1、NETINFOSECURITY2024年第1期理论研究doi:10.3969/j.issn.1671-1122.2024.01.011IPv6地址驱动的云网络内生安全机制研究一张博文1,李冬,赵贻竹1,于俊清1.2(1.华中科技大学网络空间安全学院,武汉430 0 7 4;2.华中科技大学网络与计算中心,武汉430 0 7 4)摘要:云网络可以根据不同业务场景对云平台虚拟网络资源快速部署与配置,是现代数据中心性能和安全的重要保障。但传统云网架构中IPv4支撑能力有限,无法实现网络端到端的透明传输,多租户特性使得云管理者对租户子网进行流量管理和约束异常困难,外挂式的安全方案缺乏对不同租户流量的追
2、溯能力,无法在源头对攻击行为进行限制。IPv6具有地址空间大、编址能力强、安全性高的特点,基于此,文章提出一种IPv6地址驱动的云网络内生安全机制,包括地址生成层、地址验证层和地址利用层。地址生成层以对称加密算法为基础,将租户身份信息嵌入IPv6地址后6 4位,修改DHCPv6地址分配策略,并基于Openstack Neutron进行实现。地址验证层设计实现了云网络动态源地址验证方法,针对不同端口状态集合设计针对性转移方法和安全策略。地址利用层基于IPv6真实地址的特性,实现了基于IPv6地址的数据包溯源机制和访问控制策略。关键词:云网络;内生安全;源地址验证;地址生成;IPv6中图分类号:T
3、P309文献标志码:A文章编号:16 7 1-112 2(2 0 2 4)0 1-0 113-0 8中文引用格式:张博文,李冬,赵贻竹,等.IPv6地址驱动的云网络内生安全机制研究J.信息网络安全,2024,24(1):113-120.英文引用格式:ZHANG Bowen,LI Dong,ZHAO Yizhu,et al.Research on Endogenous Security Mechanismof Cloud Network Driven by IPv6 AddressJJ.Netinfo Security,2024,24(1):113-120.Research on Endogen
4、ous Security Mechanism of Cloud NetworkDrivenbyIPv6AddressZHANG Bowen,LI Dong*,ZHAO Yizhul,YU Junqingl,?(1.School of Cyber Science and Engineering,Huazhong University of Science and Technology,Wuhan 430074,China;2.Network and Computation Center,Huazhong University of Science and Technology,Wuhan 430
5、074,China)Abstract:Cloud networking can rapidly deploy and configure virtual network resourceon cloud platform according to different business scenarios,which is an important guaranteefor performance and security in modern data center.However,traditional cloud networkcannot make transparent end-to-e
6、nd transmission due to the limitation of IPv4.The multi-tenant feature makes it difficult for cloud manager to constrain traffic on tenant subnets,收稿日期:2 0 2 3-10-15基金项目:国家重点研发计划2 0 2 0 YFB1805601;中国高校产学研创新基金2 0 2 1FNA02005作者简介:张博文(1997 一),男,河南,硕士研究生,主要研究方向为软件定义网络安全;李冬(197 9一),男,湖北,高级工程师,博士,主要研究方向为计
7、算机网络、软件定义网络、网络安全;赵贻竹(197 6 一)女,河南,副教授,博士,主要研究方向为软件定义网络安全;于俊清(197 5一),男,内蒙古,教授,博士,主要研究方向为数字媒体处理与检索、网络安全。通信作者:于俊清113NETINFOSECURITY理论研究2024年第1期and external security solutions lack of traceability of traffic from different tenants,makingit impossible to restrict attack at the source.IPv6 has large addr
