一种数据驱动的SECaaS的设计与实现

发布时间：2025-06-28 06:24

　　随着网络安全事件爆发愈发频繁,IaaS用户在其基础资源得到满足的同时,也期望云服务商可以提供监控、检测和响应等安全服务,有利于运维人员进行更合适的安全管理配置,同时也为云服务商带来了新的商机。本文主要利用SD N技术解决传统网络中的安全问题,基于OpenVSwitch交换机实现数据包级别和流量级别的检测,并实现了攻击源定位和响应机制。本文的主要内容如下:(1)分析了云服务使用者所面临的安全威胁。对安全威胁进行分类,并分析了端口扫描攻击和Flooding攻击的特征,对相应的解决措施进行讨论,进而提出了本文中安全即服务需求。(2)提出一种数据驱动的适用于SDN的安全威胁检测和防御机制。基于决策树和其他数据驱动的机器学习方法实现了数据包级别和流量级别检测,并给出决策树转换和流规则部署算法以及其工作机制的具体流程,最后基于原始数据包数据训练机器学习模型。(3)提出了基于本文检测机制的攻击源端口定位方法和攻击响应策略,设计并实现了系统原型。由于决策树数据结构易于扩充,配合SDN转发控制分离的特性可以实现攻击源端口定位和动态的响应策略。同时本文设计了安全服务配置API供用户调用,最终基于OpenVS...

【文章页数】：74 页

【学位级别】：硕士

【部分图文】：

图4.5转换后流规则Table-Miss分支

H110.0.0.1H210.0.0.2H310.0.0.3H410.0.0.4图4.4功能测试拓扑图Figure4.4Thetopodiagramforfunctionaltesting网络中S1S2和S3交换机连接成树形结构，S2连接主机H1....

图4.6下发流规则前后端口扫描攻击对比图

一种数据驱动的SECaaS的设计与实现攻击的有效性验证，在部署流规则前后，利用nmap工具分别对结果对比如图4.6所示在下发流规则前，H1通过端口扫描可息，进而推测出其上运行的各类服务，对攻击者来说有利于根进行入侵攻击等但是在下发流规则后，由于攻击者所发送的te....

本文编号：4054562