Dynamic network defense scheme based on programmable software defined networks

doi:10.11772/j.issn.1001-9081.2024010090

Journal of Computer Applications ›› 2025, Vol. 45 ›› Issue (1): 144-152.DOI: 10.11772/j.issn.1001-9081.2024010090

• Cyber security • Previous Articles Next Articles

Dynamic network defense scheme based on programmable software defined networks

Zhibin ZUO¹^,², Kai YANG¹^,², Miaolei DENG¹^,²(), Demin WANG¹^,², Mimi MA¹^,²

^1.College of Information Science and Engineering，Henan University of Technology，Zhengzhou Henan 450001，China
^2.Henan International Joint Laboratory of Grain Information Processing （Henan University of Technology），Zhengzhou Henan 450001，China

Received:2024-01-25 Revised:2024-04-06 Accepted:2024-04-07 Online:2024-05-09 Published:2025-01-10
Contact: Miaolei DENG
About author:ZUO Zhibin，born in 1979， Ph. D.， lecturer. His research interests include software defined network， network security.
YANG Kai， born in 1999， M. S. candidate. His research interests include software defined network， network security.
WANG Demin， born in 1998， M. S. candidate. His research interests include software defined network， network security.
MA Mimi， born in 1987， Ph. D.， associate professor. Her research interests include cryptography， information security.
Supported by:
National Natural Science Foundation of China(62276091);Key Science and Technology Program of Henan Province(232102210132);Open Fund of Research Platform - Grain Information Processing Center in Henan University of Technology(KFJJ-2021-104)

基于可编程软件定义网络的动态网络防御方案

左志斌¹^,², 杨凯¹^,², 邓淼磊¹^,²(), 王德民¹^,², 马米米¹^,²

^1.河南工业大学信息科学与工程学院，郑州 450001
^2.河南省粮食信息处理国际联合实验室（河南工业大学），郑州 450001

通讯作者: 邓淼磊
作者简介:左志斌（1979—），男，河南郑州人，讲师，博士，CCF会员，主要研究方向：软件定义网络、网络安全；
杨凯（1999—），男，山东菏泽人，硕士研究生，CCF会员，主要研究方向：软件定义网络、网络安全；
王德民（1998—），男，河南南阳人，硕士研究生，主要研究方向：软件定义网络、网络安全；
马米米（1987—），女，河南新乡人，副教授，博士，CCF会员，主要研究方向：密码学、信息安全。
基金资助:
国家自然科学基金资助项目(62276091);河南省科技攻关项目(232102210132);河南工业大学粮食信息处理中心科研平台开放基金资助项目(KFJJ-2021-104)

Abstract

Abstract:

Sniffing attacks and flooding attacks are two common attack methods in the Internet of Things （IoT）： sniffing attacks have strong concealment and aim to steal user data； flooding attacks are destructive and can affect normal network communication and services. Attackers may use sniffing attacks to find their targets， and then attack them through flooding attacks， which poses a serious security threat to IoT. However， defense measures such as endpoint information hopping， false IP hopping， and dual IP hopping focus on single type attacks and are difficult to effectively respond to such attack methods. A dynamic network defense scheme based on Programmable Software Defined Network （SDN） was proposed to address the security issues faced in the IoT environment. In the attack investigation stage， by dynamically changing the protocol number and periodically jumping the quadruple in the data packet， it is possible to successfully obfuscate the endpoint information， thereby effectively resisting sniffing attacks. During the attack implementation phase， by using first packet dropout and source authentication， it is possible to successfully resist flooding attacks and significantly improve network security. The simulation experiment results show that compared with traditional defense schemes against single type attacks， this scheme can effectively resist sniffing attacks and flooding attacks at different stages of network attacks， while maintaining lower communication latency and CPU load.

