基于SDN技术的恶意网站防护(3)
为此,本课题针对在SDN网络环境下的特定背景,从传统的恶意网站攻击方式出发,基于Mininet的仿真环境,在Floodlight控制器上设计并实现了一个恶意网站防护模块,完成了对于网络节点中的危险的DNS解析请求的拦截。
1.2 国内外研究现状
1.3 研究内容
DNS请求是用户访问一个未知网站的第一步,所以研究用户在SDN网络环境中如何对恶意网站进行防护意义重大,其价值主要体现在以下几个方面:
(1)从根本上杜绝了用户访问恶意网站的可能性。控制器对网络中所有主机节点的DNS请求都进行审查,如果发现请求的域名是已确认的恶意域名则对该DNS请求实行拦截并返回一个备份的站点提醒用户正访问一个危险网站。
(2)探索了在软件定义网络中的安全应用的可编程性,将新的环境与老的问题相结合,提出了新的解决方案。
(3)减少了用户主机节点和网络防火墙节点的计算压力。传统的网络安全防护手段往往是在用户主机节点上安装防火墙或是设立网络防火墙节点,网络防火墙会使得防火墙节点计算压力巨大,用户主机防火墙又占用主机的计算资源。而SDN网络环境中的控制器节点很好的解决了这一问题,各个小网络可以通过多个控制器节点来进行控制,分散了网络防火墙的压力,并不会对主机节点造成很大的开销。
因此,本论文是基于软件定义网络的新环境,从控制器的消息处理机制入手,通过分析传统网络中对于恶意网站的防护需求,设计并实现了基于SDN技术的恶意网站控制器防护模块。
综上,本文的主要研究内容如下:
(1)分析并研究了当前传统的网络环境中对于恶意网站的防护手段以及SDN网络中对于流量的控制方式,对所涉及的相关技术以及功能要求进行了归纳分析,提出了恶意网站防护模块的功能需求;
(2)在对所提出的功能需求进行了分析的基础上,设计并实现了一个基于SDN技术的恶意网站防护模块,在Mininet仿真环境和Floodlight控制器中实现了对于DNS报文的分析和解封包处理,对于恶意域名访问流量的拦截和导引;
(3)对所实现的恶意网站防护模块进行了实验验证,实验结果表明模块在不妨碍用户正常访问的基础上,实现了对于DNS报文的分析和处理,提高了用户网络安全性。
1.4 组织结构
本论文是以软件定义网络的新环境为基础,从控制器的消息处理机制入手,通过分析传统网络中对于恶意网站的防护需求,设计并实现了基于SDN技术的恶意网站控制器防护模块。
第一章,绪论,介绍了本文的应用背景,研究目的与意义,论文的研究内容,并对本文的组织结构进行了综合描述。
第二章,SDN定义和环境配置,本章主要介绍了SDN概念及开发工具与环境的配置过程。首先介绍了SDN网络的定义和特性,从Mininet的配置开始介绍了网络仿真环境,最后介绍了所使用的控制器Floodlight及其主要模块功能。结合本文研究的重点,主要说明了Floodlight模块的消息处理机制和模块关系。
第三章,恶意网站防护模块,本章主要阐述了模块的需求分析,介绍了模块的设计,包括消息处理流程、网络环境架构以及关键代码等。
第四章,系统运行与测试,本章主要对恶意网站防护模块进行了功能验证,对模块进行测试和运行,并展示成果。
第五章,存在的问题和下一步工作,本章主要对所做的研究工作加以总结,提出研究中的不足,并针对研究中的问题进行思考,制定下一步工作,明确未来的工作方向。