基于可编程软件定义网络的动态网络防御方案

doi:10.11772/j.issn.1001-9081.2024010090

《计算机应用》唯一官方网站 ›› 2025, Vol. 45 ›› Issue (1): 144-152.DOI: 10.11772/j.issn.1001-9081.2024010090

基于可编程软件定义网络的动态网络防御方案

左志斌¹^,², 杨凯¹^,², 邓淼磊¹^,²(), 王德民¹^,², 马米米¹^,²

^1.河南工业大学信息科学与工程学院，郑州 450001
^2.河南省粮食信息处理国际联合实验室（河南工业大学），郑州 450001

收稿日期:2024-01-25 修回日期:2024-04-06 接受日期:2024-04-07 发布日期:2024-05-09 出版日期:2025-01-10
通讯作者: 邓淼磊
作者简介:左志斌（1979—），男，河南郑州人，讲师，博士，CCF会员，主要研究方向：软件定义网络、网络安全；
杨凯（1999—），男，山东菏泽人，硕士研究生，CCF会员，主要研究方向：软件定义网络、网络安全；
王德民（1998—），男，河南南阳人，硕士研究生，主要研究方向：软件定义网络、网络安全；
马米米（1987—），女，河南新乡人，副教授，博士，CCF会员，主要研究方向：密码学、信息安全。
基金资助:
国家自然科学基金资助项目(62276091);河南省科技攻关项目(232102210132);河南工业大学粮食信息处理中心科研平台开放基金资助项目(KFJJ-2021-104)

Dynamic network defense scheme based on programmable software defined networks

Zhibin ZUO¹^,², Kai YANG¹^,², Miaolei DENG¹^,²(), Demin WANG¹^,², Mimi MA¹^,²

^1.College of Information Science and Engineering，Henan University of Technology，Zhengzhou Henan 450001，China
^2.Henan International Joint Laboratory of Grain Information Processing （Henan University of Technology），Zhengzhou Henan 450001，China

Received:2024-01-25 Revised:2024-04-06 Accepted:2024-04-07 Online:2024-05-09 Published:2025-01-10
Contact: Miaolei DENG
About author:ZUO Zhibin，born in 1979， Ph. D.， lecturer. His research interests include software defined network， network security.
YANG Kai， born in 1999， M. S. candidate. His research interests include software defined network， network security.
WANG Demin， born in 1998， M. S. candidate. His research interests include software defined network， network security.
MA Mimi， born in 1987， Ph. D.， associate professor. Her research interests include cryptography， information security.
Supported by:
National Natural Science Foundation of China(62276091);Key Science and Technology Program of Henan Province(232102210132);Open Fund of Research Platform - Grain Information Processing Center in Henan University of Technology(KFJJ-2021-104)

摘要/Abstract

摘要：

嗅探攻击和洪泛攻击是物联网中两种常见的攻击方式：嗅探攻击隐蔽性强，旨在窃取用户数据；而洪泛攻击具有破坏性，会影响正常的网络通信和服务。攻击者可能利用嗅探攻击寻找攻击目标，然后通过洪泛攻击对目标进行攻击，这种攻击方式使IoT面临严重的安全威胁。而端信息跳变、虚假IP跳变、双IP跳变等防御手段侧重于单一类型的攻击，难以有效地应对这种攻击方式。针对IoT环境下面临的安全问题，提出一种基于可编程软件定义网络（SDN）的动态网络防御方案。在攻击侦查阶段，通过动态改变协议号和周期性跳变数据包中的四元组，可成功混淆端信息，从而有效抵御嗅探攻击。在攻击实施阶段，通过首包丢弃和源认证的方式，可成功抵御洪泛攻击，从而显著提高网络的安全性。仿真实验结果表明，与传统针对单一类型攻击的防御方案相比，该方案能在网络攻击的不同阶段有效抵御嗅探攻击和洪泛攻击，并保持了较低的通信时延和CPU负载。