Key words: Internet of Things (IoT), Software Defined Network (SDN), Moving Target Defense (MTD), flooding attack, sniffing attack

摘要：

嗅探攻击和洪泛攻击是物联网中两种常见的攻击方式：嗅探攻击隐蔽性强，旨在窃取用户数据；而洪泛攻击具有破坏性，会影响正常的网络通信和服务。攻击者可能利用嗅探攻击寻找攻击目标，然后通过洪泛攻击对目标进行攻击，这种攻击方式使IoT面临严重的安全威胁。而端信息跳变、虚假IP跳变、双IP跳变等防御手段侧重于单一类型的攻击，难以有效地应对这种攻击方式。针对IoT环境下面临的安全问题，提出一种基于可编程软件定义网络（SDN）的动态网络防御方案。在攻击侦查阶段，通过动态改变协议号和周期性跳变数据包中的四元组，可成功混淆端信息，从而有效抵御嗅探攻击。在攻击实施阶段，通过首包丢弃和源认证的方式，可成功抵御洪泛攻击，从而显著提高网络的安全性。仿真实验结果表明，与传统针对单一类型攻击的防御方案相比，该方案能在网络攻击的不同阶段有效抵御嗅探攻击和洪泛攻击，并保持了较低的通信时延和CPU负载。

关键词: 物联网, 软件定义网络, 移动目标防御, 洪泛攻击, 嗅探攻击

CLC Number:

TP309

Zhibin ZUO, Kai YANG, Miaolei DENG, Demin WANG, Mimi MA. Dynamic network defense scheme based on programmable software defined networks[J]. Journal of Computer Applications, 2025, 45(1): 144-152.

左志斌, 杨凯, 邓淼磊, 王德民, 马米米. 基于可编程软件定义网络的动态网络防御方案[J]. 《计算机应用》唯一官方网站, 2025, 45(1): 144-152.

