淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-0507201802200600
中文論文名稱 運用SDN強化入侵防護安全機制
英文論文名稱 Employing software-defined Network to strengthen the intrusion prevention security mechanism
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士班
系所名稱(英) Department of Information Management
學年度 106
學期 2
出版年 107
研究生中文姓名 鄭幸茹
研究生英文姓名 Sing-Ru Jheng
學號 604630664
學位類別 碩士
語文別 中文
口試日期 2018-06-02
論文頁數 48頁
口試委員 指導教授-梁德昭
委員-梁德昭
委員-蕭漢威
委員-周清江
中文關鍵字 軟體定義網路  OpenFlow  入侵偵測系統  Mininet  OpenDaylight 
英文關鍵字 SDN  OpenFlow  IDS  Mininet  OpenDaylight 
學科別分類
中文摘要 現代人的生活已離不開網路,因此,網路的安全性也漸漸的受到大家的重視。如何能更有效的防範有心人的惡意攻擊,減少網路攻擊帶來的損失,是許多人一直努力想解決的問題。傳統網路仰賴入侵偵測系統來檢測是否有惡意攻擊,然而入侵偵測系統卻無法很完善的阻擋這些惡意人士造成的網路攻擊。
為了改善傳統網路無法有效率抵禦惡意攻擊的缺點,本文嘗試運用軟體定義網路(SDN)結合入侵偵測系統的警告機制,透過集中管理交換機,結合流表 (Flow Table) 的設定,達到過濾並阻擋封包的效果,強化傳統阻擋入侵的安全機制,也能有效的減少頻寬消耗,維護整體網路的安全性。
英文摘要 Modern life cannot be separated from the Internet,as a result, the security of the Internet has gradually become more and more important to everyone. How to more effectively prevent malicious attacks from malicious people and reduce the losses caused by cyber attacks is a problem that many people have been trying hard to solve. Traditional networks rely on intrusion detection systems to detect malicious attacks. However, intrusion detection systems cannot adequately block the network attacks caused by these malicious individuals.
In order to improve the shortcomings of traditional networks that cannot be effective against malicious attacks. This article attempts to use software-defined networking (SDN) to incorporate the alert mechanism of intrusion detection systems. Through the centralized management of switches, combined with the setting of the Flow Table, to filter and block packets, strengthening traditional security mechanisms that block intrusions can also effectively reduce bandwidth consumption and maintain overall network security.
論文目次 目錄
=========================================
第一章 緒論 1
1.1 研究背景與動機 1
1.2 論文架構 2
第二章 相關背景與技術 3
2.1 入侵偵測系統 6
2.1.1 網路式入侵偵測系統 (NIDS) 7
2.1.2 主機型入侵偵測系統 (HIDS) 8
2.1.3 網路型入侵偵測系統與主機型入侵偵測系統比較 9
2.2 軟體定義網路(SDN) 11
2.2.1 SDN的定義 11
2.2.2 SDN 架構 11
2.2.3 SDN 與傳統網路的比較 14
2.2.4 SDN Controller – OpenDaylight 15
2.3 OpenFlow 18
2.3.1 Flow Table的比對過程 19
第三章 實驗架構與方法 24
第四章 實驗結果 31
4.1 實作電腦系統規格 31
4.2 系統架設及操作 31
第五章 結論 45
參考文獻 47

圖目錄
=========================================
圖 2-1:傳統網路架構 3
圖 2-2:入侵偵測系統的空窗期 4
圖 2-3:內部網路攻擊 5
圖 2-4:網路型入侵偵測系統部署位置 7
圖 2-5:主機型入侵偵測系統佈署位置 8
圖 2-6:即時入侵偵測功能的原理 9
圖 2-7:SDN 架構[6] 12
圖 2-8:SWITCH控制層與資料層在傳統網路與SDN中的對比 14
圖 2-9:OPENDAYLIGHT 對應 SDN 層級(控制平台)架構[1] 15
圖 2-10:OPENFLOW SWITCH架構[2] 18
圖 2-11:FLOW TABLE的比對過程[4] 20
圖 3-1:本研究實驗架構 24
圖 3-2:資料庫觸發SDN APPLICATION系統流程 27
圖 3-3:受攻擊後流程 30
圖 3-4:網管事後查看及管理 30
圖 4-1:OPENDAYLIGHT 的執行 32
圖 4-2:自建拓撲 33
圖 4-3:測試未阻擋前拓撲 34
圖 4-4:拓撲圖 34
圖 4-5:系統日誌資料庫 35
圖 4-6:MYSQL TRIGGER 36
圖 4-7:程式新增FLOW ENTRY 指令 37
圖 4-8:流表查詢 37
圖 4-9:成功阻擋測試 38

表目錄
=========================================
表 2-1:網路型入侵偵測系統與主機型入侵偵測系統比較 10
表 2-2:北向介面 APIS 17
表 2-3:FLOW TABLE 20
表 2-4:ACTIONS [5] 22
表 4-1:網路型入侵偵測系統與本文架構比較 40
表 4-2:主機型入侵偵測系統與本文架構比較 42
表 4-3:未安裝入侵偵測主機與本文架構比較 43
參考文獻 [1]OpenDaylight https://www.opendaylight.org/
[2]OpenFlow principle http://www.xinguard.com/content.aspx?id=15
[3]OpenFlow Definition http://yuba.stanford.edu/cs244wiki/index.php/Overview
[4]OpenFlow Comparison mechanism http://www.netadmin.com.tw/article_content.aspx?sn=1610070003&jump=1
[5]Open Networking Foundation OpenFlow Switch Specification , Version 1.3.1 (Wire Protocol 0x04) September 6, 2012
https://www.opennetworking.org/wp-content/uploads/2013/04/openflow-spec-v1.3.1.pdf
[6]SDN Definition http://www.cc.ntu.edu.tw/chinese/epaper/0029/20140620_2908.html
[7]SDN Definition https://www.opennetworking.org/sdnresources/sdn-definition
[8]SDN Definition https://www.opendaylight.org/what-we-do/what-is-sdn
[9]納多(Thomas D. Nadeau), Ken Gray原著 ; 畢軍等譯 (2015)。SDN : 軟體定義網路。臺北市 : 碁峰。
[10]張衛峰著 ; 狄宇昌譯 (2014)。深度解析SDN : 利益 戰略 技術 實踐。臺北市 : 碁峰。
[11]N. McKeown, T. Anderson, H. Balakrishnan, G. Parulkar, L. Peterson, J.Rexford, et al., "OpenFlow : enabling innovation in campus networks," ACM SIGCOMM Computer Communication Review, pp. 69-74, 2008.
[12]黃翊宸, 民 103, 運用軟體定義網路消弭網路攻擊初期災害, 淡江大學資訊管理學系碩士論文
[13]邱文中 , 民 105, 利用軟體定義網路(SDN)搭配資訊案全監控中心(SOC)自動化阻擋惡意活動, 淡江大學資訊管理學系碩士論文
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2018-07-20公開。
  • 同意授權瀏覽/列印電子全文服務,於2018-07-20起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2486 或 來信