CN106529283B - 一种面向软件定义网络的控制器安全性定量分析方法 - Google Patents
一种面向软件定义网络的控制器安全性定量分析方法 Download PDFInfo
- Publication number
- CN106529283B CN106529283B CN201610870908.7A CN201610870908A CN106529283B CN 106529283 B CN106529283 B CN 106529283B CN 201610870908 A CN201610870908 A CN 201610870908A CN 106529283 B CN106529283 B CN 106529283B
- Authority
- CN
- China
- Prior art keywords
- controller
- value
- quantitative analysis
- resource
- collection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3612—Software analysis for verifying properties of programs by runtime analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种面向软件定义网络的控制器安全性定量分析方法,克服了现有技术中,网络环境中控制器的实用性和指导性有所欠缺的问题。该发明包括:对控制器源码进行预处理,筛选出需要进行量化分析的代码模块;根据代码模块生成所有入口点和出口点函数的调用图,从图中得出每个入口点和出口点的前置和后置序列数;将源码插装编译并执行,监控执行过程,根据生成的调用图得出协议接口、数据项资源的前置和后置序列数;根据前置和后置序列数,计算入口点、出口点、协议接口,数据项资源的TE值;对得到的TE值加权计算得到控制器脆弱集的TE值。本发明分析不同类型控制器的安全性,为控制器的选择和安全开发提供参考。
Description
技术领域
本发明涉及一种开源计算机软件安全性定量分析方法,特别是涉及一种面向软件定义网络的控制器安全性定量分析方法。
背景技术
软件定义网络(Software Defined Network,SDN)的控制转发互相分离、虚拟化、动态可编程三大优势使其成为解决当前网络难题的首选。当前开源及商业控制器普遍基于模块化设计,使用虚拟化的方法实现,不仅控制器的基本架构有所差异,并且由于实现虚拟化控制器所用的编程语言不同,如NOX使用C++实现,POX、Ryu使用Python,Floodlight和OpenDaylight使用Java等,导致不同类型控制器在性能、安全性上存在较大差异。如Floodlight控制器的北向REST API实现中未对资源加以认证保护导致攻击者可以利用该漏洞实现对控制器的越权访问。攻击者通过对控制器流表的篡改,可以造成全网的拒绝服务,或者将流表目的地址修改为特定的目标,实现目标的信息窃取等。
因此如何对已有的控制器进行安全性度量比较,选择符合用户安全需求的控制器成为SDN组网的重要前提。当前针对控制器的安全性分析主要通过定性的方法进行,如分析控制器与交换机之间是否采用认证和加密算法,分析控制器北向REST API访问是否采用访问控制机制,分析控制器应用程序执行环境是否采用沙箱隔离机制等等。但是,上述方法仅能够定性分析控制器所采用的安全机制,无法比较不同安全机制下控制器的安全性。此外,由于控制器和上述安全机制均是通过编程实现的软件产品,上述方法也无法确定安全机制在代码实现中是否存在脆弱性。
因此对不同控制器的安全性进行比较仍然可以采用传统的软件安全性比较方法,如使用软件漏洞检测的方法,比如源码审计工具Coverity、动态漏洞检测工具BitBlaze等,通过检测不同控制器的漏洞数目和漏洞威胁等级,比较控制器之间的安全性。但是该方法存在以下两个方面的不足:(1)同一个漏洞在不同的攻击者手中可能产生不同的攻击效果,漏洞威胁等级无法准确评估;(2)漏洞数目与漏洞威胁之间无法建立对应的量化关系,如100个中等威胁等级的漏洞与1个高危等级的漏洞无法实现定性和定量的比较。因此无法通过上述依赖于漏洞检测的方法对待测软件进行准确的安全性评估。
