天地一体化网络中深度包检测应用开发

摘要

天地一体化网络具有结构复杂、链路质量较差和网络拓扑结构动态变化等特点，通常使用延迟容忍网络(Delay Tolerant Network，DTN)协议实现互联互通。天地一体化网络是一种高度开放的无线网络，要面对更多的安全隐患与挑战。深度包检测技术(Deep Packet Inspection，DPI)能够利用网络协议的高度规则性快速探测攻击的存在，在网络安全方面具有较高的实用性，但在天地一体化网络中针对空间网络协议还没有成熟的应用研究。由此，开展天地一体化网络中深度包检测的应用研究具有实际意义。
　　本文以实验室承担的国家863计划课题“未来一体化标识网络关键技术和示范”(NO.2015AA015702)为依托，基于课题组搭建的采用DTN架构的天地一体化网络原型系统，设计并实现了基于nDPI的DTN协议深度包检测系统，完成了DTN协议深度包检测系统在天地一体化网络环境中的应用效果验证。
　　本文基于nDPI开源平台实现了DTN协议深度包检测系统的开发，在开源平台原有框架的基础上完成了模块拓展和适应性开发，系统主要包括预处理，协议检测，规则分析和响应报警四大模块。其中，协议检测模块作为核心模块，针对DTN增加了汇聚层和包裹层的检测过程，汇聚层检测实现了TCP汇聚层协议(TCP Convergence-Layer Protocol，TCPCL)和Licklider传输协议(Licklider Transmission Protocol，LTP)的消息识别和状态检测功能，包裹层检测实现了包裹协议(Bundle Protocol)的解析和有效载荷检测的功能。消息识别与状态检测功能模块的联动能够实现对DTN汇聚层协议异常交互的有效识别，从而检测出恶意流量，Bundle协议解析和有效载荷检测能够实现对恶意和敏感载荷的检测。
　　为验证本文实现的DTN协议深度包检测系统在天地一体化网络中的应用效果，本文基于863课题组搭建的原型系统设计了地面恶意攻击、空间恶意攻击和恶意负载三种攻击检测实验场景。验证了本文设计的DTN协议深度包检测系统在天地一体化网络中能够实现对端口扫描攻击、拒绝服务攻击、DDoS攻击、蠕虫病毒恶意载荷以及敏感词载荷的有效检测。

目录

声明

致谢

摘要

1 引言

1．1 研究背景及意义

1．2 国内外研究现状

1．2．1 天地一体化网络研究现状

1．2．2 DTN及其安全机制研究现状

1．2．3 深度包检测技术研究现状

1．3 论文主要工作

1．4 论文组织结构

2 延迟容忍网络与深度包检测技术

2．1 延迟容忍网络

2．1．1 DTN网络架构

2．1．2 包裹层协议

2．1．3 汇聚层协议

2．2 深度包检测技术

2．2．1 DPI架构

2．2．2 DPI识别类型

2．2．3 DPI攻击检测

2．3 本章小结

3 基于nDPI的DTN协议深度包检测设计

3．1 nDPI开源平台

3．1．1 nDPI架构

3．1．2 nDPI优势

3．1．3 nDPI开发方案

3．2 系统开发架构

3．3 预处理模块

3．4 协议检测模块

3．5 规则分析模块

3．6 响应报警模块

3．7 本章小结

4 基于nDPI的DTN协议深度包检测实现

4．1 DTN协议深度包检测框架

4．2 TCPCL协议检测模块

4．2．1 消息识别

4．2．2 状态检测

4．2．3 TCPCL协议检测模块仿真验证

4．3 LTP协议检测模块

4．3．1 消息识别

4．3．2 状态检测

4．3．3 LTP协议检测模块仿真验证

4．4 Bundle协议解析以及有效载荷检测模块

4．4．1 Bundle协议包格式分析

4．4．2 SDNV编解码

4．4．3 Bundle协议解析以及有效载荷检测模块仿真验证

4．5 本章小结

5 天地一体化网络中基于nDPI的DTN协议深度包检测实验

5．1 实验环境与攻击工具

5．1．1 实验环境

5．1．2 攻击工具

5．2 针对地面恶意攻击的检测

5．2．1 实验场景

5．2．2 攻击描述

5．2．3 检测结果

5．3 针对空间恶意攻击的检测

5．3．1 实验场景

5．3．2 攻击描述

5．3．3 检测结果

5．4 针对恶意载荷的检测

5．4．1 实验场景

5．4．2 恶意载荷描述

5．4．3 检测结果

5．5 本章小结

6 结论

参考文献

作者简历及攻读硕士学位期间取得的研究成果

学位论文数据集