Figures/Tables 13

References 29

1	ZHONG A， LI Z， WU D， et al. Stochastic peak age of information guarantee for cooperative sensing in internet of everything ［J］. IEEE Internet of Things Journal， 2023， 10 （17）： 15186-15196.
2	张子扬，赵军辉，马小婷. 面向5G蜂窝物联网的大规模设备接入算法［J］. 应用科学学报， 2023， 41 （4）： 626-635.
	ZHANG Z Y， ZHAO J H， MA X T. Large-scale device access algorithm for 5G cellular internet of things ［J］. Journal of Applied Sciences， 2023， 41 （4）： 626-635.
3	KOVVALI R S K， SUNDARAM G. CETS： enabling sustainable IoT with cooperative energy transfer schedule towards 6G era ［J］. Sensors， 2022， 22 （17）： No.6584.
4	朱元. 网络空间安全是国家安全的坚强屏障［J］. 信息安全研究， 2020， 6 （11）： 1055-1056.
	ZHU Y. The cyber security is the strong barrier of the national security ［J］. Journal of Information Security Research， 2020， 6 （11）： 1055-1056.
5	PAGNOTTA G， DE GASPARI FA， HITAJI D， et al. DOLOS： a novel architecture for moving target defense ［J］. IEEE Transactions on Information Forensics and Security， 2023， 18： 5890-5905.
6	SENGUPTA S， CHOWDHARY A， SABUR A， et al. A survey of moving target defenses for network security ［J］. IEEE Communications Surveys and Tutorials， 2020， 22 （3）： 1909-1941.
7	JALOWSKI Ł， ZMUDA M， RAWSKI M. A survey on moving target defense for networks： a practical view ［J］. Electronics， 2022， 11 （18）： No.2886.
8	NAVAS R E， CUPPENS F， CUPPENS N B， et al. MTD， where art thou？ a systematic review of moving target defense techniques for IoT ［J］. IEEE Internet of Things Journal， 2021， 8 （10）： 7818-7832.
9	YUREKTEN O， DEMIRCI M. SDN-based cyber defense： a survey ［J］. Future Generation Computer Systems， 2021， 115： 126-149.
10	DEB R， ROY S. A comprehensive survey of vulnerability and information security in SDN ［J］. Computer Networks， 2022， 206： No.108802.
11	MALEH Y， QASMAOUI Y， El GHOLAMI K， et al. A comprehensive survey on SDN security： threats， mitigations， and future directions ［J］. Journal of Reliable Intelligent Environments， 2023， 9： 201-239.
12	AHMAD S， MIR A H. Scalability， consistency， reliability and security in SDN controllers： a survey of diverse SDN controllers ［J］. Journal of Network and Systems Management， 2021， 29： No.9.
13	BOSSHART P， DALY D， GIBB G， et al. P4： programming protocol-independent packet processors ［J］. ACM SIGCOMM Computer Communication Review， 2014， 44 （3）： 87-95.
14	LIATIFIS A， SARIGIANNIDIS P， ARGYRIOU V， et al. Advancing SDN from OpenFlow to P4： a survey ［J］. ACM Computing Surveys， 2023， 55 （9）： No.186.
15	SHARMA D P， KIM D S， YOON S， et al. FRVM： flexible random virtual IP multiplexing in software-defined networks ［C］// Proceedings of the 17th IEEE International Conference on Trust， Security and Privacy in Computing and Communications/ 12th IEEE International Conference on Big Data Science and Engineering. Piscataway： IEEE， 2018： 579-587.
16	GUDLA C， SUNG A H. Moving target defense discrete host address mutation and analysis in SDN ［C］// Proceedings of the 2020 International Conference on Computational Science and Computational Intelligence. Piscataway： IEEE， 2020： 55-61.
17	WANG P， ZHOU M， DING Z. A two-layer IP hopping-based moving target defense approach to enhancing the security of mobile ad-hoc networks ［J］. Sensors， 2021， 21 （7）： No.2355.
18	李朝阳，谭晶磊，胡瑞钦，等. 基于双重地址跳变的移动目标防御方法［J］. 信息网络安全， 2021， 21 （2）： 24-33.
	LI Z Y， TAN J L， HU R Q， et al. Moving target defense method based on double address hopping ［J］. Netinfo Security， 2021， 21 （2）： 24-33.
19	胡瑞钦，谭晶磊，彭心荷，等. 面向SDN数据层的双虚假IP地址动态跳变技术［J］. 信息网络安全， 2022， 22 （2）： 76-85.
	HU R Q， TAN J L， PENG X H， et al. Dynamic hopping technology of double virtual IP address for SDN data layer ［J］. Netinfo Security， 2022， 22 （2）： 76-85.
20	BANDI N， TAJBAKHSH H， ANALOUI M. FastMove： fast IP switching moving target defense to mitigate DDOS attacks ［C］// Proceedings of the 2021 IEEE Conference on Dependable and Secure Computing. Piscataway： IEEE， 2021： 1-7.
21	ZHOU Y， CHENG G， YU S. An SDN-enabled proactive defense framework for DDoS mitigation in IoT networks ［J］. IEEE Transactions on Information Forensics and Security， 2021， 16： 5366-5380.
22	HE G， SI Y， XIAO X， et al. Preventing IoT DDoS attacks using blockchain and IP address obfuscation ［C］// Proceedings of the 13th International Conference on Wireless Communications and Signal Processing. Piscataway： IEEE， 2021： 1-5.
23	WANG Y C， WANG Y C. Efficient and low-cost defense against distributed denial-of-service attacks in SDN-based networks ［J］. International Journal of Communication Systems， 2020， 33 （14）： No.e4461.
24	DANG F F， WU K， LI S， et al. Dynamic moving target defense strategy based on adaptive port hopping in SDN ［C］// Proceedings of the 2023 International Conference on Computer Network Security and Software Engineering Bellingham. WA： SPIE， 2023： No.127141V.
25	XU X， HU H， LIU Y， et al. Moving target defense of routing randomization with deep reinforcement learning against eavesdropping attack ［J］. Digital Communications and Networks， 2022， 8 （3）： 373-387.
26	ZHANG T， XU C， SHEN J， et al. How to disturb network reconnaissance： a moving target defense approach based on deep reinforcement learning ［J］. IEEE Transactions on Information Forensics and Security， 2023， 18： 5735-5748.
27	YOON S， CHO J H， KIM D S， et al. DESOLATER： deep reinforcement learning-based resource allocation and moving target defense deployment framework ［J］. IEEE Access， 2021， 9： 70700-70714.
28	YUNGAICELA-NAULA N M， VARGAS-ROSALES C， PÉREZ-DÍAZ J A. SDN/NFV-based framework for autonomous defense against slow-rate DDoS attacks by using reinforcement learning ［J］. Future Generations Computer Systems， 2023， 149： 637-649.
29	DE MAESSCHALCK S， COLLE D， LIEVENS I， et al. Pan-European optical transport： networks： an availability based comparison ［J］. Photonic Network Communications， 2003， 5 （3）： 203-225.