关键词: 物联网, 软件定义网络, 移动目标防御, 洪泛攻击, 嗅探攻击

Abstract:

Sniffing attacks and flooding attacks are two common attack methods in the Internet of Things （IoT）： sniffing attacks have strong concealment and aim to steal user data； flooding attacks are destructive and can affect normal network communication and services. Attackers may use sniffing attacks to find their targets， and then attack them through flooding attacks， which poses a serious security threat to IoT. However， defense measures such as endpoint information hopping， false IP hopping， and dual IP hopping focus on single type attacks and are difficult to effectively respond to such attack methods. A dynamic network defense scheme based on Programmable Software Defined Network （SDN） was proposed to address the security issues faced in the IoT environment. In the attack investigation stage， by dynamically changing the protocol number and periodically jumping the quadruple in the data packet， it is possible to successfully obfuscate the endpoint information， thereby effectively resisting sniffing attacks. During the attack implementation phase， by using first packet dropout and source authentication， it is possible to successfully resist flooding attacks and significantly improve network security. The simulation experiment results show that compared with traditional defense schemes against single type attacks， this scheme can effectively resist sniffing attacks and flooding attacks at different stages of network attacks， while maintaining lower communication latency and CPU load.

Key words: Internet of Things (IoT), Software Defined Network (SDN), Moving Target Defense (MTD), flooding attack, sniffing attack

中图分类号:

TP309

左志斌, 杨凯, 邓淼磊, 王德民, 马米米. 基于可编程软件定义网络的动态网络防御方案[J]. 计算机应用, 2025, 45(1): 144-152.

Zhibin ZUO, Kai YANG, Miaolei DENG, Demin WANG, Mimi MA. Dynamic network defense scheme based on programmable software defined networks[J]. Journal of Computer Applications, 2025, 45(1): 144-152.

