![点击分享此内容可以赚币 分享](/master/images/share_but.png)
IPv6地址驱动的云网络内生安全机制研究.pdf
《IPv6地址驱动的云网络内生安全机制研究.pdf》由会员分享,可在线阅读,更多相关《IPv6地址驱动的云网络内生安全机制研究.pdf(8页珍藏版)》请在咨信网上搜索。
1、NETINFOSECURITY2024年第1期理论研究doi:10.3969/j.issn.1671-1122.2024.01.011IPv6地址驱动的云网络内生安全机制研究一张博文1,李冬,赵贻竹1,于俊清1.2(1.华中科技大学网络空间安全学院,武汉430 0 7 4;2.华中科技大学网络与计算中心,武汉430 0 7 4)摘要:云网络可以根据不同业务场景对云平台虚拟网络资源快速部署与配置,是现代数据中心性能和安全的重要保障。但传统云网架构中IPv4支撑能力有限,无法实现网络端到端的透明传输,多租户特性使得云管理者对租户子网进行流量管理和约束异常困难,外挂式的安全方案缺乏对不同租户流量的追
2、溯能力,无法在源头对攻击行为进行限制。IPv6具有地址空间大、编址能力强、安全性高的特点,基于此,文章提出一种IPv6地址驱动的云网络内生安全机制,包括地址生成层、地址验证层和地址利用层。地址生成层以对称加密算法为基础,将租户身份信息嵌入IPv6地址后6 4位,修改DHCPv6地址分配策略,并基于Openstack Neutron进行实现。地址验证层设计实现了云网络动态源地址验证方法,针对不同端口状态集合设计针对性转移方法和安全策略。地址利用层基于IPv6真实地址的特性,实现了基于IPv6地址的数据包溯源机制和访问控制策略。关键词:云网络;内生安全;源地址验证;地址生成;IPv6中图分类号:T
3、P309文献标志码:A文章编号:16 7 1-112 2(2 0 2 4)0 1-0 113-0 8中文引用格式:张博文,李冬,赵贻竹,等.IPv6地址驱动的云网络内生安全机制研究J.信息网络安全,2024,24(1):113-120.英文引用格式:ZHANG Bowen,LI Dong,ZHAO Yizhu,et al.Research on Endogenous Security Mechanismof Cloud Network Driven by IPv6 AddressJJ.Netinfo Security,2024,24(1):113-120.Research on Endogen
4、ous Security Mechanism of Cloud NetworkDrivenbyIPv6AddressZHANG Bowen,LI Dong*,ZHAO Yizhul,YU Junqingl,?(1.School of Cyber Science and Engineering,Huazhong University of Science and Technology,Wuhan 430074,China;2.Network and Computation Center,Huazhong University of Science and Technology,Wuhan 430
5、074,China)Abstract:Cloud networking can rapidly deploy and configure virtual network resourceon cloud platform according to different business scenarios,which is an important guaranteefor performance and security in modern data center.However,traditional cloud networkcannot make transparent end-to-e
6、nd transmission due to the limitation of IPv4.The multi-tenant feature makes it difficult for cloud manager to constrain traffic on tenant subnets,收稿日期:2 0 2 3-10-15基金项目:国家重点研发计划2 0 2 0 YFB1805601;中国高校产学研创新基金2 0 2 1FNA02005作者简介:张博文(1997 一),男,河南,硕士研究生,主要研究方向为软件定义网络安全;李冬(197 9一),男,湖北,高级工程师,博士,主要研究方向为计
7、算机网络、软件定义网络、网络安全;赵贻竹(197 6 一)女,河南,副教授,博士,主要研究方向为软件定义网络安全;于俊清(197 5一),男,内蒙古,教授,博士,主要研究方向为数字媒体处理与检索、网络安全。通信作者:于俊清113NETINFOSECURITY理论研究2024年第1期and external security solutions lack of traceability of traffic from different tenants,makingit impossible to restrict attack at the source.IPv6 has large addr
8、ess space,strong addressingability,and high security.Guided by the endogenous security concept and centered on IPv6address driven,this article proposed an IPv6 address driven cloud network endogenoussecurity hierarchy architecture,including address generation layer,address verificationlayer,and addr
