MNOS：拟态网络操作系统设计与实现

作     者：王禛鹏 扈红超 程国振 Wang Zhenpeng;Hu Hongchao;Cheng Guozhen

作者机构：国家数字交换系统工程技术研究中心郑州450003 

出 版 物：《计算机研究与发展》 (Journal of Computer Research and Development)

年 卷 期：2017年第54卷第10期

页      面：2321-2333页

核心收录：

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金项目(61309020,61602509) 国家自然科学基金创新群体项目(61521003) 国家重点研发计划项目(2016YFB0800100,2016YFB0800101) 河南省科技攻关项目(172102210615,172102210441)~~ 

主　　题：软件定义网络 主动防御 拟态安全防御 动态异构冗余 网络操作系统 

摘      要：控制层的漏洞利用攻击,如恶意APP、流表篡改等是软件定义网络(software defined networking,SDN)面临的主要威胁之一,而传统基于漏洞修复技术的防御策略无法应对未知漏洞或后门.提出一种基于拟态防御思想的网络操作系统安全架构——拟态网络操作系统(mimic network operating system,MNOS)——保障SDN控制层安全.该架构采用异构冗余的网络操作系统(network operating system,NOS),并在传统的SDN数据层和控制层间增设了拟态层,实现动态调度功能.首先拟态层动态选取若干NOS作为激活态并行提供服务,然后根据各NOS的处理结果决定最终的有效响应返回底层交换机.实验评估表明:在增加有限的时延开销下,MNOS可以有效降低SDN控制层被成功攻击的概率,并具备良好的容错/容侵能力;在此基础上,提出的选调策略和判决机制,可以有效提升系统的异构度和判决的准确性,进一步提升安全性能.