图/表 13

参考文献 29

1	ZHONG A， LI Z， WU D， et al. Stochastic peak age of information guarantee for cooperative sensing in internet of everything ［J］. IEEE Internet of Things Journal， 2023， 10 （17）： 15186-15196.
2	张子扬，赵军辉，马小婷. 面向5G蜂窝物联网的大规模设备接入算法［J］. 应用科学学报， 2023， 41 （4）： 626-635.
	ZHANG Z Y， ZHAO J H， MA X T. Large-scale device access algorithm for 5G cellular internet of things ［J］. Journal of Applied Sciences， 2023， 41 （4）： 626-635.
3	KOVVALI R S K， SUNDARAM G. CETS： enabling sustainable IoT with cooperative energy transfer schedule towards 6G era ［J］. Sensors， 2022， 22 （17）： No.6584.
4	朱元. 网络空间安全是国家安全的坚强屏障［J］. 信息安全研究， 2020， 6 （11）： 1055-1056.
	ZHU Y. The cyber security is the strong barrier of the national security ［J］. Journal of Information Security Research， 2020， 6 （11）： 1055-1056.
5	PAGNOTTA G， DE GASPARI FA， HITAJI D， et al. DOLOS： a novel architecture for moving target defense ［J］. IEEE Transactions on Information Forensics and Security， 2023， 18： 5890-5905.
6	SENGUPTA S， CHOWDHARY A， SABUR A， et al. A survey of moving target defenses for network security ［J］. IEEE Communications Surveys and Tutorials， 2020， 22 （3）： 1909-1941.
7	JALOWSKI Ł， ZMUDA M， RAWSKI M. A survey on moving target defense for networks： a practical view ［J］. Electronics， 2022， 11 （18）： No.2886.
8	NAVAS R E， CUPPENS F， CUPPENS N B， et al. MTD， where art thou？ a systematic review of moving target defense techniques for IoT ［J］. IEEE Internet of Things Journal， 2021， 8 （10）： 7818-7832.
9	YUREKTEN O， DEMIRCI M. SDN-based cyber defense： a survey ［J］. Future Generation Computer Systems， 2021， 115： 126-149.
10	DEB R， ROY S. A comprehensive survey of vulnerability and information security in SDN ［J］. Computer Networks， 2022， 206： No.108802.
11	MALEH Y， QASMAOUI Y， El GHOLAMI K， et al. A comprehensive survey on SDN security： threats， mitigations， and future directions ［J］. Journal of Reliable Intelligent Environments， 2023， 9： 201-239.
12	AHMAD S， MIR A H. Scalability， consistency， reliability and security in SDN controllers： a survey of diverse SDN controllers ［J］. Journal of Network and Systems Management， 2021， 29： No.9.
13	BOSSHART P， DALY D， GIBB G， et al. P4： programming protocol-independent packet processors ［J］. ACM SIGCOMM Computer Communication Review， 2014， 44 （3）： 87-95.
14	LIATIFIS A， SARIGIANNIDIS P， ARGYRIOU V， et al. Advancing SDN from OpenFlow to P4： a survey ［J］. ACM Computing Surveys， 2023， 55 （9）： No.186.
15	SHARMA D P， KIM D S， YOON S， et al. FRVM： flexible random virtual IP multiplexing in software-defined networks ［C］// Proceedings of the 17th IEEE International Conference on Trust， Security and Privacy in Computing and Communications/ 12th IEEE International Conference on Big Data Science and Engineering. Piscataway： IEEE， 2018： 579-587.
16	GUDLA C， SUNG A H. Moving target defense discrete host address mutation and analysis in SDN ［C］// Proceedings of the 2020 International Conference on Computational Science and Computational Intelligence. Piscataway： IEEE， 2020： 55-61.
17	WANG P， ZHOU M， DING Z. A two-layer IP hopping-based moving target defense approach to enhancing the security of mobile ad-hoc networks ［J］. Sensors， 2021， 21 （7）： No.2355.
18	李朝阳，谭晶磊，胡瑞钦，等. 基于双重地址跳变的移动目标防御方法［J］. 信息网络安全， 2021， 21 （2）： 24-33.
	LI Z Y， TAN J L， HU R Q， et al. Moving target defense method based on double address hopping ［J］. Netinfo Security， 2021， 21 （2）： 24-33.
19	胡瑞钦，谭晶磊，彭心荷，等. 面向SDN数据层的双虚假IP地址动态跳变技术［J］. 信息网络安全， 2022， 22 （2）： 76-85.
	HU R Q， TAN J L， PENG X H， et al. Dynamic hopping technology of double virtual IP address for SDN data layer ［J］. Netinfo Security， 2022， 22 （2）： 76-85.
20	BANDI N， TAJBAKHSH H， ANALOUI M. FastMove： fast IP switching moving target defense to mitigate DDOS attacks ［C］// Proceedings of the 2021 IEEE Conference on Dependable and Secure Computing. Piscataway： IEEE， 2021： 1-7.
21	ZHOU Y， CHENG G， YU S. An SDN-enabled proactive defense framework for DDoS mitigation in IoT networks ［J］. IEEE Transactions on Information Forensics and Security， 2021， 16： 5366-5380.
22	HE G， SI Y， XIAO X， et al. Preventing IoT DDoS attacks using blockchain and IP address obfuscation ［C］// Proceedings of the 13th International Conference on Wireless Communications and Signal Processing. Piscataway： IEEE， 2021： 1-5.
23	WANG Y C， WANG Y C. Efficient and low-cost defense against distributed denial-of-service attacks in SDN-based networks ［J］. International Journal of Communication Systems， 2020， 33 （14）： No.e4461.
24	DANG F F， WU K， LI S， et al. Dynamic moving target defense strategy based on adaptive port hopping in SDN ［C］// Proceedings of the 2023 International Conference on Computer Network Security and Software Engineering Bellingham. WA： SPIE， 2023： No.127141V.
25	XU X， HU H， LIU Y， et al. Moving target defense of routing randomization with deep reinforcement learning against eavesdropping attack ［J］. Digital Communications and Networks， 2022， 8 （3）： 373-387.
26	ZHANG T， XU C， SHEN J， et al. How to disturb network reconnaissance： a moving target defense approach based on deep reinforcement learning ［J］. IEEE Transactions on Information Forensics and Security， 2023， 18： 5735-5748.
27	YOON S， CHO J H， KIM D S， et al. DESOLATER： deep reinforcement learning-based resource allocation and moving target defense deployment framework ［J］. IEEE Access， 2021， 9： 70700-70714.
28	YUNGAICELA-NAULA N M， VARGAS-ROSALES C， PÉREZ-DÍAZ J A. SDN/NFV-based framework for autonomous defense against slow-rate DDoS attacks by using reinforcement learning ［J］. Future Generations Computer Systems， 2023， 149： 637-649.
29	DE MAESSCHALCK S， COLLE D， LIEVENS I， et al. Pan-European optical transport： networks： an availability based comparison ［J］. Photonic Network Communications， 2003， 5 （3）： 203-225.