9、ess utilization layer.At the address generation layer,the tenant identity wasembedded into the last 64 bits of IPv6 address using symmetric encryption algorithm,andthe DHCPv6 address allocation strategy was modified.The implementation was based onOpenstack Neutron.At the address verification layer,a
10、 dynamic source address verificationmethod was designed and implemented for cloud networks.Specific transition methods andsecurity policies were designed for different port status sets.At the address utilization layer,based on the characteristics of real IPv6 address,a packet tracing mechanism and a
11、n accesscontrol policy based on IPv6 addresses were implemented.Key words:cloud network;endogenous security;source address validation;addressgeneration;IPv60引言云网络是构成云平台的重要基础,可以为不同业务场景提供虚拟网络资源,用户可以依据不同业务需求,对网络资源进行动态调整,从而更好地满足业务发展需要。与传统网络相比,云网络受到攻击后的影响更加广泛!。多租户支持是云平台的一个重要特性,每个租户对自己的网络环境具有完全的支配权,导致对租户的
12、管理和行为约束异常困难。同时,在云平台中,攻击者可能通过伪造源地址来隐藏真实身份进而发起攻击2,导致对攻击难以溯源。基于上述分析,本文提出一种IPv6地址驱动的云网络内生安全机制。本文设计了一种云网络动态源地址验证方法,通过二阶端口状态实施不同的安全策略,进一步降低交换机流表空间和控制器负载的开销。同时设计了一种云网络IPv6真实地址生成与溯源方法,将IPv6地址接口标识作为新的信任锚点,利用网络标识(Network Identity,NID)的可拓展性对租户身份信息和网络信息进行编码,通过引人时间哈希值并以异或的方式将其信息嵌人地址标识(Address Identity,AID)中,提高溯源
13、效率。本文还对OpenStackNeurton核心组件进行修改,基于硬件设备搭建具备内生安全属性的私有云平台,通过大量实验证明该方案在云平台中的可行性与优越性。1相关工作传统互联网缺乏对复杂网络的安全性考虑,现有的大部分安全措施均为外挂式的方案。为了解决该问题,一些研究人员引入了内生安全的思想。内生安全是指在设计和构建系统时,将安全机制融入系统的内在结构,实现更高效、更可靠、更全面的安全防御。YU3等人受生物免疫系统启发,提出依靠群体协作的动态安全架构。邬江兴4认为造成网络安全问题层出不穷的根本原因是漏洞和后门未知且无法预见,受生物拟态防御的启发,提出了以拟态系统为基础的内生安全网络架构。文献
14、5针对现有网络中存在的固有安全问题,通过对IP网络协议和安全机制进行重新设计,基于最小信任模型提出一个具有内生安全能力的网络架构 NAIS(Ne t w o r k A r c h i t e c t u r e w i t h In t r i n s i c Se c u r i t y)。NAIS采取不完全信任的处理方式对网络流量进行真实性检验。在隐私性方面,其仅向少部分有特别功能需求的节点暴露地址分组的头部信息,对于内部节点采取隐私保护措施。文献6 基于动态异构穴余架构,在Kubernetes容器平台中提出一个拟态化的SaaS云内生安全架构,通过优化物理资源选择方法提高容器承载业务的能
15、力,并对SaaS云系统进行了拟态化改造。文献7 基于异构?余的内生安全机制对零信任安全架构进行改造。实验结果表明,该零信任安全架构对提高系统的安全性和可靠性具有一定的实用价值,且具有114NETINFOSECURITY2024年第1期理论研究较好的普适性。目前在云网络中尚未有一套完整易部署的内生安全解决方案。同时通过对云网络内生安全相关研究8-10 的介绍和分析可以发现,云平台内的大多数安全应用在多租户的网络环境下无法准确区分用户流量,无法适应动态多变的虚拟网络拓扑,说明现有云网络安全解决方案缺乏对不同租户网络流量的追溯能力。针对上述问题,本文基于内生安全的思想提出一种IPv6地址驱动的云网络
16、内生安全机制!,该安全机制框架分为地址生成层、地址验证层和地址利用层3层。地址生成层基于IPv6真实地址生成思想,设计了云网络IPv6真实地址生成方法。现有真实地址生成技术对多租户环境适应性不足12,同时解析时间随着追溯时间的增长而线性增加,溯源效率较低。本文利用密钥定时更新的特性,通过引人时间哈希值,显著提高了对地址溯源时密钥的查找速度,进而提高了溯源效率。地址验证层设计了云网络动态源地址验证方法。现有源地址验证技术13-15以源地址验证系统结构(SourceAddress Validation Architecture,SA VA)和接人网源地址验证增强技术(Source Address
17、Validation Architecture Implement,SAVI)为基础,通过构建绑定表进行源地址验证,对可疑主机的定位不够准确,导致下发大量无用表项,造成流表资源的不必要浪费16-18。文献15在软件定义网络中实现了SAVI方案,并提出了SDN-SAVI方案,但该方案是静态部署的,缺少对实际网络状态的考虑。文献17 基于SDN-SAVI提出一种软件定义网络下的动态源地址验证方法DSAVI,该方法通过随机挑选主机轮询和网络流量指标分析的方法确定异常主机位置,减少了交换机中无用表项的下发,进而提高交换机的转发性能,但对异常主机的检测不及时、不准确。针对以上问题,本文对不同状态主机进行