8、ess space,strong addressingability,and high security.Guided by the endogenous security concept and centered on IPv6address driven,this article proposed an IPv6 address driven cloud network endogenoussecurity hierarchy architecture,including address generation layer,address verificationlayer,and addr
9、ess utilization layer.At the address generation layer,the tenant identity wasembedded into the last 64 bits of IPv6 address using symmetric encryption algorithm,andthe DHCPv6 address allocation strategy was modified.The implementation was based onOpenstack Neutron.At the address verification layer,a
10、 dynamic source address verificationmethod was designed and implemented for cloud networks.Specific transition methods andsecurity policies were designed for different port status sets.At the address utilization layer,based on the characteristics of real IPv6 address,a packet tracing mechanism and a
11、n accesscontrol policy based on IPv6 addresses were implemented.Key words:cloud network;endogenous security;source address validation;addressgeneration;IPv60引言云网络是构成云平台的重要基础,可以为不同业务场景提供虚拟网络资源,用户可以依据不同业务需求,对网络资源进行动态调整,从而更好地满足业务发展需要。与传统网络相比,云网络受到攻击后的影响更加广泛!。多租户支持是云平台的一个重要特性,每个租户对自己的网络环境具有完全的支配权,导致对租户的
12、管理和行为约束异常困难。同时,在云平台中,攻击者可能通过伪造源地址来隐藏真实身份进而发起攻击2,导致对攻击难以溯源。基于上述分析,本文提出一种IPv6地址驱动的云网络内生安全机制。本文设计了一种云网络动态源地址验证方法,通过二阶端口状态实施不同的安全策略,进一步降低交换机流表空间和控制器负载的开销。同时设计了一种云网络IPv6真实地址生成与溯源方法,将IPv6地址接口标识作为新的信任锚点,利用网络标识(Network Identity,NID)的可拓展性对租户身份信息和网络信息进行编码,通过引人时间哈希值并以异或的方式将其信息嵌人地址标识(Address Identity,AID)中,提高溯源
13、效率。本文还对OpenStackNeurton核心组件进行修改,基于硬件设备搭建具备内生安全属性的私有云平台,通过大量实验证明该方案在云平台中的可行性与优越性。1相关工作传统互联网缺乏对复杂网络的安全性考虑,现有的大部分安全措施均为外挂式的方案。为了解决该问题,一些研究人员引入了内生安全的思想。内生安全是指在设计和构建系统时,将安全机制融入系统的内在结构,实现更高效、更可靠、更全面的安全防御。YU3等人受生物免疫系统启发,提出依靠群体协作的动态安全架构。邬江兴4认为造成网络安全问题层出不穷的根本原因是漏洞和后门未知且无法预见,受生物拟态防御的启发,提出了以拟态系统为基础的内生安全网络架构。文献
14、5针对现有网络中存在的固有安全问题,通过对IP网络协议和安全机制进行重新设计,基于最小信任模型提出一个具有内生安全能力的网络架构 NAIS(Ne t w o r k A r c h i t e c t u r e w i t h In t r i n s i c Se c u r i t y)。NAIS采取不完全信任的处理方式对网络流量进行真实性检验。在隐私性方面,其仅向少部分有特别功能需求的节点暴露地址分组的头部信息,对于内部节点采取隐私保护措施。文献6 基于动态异构穴余架构,在Kubernetes容器平台中提出一个拟态化的SaaS云内生安全架构,通过优化物理资源选择方法提高容器承载业务的能