对此微软Michael提出使用相对攻击面熵值计算法(Relative Attack SurfaceQuotient,RASQ)度量系统的安全性,具体做法是:首先根据经验确定Windows中常被用于攻击的进程、服务等,如open sockets、动态web页面、用户账户管理;Michael定义20个攻击向量,然后为每个攻击向量中的元素根据经验赋予一定的权值;最后对每个攻击向量计算元素加权值,将所有攻击向量权值累加即可得到系统安全性的量化值。
由于RASQ的方法在选择攻击向量和对攻击向量进行赋值时过度的依赖经验,并且仅能用于操作系统安全性度量中,因此Manadhata等对RASQ进行改进,提出攻击面的量化度量方法。与RASQ方法相比,该方法在攻击向量的选择和攻击向量赋值方面不再依赖经验,度量结果更加的客观,通用性更强。但是上述方法根据操作系统的安全机制度量应用软件的脆弱性,未对应用软件本身的安全性进行量化度量,并且上述方法没有针对攻击类型进行分析,实用性和指导性有所欠缺,如某种网络环境中需要控制器具备很强的抗拒绝服务攻击的能力,那么用上述方法无法完成安全性度量。
发明内容
本发明克服了现有技术中,网络环境中控制器的实用性和指导性有所欠缺的问题,提供一种度量结果更加客观,通用性更强的面向软件定义网络的控制器安全性定量分析方法。
本发明的技术解决方案是,提供一种具有以下步骤的面向软件定义网络的控制器安全性定量分析方法:包括下述步骤:
1)对控制器源码进行预处理,筛选出需要进行量化分析的代码模块;
2)根据1)中代码模块生成所有入口点和出口点函数的调用图,从图中得出每个入口点和出口点的前置和后置序列数;
3)将源码插装编译并执行,监控执行过程,根据2)中生成的调用图得出协议接口、数据项资源的前置和后置序列数;
4)根据2)和3)中的前置和后置序列数,计算入口点、出口点、协议接口,以及数据项资源的TE值;
5)对4)中得到的TE值加权计算得到控制器脆弱集的TE值。
在1)中保被测控制器是开源的,根据被测对象的主进程、核心组件或者根据定量分析的目标选择代码模块进行后续的分析,定量分析的目标为针对特定组件进行定量分析。
在2)中,调用图使用第三方IDE环境,如PyChar、Eclipse手动构建,或者通过编写脚本程序,自动搜索完成;入口点包含直接入口点和间接入口点,出口点包含直接出口点和间接出口点。
在3)中,需要修改或者在源码特定位置添加监控代码,编译执行后,动态跟踪控制器执行过程中使用的协议接口和访问的数据资源;协议接口是南向协议所采用的通信接口,数据资源是指全网拓扑结构和流表。在4)和5)中,TE值是根据后置序列数与前置序列数的比值得到的,并且加权计算脆弱集的TE值时,将入口点、出口点、协议接口、数据资源的权值均设为1。
与现有技术相比,本发明面向软件定义网络的控制器安全性定量分析方法具有以下优点:本发明提出一种基于Threat/Effort模型(以下简称TE模型)的控制器脆弱性定量分析方法,与RASQ和改进的RASQ方法相比,TE模型不依赖于控制器底层操作系统的安全机制,而是从控制器的代码实现定量分析控制器的脆弱性。TE模型对被测对象的入口和出口进行形式化建模,定义控制器资源的前置和后置条件,根据条件量化计算每个资源的TE值,加权得出控制器的脆弱性量化值。同时本发明引入攻击指数,在量化评估中计算控制器的攻击指数可以分析不同控制器的抗拒绝服务攻击的能力。
本发明面向软件定义网络的控制器安全性定量分析方法,根据控制器的脆弱集模型,从控制器的代码实现定量分析控制器的脆弱性。与当前定性分析的方法相比,该方法可以得到量化的具体值,评价标准更加详实可靠。
本发明面向软件定义网络的控制器安全性定量分析方法,不仅可以分析不同类型控制器的安全性,对同一控制器的不同版本也可以提供量化的分析,可以同时为控制器的选择和控制器的安全开发提供参考。
附图说明
图1是本发明面向软件定义网络的控制器安全性定量分析方法中控制器脆弱集量化度量的流程图;
图2是本发明面向软件定义网络的控制器安全性定量分析方法中出/入口点TE值计算流程图;
图3是本发明面向软件定义网络的控制器安全性定量分析方法中协议接口、数据资源TE值计算流程图;
图4是本发明面向软件定义网络的控制器安全性定量分析方法中直接入口点函数与数据流向关系图;
图5是本发明面向软件定义网络的控制器安全性定量分析方法中间接入口点函数与数据流向关系图。
具体实施方式
下面结合附图和具体实施方式对本发明面向软件定义网络的控制器安全性定量分析方法作进一步说明:
实施例一:参见图1,本发明具体包括下述步骤:
1)对控制器源码进行预处理,筛选出需要进行量化分析的代码模块;
2)根据1)中代码模块生成所有入口点和出口点函数的调用图,从图中得出每个入口点和出口点的前置和后置序列数;
3)将源码插装编译并执行,监控执行过程,根据2)中生成的调用图得出协议接口、数据项资源的前置和后置序列数;
