面向多域網絡的路由策略和傳輸協(xié)議符合性安全態(tài)勢感知.pdf

1、隨著計算機網絡的規(guī)模和復雜性的不斷增大，網絡空間的安全性越來越受到人們關注。相較于各種網絡安全措施各自為戰(zhàn)，相互之間極少關聯(lián)的網絡安全體系，網絡安全態(tài)勢感知（Network Security Situation Awareness，簡稱NSSA）則從宏觀角度對整個網絡的安全狀態(tài)進行實時度量，對海量原始安全數(shù)據(jù)進行數(shù)據(jù)融合從而辨識網絡攻擊行為，并及時響應以降低損失。NSSA對網絡安全管理的監(jiān)控能力和應急響應能力都具有積極意義。
　　

2、為了擴大安全檢測視角，NSSA需要盡可能全面的收集全網的安全數(shù)據(jù)，這一點正契合了軟件定義網絡（Software Defined Network，簡稱SDN）的全局感知、集中控制的管理特性。SDN最初是致力于加速網絡創(chuàng)新、促進網絡設備開放、自動化網絡配置而提出的新型網絡架構，其核心思想是將轉發(fā)設備的控制功能和轉發(fā)功能解耦，并開放網絡應用程序編程接口，從而賦予用戶對網絡資源的細粒度、高靈活性的調度能力。SDN為網絡安全和網絡管理提供了開放而

3、廣闊的平臺支持。
　　本文結合 NSSA對全面安全數(shù)據(jù)的需求和 SDN全局感知的特性，實現(xiàn)了在OpenFlow網絡（SDN的一種主流實現(xiàn)）下的安全態(tài)勢感知系統(tǒng)，從整體上對網絡安全狀況進行把控。本文首先實現(xiàn)了符合性檢測系統(tǒng)，即利用OpenFlow交換機同時工作在數(shù)據(jù)鏈路層、網絡層、傳輸層的扁平化工作模式，實現(xiàn)了對路由策略和傳輸協(xié)議的組合式符合性檢查系統(tǒng)，提供了局域網內部的主機對主機、主機對網絡等的路由策略，以及主機對傳輸協(xié)議的多粒度