15、力,并对SaaS云系统进行了拟态化改造。文献7 基于异构?余的内生安全机制对零信任安全架构进行改造。实验结果表明,该零信任安全架构对提高系统的安全性和可靠性具有一定的实用价值,且具有114NETINFOSECURITY2024年第1期理论研究较好的普适性。目前在云网络中尚未有一套完整易部署的内生安全解决方案。同时通过对云网络内生安全相关研究8-10 的介绍和分析可以发现,云平台内的大多数安全应用在多租户的网络环境下无法准确区分用户流量,无法适应动态多变的虚拟网络拓扑,说明现有云网络安全解决方案缺乏对不同租户网络流量的追溯能力。针对上述问题,本文基于内生安全的思想提出一种IPv6地址驱动的云网络
16、内生安全机制!,该安全机制框架分为地址生成层、地址验证层和地址利用层3层。地址生成层基于IPv6真实地址生成思想,设计了云网络IPv6真实地址生成方法。现有真实地址生成技术对多租户环境适应性不足12,同时解析时间随着追溯时间的增长而线性增加,溯源效率较低。本文利用密钥定时更新的特性,通过引人时间哈希值,显著提高了对地址溯源时密钥的查找速度,进而提高了溯源效率。地址验证层设计了云网络动态源地址验证方法。现有源地址验证技术13-15以源地址验证系统结构(SourceAddress Validation Architecture,SA VA)和接人网源地址验证增强技术(Source Address
17、Validation Architecture Implement,SAVI)为基础,通过构建绑定表进行源地址验证,对可疑主机的定位不够准确,导致下发大量无用表项,造成流表资源的不必要浪费16-18。文献15在软件定义网络中实现了SAVI方案,并提出了SDN-SAVI方案,但该方案是静态部署的,缺少对实际网络状态的考虑。文献17 基于SDN-SAVI提出一种软件定义网络下的动态源地址验证方法DSAVI,该方法通过随机挑选主机轮询和网络流量指标分析的方法确定异常主机位置,减少了交换机中无用表项的下发,进而提高交换机的转发性能,但对异常主机的检测不及时、不准确。针对以上问题,本文对不同状态主机进行
18、细化处理,进一步控制流表规模,同时利用云网络内生安全机制提高安全性。地址利用层通过地址生成层和地址验证层中实现的安全机制对整个云网络提供统一安全管控服务,为整个网络的路由转发提供安全保障。地址利用层可以在后续工作中进行拓展,提供更多的安全服务,增强系统安全性。2云网络动态源地址验证方法2.1云网络动态源地址验证方法设计云网络动态源地址验证方法(CloudNetworkDynamicSAVI,C D SA VI)部署在SDN控制器中,如图1所示,主要包含信息采集模块、端口状态检测模块、端口状态维护模块及流表项部署模块。路由模块CDSAVI模块信息采集端口状态端口状态流表项部署拓扑模块模块检测模块
19、维护模块H模块控制平面数据包服务安全平Packet_i面数据平面信息采集模块包含4个线程池,通过定时任务对正常端口、待观察端口和恶意端口采集不同的统计信息。端口状态检测模块是CDSAVI的核心模块,负责流量特征熵值分析、异常状态检测及丢包阈值分析。端口状态维护模块负责维护二阶端口状态集合的变化,该状态集合是CDSAVI进行信息采集、流表下发等操作的核心依据。考虑到系统的健壮性,本文单独使用一个模块对该集合进行管理。流表项部署模块负责向边缘交换机下发过滤表项,或者向边缘交换机下发指令删除流表项。端口状态集合维护模块和过滤表项动态部署模块各包含一个线程,其中,端口状态集合维护模块负责与检测模块进行
20、交互,对端口状态进行更流服务Flow_modFlow_stats_request交换机1交换机2交换机31图1CDSAVI部署流表服务Flow_stats_replyFlow_removedTable_stats_requestTable_stats_reply交换机115NETINFOSECURITY理论研究2024年第1期新和读取,过滤表项动态部署模块负责对不同状态集合下的端口下发或者移除源地址验证流表项。CDSAVI将云网络中的虚拟化网络端口状态划分为正常端口、待观察端口和异常端口3类状态集合,针对不同状态集合的端口采取不同的处理方式。1)正常端口集合与待观察端口集合转换伪造源地址行为产
21、生的攻击通常随着流量持续激增19,因此正常端口集合至待观察端口的转换依靠流量特征的熵值进行判断。2)待观察端口集合至异常端口集合转换依据流量特征熵值进行判断依然存在一些误判,因此需要进一步进行验证。使用机器学习模型可以对待观察集合中的交换机端口的流量统计数据信息进行细粒度分析,从而更加准确地定位具有恶意行为的端口,进而更加精准地下发过滤流表项。3)异常端口集合至待观察端口集合转换异常状态集合中的端口均已被下发过滤表项,因此可以依据过滤表项中的验证规则和通配规则计算端口丢包率,判断端口是否可以被转人待观察集合。丢包率如公式(1)所示,将验证规则匹配成功的数据包数记为NormalPackets,将