4)根据2)和3)中的前置和后置序列数,计算入口点、出口点、协议接口,以及数据项资源的TE值;
5)对4)中得到的TE值加权计算得到控制器脆弱集的TE值。
在2)中,选择的源码中不存在间接入口点和间接出口点,生成的调用图数目相对少,计算TE值更加快速。
在3)中,无循环路径存在,不需要经过重复节点复制的过程即可完成调用图的生成。
所述的面向软件定义网络的控制器安全性定量分析方法,包括:
步骤一:删除源码中的非核心代码,从筛选后的源码中按照入口点和出口点的定义扫描代码,提取满足条件的入口点和出口点;
步骤二:按照函数调用图生成方法从提取到的入口点和出口点生成调用图,从图中计算得到前置和后置序列数,按照公式计算TE值;
步骤三:监控编译后的控制器执行过程,根据协议格式筛选得到协议接口和数据资源的访问情况,根据步骤二中生成的调用图,得到二者的前置和后置序列数,再次按照公式计算TE值;
步骤四:根据步骤二和步骤三的TE值计算结果,按照加权公式得到控制器脆弱集的TE值。
下面详细说明步骤一、步骤二、步骤三、步骤四所包含的相关内容:
(一)步骤一:
从筛选后的源码中提取入口点和出口点,需要根据入口点和出口点的定义进行。二者的定义如下:
使用C表示SDN控制器的集合,对于给定控制器c,c∈C,定义控制器c的网络环境为Nc,Nc=<U,D,T>,其中集合U表示用户集,集合D表示数据集,集合T表示集合C中除去c外的子集,即T=C/{c}。需要指出的是在SDN网络中,U中的元素可能为主机,也可能是交换机,D可能为流表、拓扑等信息,T表示与该控制器相连的所有控制器,攻击者通过控制U实施攻击行为。
定义控制器源代码中负责接收(直接或间接)网络输入的API函数为系统的入口点。对于该API函数a,存在直接入口点和间接入口点两种类型。
1.直接入口点
对于控制器c,以下三种情况下称c直接从网络中接收数据:(1)用户U(图4(A))或者控制器c'(图4(B))调用函数a,并且将数据项d(d∈D)输入到a中;(2)函数a从数据集合D中直接读取数据(图4(C));(3)a调用控制器c'的函数,从被调函数的返回值中得到数据项d(如图4(D))。
定义1.直接入口点:定义控制器c的输入函数为a,当a至少满足下面三个条件之一时称a为c的直接入口点:(1)用户U包含输出函数a(图4(A));(2)控制器c'(c'∈T)包含输出函数a(图4(B)和图4(D));(3)数据集合D包含输出函数a(图4(C))。
2.间接入口点
对于控制器c,以下两种情况下称c间接的从网络中接收数据:(1)控制器c中存在函数a1,a1直接从SDN网络中接收数据项d,并将其作为函数a的输入传递给a(图5(A)),或者a接收a1的返回值d作为输入(图5(B));(2)控制器c中存在函数a2,a2间接的从SDN网络中接收数据项d,并将其作为函数a的输入传递给a(图5(C)),或者a接收a2的返回值d作为输入(图5(D));例如对于控制器负责认证的函数,其接收用户的登陆信息,但是将该登陆信息传递给认证模块的其它函数进行处理,此时该函数即为系统的一个间接入口点。
对于控制器c,输入函数a,如果a直接接收网络输入的数据项d,并且a的后续函数依赖于d的值,那么d属于函数a的后置条件,表示为d∈Res(a.post),其中符号Res(p)表示函数p包含的资源集合。
定义2.间接入口点:控制器c的内部函数a,当a至少满足下述两个条件之一时称a为c的间接入口点:(1)存在直接入口点a1,并且存在数据项d,d∈Res(a1.post)∧d∈Res(a.pre)(图5(A)和图5(B));(2)存在间接入口点a2,并且存在数据项d,d∈Res(a2.post)∧d∈Res(a.pre)(图5(C)和图5(D))。控制器c的入口点集合是直接入口点和间接入口点的合集。
类似的可以给出直接出口点和间接出口点的定义,如下。
定义3.直接出口点:控制器c的输出函数a,当函数a至少满足下述三个条件之一时称a为c的直接出口点:(1)用户U调用输出函数a;(2)控制器c'(c'∈T)调用输出函数a;(3)数据集合D调用输出函数a。
定义4.间接出口点:控制器c的中间函数a,当函数a至少满足下述两个条件之一时称a为c的间接出口点:(1)存在直接输出点a1,满足并且存在数据项d,d∈Res(a.post)∧Res(a1.pre);(2)存在间接输出点a2,满足并且存在数据项d,d∈Res(a.post)∧Res(a2.pre)。控制器c的输出点集合为直接输出点和间接输出点的合集。
