论文部分内容阅读
随着网络规模的不断扩大,传统网络中运维效率低下、策略部署复杂、设备繁多等瓶颈日益凸显。软件定义网络(Software-defined Networking,SDN)为传统网络的变革提供了新思路。然而,在SDN数据传输过程中,路径、路由策略等敏感信息的隐私问题尚未得到有效解决。尤其是SDN部署在互联网交换中心(Internet Exchange Point,IXP)后,域间的参与方要求IXP保证其路由策略不被其他域知晓。本文针对SDN网络中数据传输存在的敏感信息泄露问题,提出一种基于多路径的SDN域内数据传输隐私保护方法,运用随机化思想,为敏感信息的传输随机分配路径。更进一步地,运用深度学习提出了流量伪装方法,将敏感流量伪装为普通流量,并结合域间多路径传输策略,使得攻击者无法通过收集流量等行为分析敏感流量及其传输路径。本文的主要研究工作概括为:(1)提出了基于多路径的域内数据传输隐私保护方法。该方法运用随机化思想,解决数据传输过程中,敏感信息泄漏的问题。首先建立域内数据传输模型,方法主要分为路径查找、路径筛选以及随机下发三个阶段。基于深度遍历的思想提出了路径查找算法,通过约束条件筛选得到可信路径,并设计了随机路径选择算法为每次传输选择路径。更进一步地,提出了最优阈值选择模型。该模型综合考虑了路径筛选阶段,路径相关度的阈值与路径数量,路径被攻击概率之间的相关性,可以计算得到最优阈值,从而使路径被攻击概率最小。最后,实验结果验证了方法的有效性与可行性。在Mininet环境中,搭建了域内多路径传输场景,验证了阈值大小对路径被攻击概率的影响,从而验证该阈值选择模型的有效性。在阈值最优时,评估了多路径传输方法的时延等性能,通过分析多次传输的流量相似性对其隐私性能进行了分析。(2)提出了基于流量伪装的域间数据传输隐私保护方法。该方法针对攻击者收集流量进行分析等恶意行为,提出流量伪装来隐藏流量特征。首先运用深度学习建立了端到端的监督-变分自编码模型,可以获得每类流量特征的概率分布函数,并使敏感流量的特征服从普通流量特征的概率分布。同时,域间传输采用多路径策略,混淆攻击者的判断。最后,实验结果验证了方法的有效性。在Mininet上搭建了域间传输系统,分别对域间多路径传输性能以及流量伪装性能进行了评估。当攻击者采用DNN,SVM,C4.5等分类器时,随着敏感流数量不断增加,该方法可有效降低分类的准确度(DNN的准确率从89.75%降低至67.83%,NB的准确率从72.54%降低至41.17%)。实验还对比了多种流量操纵方法,本文方法对分类器分类效果的影响最为明显。(3)基于Mininet设计并实现了SDN多路径传输系统。根据模块化程序设计理念,设计了多路径传输模块、流量伪装模块以及系统界面。在Mininet仿真环境下,构建域间以及域内的网络拓扑,并使用Ryu控制器与OpenvSwitch交换机来实现多路径传输以及流量伪装。系统前端界面展示了域间汇聚的自治系统信息、网络拓扑信息以及流量信息等。