22、通配规则匹配成功的数据包数记为DropPackets。DropPacketsRatio=DropPacketsDropPackets+NormalPackets4)正常端口集合至异常端口集合转换为了增强CDSAVI的安全性,通过历史评分进行异常端口的辅助选取。端口i的历史评分如公式(2)所示,记异常状态出现次数为Abnormal,待观察状态出现次数为Observe,正常状态出现次数为Normal,人流量为Windowln,出流量为WindowOut,其中,、为比例系数。历史评分由端口历史状态评分和出人端口失衡状态评分两部分组成。通过和可以动态配置状态转移的粒度以适应不同的网络环境。在服务密集的
23、环境中,出流量在正常情况下也可能远大于入端口流量,此时可以将值调大以降低误报,而在对外提供服务较少的云网络可以调大值,提高CDSAVI对大流量的灵敏度。Abnormal+Observei +Score;=Normal,WindowoutiWindowln2.2多粒度异常端口检测方法当云网络中发生伪造源地址的恶意行为或者出现不正常的大象流时,流特征的分布将发生显著变化,因此理论上可以根据对流量特征熵值的判断进行粗粒度检测,进而将流量特征熵值超过阈值的端口加人待观察集合进行进一步细粒度检测,在保障安全性的同时降低系统信息采集和异常检测的开销。BEHAL20等人根据已有的香农熵提出一种信息理论度量方
24、式-熵,适用于更加精确地量化流量特征的变化,如公式(3)所示,其中,p,表示事件X出现的概率,参数用来调节度量事件频率的敏感度。当0 p0.5时,H,(x)随递减;当0.5 p1时,H,(x)随递增。选取源地址(sIP)和目的地址(dIP)作为流量特征,其变化分别对应以上两种情况。记一个时间窗口内共采集到n个不同的源地址,将每个源地址sIP,出现的次数记为xi,则可以得到源地址出现次数集合X=x,x,,x ,根据一个时间窗口内各源地址出现的次数,可以得到(1)X的概率分布P=p,Pa,,p.),将P带入公式(3),可以得到源地址熵值H。(x)。目的地址熵值的计算方式与源地址类似,不再赘述。1H
25、,(X)=(2 p inh(p lg:p)sinhp(为了进一步确定需要持续进行源地址验证的主机,以各类交换机端口统计数据信息为基础,基于流量特征值的粗粒度检测分类结果,使用基于稀疏自编码(Sparse Auto Ecoder,SA E)2 1和随机森林(RandomForest,RF)2 2 的异常状态检测算法进行检测。选择InSDN数据集2 3中推荐的特征进行初步计算,包括6个大类共48 个特征。由于选取的特征维度较高,如果直接将所有特征输入分类模型进行分类会导致训练时(2)(3)116NETINFOSECURITY2024年第1期理论研究间过长,同时影响模型的学习效果。为了提高模型的整体
26、性能,本文使用SAE-RF混合深度学习模型的分类算法2 4 进行细粒度检测。整个检测模型的工作分为训练阶段和检测阶段,如图2 所示。本文利用已有的SDN流量数据对模型进行训练,训练阶段分为数据处理、SAE特征降维和RF分类检测3个步骤。原始数据集数据处理数据清理归一化处理超采样处理待检测流数据图2 SAE-RF算法模型3云网络IPv6真实地址生成与溯源方法在基于IPv6地址驱动的内生安全机制下,云网络IPv6真实地址生成算法和云网络动态源地址验证方法相辅相成。云网络IPv6真实地址生成算法的核心是嵌人租户身份信息的快速可追溯真实地址生成方法(Tenant-Identity Generated
27、Fast Traceability Real Address,TGFTRA),可以帮助CDSAVI实现更高级别的安全性,不仅可以更方便地统计或测量网络的实时情况,还可以在不知道每个包在拓扑中的轨迹的情况下精确定位每个包的源,很容易捕获云网络中任意租户流量对应的用户身份,以便在回溯过程中进一步使用。3.1UID与NID的生成受文献12 提出的NIDTGA地址生成算法的启发,本文利用NID表示云网络中的租户信息。本文使用网络前缀表示IPv6地址的IP位置空间,使用NID表示IPv6地址的IP身份空间。TGFTRA采用了 NIDTGA对NID的设计方法,NID长度为40 位,包括表明组织内用户空间规
28、模的分割部分(固定4位)组织部分(可变m位)和用户部分(36-m位)。用户标识(UID)通过云网络中租户身份信息进行编码得到。云网络中租户的身份信息可以由各云平台自行设定,但最少应包含用户身份信息和租户网络训练阶段信息两类。将待编码的租户身份信息组合后,通过哈希算法得到散列值,进而根据用户部分的长度进行SAE特征降维RF分类检测编码网络决策树集成学习立输出降维向量构建分类模型1解码网络1待检测流数据检测阶段切割,从而得到最终的UID。本文采用的哈希算法为SM3,与国际通用的SHA-256等算法相比具有更高的实现效率2 5。UID 和NID的生成过程如图3所示。用户IDM202088667用户电
29、话135888888拼接字符串PROJECTI加盐M2020886671D2168866735888888HUST_NCCD2168租户信息86679d46ffc6盐值3da4e28fPROJECT19d46ffc63da4e28f租户管理员D201688667NID4C00001839图3租户网络下NID生成过程3.2接口标识生成与地址溯源云网络真实地址生成过程分为租户信息拼接加密和时间哈希值编码两个过程,如图4所示。租户信息包含NID和时间信息。采用动态密钥的方式可以提高安全性,但增加了地址解析的难度。进行解密操作时需要查找、定位到正确的密钥进行解密,NIDTGA的密钥轮询方式时间开销较大
30、,因此需要在地址管理服务器中存储时间区间和密钥的对应关系。TGFTRA利用密钥定时更新的特性,将密钥更新时刻的时间戳进行哈希运算得到TimeHash。同时在地址生成时计算出数据块M202088667135888888转16 进制带盐字符串SM3DABE65C2E495EDBD2E026F1AFF46747AD90CC89D4A09A4ABB097DB取前16 位UID0001100000111001NID10011000000000000000000000110000011100128599CB38E拼接组织部分1000000000000000000分割部分1001117NETINFOSECU
31、RITY理论研究2024年第1期距离当前时刻最近的密钥更新时刻的TimeHash,然后将TimeHash与前置地址标识pre-AID进行异或运算得到最后的AID,并将pre-AID与AID进行存储,将AID与网络前缀进行组合得到最终的IPv6真实地址。NID4C00001839拼接字符串数据块4C000018390A4441时间信息0A4441图4云网络IPv6真实地址生成过程需要对某个地址进行身份溯源时,首先根据网络前缀信息定位该地址所属的租户网络,然后向该租户网络的地址溯源服务器发送解析请求。每个租户子网内都部署了地址溯源服务器和地址生成服务器,地址溯源服务器负责接收解析请求,同时进行本租
32、户子网密钥的存储与管理;地址生成服务器相当于网络中的DHCP服务器,负责进行地址的生成与管理,存储地址生成过程中的重要库表。溯源查询一般在某条问题流量被拦截时由目的自治系统(AutonomousSystem,A S)发起,基本上是地址生成的逆过程,如图5所示。IPv6Address2001:250:4000:4507:e9d1:3e81:2c6a:844dPrefix200125040004507AIDe9d13e812c6a844dpre-AIDedcd950bee41485c返回溯源信息租户管理员:D201688667生成时间:2 0 2 3-0 3-19 2 0:0 0图5租户网络下IP
33、v6真实地址溯源过程4实验及分析本文实验环境为基于OpenStackWalleby开发的私有云平台,共部署4台服务器,其中1台服务器作为控制节点,另外3台服务器作为计算节点和网络节点。IPv6 Address2001:250:4000:4507:e9d1:3e81:2c6a:844dIDEA加密pre-AIDedcd950be密钥e41485cXORab75a7d716b773b39107f5bc56505fa5ab75a7d716b773b39107f5bc56505fa5找到对应密钥XOR时间哈希值041cab8ac22bcc11用户ID:M 2 0 2 0 8 8 6 6 7用户电话:1
34、358 8 8 8 8 8 8租户信息:PROJECT1实验在基于Vmware安装的Ubuntul6.04虚拟机中模拟Prefix大规模网络环境,利用Mininet对数据平面网络拓扑进200125040004507AID时间哈希值e9d13e812c6a844d041cab8ac22bccl1密钥IDEA解密切割字符串查找NIDNIDV4C00001839格式转换时间信息0A4441行仿真,以Fat-Tree为基础搭建实验拓扑,网络拓扑共包含14台交换机和40 台主机,并使用SLAAC的方式为主机分配IPv6地址。4.1CDSAVI检测效果分析针对基于混合深度学习的细粒度检测方法,使用准确率A
35、ccuracy、精确率Precision、召回率Recall和F1值进行性能评估。将SAE-RF算法与常见的分类算法RF、K NN、SVM 及XGBoost算法进行对比,结果如图6所示。由图6 可知,SAE-RF算法的各项指标都高于对比算法,说明SAE-RF算法对软件定义网络下的恶意行为检测具有良好的表现。SAE-RFRFKNNXGBoostSVM1.000.980.960.940.920.90数据块4C000018390A4441Accuracy图6 不同算法的检测效果对比另外,通过SAE对高维特征进行降维也可以提高分类器对流量的检测效率。随着测试集规模的增大,使用降维后的特征向量进行检测的
36、时间开销比使用原始特征向量进行检测的时间开销降低近50%。4.2CDSAVI性能优化分析CDSAVI对端口状态进行了更细致的划分,基于流量特征值的检测方法和基于SAE-RF的细粒度检测方法对恶意端口的攻击行为反应更加灵敏,因此CDSAVI可更加精准地对恶意集合中的端口下发过滤PrecisionRecallF1118NETINFOSECURITY2024年第1期理论研究表项。实验对不同源地址验证算法中过滤表项数量进行测试,结果如图7 所示。本文共进行30 0 s的实验测试,其中12 0 s180s由5个不同端口发起6 0 s的伪造源地址攻击。SDN-SAVI采用静态方法,对所有端口全部下发绑定表
