Design and Implementation of Mimic Network Operating System
-
摘要: 控制层的漏洞利用攻击,如恶意APP、流表篡改等是软件定义网络(software defined networking, SDN)面临的主要威胁之一,而传统基于漏洞修复技术的防御策略无法应对未知漏洞或后门.提出一种基于拟态防御思想的网络操作系统安全架构——拟态网络操作系统(mimic network operating system, MNOS)——保障SDN控制层安全.该架构采用异构冗余的网络操作系统(network operating system, NOS),并在传统的SDN数据层和控制层间增设了拟态层,实现动态调度功能.首先拟态层动态选取若干NOS作为激活态并行提供服务,然后根据各NOS的处理结果决定最终的有效响应返回底层交换机.实验评估表明:在增加有限的时延开销下,MNOS可以有效降低SDN控制层被成功攻击的概率,并具备良好的容错/容侵能力;在此基础上,提出的选调策略和判决机制,可以有效提升系统的异构度和判决的准确性,进一步提升安全性能.Abstract: As a mission-critical network component in software defined networking (SDN), SDN control plane is suffering from the vulnerabilities exploited to launch malicious attacks, such as malicious applications attack, modifying flow rule attack, and so on. In this paper, we design and implement mimic network operating system (MNOS), an active defense architecture based on mimic security defense to deal with it. In addition to the SDN data plane and control plane, a mimic plane is introduced between them to manage and dynamically schedule heterogeneous SDN controllers. First, MNOS dynamically selects m controllers to be active to provide network service in parallel according to a certain scheduling strategy, and then judges whether controllers are in benign conditions via comparing the m responses from the controllers, and decides a most trusted response to send to switches so that the minority of malicious controllers will be tolerated. Theoretical analysis and experimental results demonstrate that MNOS can reduce the successful attack probability and significantly improve network security, and these benefits come at only modest cost: the latency is only about 9.47% lower. And simulation results prove that the scheduling strategy and decision fusion method proposed can increase system diversity and the accuracy of decisions respectively, which will enhance the security performance further.
-
-
期刊类型引用(13)
1. 涂彬彬,陈宇. 支持批量证明的SM2适配器签名及其分布式扩展. 软件学报. 2024(05): 2566-2582 . 
百度学术
2. 胡小明,陈海婵. 可证明安全的SM2盲适配器签名方案. 网络与信息安全学报. 2024(02): 59-68 . 百度学术
3. 唐锴令,郑皓. 融合DES和ECC算法的物联网隐私数据加密方法. 吉林大学学报(信息科学版). 2024(03): 496-502 . 百度学术
4. 薛庆水,卢子譞,马海峰,高永福,谈成龙,孙晨曦. 基于SM2的强前向安全性两方共同签名方案. 计算机工程与设计. 2024(08): 2290-2297 . 百度学术
5. 张艳硕,刘宁,袁煜淇,杨亚涛. 基于ISRSAC数字签名算法的适配器签名方案. 通信学报. 2023(03): 178-185 . 百度学术
6. 陈海婵,郭智浩,王俊以,胡小明. 基于适配器签名和盲混技术的电子资源交易方案设计与实现. 上海第二工业大学学报. 2023(01): 53-60 . 百度学术
7. 韦薇,罗敏,白野,彭聪,何德彪. 基于SIMD指令集的SM2数字签名算法快速实现. 密码学报. 2023(04): 720-736 . 百度学术
8. 白野,何德彪,罗敏,杨智超,彭聪. 一种针对SM2数字签名算法的攻击方案. 密码学报. 2023(04): 823-835 . 百度学术
9. 夏再琦,王祥,白鹏飞,易玲,郭艳鹏,宋绍华. 智能终端的Uboot引导应用程序实现方法. 单片机与嵌入式系统应用. 2023(10): 57-60 . 百度学术
10. 刘捷. 基于鸿蒙的新一代智能POS业务软件设计. 电子元器件与信息技术. 2023(12): 32-35 . 百度学术
11. 苏簪铀,马振华,王志洋. 基于协同签名的电网移动GIS签名系统的设计与实现. 农村电气化. 2022(04): 50-53 . 百度学术
12. 王子瑞,张驰,魏凌波. 基于双线性配对的适配器签名方案. 密码学报. 2022(04): 686-697 . 百度学术
13. 李松钊,梁晓芳,李文敬. 基于零知识验证签名的食品供应链追溯算法研究. 南宁师范大学学报(自然科学版). 2022(04): 49-56 . 百度学术
其他类型引用(12)
计量
- 文章访问数:
- HTML全文浏览量: 0
- PDF下载量:
- 被引次数: 25
下载:
