SDN Security paper reading 1

• 文章名称：Efficient Anonymous Communication in SDN-Based Data Center Networks
• 发表时间：2017
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 解决问题：匿名机制
• 所做工作：

1. 数据中心网络的匿名性anonymity在打破攻击链并保证用户隐私上十分重要，但是现有匿名系统设计用于Internet环境，能耗高，而适用于数据中心；
2. 在基于SDN的数据中心网络中提出一种高效易部署的匿名机制anonymity scheme，叫做mimic channel (MIC)。在交换机节点中修饰源和目的mac或ip，隐藏conceal通信参与者
3. 提出避免碰撞的机制保证路由正确，and three mechanisms to enhance the traffic-analysis resistance
4. 提高MIC的兼容性

5. 经过安全分析security analysis，MIC ensures unlinkability and improves traffic-analysis resistance. 有实验的数据支持。

   -----------------------------------------------------------

• 文章名称：【综述】Flow Wars: Systemizing the Attack Surface and Defenses in Software-Defined Networks
• 发表时间：2017
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 所做工作：

1. CIA model：Confidential, Integrity, Availability
2. 在CIA模型中组织漏洞，理解sdn攻击，通过对现有sdn研究的全面调查a comprehensive survey，
3. 评估assess 攻击的严重程度severity ，通过在实际的SDN测试平台上复制这些攻击，在三个主流sdn控制器上评估
4. 评估这些攻击对于现有公开的sdn防御方案的影响程度

5. abstract our findings, 为研发社区提供一个对常见设计和实施陷阱更深层次的理解
   Table2 列出sdn三层的攻击和漏洞，共14大类
   Fig 2 列出上述攻击漏洞位于层次，sdn攻击面的全局概括
   具体介绍14大类，详细介绍防御机制Table 5

   -----------------------------------------------------------

• 文章名称：LineSwitch: Tackling Control Plane Saturation Attacks in Software-Defined Networking
• 发表时间：2017
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 解决问题：控制平面饱和攻击
• 所做工作：

1. sdn虽然前景很好while promising，但是却面临新的攻击和漏洞。控制平面和数据平面的通信存在瓶颈bottleneck，容易被利用做Dos--control plane 饱和saturation attack

2. LineSwitch -- an efficient and effective data plane solution 解决控制平面饱和攻击，对比最先进的方法，减少了30趴的时间开销

   -----------------------------------------------------------

• 文章名称：Safe, Efficient, and Robust SDN Updates by Combining Rule Replacements and Additions
• 发表时间：2017
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 解决问题：安全更新

• 所做工作：
  不中断的更新是高效操作sdn网络的源头所在，让可编程的好处最大化。探讨如何安全、有效、稳健地实现不中断的更新

  -----------------------------------------------------------

• 文章名称：Safe Update of Hybrid SDN Networks
• 发表时间：2017
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 解决问题：一致性
• 所做工作：

1. 不中断的安全更新，现有技术不适用，并且需要高开销来保证网络一致性

2. 深入研究 the problem of computing operational sequences，来安全快速更新网络，提出一种an operational sequence保证在很有限的开销范围内，进行强一致性的更新

   -----------------------------------------------------------

• 文章名称：Practical Proactive DDoS-Attack Mitigation via Endpoint-Driven In-Network Traffic Control
• 发表时间：2018
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 解决问题：DDoS攻击
• 所做贡献：介绍了MiddlePolice，这是第一个易于部署和主动的DDoS预防机制。我们精心构建MiddlePolice，使其无需更改Internet内核和客户端的网络堆栈，从而在当前的Internet架构中实现即时可部署性。此外，依靠我们新颖的能力反馈机制，MiddlePolice能够实施目的地驱动的流量控制，以便无论攻击者策略如何，它都能保证提供受害者所需的流量。
• 不足之处：

• 实验对比：实现了MiddlePolice的原型，通过在Internet上广泛的评估，硬件测试和大范围的模拟，证明它的灵活性。

  -----------------------------------------------------------

• 文章名称：Security Policy Violations in SDN Data Plane
• 发表时间：2018
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 解决问题：安全规则冲突
• 所做贡献：

1. 规则通常由不同应用开发者制定，因此在数据平面可能存在冲突导致违反安全规则，而在规则被下到数据平面前实时解决冲突几乎不可能。
2. 调查冲突问题，并且识别由于规则冲突导致的新的隐蔽通道攻击
3. 提出covert channel defender (CCD)通过识别和解析规则冲突来阻止隐蔽通道攻击
4. CCD追踪来自控制器上运行的应用程序的规则插入和修改消息，分析规则的联系，在规则下发前实时解析任何已经识别的规则冲突

• 不足之处：

• 实验对比：在Floodlight上实现CCD，在真实的斯坦福网络中评估它的性能。CCD可以高效地检测和防止数据平面中的规则冲突，这可能会在数百微秒内引发隐蔽通道，并为数据包传输带来很小的开销。

  -----------------------------------------------------------

• 文章名称：A General Collaborative Framework for Modeling and Perceiving Distributed Network Behavior
• 发表时间：2016
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 解决问题：协同异常检测（CAD）
• 所做贡献：

1. 基于网络虚拟化技术开发统一的协作检测框架，提供通用方法可应用于为各种应用场景和目标设计特定方案
2. 为上述框架提出一种通用的行为感知模型，基于隐马尔可夫随机场

• 不足之处：

• 实验对比：广泛的模拟和一些真实的数据集被用于验证提出的解决方案

  -----------------------------------------------------------

• 文章名称：An Integrated Systematic Approach to Designing Enterprise Access Control
• 发表时间：2016
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 解决问题：访问控制
• 所做贡献：

1. 网络配置中人工干预不可避免会出错。集成的自顶向下的设计方案，它可以最大限度地减少实现基于可达性的访问控制的不必要的配置复杂性
2. 三种不同的网络元素：VLAN、IP、包过滤。方案通过系统地对一个元素的设计如何影响其他元素的复杂性进行建模，将这三个元素的设计集成到一个统一的框架中
3. 方案的设计不同于当前的分治法
4. 提出两个新的优化问题，并解决之

• 不足之处：

• 实验对比：在校园网中进行评估，方案可以有效减少包过滤复杂度和VLAN中继复杂度分别85% 和 70%，与运营商目前使用的ad hoc相比。

  -----------------------------------------------------------

• 文章名称：Efficient Network Security Policy Enforcement With Policy Space Analysis
• 发表时间：2016
• 期刊来源：IEEE/ACM Transactions on Networking
  
• 解决问题：安全策略
• 所做贡献：额外一个安全控制器

1. 将网络安全策略的实施建模为集合覆盖问题，设计一种基于计算几何的策略空间分析（PSA）工具用于安全策略的设置操作
2. 调查不同策略类型的拓扑特征，这些信息可揭示安全策略潜在的复杂性，指导执行方案的设计
3. 提出了一种范围明确的策略执行算法，该算法选择适度数量的网络节点以贪婪的方式部署多个策略子集

• 不足之处：

• 实验对比：评估PSA工具和算法的效率，PSA在安全策略设置操作上实现了更好的内存和时间效率。算法能够在合理数量的网络节点内，不引入许多额外规则之下，保证网络安全。

  -----------------------------------------------------------

• 文章名称：A First Step Toward Network Security Virtualization: From Concept To Prototype
• 发表时间：2015
• 期刊来源：IEEE Transactions on Information Forensics & Security
  
• 解决问题：网络安全虚拟化
• 所做贡献：
  • 一 提出网络安全虚拟化的概念：将安全功能和资源虚拟化同时将现有安全设备和中间件的使用最大化，并且花费最小的管理成本
  • 二 设计并实现一个原型系统NETSECVISOR，来验证上述概念：简单的脚本来注册安全策略和服务；基于不同的需求为不同的安全策略优化路由线路；对应安全事件的安全应答功能
• 不足之处：

• 实验对比：在虚拟网和商用网中实际测试，只增加了非常小的开销，同时为网络用户/管理员提供所需的网络安全虚拟化

  -----------------------------------------------------------

• 文章名称：An Effective Address Mutation Approach for Disrupting Reconnaissance Attacks
• 发表时间：2015
• 期刊来源：IEEE Transactions on Information Forensics & Security
  
• 解决问题：网络攻击------侦察攻击 Reconnaissance Attacks
• 所做贡献：提出地址随机化技术——随机主机地址突变mutation（RHM），使终端主机不可追踪，通过允许地址随机化高度不可预测和快速，并且适应对抗行为，同时产生低操作和重新配置开销来实现最大功效。
  • 一 通过将地址变异随机化建模为多级可满足性问题，在对手扫描中具有高度不确定性
  • 二 通过快速对抗性侦察模式特征来适应突变方案
  • 三 通过将突变从终端主机中分离并且通过网络应用来管理从而实现高突变率
  • 四 通过限制路由表的大小，保持端到端可达性以及有效处理重新配置更新来实现网络完整性，可管理性和性能
• 不足之处：

• 实验对比：RHM可有效抵御大量复杂的威胁模型，包括侦察，隐身/规避扫描方法和针对性攻击。 我们还在有效性和适用性方面解决了我们方法的局限性。

  -----------------------------------------------------------

• 文章名称：On the Fingerprinting of Software-Defined Networks
• 发表时间：2016
• 期刊来源：IEEE Transactions on Information Forensics & Security
  
• 解决问题：指纹攻击
• 所做贡献：
  • 一 研究了远程对手对控制器 - 交换机交互进行指纹识别的可行性，其目的是获取有关安装在交换机上的特定流规则的知识。 这些知识使对手能够更好地了解网络的数据包转发逻辑，并使网络面临许多威胁。
  • 二 使用包含OpenFlow硬件和软件交换机的真实SDN网络从全球各地的主机收集测量数据。 我们表明，通过利用来自RTT的信息和交换分组的分组对分散，SDN网络上的指纹攻击以极大的可能性成功。
  • 三 这些攻击不仅限于主动攻击者，也可以由仅监视与SDN网络交换的流量的被动攻击者安装。

  • 四 讨论这些攻击对SDN网络安全的影响，提出并评估加强SDN网络安全对抗指纹攻击的高效的对策。

    -----------------------------------------------------------

• 文章名称：A Collaborative DDoS Defence Framework Using Network Function Virtualization
• 发表时间：2017
• 期刊来源：IEEE Transactions on Information Forensics & Security
  
• 解决问题：DDoS攻击
• 所做贡献：
  • 一 使用NFV的DDoS防御机制CoFence，使同一个域内的网络能够资源共享

  • 二 设计资源共享机制使资源共享公平、高效、相互激励兼容

    -----------------------------------------------------------

• 文章名称：Packet Injection Attack and Its Defense in Software-Defined Networks
• 发表时间：2018
• 期刊来源：IEEE Transactions on Information Forensics & Security
  
• 解决问题：包注入攻击和防御
• 所做贡献：PacketChecker，SDN控制器上的轻量级扩展模块
• 大类：SDN控制平面安全防御

• 实验对比：在Floodlight上实现原型，实验表明，PacketChecker模块可以有效地缓解攻击，并且对SDN控制器的开销很小

  -----------------------------------------------------------

• 文章名称：Realtime DDoS Defense Using COTS SDN Switches via Adaptive Correlation Analysis
• 发表时间：2018
• 期刊来源：IEEE Transactions on Information Forensics & Security
  
• 解决问题：DDoS攻击，特别是，由低速率和短期良性流量构建的新兴的复杂DDoS攻击（例如，Crossfire）捕获更具挑战性。
• 所做贡献：建议实时增强反DDoS行动（RADAR）
  • 一 通过基于未经修改的商业现货SDN交换机的自适应相关分析来检测和遏制DDoS攻击。既不需要修改SDN交换机或协议，也不需要修改应用，就可以有效抵御大量的泛洪类拒绝服务攻击。
  • 二 通过识别可疑流中的攻击特征来准确地检测攻击，并通过自适应相关分析找到攻击者（或受害者）以限制攻击流量。
• 大类：SDN控制平面安全防御

• 实验对比：Floodlight实现原型，并在硬件设备上测试（非软件模拟）

  -----------------------------------------------------------

• 文章名称：User-Level Runtime Security Auditing for the Cloud
• 发表时间：2018
• 期刊来源：IEEE Transactions on Information Forensics & Security
  
• 解决问题：安全审计
• 所做贡献：
  • 一 为云提供一种运行时runtime的安全审计框架，能够特别关注于用户级方访问控制和认证机制
• 不足之处：

• 实验对比：基于OpenStack实现

  -----------------------------------------------------------

• 文章名称：Privacy-Preserving DDoS Attack Detection Using Cross-Domain Traffic in Software Defined Networks
• 发表时间：2018
• 期刊来源：IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS
  
• 解决问题：DDoS攻击
• 所做贡献：
  • 一 针对SDN的私有的跨域攻击检测方案，Predis，结合扰动加密和数据加密来保护隐私
  • 二 采用计算简单且有效的算法k-Nearest Neighbors（kNN）作为其检测算法
  • 三 总结了现有DDoS攻击检测方法

• 大类：SDN安全攻防

  -----------------------------------------------------------

• 文章名称：Authentication Handover and Privacy Protection in 5G HetNets Using Software-Defined Networking
• 发表时间：2015
• 期刊来源：IEEE Communications Magazine
• 解决问题：安全应用
• 所做贡献：
  • 一 回顾相关研究并将SDN引入5G作为平台，以实现高效的身份验证移交和隐私保护
  • 二 通过在相关接入点之间共享用户相关的安全上下文信息，通过全球管理5G HetNets来简化认证切换。