37、项,因此其对应的过滤表项数量保持不变,一直维持在40 条。对于原始DSAVI而言,其安全性依赖于随机选择待验证端口的数量,本文选择了5个端口(DSAVI-5)和10 个端口(DSAVI-10)进行测试。CDSAVI针对待观察集合和恶意端口集合采用不同的安全策略,可以在正常网络环境下减少无用流表项的下发,维持流表项数量在较低的水平。SDN-SAVI DSAVI-10-DSAVI-5-CDSAVI403510500图7 不同源地址验证算法过滤表项规模对比4.3TGFTRA生成与溯源效率分析实验对TGFTRA算法的地址生成时间开销进行测试,并与NIDTGA、CG A 和EUI-64三种地址生成算法进
38、行对比,每种算法生成10 0 0 次虚拟接口的IPv6地址并取均值,各算法生成IPv6地址的时间开销如图8 所示。TGFTRA比NIDTGA多计算一步时间哈希值和数据库操作,因此在租户网络中地址生成的时间开销略大,但与CGA算法相比,时间开销降低2 8.9 9%。地址溯源服务器间隔1h生成一个IPv6地址,实验共采集7 2 0 条地址信息,对不同时间跨度的地址进行身份溯源的时间开销对比,结果如图9 所示。由图9 可知,在云网络环境中,TGFTRA真实地址生成算法的溯源时间开销比NIDTGA更低。300250200150100500-图8 云网络中IPv6地址生成算法时间开销对比NIDTGA35
39、0300250200150100500100200300400500600700800溯源时间间隔/hHHH图9 云网络中IPv6真实地址生成算法溯源时间开销对比50100CGA150200时间/sTGFTRA250300NIDTGATGFTRA5结束语为了更好地解决目前云网络下的内生安全问题,本文提出一种IPv6地址驱动的云网络内生安全机制,通过IPv6地址为云网络提供全过程可追溯能力,通过云网络动态源地址验证方法改变传统网络架构中单向透明的缺点。实验结果表明,云网络IPv6真实地址生成方法与现有方法相比,大幅提高了对历史地址的溯源效率,时间开销可保持在常数时间复杂度级别。云网络动态源地址验
40、证方法降低了控制器负载,同时实现了对软件定义网络中恶意行为的高效精准检测。本文在基于OpenStack的私有云平台上进行网络功能测试,结果表明了该内生安全机制在云平台中的易部署性与可行性。参考文献:1 TABRIZCHI H,RAFSANJANI M K.A Survey on Security Challengesin Cloud Computing:Issues,Threats,and SolutionsJ.The Journal ofEU1-64119NETINFOSECURITY理论研究2024年第1期Supercomputing,2020,76(12):9493-9532.2 SIN
41、GH V,PANDEY S K,Revisiting Cloud Security Threats:IPSpoofingC/Springer.The International Conference on Soft Computing:Theories and Applications.Heidelberg:Springer,2020:225-236.3 YU Quan,REN Jing,ZHANG Jiyan,et al.An Immunology-Inspired Network Security Architecture.IEEE Wireless Communications,2020
42、,27(5):168-173.4 WU Jiangxing.Mimic Defense Technology Constructs NationalInformation Cyberspace Endogenous Safety and SecurityD.Information andCommunications Technologies,2019,13(6):4-6.邬江兴.拟态防御技术构建国家信息网络空间内生安全.信息通信技术,2 0 19,13(6):4-6.5 JIANG Weiyu,LIU Bingyang,WANG Chuang,et al.Security-Oriented N
43、etwork Architecture.Security and Communication Networks,2021(10):116.6 LI Lingshu.Research on Key Technologies of Mimic SaaS CloudSecurity ArchitectureD.Zhengzhou:Information Engineering University ofPLA,2021.李凌书,拟态SaaS云安全架构及关键技术研究D.郑州:战略支援部队信息工程大学,2 0 2 1.7 GUO Junli,XU Mingyang,YUAN Haoyu,et al.In