防御方案	嗅探的端信息
无IP端信息跳变	（10.0.0.1，10.0.0.8，42980，5001，6）（10.0.0.8，10.0.0.1，5001，42980，6）
DAH方案	（10.0.0.62，10.0.0.74，42980，5001，6）（10.0.0.74，10.0.0.62，5001，42980，6）
双虚假IP地址跳变方案	（10.0.0.224，10.0.0.140，42980，5001，6）（10.0.0.126，10.0.0.334，5001，42980，6）
动态网络防御方案	（10.0.0.15，10.0.26，1045，2036，17）（10.0.0.26，10.0.0.15，2036，1045，17）

防御方案	嗅探的端信息
无IP端信息跳变	（10.0.0.1，10.0.0.8，42980，5001，6）（10.0.0.8，10.0.0.1，5001，42980，6）
DAH方案	（10.0.0.62，10.0.0.74，42980，5001，6）（10.0.0.74，10.0.0.62，5001，42980，6）
双虚假IP地址跳变方案	（10.0.0.224，10.0.0.140，42980，5001，6）（10.0.0.126，10.0.0.334，5001，42980，6）
动态网络防御方案	（10.0.0.15，10.0.26，1045，2036，17）（10.0.0.26，10.0.0.15，2036，1045，17）

防御方案	特点
无IP端信息跳变	不会带来额外的控制和处理开销，数据转发时延低。网络中的通信数据真实，容易被攻击者利用分析
DAH方案	对IP地址进行跳变，源IP地址和目的IP地址以虚假的方式呈现，从而对攻击者进行欺骗。该方案只是针对IP地址进行跳变，跳变的地址范围和数据包的混淆程度有限
双虚假IP地址跳变方案	在DAH方案上做了进一步的改进。每个终端设备都拥有两个虚假IP地址，一个作为发送方使用，另外一个作为接收方使用，从而进一步提高了链路中数据包的混淆程度。该方案中数据包的端口信息和协议信息都是真实的，容易被攻击者利用分析，从而对网络的安全造成影响
动态网络防御方案	将IP地址、端口号、协议号一同跳变，实现多维协同跳变，扩大了跳变的地址范围，增加了跳变的复杂性和不可预测性，使攻击者难以获取网络中真实通信数据，进一步提高了网络的安全性

防御方案	特点
无IP端信息跳变	不会带来额外的控制和处理开销，数据转发时延低。网络中的通信数据真实，容易被攻击者利用分析
DAH方案	对IP地址进行跳变，源IP地址和目的IP地址以虚假的方式呈现，从而对攻击者进行欺骗。该方案只是针对IP地址进行跳变，跳变的地址范围和数据包的混淆程度有限
双虚假IP地址跳变方案	在DAH方案上做了进一步的改进。每个终端设备都拥有两个虚假IP地址，一个作为发送方使用，另外一个作为接收方使用，从而进一步提高了链路中数据包的混淆程度。该方案中数据包的端口信息和协议信息都是真实的，容易被攻击者利用分析，从而对网络的安全造成影响
动态网络防御方案	将IP地址、端口号、协议号一同跳变，实现多维协同跳变，扩大了跳变的地址范围，增加了跳变的复杂性和不可预测性，使攻击者难以获取网络中真实通信数据，进一步提高了网络的安全性

