软件定义网络(software defined networking, SDN)解耦了网络的数据层与控制层,同时控制器也面临"单点失效"的危险.攻击者可以发起分布式拒绝服务攻击(distributed denial of service, DDoS)使控制器失效,影响网络安全.为解决...软件定义网络(software defined networking, SDN)解耦了网络的数据层与控制层,同时控制器也面临"单点失效"的危险.攻击者可以发起分布式拒绝服务攻击(distributed denial of service, DDoS)使控制器失效,影响网络安全.为解决SDN中的DDoS流量检测问题,创新性地提出了基于信息熵与深度神经网络(deep neural network, DNN)的DDoS检测模型.该模型包括基于信息熵的初检模块和基于深度神经网络DNN的DDoS流量检测模块.初检模块通过计算数据包源、目的IP地址的信息熵值初步发现网络中的可疑流量,并利用基于DNN的DDoS检测模块对疑似异常流量进行进一步确认,从而发现DDoS攻击.实验表明:该模型对DDoS流量的识别率达到99%以上,准确率也有显著提高,误报率明显优于基于信息熵的检测方法.同时,该模型还能缩短检测时间,提高资源使用效率.展开更多
网络功能虚拟化(network function virtualization,NFV)旨在以软件的方式实现网络功能从而替代传统网络中的专有硬件设备.为了应对日益增长的资源密集型需求,面向软件的网络功能虚拟化带来了如虚拟网络功能的管理、低延迟的调度和虚拟...网络功能虚拟化(network function virtualization,NFV)旨在以软件的方式实现网络功能从而替代传统网络中的专有硬件设备.为了应对日益增长的资源密集型需求,面向软件的网络功能虚拟化带来了如虚拟网络功能的管理、低延迟的调度和虚拟网络资源分配等问题.虚拟网络功能调度问题本身为NP-hard,在虚拟网络功能资源调度延迟的特定问题上,为保证良好的用户体验,需要确保网络资源被合理地分配和协调以防止资源的过度供应和保持端到端低延迟.针对网络资源调度的延时问题建立了以最小化资源调度总体服务延迟为目标的整数线性规划模型.此外,为了满足网络动态性较高的特性,设计了一种基于贪婪的启发式算法,此算法首先构建辅助图,然后根据考虑到网络传播时延影响的不同业务链之间的时延影响分析来选择资源调度方案,并且对很多点处理功能采用了多路传输的方式.最终的实验结果表明:所提算法可以有效地指导模型的求解,在降低网络总体服务延时方面比之前相关研究有5%~15%的性能提升.展开更多
针对云数据中心网络存在的可扩展性和灵活性问题,提出了一种基于SDN(Software Defined Networking)的云数据中心弹性网络架构,解决目前云平台存在的网络无法弹性调度和灵活分配的问题。基于OpenDayLight设计高性能控制器集群架构和多控...针对云数据中心网络存在的可扩展性和灵活性问题,提出了一种基于SDN(Software Defined Networking)的云数据中心弹性网络架构,解决目前云平台存在的网络无法弹性调度和灵活分配的问题。基于OpenDayLight设计高性能控制器集群架构和多控制器负载均衡算法,解决传统SDN架构中存在的控制器单点失效的问题,保障云数据中心中多租户的高效网络按需调度和SDN网络的可靠性。利用Mininet模拟环境验证了提出方法的有效性。展开更多
控制层的漏洞利用攻击,如恶意APP、流表篡改等是软件定义网络(software defined networking,SDN)面临的主要威胁之一,而传统基于漏洞修复技术的防御策略无法应对未知漏洞或后门.提出一种基于拟态防御思想的网络操作系统安全架构——拟...控制层的漏洞利用攻击,如恶意APP、流表篡改等是软件定义网络(software defined networking,SDN)面临的主要威胁之一,而传统基于漏洞修复技术的防御策略无法应对未知漏洞或后门.提出一种基于拟态防御思想的网络操作系统安全架构——拟态网络操作系统(mimic network operating system,MNOS)——保障SDN控制层安全.该架构采用异构冗余的网络操作系统(network operating system,NOS),并在传统的SDN数据层和控制层间增设了拟态层,实现动态调度功能.首先拟态层动态选取若干NOS作为激活态并行提供服务,然后根据各NOS的处理结果决定最终的有效响应返回底层交换机.实验评估表明:在增加有限的时延开销下,MNOS可以有效降低SDN控制层被成功攻击的概率,并具备良好的容错/容侵能力;在此基础上,提出的选调策略和判决机制,可以有效提升系统的异构度和判决的准确性,进一步提升安全性能.展开更多