防御方案	嗅探的端信息
无IP端信息跳变	（10.0.0.1，10.0.0.8，42980，5001，6）（10.0.0.8，10.0.0.1，5001，42980，6）
DAH方案	（10.0.0.62，10.0.0.74，42980，5001，6）（10.0.0.74，10.0.0.62，5001，42980，6）
双虚假IP地址跳变方案	（10.0.0.224，10.0.0.140，42980，5001，6）（10.0.0.126，10.0.0.334，5001，42980，6）
动态网络防御方案	（10.0.0.15，10.0.26，1045，2036，17）（10.0.0.26，10.0.0.15，2036，1045，17）

防御方案	嗅探的端信息
无IP端信息跳变	（10.0.0.1，10.0.0.8，42980，5001，6）（10.0.0.8，10.0.0.1，5001，42980，6）
DAH方案	（10.0.0.62，10.0.0.74，42980，5001，6）（10.0.0.74，10.0.0.62，5001，42980，6）
双虚假IP地址跳变方案	（10.0.0.224，10.0.0.140，42980，5001，6）（10.0.0.126，10.0.0.334，5001，42980，6）
动态网络防御方案	（10.0.0.15，10.0.26，1045，2036，17）（10.0.0.26，10.0.0.15，2036，1045，17）

防御方案	特点
无IP端信息跳变	不会带来额外的控制和处理开销，数据转发时延低。网络中的通信数据真实，容易被攻击者利用分析
DAH方案	对IP地址进行跳变，源IP地址和目的IP地址以虚假的方式呈现，从而对攻击者进行欺骗。该方案只是针对IP地址进行跳变，跳变的地址范围和数据包的混淆程度有限
双虚假IP地址跳变方案	在DAH方案上做了进一步的改进。每个终端设备都拥有两个虚假IP地址，一个作为发送方使用，另外一个作为接收方使用，从而进一步提高了链路中数据包的混淆程度。该方案中数据包的端口信息和协议信息都是真实的，容易被攻击者利用分析，从而对网络的安全造成影响
动态网络防御方案	将IP地址、端口号、协议号一同跳变，实现多维协同跳变，扩大了跳变的地址范围，增加了跳变的复杂性和不可预测性，使攻击者难以获取网络中真实通信数据，进一步提高了网络的安全性

防御方案	特点
无IP端信息跳变	不会带来额外的控制和处理开销，数据转发时延低。网络中的通信数据真实，容易被攻击者利用分析
DAH方案	对IP地址进行跳变，源IP地址和目的IP地址以虚假的方式呈现，从而对攻击者进行欺骗。该方案只是针对IP地址进行跳变，跳变的地址范围和数据包的混淆程度有限
双虚假IP地址跳变方案	在DAH方案上做了进一步的改进。每个终端设备都拥有两个虚假IP地址，一个作为发送方使用，另外一个作为接收方使用，从而进一步提高了链路中数据包的混淆程度。该方案中数据包的端口信息和协议信息都是真实的，容易被攻击者利用分析，从而对网络的安全造成影响
动态网络防御方案	将IP地址、端口号、协议号一同跳变，实现多维协同跳变，扩大了跳变的地址范围，增加了跳变的复杂性和不可预测性，使攻击者难以获取网络中真实通信数据，进一步提高了网络的安全性