通常攻击者利用控制器资源集合的子集完成对控制器的攻击,如利用控制器的入口点、出口点、协议,以及数据资源向控制器发送数据或者从控制器中窃取数据。因此控制器的脆弱集是由入口点集合、出口点集合、协议集合,以及数据资源集合构成。
(二)步骤二:
生成入口点和出口点的调用图,得到前置和后置序列数,计算TE值。TE值的计算需要根据如下定义进行。
定义5.给定控制器c,网络环境Nc,则c的脆弱集可用以下三元组表示,其中是入口点和出口点集合,是协议接口集合,是数据资源集合。
因此,对于同一控制器的两个版本或者两个功能相似的控制器,比较上述三元组的大小可以得出二者安全性差异。
为实现脆弱集的量化度量,本发明引入经济学中的效费比模型(即TE模型)对控制器资源的脆弱集进行度量。效费比包含两个方面:一是攻击者利用该资源能够对控制器造成的损害大小(即threat,T值,用r.th表示),二是攻击者为获取该资源需要付出的努力程度(即effort,E值,r.ef),前者越高,同时后者越低,那么该资源对控制器的安全威胁越大。本发明使用全序符号>表示资源对脆弱集影响的大小,对于两个资源r1和r2,如果前者对脆弱集的影响比后者大,那么二者的效费比关系可以表示为r1>r2。
定义6.资源TE值定义:给定控制器c,以及c的两个资源r1和r2,当且仅当满足下述三个条件之一时r1≥r2成立:
(1)r1.th≥r2.th∧r2.ef≥r1.ef;
(2)r1.th=r2.th∧r2.ef≥r1.ef;
(3)r1.th≥r2.th∧r2.ef=r1.ef;
将定义8与控制器脆弱集三元组结合,可得到如下定义。
定义7.脆弱集TE值定义:给定控制器c,其中的两个函数a1和a2,两个协议接口p1和p2,两个数据项d1和d2,属性at∈{th,ef},当且仅当满足下述三个条件之一时<a1,p1,d1>><a2,p2,d2>成立:
(1)a1.at>a2.at∧p1.at≥p2.at∧d1.at≥d2.at;
(2)a1.at≥a2.at∧p1.at>p2.at∧d1.at≥d2.at;
(3)a1.at≥a2.at∧p1.at≥p2.at∧d1.at>d2.at。
根据脆弱集只能对给定的两个控制器做出定性的判断,如一个控制器的脆弱集相对于另一个来说较大,无法对控制器脆弱集给出定量的度量。需要给出基于TE模型的效费比计算方法,据此实现控制器脆弱性的定量度量。
如果攻击者获得了对高权限函数的访问权,那么攻击者能对控制器造成的威胁会更大。因此,从攻击者的角度看,付出更多以获取具有高权限的资源是值得的。因此,使用效费比可以刻画资源对脆弱集的影响程度,控制器的TE值表示为其中η也称资源的效费比。
定义映射函数dera:api→η,完成函数到效费比的映射。在实际计算时资源的效费比时需要对资源的属性赋值,通常是具体的数值。例如计算一个函数的效费比可以通过函数优先级以及访问权限对函数赋予一定的数值,具有较高权限的函数赋值大于较低权限的函数。
前置和后置序列数的计算可以按照下述方法进行。
在控制器脆弱集中,函数a的T值是其后置条件,T值描述了函数a可以调用的其它函数的数目,即函数调用序列中位于a后的函数数目,因此在一定程度上可以表示函数a对脆弱集的贡献,T值越大,a可以调用的函数越多,这种序列也越多。类似的,函数a的E值描述了可以调用函数a的其它函数的数目,即在函数调用序列中位于a之前的,可以直接调用a的函数,这种序列越多,函数a的E值就越少。因此a的效费比可以由函数a所在序列的序列数决定,对于函数a1和a2,dera(a1)>dera(a2)表示函数a1出现的序列数多于a2。
(三)步骤三:
监控编译后的控制器执行过程,得到协议接口和数据资源的访问情况,根据步骤二中生成的调用图,得到二者的前置和后置序列数,计算TE值;
对于协议接口p,如果p出现在函数a1,2,...,n的前置条件中,那么p的T值可以用n表示,如果a1,2,...,n出现在p的前置条件中,那么p的E值也可以用n表示。对于数据项d的效费比计算也可以采用类似的方法。
(四)步骤四:
根据步骤二和步骤三的TE值计算结果,加权得到控制器脆弱集的TE值。计算加权TE值需要根据如下定义进行。
定义8.给定控制器c,其脆弱集为则控制器c的脆弱集量化值为
根据定义8即可完成控制器脆弱集的TE值加权计算。
Claims (5)
1.一种面向软件定义网络的控制器安全性定量分析方法,其特征是:包括下述步骤:
1)对控制器源码进行预处理,筛选出需要进行量化分析的代码模块;
2)根据1)中代码模块生成所有入口点和出口点函数的调用图,从图中得出每个入口点和出口点的前置和后置序列数;