网络负载均衡器是实现网络功能虚拟化(network function virtualization,NFV)的重要功能组件,通过其准确的业务负载分担,运营商可以灵活、高效地实现业务能力增强和容量扩展.基于DPDK技术框架设计实现了面向NFV的高性能4层网络负载均衡...网络负载均衡器是实现网络功能虚拟化(network function virtualization,NFV)的重要功能组件,通过其准确的业务负载分担,运营商可以灵活、高效地实现业务能力增强和容量扩展.基于DPDK技术框架设计实现了面向NFV的高性能4层网络负载均衡机制及系统HVLB,能够灵活部署运行于主流虚拟化平台.HVLB整体采用软件定义网络(software defined networking,SDN)思想设计,实现调度策略制订和数据转发的有效分离.在转发端基于用户空间实现多核多队列高效数据处理架构,同时保证各处理队列间的数据访问隔离和任务处理均衡;在控制端基于网络链路和计算相结合的综合能力作为NF选择和转发策略的制订依据,在实施业务数据准确分发的基础上保障了网络性能.基于KVM的原型系统实验结果表明:与现有LVS系统相比,HVLB极大地提升了数据包处理与转发性能,并实现了64字节UDP数据包的线速转发.展开更多
软件定义网络(software defined networking,SDN)已经迅速成为一种新的网络通信管理模式,极大地改变了传统网络架构.SDN可以通过将控制层与数据层分离来实现更细粒度的网络控制与管理.但是,转控分离的SDN架构也使得控制器极易成为DoS攻...软件定义网络(software defined networking,SDN)已经迅速成为一种新的网络通信管理模式,极大地改变了传统网络架构.SDN可以通过将控制层与数据层分离来实现更细粒度的网络控制与管理.但是,转控分离的SDN架构也使得控制器极易成为DoS攻击的目标.为解决这一问题,现对SDN中的DoS攻击进行全面的研究,并提出一种轻量有效的MinDoS防御机制,该机制主要由简化的DoS攻击探测模块和优先级管理模块这2个核心模块实现.该机制可以根据用户信任值将流请求分类并将其划分到具有不同优先级的多个缓冲队列,然后使用SDN控制器以双轮询机制来调度处理这些流请求,从而在DoS攻击下更好地保护控制器.另外,MinDoS还结合了多控制器动态调度策略来降低全局响应时间,提高用户服务质量.最后,分别在SDN单控制器和多控制器实验环境中对MinDoS防御性能进行综合评估,实验结果表明:MinDoS防御效果良好,系统设计满足预期目标.展开更多
随着网络技术的迅速发展和新型应用的不断出现,网络数据的急剧增加导致网络管理变得极其复杂.传统网络中的设备多种多样,配置复杂,难于管理,而软件定义网络(software defined networking,SDN)这种新型网络架构的出现给网络管理带来了曙...随着网络技术的迅速发展和新型应用的不断出现,网络数据的急剧增加导致网络管理变得极其复杂.传统网络中的设备多种多样,配置复杂,难于管理,而软件定义网络(software defined networking,SDN)这种新型网络架构的出现给网络管理带来了曙光,该架构摆脱了硬件设备对网络的限制,使网络具有灵活、可编程性等优点.一个好的路由机制影响着整个网络的性能,软件定义网络的集中控制特性给机器学习在路由机制方面的应用带来了新的研究方向.首先论述了SDN路由优化的现状,然后从监督学习和强化学习2个方面概述了近年来机器学习在SDN路由方面的研究,最后为了满足不同应用的服务质量(quality of service,QoS)以及不同用户的体验质量(quality of experience,QoE),提出了数据驱动认知路由的发展趋势.通过赋予网络节点感知、记忆、查找、决策、推理、解释等认知行为,加快寻路过程,优化路由选择,完善网络管理.展开更多
文摘网络功能虚拟化(network function virtualization,NFV)旨在以软件的方式实现网络功能从而替代传统网络中的专有硬件设备.为了应对日益增长的资源密集型需求,面向软件的网络功能虚拟化带来了如虚拟网络功能的管理、低延迟的调度和虚拟网络资源分配等问题.虚拟网络功能调度问题本身为NP-hard,在虚拟网络功能资源调度延迟的特定问题上,为保证良好的用户体验,需要确保网络资源被合理地分配和协调以防止资源的过度供应和保持端到端低延迟.针对网络资源调度的延时问题建立了以最小化资源调度总体服务延迟为目标的整数线性规划模型.此外,为了满足网络动态性较高的特性,设计了一种基于贪婪的启发式算法,此算法首先构建辅助图,然后根据考虑到网络传播时延影响的不同业务链之间的时延影响分析来选择资源调度方案,并且对很多点处理功能采用了多路传输的方式.最终的实验结果表明:所提算法可以有效地指导模型的求解,在降低网络总体服务延时方面比之前相关研究有5%~15%的性能提升.
