每年报告的网络安全事件数以千计。大多数复杂的网络攻击都有一个阶段,在这一阶段,攻击者会绘制目标系统和网络的地图。攻击者利用这些信息专门设计攻击,使其尽可能高效和有效。为减少网络枚举,可以采取的一种网络安全措施是部署侦察欺骗系统(RDS)。RDS 可混淆网络拓扑结构,防止可疑主机收集情报用于未来攻击。实现 RDS 的一种方法是使用软件定义网络。然而,以往对这些系统的研究存在诸多限制,如白名单静态网络布局、过时的软件库、无法跨多个计算机网络交换机运行以及集中式软件定义网络(SDN)控制器等。
本研究设计并实施了分布式侦察欺骗系统(DRDS),这是一种分布在多个控制器上的 RDS,能够在多个交换机上部署侦察欺骗。DRDS 的功能测试和路由性能对照其他两个网络路由解决方案进行评估:一个是使用传统第 2 层和第 3 层网络设备的传统网络解决方案,另一个是部署第 2 层转发的集中式开放网络操作系统控制器方案。功能测试证明,在 100%的测试场景中,系统都能正确地路由流量,这些流量包括互联网协议、地址解析协议和互联网控制消息协议信息。此外,在每个测试案例中,系统都能减少网络枚举。与传统网络解决方案相比,在 89.6% 的测试网络通信场景中,DRDS 的性能达到或优于传统网络解决方案。同样,在与集中式 ONOS 控制器方案进行测试时,该系统在 90% 的测试网络通信场景中表现良好或更好。这项研究证明了使用 DRDS 在不牺牲网络路由性能的情况下提高网络安全性和减轻网络攻击的潜在优势。