• 大类：SDN应用于安全

  -----------------------------------------------------------

• 文章名称：【综述】Distributed Denial of Service Attacks in Software-Defined Networking with Cloud Computing
• 发表时间：2015
• 期刊来源：IEEE Communications Magazine
• 解决问题：DDoS攻击
• 所做贡献：
  • 一 SDN为我们提供了一个新的机会在云计算环境下抵御DDoS攻击
  • 二 研究SDN中的DDoS攻击和利用SDN的优势来防御

• 大类：SDN安全攻防

  -----------------------------------------------------------

• 文章名称：【综述】Securing Software Defined Networks: Taxonomy, Requirements, and Open Issues
• 发表时间：2015
• 期刊来源：IEEE Communications Magazine
• 解决问题：安全机制

• 所做贡献：讨论了最先进的SDN安全解决方案，根据SDN三层架构和南北向接口进行分类，并列出不同层的安全攻击和威胁

  -----------------------------------------------------------

• 文章名称：【综述】SOFTWARE-DEFINED NETWORKING SECURITY: PROS AND CONS
• 发表时间：2015
• 期刊来源：IEEE Communications Magazine
• 解决问题：安全机制

• 所做贡献：讨论SDN带来安全上的提升（全局视野、自愈机制、增强的控制能力），描述SDN面临的安全威胁（按数据转发平面和控制平面分类）和解决方法

  -----------------------------------------------------------

• 文章名称：Inter-Domain Networking Innovation on Steroids: Empowering IXPs with SDN Capabilities
• 发表时间：2016
• 期刊来源：IEEE Communications Magazine
• 解决问题：安全应用

• 所做贡献：将SDN用于Internet exchange points (IXPs)

  -----------------------------------------------------------

• 文章名称：【综述】An SDN/NFV-Enabled Enterprise Network Architecture Offering Fine-Grained Security Policy Enforcement
• 发表时间：2017
• 期刊来源：IEEE Communications Magazine
• 解决问题：安全策略执行--将SDN和NFV整合入企业网络

• 所做贡献：动态资源分配，以使安全措施适应当前的网络条件，介绍将基于SDN / NFV的安全解决方案（防火墙为例）集成到企业网络中的不同架构设计模式。从传统的企业网络架构到SDN和NFV增强型的企业网络架构，以基于SDN/NFV的防火墙为例，介绍设计和安全挑战

  -----------------------------------------------------------

• 文章名称：【综述】Defense Mechanisms Against DDoS Attacks in SDN Environment
• 发表时间：2017
• 期刊来源：IEEE Communications Magazine
• 解决问题：安全攻击

• 所做贡献：阐述SDN防御DDoS攻击的机制，包括5个DDoS攻击场景和解决方案介绍

  -----------------------------------------------------------

• 文章名称：DistBlockNet: A Distributed Blockchains-Based Secure SDN Architecture for IoT Networks
• 发表时间：2017
• 期刊来源：IEEE Communications Magazine
• 解决问题：安全应用

• 所做贡献：使用区块链技术（DistBlockNet）的物联网分布式安全SDN架构（图1架构总览），结合SDN和区块链技术的物联网架构，能够以低性能开销实时检测物联网网络中的攻击，并满足未来物联网网络所需的设计原则

  -----------------------------------------------------------

• 文章名称：Scalantrality Measure on Software-Defned Networks
• 发表时间：2017
• 期刊来源：IEEE Communications Magazine
• 解决问题：安全应用

• 所做贡献：如何使用SDN实现可扩展的流量测量。在交换机中采集分析包数据，更多的是将网络流量监控采样用于安全的问题。

  -----------------------------------------------------------

• 文章名称：【综述】Securing Internet of Things (IoT) with Software Defned Networking (SDN)
• 发表时间：2017
• 期刊来源：IEEE Communications Magazine
• 解决问题：安全应用

• 所做贡献：SDN如何加强物联网的安全。根据不同的安全需求选择最适合的安全机制。一种基于角色的安全控制器

  -----------------------------------------------------------

• 文章名称：
• 发表时间：201
• 期刊来源：IEEE Communications Magazine
• 解决问题：

• 所做贡献：

  -----------------------------------------------------------

• 文章名称：
• 发表时间：201
• 期刊来源：IEEE Communications Magazine
• 解决问题：

• 所做贡献：

  -----------------------------------------------------------

• 文章名称：
• 发表时间：201
• 期刊来源：IEEE Communications Magazine
• 解决问题：

• 所做贡献：

  -----------------------------------------------------------

• 文章名称：
• 发表时间：201
• 期刊来源：IEEE Communications Magazine
• 解决问题：

• 所做贡献：

  -----------------------------------------------------------

• 文章名称：
• 发表时间：201
• 期刊来源：IEEE Communications Magazine
• 解决问题：

• 所做贡献：

  -----------------------------------------------------------

转载于:https://www.cnblogs.com/fjlinww/p/9643082.html