3)将源码插装编译并执行,监控执行过程,根据2)中生成的调用图得出协议接口、数据项资源的前置和后置序列数;
4)根据2)和3)中的前置和后置序列数,计算入口点、出口点、协议接口,以及数据项资源的TE值;
TE值定义:
为实现脆弱集的量化度量,引入经济学中的效费比模型对控制器资源的脆弱集进行度量,效费比包含两个方面:一是攻击者利用该资源能够对控制器造成的损害大小,即threat,T值,用r.th表示;二是攻击者为获取该资源需要付出的努力程度,即effort,E值,r.ef;前者越高,同时后者越低,那么该资源对控制器的安全威胁越大;
资源TE值定义:
给定控制器c,以及c的两个资源r1和r2,当且仅当满足下述三个条件之一时r1≥r2成立:
(1)r1.th≥r2.th∧r2.ef≥r1.ef;
(2)r1.th=r2.th∧r2.ef≥r1.ef;
(3)r1.th≥r2.th∧r2.ef=r1.ef;
5)对4)中得到的TE值加权计算得到控制器脆弱集的TE值;
脆弱集定义:
给定控制器c,网络环境Nc,则c的脆弱集可用以下三元组表示,其中是入口点和出口点集合,是协议接口集合,是数据资源集合;
脆弱集TE值定义:
给定控制器c,其中的两个函数a1和a2,两个协议接口p1和p2,两个数据项d1和d2,属性at∈{th,ef},当且仅当满足下述三个条件之一时<a1,p1,d1>><a2,p2,d2>成立:
(1)a1.at>a2.at∧p1.at≥p2.at∧d1.at≥d2.at;
(2)a1.at≥a2.at∧p1.at>p2.at∧d1.at≥d2.at;
(3)a1.at≥a2.at∧p1.at≥p2.at∧d1.at>d2.at。
2.根据权利要求1所述的面向软件定义网络的控制器安全性定量分析方法,其特征是,在1)中被测控制器是开源的,根据被测对象的主进程、核心组件或者根据定量分析的目标选择代码模块进行后续的分析,定量分析的目标为针对特定组件进行定量分析。
3.根据权利要求1所述的面向软件定义网络的控制器安全性定量分析方法,其特征是,在2)中,调用图使用第三方IDE环境,或者通过编写脚本程序,自动搜索完成;入口点包含直接入口点和间接入口点,出口点包含直接出口点和间接出口点。
4.根据权利要求1所述的面向软件定义网络的控制器安全性定量分析方法,其特征是,在3)中,需要修改或者在源码特定位置添加监控代码,编译执行后,动态跟踪控制器执行过程中使用的协议接口和访问的数据资源;协议接口是南向协议所采用的通信接口,数据资源是指全网拓扑结构和流表。
5.根据权利要求1所述的面向软件定义网络的控制器安全性定量分析方法,其特征是,在4)和5)中,TE值是根据后置序列数与前置序列数的比值得到的,并且加权计算脆弱集的TE值时,将入口点、出口点、协议接口、数据资源的权值均设为1。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610870908.7A CN106529283B (zh) | 2016-09-30 | 2016-09-30 | 一种面向软件定义网络的控制器安全性定量分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610870908.7A CN106529283B (zh) | 2016-09-30 | 2016-09-30 | 一种面向软件定义网络的控制器安全性定量分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106529283A CN106529283A (zh) | 2017-03-22 |
CN106529283B true CN106529283B (zh) | 2019-05-21 |
Family
ID=58331188
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610870908.7A Active CN106529283B (zh) | 2016-09-30 | 2016-09-30 | 一种面向软件定义网络的控制器安全性定量分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106529283B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107392029B (zh) * | 2017-07-28 | 2020-07-07 | 中国人民解放军63928部队 | 一种基于化学抽象机的脆弱性模型构建方法 |