44、troduction ofEndogenous Security of Zero Trust Modell.Journal of ZhengzhouUniversity(Natural Science Edition),2022,54(6):51-58.郭军利,许明洋,原浩宇,等.引入内生安全的零信任模型.郑州大学学报(自然科学版),2 0 2 2,54(6):51-588 OSANAIYE O A.Short Paper:IP Spoofing Detection for Preventing DDoSAttack in Cloud ComputingC/IEEE.18th Internat
45、ional Conference onIntelligence in Next Generation Networks.New York:IEEE,2015:139-141.9 MAHESHWARI A,MEHRAJ B,KHAN M S,et al.An Optimized Weighted Voting Based Ensemble Model for DDoS Attack Detection andMitigation in SDN EnvironmentEB/OL.2023-09-11.https:/ KAUTISH S,REYANA A,VIDYARTHI A.SDMTA:Atta
46、ckDetection and Mitigation Mechanism for DDoS Vulnerabilities in HybridCloud EnvironmentJ.IEEE Transactions on Industrial Informatics,2022,18(9):6455-6463.11 XU Ke,FU Songtao,LI Qi,et.al.The Research Progress on IntrinsicInternet Security Architecture.Chinese Journal of Computers,2021,44(11):2149-21
47、72.徐恪,付松涛,李琦,等.互联网内生安全体系结构研究进展。计算机学报,2 0 2 1,44(11):2 149-2 17 2.12 LIU Ying,REN Gang,WU Jianping,et al.Building an IPv6 Address Generation and Traceback System with NIDTGA in Address DrivenNetworkDJ.SCIENCE CHINA Information Sciences,2015,58(12):1-14.13 WU Jianping,BI Jun,BAGNULO M,et al.RFC 7039:S
48、ource AddressValidation Improvement(SAVI)FrameworkEB/OL.2023-09-10.http:/ftp.otenet.gr/doc/rfc/rfc7039.txt.pdf.14 HU Jinlong,WU Yisheng.Source Address Validation Based Ethernet Switches for IPv6 NetworkC/IEEE.2012 IEEE International Conferenceon Computer Science and Automation Engineering(CSAE).New
49、York:IEEE,2012:8487.15 LIU Bingyang,BI Jun,ZHOU Yu.Source Address Validation inSoftware Defined NetworksC/ACM.The 2016 ACM SIGCOMMConference.New York:ACM,2016:595-596.16 CHEN Guolong,HU Guangwu,JIANG Yong,et al.SAVSH:IPSource Address Validation for SDN Hybrid NetworksC/IEEE.2016 IEEESymposium on Com
50、puters and Communication(ISCC).New York:IEEE,2016:409414.17 ZHOU Qizhao.Research on Security Optimization Technologiesof Flow Table in Software Defined Data Center NetworksD.Wuhan:Huazhong University of Science and Technology,2021.周启钊.软件定义的数据中心网络流表安全保护性能优化方法研究D.武汉:华中科技大学,2 0 2 1.18 CHEN Qing.Researc
浙ICP备2021020529号-1 | 浙B2-20240490 