文摘针对云数据中心网络存在的可扩展性和灵活性问题,提出了一种基于SDN(Software Defined Networking)的云数据中心弹性网络架构,解决目前云平台存在的网络无法弹性调度和灵活分配的问题。基于OpenDayLight设计高性能控制器集群架构和多控制器负载均衡算法,解决传统SDN架构中存在的控制器单点失效的问题,保障云数据中心中多租户的高效网络按需调度和SDN网络的可靠性。利用Mininet模拟环境验证了提出方法的有效性。
文摘网络负载均衡器是实现网络功能虚拟化(network function virtualization,NFV)的重要功能组件,通过其准确的业务负载分担,运营商可以灵活、高效地实现业务能力增强和容量扩展.基于DPDK技术框架设计实现了面向NFV的高性能4层网络负载均衡机制及系统HVLB,能够灵活部署运行于主流虚拟化平台.HVLB整体采用软件定义网络(software defined networking,SDN)思想设计,实现调度策略制订和数据转发的有效分离.在转发端基于用户空间实现多核多队列高效数据处理架构,同时保证各处理队列间的数据访问隔离和任务处理均衡;在控制端基于网络链路和计算相结合的综合能力作为NF选择和转发策略的制订依据,在实施业务数据准确分发的基础上保障了网络性能.基于KVM的原型系统实验结果表明:与现有LVS系统相比,HVLB极大地提升了数据包处理与转发性能,并实现了64字节UDP数据包的线速转发.
文摘软件定义网络(software defined networking,SDN)已经迅速成为一种新的网络通信管理模式,极大地改变了传统网络架构.SDN可以通过将控制层与数据层分离来实现更细粒度的网络控制与管理.但是,转控分离的SDN架构也使得控制器极易成为DoS攻击的目标.为解决这一问题,现对SDN中的DoS攻击进行全面的研究,并提出一种轻量有效的MinDoS防御机制,该机制主要由简化的DoS攻击探测模块和优先级管理模块这2个核心模块实现.该机制可以根据用户信任值将流请求分类并将其划分到具有不同优先级的多个缓冲队列,然后使用SDN控制器以双轮询机制来调度处理这些流请求,从而在DoS攻击下更好地保护控制器.另外,MinDoS还结合了多控制器动态调度策略来降低全局响应时间,提高用户服务质量.最后,分别在SDN单控制器和多控制器实验环境中对MinDoS防御性能进行综合评估,实验结果表明:MinDoS防御效果良好,系统设计满足预期目标.
文摘随着网络技术的迅速发展和新型应用的不断出现,网络数据的急剧增加导致网络管理变得极其复杂.传统网络中的设备多种多样,配置复杂,难于管理,而软件定义网络(software defined networking,SDN)这种新型网络架构的出现给网络管理带来了曙光,该架构摆脱了硬件设备对网络的限制,使网络具有灵活、可编程性等优点.一个好的路由机制影响着整个网络的性能,软件定义网络的集中控制特性给机器学习在路由机制方面的应用带来了新的研究方向.首先论述了SDN路由优化的现状,然后从监督学习和强化学习2个方面概述了近年来机器学习在SDN路由方面的研究,最后为了满足不同应用的服务质量(quality of service,QoS)以及不同用户的体验质量(quality of experience,QoE),提出了数据驱动认知路由的发展趋势.通过赋予网络节点感知、记忆、查找、决策、推理、解释等认知行为,加快寻路过程,优化路由选择,完善网络管理.
