄｐｅｒｆｏｒｍａｎｃｅｏｆｔｈｅｓｙｓｔｅｍｉｎｔｈｒｅｅｓｔｅｐｂｙｓｔｅｐｓｃｅｎｅｓ．Ｅｘｐｅｒｉｍｅｎｔａｌｒｅｓｕｌｔｓｓｈｏｗｔｈａｔ ｔｈｉｓｓｙｓｔｅｍｃａｎｅｆｅｃｔｉｖｅｌｙｐｒｅｖｅｎｔｕｓｅｒｓｖｉｓｉｔｉｎｇｍａｌｉｃｉｏｕｓｗｅｂｓｉｔｅｓ． Ｋｅｙｗｏｒｄｓ：ｓｏｆｔｗａｒｅｄｅｆｉｎｅｄｎｅｔｗｏｒｋｉｎｇ；ＯｐｅｎＦｌｏｗ；ｍａｌｉｃｉｏｕｓｄｏｍａｉｎｎａｍｅ；ｐｒｏｔｅｃｔｉｏｎａｇａｉｎｓｔｍａｌｉｃｉｏｕｓｄｏｍａｉｎｎａｍｅ ０　引言 随着互联网信息的爆炸式增长，人们从互联网获取信息的 方式和途径也变得多种多样，互联网安全问题也变得越来越严 峻，各种恶意域名网站严重威胁人们的信息安全。传统的恶意 域名防护一般采用在用户主机或网络出口处安装防火墙，但这 需要用户的配合或者额外的专用设备。因此互联网安全问题 依然是严重制约互联网应用发展创新的一大重要因素，急需新 的解决方案［１］。 ＳＤＮ起源于 ２００６年斯坦福大学的 ＣｌｅａｎＳｌａｔｅ研究课题， 是其计划资助的一个开放式协议标准，后成为 ＧＥＮＩ计划的子 项目。２００９年，Ｍｃｋｅｏｗｎ教授正式提出了 ＳＤＮ概念［２］。ＳＤＮ 是一种新型网络框架，是对当前网络架构的一场变革。利用分 层的思想，ＳＤＮ将数据转发层与控制层相分离，控制层负责制 定转发策略，通过统一的标准接口（如 ＯｐｅｎＦｌｏｗ协议［３］）下发 流表至数据转发层。数据转发层仅提供简单的数据转发功能，