18、细化处理,进一步控制流表规模,同时利用云网络内生安全机制提高安全性。地址利用层通过地址生成层和地址验证层中实现的安全机制对整个云网络提供统一安全管控服务,为整个网络的路由转发提供安全保障。地址利用层可以在后续工作中进行拓展,提供更多的安全服务,增强系统安全性。2云网络动态源地址验证方法2.1云网络动态源地址验证方法设计云网络动态源地址验证方法(CloudNetworkDynamicSAVI,C D SA VI)部署在SDN控制器中,如图1所示,主要包含信息采集模块、端口状态检测模块、端口状态维护模块及流表项部署模块。路由模块CDSAVI模块信息采集端口状态端口状态流表项部署拓扑模块模块检测模块
19、维护模块H模块控制平面数据包服务安全平Packet_i面数据平面信息采集模块包含4个线程池,通过定时任务对正常端口、待观察端口和恶意端口采集不同的统计信息。端口状态检测模块是CDSAVI的核心模块,负责流量特征熵值分析、异常状态检测及丢包阈值分析。端口状态维护模块负责维护二阶端口状态集合的变化,该状态集合是CDSAVI进行信息采集、流表下发等操作的核心依据。考虑到系统的健壮性,本文单独使用一个模块对该集合进行管理。流表项部署模块负责向边缘交换机下发过滤表项,或者向边缘交换机下发指令删除流表项。端口状态集合维护模块和过滤表项动态部署模块各包含一个线程,其中,端口状态集合维护模块负责与检测模块进行
20、交互,对端口状态进行更流服务Flow_modFlow_stats_request交换机1交换机2交换机31图1CDSAVI部署流表服务Flow_stats_replyFlow_removedTable_stats_requestTable_stats_reply交换机115NETINFOSECURITY理论研究2024年第1期新和读取,过滤表项动态部署模块负责对不同状态集合下的端口下发或者移除源地址验证流表项。CDSAVI将云网络中的虚拟化网络端口状态划分为正常端口、待观察端口和异常端口3类状态集合,针对不同状态集合的端口采取不同的处理方式。1)正常端口集合与待观察端口集合转换伪造源地址行为产
21、生的攻击通常随着流量持续激增19,因此正常端口集合至待观察端口的转换依靠流量特征的熵值进行判断。2)待观察端口集合至异常端口集合转换依据流量特征熵值进行判断依然存在一些误判,因此需要进一步进行验证。使用机器学习模型可以对待观察集合中的交换机端口的流量统计数据信息进行细粒度分析,从而更加准确地定位具有恶意行为的端口,进而更加精准地下发过滤流表项。3)异常端口集合至待观察端口集合转换异常状态集合中的端口均已被下发过滤表项,因此可以依据过滤表项中的验证规则和通配规则计算端口丢包率,判断端口是否可以被转人待观察集合。丢包率如公式(1)所示,将验证规则匹配成功的数据包数记为NormalPackets,将
22、通配规则匹配成功的数据包数记为DropPackets。DropPacketsRatio=DropPacketsDropPackets+NormalPackets4)正常端口集合至异常端口集合转换为了增强CDSAVI的安全性,通过历史评分进行异常端口的辅助选取。端口i的历史评分如公式(2)所示,记异常状态出现次数为Abnormal,待观察状态出现次数为Observe,正常状态出现次数为Normal,人流量为Windowln,出流量为WindowOut,其中,、为比例系数。历史评分由端口历史状态评分和出人端口失衡状态评分两部分组成。通过和可以动态配置状态转移的粒度以适应不同的网络环境。在服务密集的
23、环境中,出流量在正常情况下也可能远大于入端口流量,此时可以将值调大以降低误报,而在对外提供服务较少的云网络可以调大值,提高CDSAVI对大流量的灵敏度。Abnormal+Observei +Score;=Normal,WindowoutiWindowln2.2多粒度异常端口检测方法当云网络中发生伪造源地址的恶意行为或者出现不正常的大象流时,流特征的分布将发生显著变化,因此理论上可以根据对流量特征熵值的判断进行粗粒度检测,进而将流量特征熵值超过阈值的端口加人待观察集合进行进一步细粒度检测,在保障安全性的同时降低系统信息采集和异常检测的开销。BEHAL20等人根据已有的香农熵提出一种信息理论度量方
24、式-熵,适用于更加精确地量化流量特征的变化,如公式(3)所示,其中,p,表示事件X出现的概率,参数用来调节度量事件频率的敏感度。当0 p0.5时,H,(x)随递减;当0.5 p1时,H,(x)随递增。选取源地址(sIP)和目的地址(dIP)作为流量特征,其变化分别对应以上两种情况。记一个时间窗口内共采集到n个不同的源地址,将每个源地址sIP,出现的次数记为xi,则可以得到源地址出现次数集合X=x,x,,x ,根据一个时间窗口内各源地址出现的次数,可以得到(1)X的概率分布P=p,Pa,,p.),将P带入公式(3),可以得到源地址熵值H。(x)。目的地址熵值的计算方式与源地址类似,不再赘述。1H
25、,(X)=(2 p inh(p lg:p)sinhp(为了进一步确定需要持续进行源地址验证的主机,以各类交换机端口统计数据信息为基础,基于流量特征值的粗粒度检测分类结果,使用基于稀疏自编码(Sparse Auto Ecoder,SA E)2 1和随机森林(RandomForest,RF)2 2 的异常状态检测算法进行检测。选择InSDN数据集2 3中推荐的特征进行初步计算,包括6个大类共48 个特征。由于选取的特征维度较高,如果直接将所有特征输入分类模型进行分类会导致训练时(2)(3)116NETINFOSECURITY2024年第1期理论研究间过长,同时影响模型的学习效果。为了提高模型的整体
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IPv6 地址 驱动 网络 安全 机制 研究
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。