基于OpenDaylight的安全检测系统-计算机技术专业论文.docxVIP

万方数据 万方数据 南京邮电大学专业学位硕士研究生学位论文 南京邮电大学学位论文原创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得南京邮电大学或其它教育机构的学位或证书而使用过 的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表 示了谢意。 本人学位论文及涉及相关资料若有不实，愿意承担一切相关的法律责任。 研究生签名： 日期： 南京邮电大学学位论文使用授权声明 本人授权南京邮电大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档；允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检 索；可以采用影印、缩印或扫描等复制手段保存、汇编本学位论文。本文电子文档的内容 和纸质论文的内容相一致。论文的公布（包括刊登）授权南京邮电大学研究生院办理。 涉密学位论文在解密后适用本授权书。 研究生签名： 导师签名： 日期： III 南 南京邮电大学专业学位硕士研究生学位论文 摘 要 随着网络规模的急剧膨胀和业务类型的不断发展，互联网的结构和功能也日 趋复杂，传统的、基于路由器为核心的网络体系架构在灵活性、可扩展性、安全 性和可变动性等方面受到了更多的质疑。这种情况下，软件定义网络（SDN）便 应运而生，这种全新的网络可以将控制平面与数据平面解耦，支持集中的网络状 态控制，实现底层网络基础设施对上层应用的透明。然而，由于目前 SDN 架构 中控制器层的高度集中性和开放性，恶意应用可以通过入侵控制器而直接控制整 个网络，对网络进行远大于传统网络的破坏。针对这种情况，本文对开源的 SDN 框架 OpenDaylight 进行了改良，使其对于应用层的攻击具有一定的防范能力。 本文基于最新的 OpenDaylight 项目框架，提出了一个健壮控制器层、监控 不可信程序的请求、对待下发流表策略进行安全检测的方案，来增强 SDN 网络 北向接口的安全性。该方案在应用层与控制器层之间添加了一个信息监控模块， 基于阙值对应用层的操作进行监控；在流表部署至网络空间前加入流表检测模 块，对新流表可能违反网络安全策略的情况进行判断和控制。文章的最后，针对 修改过后的框架，在 Mininet 的虚拟环境中进行了实验仿真，验证了该方案对控 制器北向接口的保护、对应用策略冲突的实时检测，同时还以被攻击后网络中数 据包的存活率等实际判断参数分析了该方案的可用性。 关键字:OpenDaylight，请求监控，策略冲突，安全决策 I 南京 南京邮电大学专业学位硕士研究生学位论文 Abstract With the rapid expansion of network and the continuously enriched of the service type,the structure and function of the Internet are becoming more and more complex.The traditional router-based network is under increasing pressure and its flexibility,security,volatility has been more questioned.In this case, software-defined network (SDN) came into being.It is a new framework of network that can decouple the control plane from the data plane and control the network by centralizing the network state.However, due to the high concentration and openness of SDN architecture,malicious applications can invade the controller to control the entire network directly.This behavior may cause more damage to the new network framework than to the traditional network.To improve this situation, this paper has modified the open source framework of SD