CN108255721A (zh) * | 2018-01-12 | 2018-07-06 | 深圳市海派通讯科技有限公司 | 智能终端编译脚本预插值结果分析的方法、系统及存储介质 |
CN108881272B (zh) * | 2018-07-04 | 2021-02-19 | 中国人民解放军战略支援部队信息工程大学 | 一种适用于冗余信息系统的攻击面建模方法及装置 |
CN109005157B (zh) * | 2018-07-09 | 2020-07-10 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与系统 |
CN113271344A (zh) * | 2021-04-30 | 2021-08-17 | 中国人民解放军战略支援部队信息工程大学 | 一种基于访问控制的sdn应用程序安全管理方法及架构 |
CN113542054B (zh) * | 2021-06-15 | 2023-04-28 | 南京航空航天大学 | 一种面向sdn的移动网络可靠性评估及加固方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103326946A (zh) * | 2013-07-02 | 2013-09-25 | 中国(南京)未来网络产业创新中心 | 一种基于OpenFlow的SVC流媒体传输优化方法 |
CN104753713A (zh) * | 2013-12-31 | 2015-07-01 | 华为技术有限公司 | 一种sdn部署业务的方法和sdn控制器 |
CN105024939A (zh) * | 2015-06-29 | 2015-11-04 | 南京邮电大学 | 一种基于OpenFlow的SDN网络环境下分布式控制器系统 |
CN105515844A (zh) * | 2015-12-01 | 2016-04-20 | 国家电网公司 | 一种提高软件定义网络可靠性的系统 |
-
2016
- 2016-09-30 CN CN201610870908.7A patent/CN106529283B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103326946A (zh) * | 2013-07-02 | 2013-09-25 | 中国(南京)未来网络产业创新中心 | 一种基于OpenFlow的SVC流媒体传输优化方法 |
CN104753713A (zh) * | 2013-12-31 | 2015-07-01 | 华为技术有限公司 | 一种sdn部署业务的方法和sdn控制器 |
CN105024939A (zh) * | 2015-06-29 | 2015-11-04 | 南京邮电大学 | 一种基于OpenFlow的SDN网络环境下分布式控制器系统 |
CN105515844A (zh) * | 2015-12-01 | 2016-04-20 | 国家电网公司 | 一种提高软件定义网络可靠性的系统 |
Non-Patent Citations (3)
Title |
---|
"Qualitative comparison of open‐source SDN controllers";Bondkovskii A, Keeney J,etal.;《2016 IEEE/IFIP Network Operations and Management Symposium, ser. NOMS ‘16. Istanbul, Turkey》;20160429;page889–894. * |
"SDN controllers: a comparative study";Salman, O., Elhajj, I.H.,etal.;《Proceedings of the 18th Mediterranean Electrotechnical Conference (MELECON)》;20160420;page1-6. * |
"基于OpenFlow 南向协议的SDN 控制器性能测试方法及定量分析";张攀 等;《信息通信技术》;20160228(第1期);第28-36页 * |
Also Published As
Publication number | Publication date |
---|---|
CN106529283A (zh) | 2017-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106529283B (zh) | 一种面向软件定义网络的控制器安全性定量分析方法 | |