[1]	程子栋, 李鹏, 朱枫. 物联网威胁情报知识图谱中潜在关系的挖掘[J]. 《计算机应用》唯一官方网站, 2025, 45(1): 24-31.
[2]	陈姿芊, 牛科迪, 姚中原, 斯雪明. 适用于物联网的区块链轻量化技术综述[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3688-3698.
[3]	牛科迪, 李敏, 姚中原, 斯雪明. 面向物联网的区块链共识算法综述[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3678-3687.
[4]	万义程, 杨光祥, 张庆达, 甘晨阳, 易林. 非坚持型载波监听多路访问机制对LoRa网络扩展性的影响[J]. 《计算机应用》唯一官方网站, 2023, 43(9): 2885-2896.
[5]	葛晨洋, 刘勤让, 裴雪, 魏帅, 朱正彬. 软件定义网络中高效协同防御分布式拒绝服务攻击的方案[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2477-2485.
[6]	门瑞, 樊书嘉, 阿喜达, 杜邵昱, 樊秀梅. 物联网中结合计算卸载和区块链的综述[J]. 《计算机应用》唯一官方网站, 2023, 43(10): 3008-3016.
[7]	孙源, 沈文建, 倪朋勃, 毛敏, 谢雅琪, 徐朝农. 实时工业物联网的功率域非正交多址接入基站选址算法[J]. 《计算机应用》唯一官方网站, 2023, 43(1): 209-214.
[8]	毕文婷, 林海涛, 张立群. 基于多阶段演化信号博弈模型的移动目标防御决策算法[J]. 《计算机应用》唯一官方网站, 2022, 42(9): 2780-2787.
[9]	王旭, 申玉民, 熊晓芸, 李鹏, 王金龙. 基于哈希图的建筑物联网数据管理方法[J]. 《计算机应用》唯一官方网站, 2022, 42(8): 2471-2480.
[10]	张杰, 许姗姗, 袁凌云. 基于区块链与边缘计算的物联网访问控制模型[J]. 《计算机应用》唯一官方网站, 2022, 42(7): 2104-2111.
[11]	董宁, 程晓荣, 张铭泉. 基于物联网平台的动态权重损失函数入侵检测系统[J]. 《计算机应用》唯一官方网站, 2022, 42(7): 2118-2124.
[12]	罗鸿秋, 胡圣波. 面向物联网的近地轨道超大规模卫星星座数据命名机制[J]. 《计算机应用》唯一官方网站, 2022, 42(7): 2146-2154.
[13]	刘晶, 董志红, 张喆语, 孙志刚, 季海鹏. 基于联邦增量学习的工业物联网数据共享方法[J]. 《计算机应用》唯一官方网站, 2022, 42(4): 1235-1243.
[14]	刘向举, 路小宝, 方贤进, 尚林松. 软件定义网络环境下的低速率拒绝服务攻击检测方法[J]. 《计算机应用》唯一官方网站, 2022, 42(4): 1301-1307.
[15]	郑鑫, 李素月, 王安红, 李美玲, MUHAIDAT Sami, 宁爱平. 协作多输入多输出环境反向散射通信系统遍历速率分析[J]. 《计算机应用》唯一官方网站, 2022, 42(3): 974-979.

基于可编程软件定义网络的动态网络防御方案

Dynamic network defense scheme based on programmable software defined networks

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 13

参考文献 29

相关文章 15

编辑推荐

Metrics