系統識別號 | U0002-0507201802200600 |
---|---|
DOI | 10.6846/TKU.2018.00158 |
論文名稱(中文) | 運用SDN強化入侵防護安全機制 |
論文名稱(英文) | Employing software-defined Network to strengthen the intrusion prevention security mechanism |
第三語言論文名稱 | |
校院名稱 | 淡江大學 |
系所名稱(中文) | 資訊管理學系碩士班 |
系所名稱(英文) | Department of Information Management |
外國學位學校名稱 | |
外國學位學院名稱 | |
外國學位研究所名稱 | |
學年度 | 106 |
學期 | 2 |
出版年 | 107 |
研究生(中文) | 鄭幸茹 |
研究生(英文) | Sing-Ru Jheng |
學號 | 604630664 |
學位類別 | 碩士 |
語言別 | 繁體中文 |
第二語言別 | |
口試日期 | 2018-06-02 |
論文頁數 | 48頁 |
口試委員 |
指導教授
-
梁德昭
委員 - 梁德昭 委員 - 蕭漢威 委員 - 周清江 |
關鍵字(中) |
軟體定義網路 OpenFlow 入侵偵測系統 Mininet OpenDaylight |
關鍵字(英) |
SDN OpenFlow IDS Mininet OpenDaylight |
第三語言關鍵字 | |
學科別分類 | |
中文摘要 |
現代人的生活已離不開網路,因此,網路的安全性也漸漸的受到大家的重視。如何能更有效的防範有心人的惡意攻擊,減少網路攻擊帶來的損失,是許多人一直努力想解決的問題。傳統網路仰賴入侵偵測系統來檢測是否有惡意攻擊,然而入侵偵測系統卻無法很完善的阻擋這些惡意人士造成的網路攻擊。 為了改善傳統網路無法有效率抵禦惡意攻擊的缺點,本文嘗試運用軟體定義網路(SDN)結合入侵偵測系統的警告機制,透過集中管理交換機,結合流表 (Flow Table) 的設定,達到過濾並阻擋封包的效果,強化傳統阻擋入侵的安全機制,也能有效的減少頻寬消耗,維護整體網路的安全性。 |
英文摘要 |
Modern life cannot be separated from the Internet,as a result, the security of the Internet has gradually become more and more important to everyone. How to more effectively prevent malicious attacks from malicious people and reduce the losses caused by cyber attacks is a problem that many people have been trying hard to solve. Traditional networks rely on intrusion detection systems to detect malicious attacks. However, intrusion detection systems cannot adequately block the network attacks caused by these malicious individuals. In order to improve the shortcomings of traditional networks that cannot be effective against malicious attacks. This article attempts to use software-defined networking (SDN) to incorporate the alert mechanism of intrusion detection systems. Through the centralized management of switches, combined with the setting of the Flow Table, to filter and block packets, strengthening traditional security mechanisms that block intrusions can also effectively reduce bandwidth consumption and maintain overall network security. |
第三語言摘要 | |
論文目次 |
目錄 ========================================= 第一章 緒論 1 1.1 研究背景與動機 1 1.2 論文架構 2 第二章 相關背景與技術 3 2.1 入侵偵測系統 6 2.1.1 網路式入侵偵測系統 (NIDS) 7 2.1.2 主機型入侵偵測系統 (HIDS) 8 2.1.3 網路型入侵偵測系統與主機型入侵偵測系統比較 9 2.2 軟體定義網路(SDN) 11 2.2.1 SDN的定義 11 2.2.2 SDN 架構 11 2.2.3 SDN 與傳統網路的比較 14 2.2.4 SDN Controller – OpenDaylight 15 2.3 OpenFlow 18 2.3.1 Flow Table的比對過程 19 第三章 實驗架構與方法 24 第四章 實驗結果 31 4.1 實作電腦系統規格 31 4.2 系統架設及操作 31 第五章 結論 45 參考文獻 47 圖目錄 ========================================= 圖 2-1:傳統網路架構 3 圖 2-2:入侵偵測系統的空窗期 4 圖 2-3:內部網路攻擊 5 圖 2-4:網路型入侵偵測系統部署位置 7 圖 2-5:主機型入侵偵測系統佈署位置 8 圖 2-6:即時入侵偵測功能的原理 9 圖 2-7:SDN 架構[6] 12 圖 2-8:SWITCH控制層與資料層在傳統網路與SDN中的對比 14 圖 2-9:OPENDAYLIGHT 對應 SDN 層級(控制平台)架構[1] 15 圖 2-10:OPENFLOW SWITCH架構[2] 18 圖 2-11:FLOW TABLE的比對過程[4] 20 圖 3-1:本研究實驗架構 24 圖 3-2:資料庫觸發SDN APPLICATION系統流程 27 圖 3-3:受攻擊後流程 30 圖 3-4:網管事後查看及管理 30 圖 4-1:OPENDAYLIGHT 的執行 32 圖 4-2:自建拓撲 33 圖 4-3:測試未阻擋前拓撲 34 圖 4-4:拓撲圖 34 圖 4-5:系統日誌資料庫 35 圖 4-6:MYSQL TRIGGER 36 圖 4-7:程式新增FLOW ENTRY 指令 37 圖 4-8:流表查詢 37 圖 4-9:成功阻擋測試 38 表目錄 ========================================= 表 2-1:網路型入侵偵測系統與主機型入侵偵測系統比較 10 表 2-2:北向介面 APIS 17 表 2-3:FLOW TABLE 20 表 2-4:ACTIONS [5] 22 表 4-1:網路型入侵偵測系統與本文架構比較 40 表 4-2:主機型入侵偵測系統與本文架構比較 42 表 4-3:未安裝入侵偵測主機與本文架構比較 43 |
參考文獻 |
[1]OpenDaylight https://www.opendaylight.org/ [2]OpenFlow principle http://www.xinguard.com/content.aspx?id=15 [3]OpenFlow Definition http://yuba.stanford.edu/cs244wiki/index.php/Overview [4]OpenFlow Comparison mechanism http://www.netadmin.com.tw/article_content.aspx?sn=1610070003&jump=1 [5]Open Networking Foundation OpenFlow Switch Specification , Version 1.3.1 (Wire Protocol 0x04) September 6, 2012 https://www.opennetworking.org/wp-content/uploads/2013/04/openflow-spec-v1.3.1.pdf [6]SDN Definition http://www.cc.ntu.edu.tw/chinese/epaper/0029/20140620_2908.html [7]SDN Definition https://www.opennetworking.org/sdnresources/sdn-definition [8]SDN Definition https://www.opendaylight.org/what-we-do/what-is-sdn [9]納多(Thomas D. Nadeau), Ken Gray原著 ; 畢軍等譯 (2015)。SDN : 軟體定義網路。臺北市 : 碁峰。 [10]張衛峰著 ; 狄宇昌譯 (2014)。深度解析SDN : 利益 戰略 技術 實踐。臺北市 : 碁峰。 [11]N. McKeown, T. Anderson, H. Balakrishnan, G. Parulkar, L. Peterson, J.Rexford, et al., "OpenFlow : enabling innovation in campus networks," ACM SIGCOMM Computer Communication Review, pp. 69-74, 2008. [12]黃翊宸, 民 103, 運用軟體定義網路消弭網路攻擊初期災害, 淡江大學資訊管理學系碩士論文 [13]邱文中 , 民 105, 利用軟體定義網路(SDN)搭配資訊案全監控中心(SOC)自動化阻擋惡意活動, 淡江大學資訊管理學系碩士論文 |
論文全文使用權限 |
如有問題,歡迎洽詢!
圖書館數位資訊組 (02)2621-5656 轉 2487 或 來信