[1]	Zidong CHENG, Peng LI, Feng ZHU. Potential relation mining in internet of things threat intelligence knowledge graph [J]. Journal of Computer Applications, 2025, 45(1): 24-31.
[2]	Ziqian CHEN, Kedi NIU, Zhongyuan YAO, Xueming SI. Review of blockchain lightweight technology applied to internet of things [J]. Journal of Computer Applications, 2024, 44(12): 3688-3698.
[3]	Kedi NIU, Min LI, Zhongyuan YAO, Xueming SI. Review of blockchain consensus algorithms for internet of things [J]. Journal of Computer Applications, 2024, 44(12): 3678-3687.
[4]	Yicheng WAN, Guangxiang YANG, Qingda ZHANG, Chenyang GAN, Lin YI. Impact of non-persistent carrier sense multiple access mechanism on scalability of LoRa networks [J]. Journal of Computer Applications, 2023, 43(9): 2885-2896.
[5]	Chenyang GE, Qinrang LIU, Xue PEI, Shuai WEI, Zhengbin ZHU. Efficient collaborative defense scheme against distributed denial of service attacks in software defined network [J]. Journal of Computer Applications, 2023, 43(8): 2477-2485.
[6]	Wenting BI, Haitao LIN, Liqun ZHANG. Moving target defense decision-making algorithm based on multi-stage evolutionary signal game model [J]. Journal of Computer Applications, 2022, 42(9): 2780-2787.
[7]	Xu WANG, Yumin SHEN, Xiaoyun XIONG, Peng LI, Jinlong WANG. Data management method for building internet of things based on Hashgraph [J]. Journal of Computer Applications, 2022, 42(8): 2471-2480.
[8]	Hongqiu LUO, Shengbo HU. Data naming mechanism of low earth orbit satellite mega-constellation for internet of things [J]. Journal of Computer Applications, 2022, 42(7): 2146-2154.
[9]	Jie ZHANG, Shanshan XU, Lingyun YUAN. Internet of things access control model based on blockchain and edge computing [J]. Journal of Computer Applications, 2022, 42(7): 2104-2111.
[10]	Ning DONG, Xiaorong CHENG, Mingquan ZHANG. Intrusion detection system with dynamic weight loss function based on internet of things platform [J]. Journal of Computer Applications, 2022, 42(7): 2118-2124.
[11]	Xiangju LIU, Xiaobao LU, Xianjin FANG, Linsong SHANG. Low-rate denial-of-service attack detection method under software defined network environment [J]. Journal of Computer Applications, 2022, 42(4): 1301-1307.
[12]	Xin ZHENG, Suyue LI, Anhong WANG, Meiling LI, Sami MUHAIDAT, Aiping NING. Ergodic rate analysis of cooperative multiple input multiple output ambient backscatter communication system [J]. Journal of Computer Applications, 2022, 42(3): 974-979.
[13]	Rongrong DAI, Honghui LI, Xueliang FU. Data center flow scheduling mechanism based on differential evolution and ant colony optimization algorithm [J]. Journal of Computer Applications, 2022, 42(12): 3863-3869.
[14]	Hexiong CHEN, Yuwei LUO, Yunkai WEI, Wei GUO, Feilu HANG, Zhengxiong MAO, Zhenhong ZHANG, Yingjun HE, Zhenyu LUO, Linjiang XIE, Ning YANG. Blockchain-based data frame security verification mechanism in software defined network [J]. Journal of Computer Applications, 2022, 42(10): 3074-3083.
[15]	XU Hongliang, YANG Guiqin, JIANG Zhanjun. Data center adaptive multi-path load balancing algorithm based on software defined network [J]. Journal of Computer Applications, 2021, 41(4): 1160-1164.

Dynamic network defense scheme based on programmable software defined networks

基于可编程软件定义网络的动态网络防御方案

RichHTML

PDF

Knowledge

Abstract

Cite this article

share this article

Figures/Tables 13

References 29

Related Articles 15

Recommended Articles

Metrics