CN110958220B (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
Cheng et al. | Orpheus: Enforcing cyber-physical execution semantics to defend against data-oriented attacks | |
Sommestad et al. | The cyber security modeling language: A tool for assessing the vulnerability of enterprise system architectures | |
US20220078210A1 (en) | System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces | |
CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US10380008B2 (en) | Identifying implicit assumptions associated with a software product | |
KR102017756B1 (ko) | 이상행위 탐지 장치 및 방법 | |
US8413237B2 (en) | Methods of simulating vulnerability | |
CN109831465A (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
US20170213037A1 (en) | Security risk scoring of an application | |
Doynikova et al. | CVSS-based probabilistic risk assessment for cyber situational awareness and countermeasure selection | |
CN105893848A (zh) | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 | |
US20140380485A1 (en) | Methods and systems for use in analyzing cyber-security threats in an aviation platform | |
Ferrara et al. | Security analysis of the OWASP benchmark with Julia | |
CN103036730A (zh) | 一种对协议实现进行安全测试的方法及装置 | |
Cheng et al. | Checking is believing: Event-aware program anomaly detection in cyber-physical systems | |
US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
CN103927483A (zh) | 用于检测恶意程序的判定模型及恶意程序的检测方法 | |
CN108985061A (zh) | 一种基于模型融合的webshell检测方法 | |
US11916964B2 (en) | Dynamic, runtime application programming interface parameter labeling, flow parameter tracking and security policy enforcement using API call graph | |
WO2021216163A2 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
US20190361788A1 (en) | Interactive analysis of a security specification | |
Zalewski et al. | Threat modeling for security assessment in cyberphysical systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |