研究文章|开放获取
巴勃罗Salva-Garcia Jose m . Alcaraz-Calero齐王,豪尔赫·伯纳尔Bernabe,安东尼奥Skarmeta, ”5 g NB-IoT:有效的多租户网络流量过滤物联网蜂窝网络”,安全性和通信网络, 卷。2018年, 文章的ID9291506, 21 页面, 2018年。 https://doi.org/10.1155/2018/9291506
5 g NB-IoT:有效的多租户网络流量过滤物联网蜂窝网络
文摘
物联网(物联网)是一个关键的业务驱动为即将到来的第五代(5 g)移动网络,进而将使许多创新的物联网应用,如智能城市、移动健康,和其他大规模物联网定义用例5 g标准。真正解锁隐藏这种关键任务的价值在大规模物联网应用在5 g时代,先进的自我保护能力限定在5 g窄带建设物联网(NB-IoT)网络有效抵御网络攻击等广泛的分布式拒绝服务(DDoS)攻击。然而,在这个至关重要的领域的研究不足,特别是,几乎没有任何解决方案都能够处理多个封装5 g交通物联网安全管理。本文提出了新的安全框架和原型实现高度理想的自组织的网络功能安全的虚拟化,通过自主控制回路多租户5 g物联网交通建设特色高效5 g-aware流量过滤。实验结果验证了设计和实现,并演示了系统的效率,能够处理成千上万的5 g-aware流量过滤规则,从而使及时防范大规模攻击。
1。介绍
物联网(物联网)应用程序被广泛视为一种主要用例在即将到来的第五代(5 g)移动网络,并将占四分之一的2024年全球4100万5 g连接(1]。与此同时,安全是一个大规模物联网发展最关心的问题,这是新的,不同类型的威胁和攻击。物联网设备的约束性质的记忆、计算、和权力,以及无人值守,普及和动态网络环境,让他们吸引攻击者。不同类型的演化的网络攻击,例如,分布式拒绝服务(DDoS)攻击,这依赖于受感染的机器人,也开始出现在物联网(2,3]。例如,Mirai在2016年袭击了主要网站通过大规模DDoS使用成千上万的破坏物联网设备(4]。低功耗广域网络(LPWAN)协议应用在物联网情况下,如NB-IoT [5)定义在3 gpp 13版本(6),不理想的环境中实施DDoS基于高效的蛮力攻击,由于他们的低比特率(60 kpps上行)有关。尽管如此,变异的DDoS攻击,基于低利率的方法(7),适合在这些环境中,因为他们利用技术,如发送部分的HTTP请求,发送小数据包,或保持会话开放闲置超时。
同样,一些其他类型的攻击,如那些基于未经授权的访问,或数据泄漏,很难检测和减轻。感染物联网设备可能透露主人的私人的个人数据,如本地化、所有者身份数据,甚至从他们的特色视频摄像头。不幸的是,安全和隐私机制难以实施在最后的设备,因此,网络基础设施应该准备自保护整个网络和系统,不涉及一定的潜在恶意的物联网设备。
因此,为了应对网络威胁的动态和需求5 g物联网网络,网络运营商可能需要过滤,镜子,转移,区分物联网包边接入网和核心的5 g网络。理想情况下,这个交通控制和管理应该执行相应的在任何数据包封装在LTE / 5 g网络所需水平。这可能包括multiencapsulation需要支持用户移动性和carrier-isolation,任何领域的内部包报头,租户相关的物联网设备,甚至任何一个特定的领域IoT-specific协议,例如,限制应用协议(CoAP) [8),影响使用的物联网设备,等等。
网络运营商应该能够提供先进的Security-as-a-Service解决方案,利用软件定义网络提供的灵活性(SDN)和网络功能虚拟化(NFV)检测动态网络威胁,并做出相应的反应,执行适当的和及时的对策,核心或在网络的边缘,包括相关的过滤规则的动态执行恶意流量下降来自于各种物联网设备。
越来越多的使用网络虚拟化技术,交通通常封装支持多载波5 g服务,提出了有效管理封装交通的挑战。在LTE和5克,NB-IoT交通可能需要应对智能对象移动,其中包括处理另一个层面的封装,例如,通过通用分组无线服务(GPRS)隧道协议(三磷酸鸟苷)。
在一个基本的网络环境中,使用预定义的匹配滤波器和Linux Netfilter一样,每个数据包将遍历所有的过滤规则,直到匹配规则。将涵盖第3层和第4层头和应用层负载,当l7-filter使用。的确,不同的研究对有效流量过滤功能增强已经提供在艺术的状态9- - - - - -12]。然而,这仍然是一个缺乏过滤机制能够执行交通过滤物联网交通多载波和移动性场景,能够处理封装要求边缘和核心网段5 g多租户网络,能够执行交通过滤和深度数据包检测NB-IoT流量。此外,缺乏安全框架,可以协助安全管理提供NB-IoT网络自我修复和自我修复能力,适应动态网络流量过滤当前语境条件。
本文我们提出过滤机制允许检查和分析交通而无需创建任何deencapsulate交通隧道接口。它允许过滤第一封装层和处理任何内部封装的数据包和头交通应对5 g虚拟化网络的移动性和多租户的需求。在Linux内核空间过滤谓词允许数据包分类基于任何包字段标题和封装数据包。带来的好处是多方面的,包括可扩展性、性能和灵活性,因为没有需要创建隧道接口执行deencapsulation和流量过滤在内核空间中提供了一个有效的方法。
此外,该过滤机制已经被集成到一个安全框架实现弹性和自主的重新配置过滤规则以应对低利率DDoS网络攻击。
本文的贡献是多方面的:(我)提出了一种新的安全框架与基于自主控制回路,使自组织网络的自我保护。(2)本文关注的encapsulation-aware流量过滤方法特别是设计了虚拟化,多载波,窄带,5 g-aware物联网网络。(3)一个原型的深层数据包检测方法,使用一个内核空间机制为了完全控制封装虚拟NB-IoT所需的交通网络。(iv)过滤机制已经在自主集成和安全管理架构设计在两个欧盟H2020之间的联合协作项目:Anastacia(物联网安全)13](H2020 Anastacia: http://anastacia-h2020.eu/)和SELFNET (5 g管理)14](H2020 SELFNET: https://selfnet-5g.eu/)。(v)经验提出系统的性能评估和分析,提出了在一个现实的5 g-compliant虚拟化NB-IoT网络基础设施。
剩下的纸是组织如下。节2我们分析背景过滤技术以及科学研究领域的相关工作。部分3介绍了5 g NB-IoT杠杆在虚拟化架构和布局过滤要求多载波和虚拟化5 g NB-IoT网络。部分4概述了管理框架。提出了实现和实验部分7。部分8报告实验结果的效率、适用性和可伸缩性。结论和未来的研究活动9。
2。背景和相关工作
虽然相当数量的相关工作领域的物联网安全,仍然没有解决方案从5 g数据路径的角度来看,这种新模式实施的新颖的技术进步机制能够处理嵌套的封装。此外,在前一节中解释1,5 g PPP工作组还强调了能力自适应整个网络的动态的方式作为其主要特征之一。因此,提供一个动态管理和重新配置的系统是一个功能,很少有研究考虑到,甚至更少的研究框架与自动控制回路组织安全策略。参考文献(15- - - - - -17)是唯一的研究在这种状态下的艺术5 g嵌套封装已经通过使用内核过滤技术,可编程硬件接口和一个扩展的入侵检测系统(IDS)的版本,分别。然而,这些研究是遥远的从物联网的角度来看,没有认知管理框架。其他的研究,如18),被膜剥除术和reencapsulation技术用于过滤层内部的交通由LTE和5 g网络。然而,这种方法消除了通过基础设施设备移动性支持,虽然流动性支持5 g移动网络是必不可少的。工作(19)是一种罕见的研究在物联网安全框架使用软件定义网络的流量的设备。然而,尽管这项工作实现自动化识别技术受到设备和将他们孤立于其他用户设备通过生成OpenFlow执法规则(规则),它没有5 g能力来处理多租户和移动设备流量。降低资本和运营开支从运营商的角度来看,下一代移动网络正在采用softwarization和虚拟化技术。通过这种方式,部署和服务创建变得灵活和敏捷。这个功能就变得极其重要的目的是提供一个可伸缩的方法。在[20.)作者提出一个5 g的物联网应用平台,并部署虚拟化的平台可以多路存取边缘计算(vMEC)在需要时。在[21),层次物联网结构设置通过使用多个集群头可以处理多个传感器节点。集群头认为比一个节点的计算能力和能源资源。在这种情况下,一个传感器节点传输流量数据到相应的簇头,然后将数据转发到中央服务器集群头。从表1,所有的相关工作已经完成多租户支持,流动性支持,物联网的支持,应用程序层过滤和基于自主的动态管理框架在同一时间。没有一个考虑嵌套封装能够创建安全物联网过滤规则的边缘/核心网络。贡献我们所知,这是第一个能够提供这些功能同时和细粒度部署行动来处理这种复杂的攻击在边缘/ 5 g的核心网络由于先进的横向过滤功能的支持。在传统的网络场景中,采用常用于评估网络节点的可信度和识别恶意通过监测物联网节点流量或行为(22,23]。一旦检测到恶意流量,一些过滤技术可以用来充当防火墙。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2.1。过滤技术
5 g网络性质的复杂性需要深度数据包检测(DPI)进一步陷入包结构。DPI允许应用程序的数据有效载荷数据包传递一个检验点。因此,不合规的协议、病毒、垃圾邮件,或另一种载荷可以找到有用的信息,然后决定是否包应该通过或应该被路由到不同的目的地。为了获得一个签名代表一个特定的网络应用程序,工具和技术依赖于简单的机制,基本上比较的内容包的有效载荷的字符串(24- - - - - -26]。后来,DPI技术与正则表达式替换字符串集禁食数据包检测处理(27,28]。一个全面的文献综述和比较必要的工具和技术来发展现代DPI系统提出了(29日]。额外的研究工作研究了交通的效率比传统的防火墙过滤和拟议的新功能增强。工作(9]应用统计数据收集的政策领域,目的是建立哈夫曼树动态适应流量统计信息,并最终提高平均过滤时间。其他技术依赖于早期包拒绝提高性能等提出的一个(10]。它可以部署在任何预滤器过滤机制不必要的昂贵的交通。等其他工作(11)执行重新排序的规则和规则领域基于包的计算直方图的匹配规则。在[12),展开树提出了防火墙处理数据包拒绝和接受和可以执行斜面过滤器重新排序基于统计模型,利用交通特征。Open vSwitch (ov) (Open vSwitch, http://www.openvswitch.org)是一个软件开关负责提供网络连接到虚拟机。因为它是可编程的,它带来的可能性,应用过滤规则通过使用标准协议,如OpenFlow(规范的开放网络基础引用(30.),因此实现分离的数据平面控制飞机。缺点,ov只支持有限数量的协议。虽然每个新版本的软件添加支持新的字段或协议,每个版本都需要在变化,因此一个新的建筑,分发和安装过程是必要的。这就是为什么新方法等提出的一个(31日和你威廉et al。32)有一个目标来减少不同的内核版本和ov版本之间的兼容性问题,并提供支持新的协议不重新编译。为此,高级语言编程独立于协议的数据包处理如P4 (P4语言财团,https://p4.org/)提出和ov datapath公司实现完全使用增强的伯克利过滤器(eBPF)解耦ov datapath公司从内核版本的功能。因此,通过使用一个编译器,它接受P4和发出eBPF,一代新领域/协议没有实施必要性改变ov版本将是可行的。另一种过滤方法是采用byte-matching技术。为了让消息负载的动态检查,添加了一个新的Netfilter匹配扩展名为u32由唐·科恩(33]。u32允许头之间的跳跃和选择一个特定范围的字节进行检查。u32匹配特征指示模块从数据包中提取32位(4字节)在任何指定位置并比较它与给定值。如果需要提取的字段是少于32位,提取的数据掩盖和转移。此外,它还包括技术计算变量头长度来克服动态大小头问题等协议的IP或TCP。缺点,u32只允许每个谓词不超过100个字符,这是一个高限制在处理封装流量,大量的头被添加到协议栈。同样,BSD包过滤(带通滤波器)34)是一种byte-matching过滤机制,提供了一个有效的过滤数据包在内核空间中。带通滤波器可以在大多数Unix操作系统,它提供了一个类似的功能u32模块但没有过滤的大小限制。带通滤波器也可以通过使用用户空间程序称为iptables防火墙允许配置Linux内核中实现Netfilter (35]。Iptables使用一组表的检查,修改,重定向,和/或包。Netfilter的主要功能是与每一个相关的表。尽管进展相关工作,现有工具无法处理5 g流量过滤在虚拟网络,流量不同的租户(多载波/运营商)需要封装来区分他们的用户,和移动性场景实施另一个层面的封装处理的防火墙。过滤管理解决方案提出了允许5 g网络流量动态处理,根据决策自主安全框架,并基于带通滤波器作为底层过滤机制有效地处理NB-IoT 5 g的交通网络。重要的是要强调,尽管带通滤波器是一个著名的机制,如何使用它的方式在这个出版强调它的功能来处理最复杂的包结构,可以看出新5 g移动网络基础设施。
3所示。NB-IoT网络虚拟化和多租户5 g部署
3.1。NB-IoT预赛
13 (3 gpp的释放6,36),指定一个新的无线访问接口称为窄带物联网(NB-IoT),这是优化的机器类型的交通。规范试图尽可能简单的减少能源消耗,这是物联网的关键场景,考虑在广播条件出现在这些生态系统也困难。NB-IoT与LTE规范紧密的关系。事实上它已经集成到LTE标准,因此,它也可以与虚拟化集成和多租户5 g-aware架构,因为它将在下一节中所示。
NB-IoT规范最小化广播开销,它能够提供IP和非IP数据。图中可以看到1,NB-IoT引入了两个新的优化传统的LTE网络的移动物联网(CIoT),也就是说,用户平面CIoT(连续线路图)和控制平面CIoT(图中虚线)。控制平面上添加新的IoT-specific服务能力曝光函数(SCEF)提供在控制平面和非ip数据提供了一个抽象接口的网络服务,如身份验证、访问控制或发现。允许,移动管理实体存在的传统的LTE处理用户移动性与新T6a扩展接口允许非ip转发交通物联网。用户平面CIoT允许在传统LTE转发的数据流量,通过服务网关(信令转换)和生产网关(产气井)。
NB-IoT技术使用授权频段内的乐队180 kHz,采用一个资源块(在保护带或带内)的LTE传输。它允许高达30/60 (DL / UL) Kbps最大用户速率。NB-IoT缺乏交接支持处于连接状态,只有支持细胞重新选择在空闲状态。它的目的是提供网络连接Cat-M1设备,发送少量的数据并对延迟不敏感。因此,它并不直接支持QoS。设备应该是活跃一段时间然后空闲使用节电模式(PSM)为了节省电池。它支持访问层(作为)优化称为RRC允许减少最低挂起/恢复用户平面连接所需的信号。
3.2。5 g NB-IoT集成在虚拟架构
图2描绘了设想NB-IoT功能体系结构集成到即将到来的5 g 3 gpp版本。由于小说的本质提出了5 g的架构,在括号之间的关系图中显示的小说5 g体系结构组件和现有的LTE组件。已经定制的分析的基础上所有正在进行的标准化努力来自NB-IoT, 5克,5 g的架构,和自然的方式将它们连接在一起。
也值得一提5克提出了一个精密的功能分离所需要的功能5 g基础设施和商用现货的使用电脑,而不是专门的硬件以降低资本和运营成本。设想的体系结构由以下架构组件:(我)分布式单元(DU)和集中的单位(DU)体系结构组件的无线接入网络(RAN),他们现在一个类比的功能对现有LTE RRH(远程无线头)和基带单元(BBU),分别。5克提出了一个跑的功能分离,培养动态分离层的堆栈。它是通过部署的协议栈在两个建筑组件DU和铜,根据部署的需求和用例。有人指出CIoT表示支持NB-IoT的电台访问接口规范。(2)访问和流动函数(AMF)提供用户设备(UE)身份验证、授权和移动性管理。(3)会话管理功能(SMF)负责管理会议和分配IP地址问题。它还负责选择和曼宁用户平面转发功能(UPF)进行数据传输。(iv)身份验证服务器函数(g)存储数据的验证问题。(v)用户数据管理(可以)存储数据订阅的问题。(vi)用户平面转发(UPF)问题的移动锚流动性和负责转发问题交通后退和前进到互联网。(七)服务能力曝光函数(SCEF)提供在控制平面和非ip数据提供了一个抽象接口的网络服务,如身份验证、访问控制、或发现。
5 g体系结构的另一个关键方面是softwarization和多租户共享资源的使用安全的方法,促进资本和运营成本的降低。然而,这种灵活性和多租户支持不同运营商和电信运营商的网络实施新的需求在网络流量过滤和贡献的主要动机。
指出这是一个全面的解释所有的5 g架构元素及其中提供了参考点(39]。
3.2.1之上。网络流量过滤要求5 g物联网网络
有许多具体要求5 g物联网网络的网络流量过滤,列出如下:(我)多租户支持:在5 g体系结构,网络虚拟化功能块VNFs和不同的网络运营商,运营商,垂直可以共享基础设施。封装的数据包需要(例如,在VXLAN)来区分它们之间的交通,管理和安全原因。过滤系统需要处理这个封装。(2)流动性支持:LTE和5 g网络受到的流动问题,在这种情况下,物联网的移动设备。尽管在NB-IoT交接不支持连接阶段,细胞重新选择支持处于闲置状态。流动性在5 g的架构意味着数据包需要封装向移动锚组件在5克(UPF),例如,使用三磷酸鸟苷协议。流量过滤器需要能够直接处理这些封装头。(3)应用程序层过滤:网络流量过滤系统应该允许过滤数据包的头/ OSI的任何协议栈,包括物联网应用层协议如CoAP [8]。(iv)可伸缩性:尽管NB-IoT是低功耗广域网络(LPWAN)协议,需要低数据率,CIoT-RAN和5 g的核心网络将需要应对大规模物联网设备的数据包。因此,网络过滤器(s)将需要有效地管理众多的信息包过滤过程设备。(v)动态管理:物联网网络不稳定和交通安全环境变化。因此,管理框架需要自动适应安全过滤策略,执行和退役动态规则根据实时监测所获得的实际背景。这种动态和智能管理需要依靠softwarized网络管理和网络功能虚拟化(NFV)技术来处理这种适应。(vi)上行/下行分化:5 g体系结构需要有两个不同的隧道端点标识符(TEIDs)每个用户,需要由代理管理框架和过滤。(七)嵌套的封装:过滤代理需要同时支持嵌套的封装处理交通机动性和多租户的封装。
4所示。认知NB-IoT管理框架
依靠SDN和NFV提出的体系结构技术,监测和反应工具、认知成分以及多样化的安全推动者和代理确保自我保护,自我修复和自我修复能力,在物联网网络和系统。它遵循一个基于策略的安全管理方法提供互操作性和更高的灵活性在异构网络管理的安全控制,包括5 g-compliant物联网网络。可以执行所需的安全操作直接物理或虚拟和softwarized电器物联网网络。图3显示了提出安全管理架构。
的管理平面功能相关的api、工具和图形界面支持管理员指定高层对安全政策的意图。平面上分配的策略编辑器提供了一个用户友好的工具来配置安全策略使用高级安全策略语言,管理系统和网络的配置,包括不仅网络流量过滤,而且身份验证、授权、通道保护,和交通管理措施。
的安全编排飞机负责部署和执行安全政策policy-aware安全推动者和组件,提供一个运行时重新配置和适应的安全,即所需的框架具有活力和智力自我修复和自我修复能力。协调器提供自主适应根据收到的反应决定组件。
的政策翻译模块细化的安全策略中扮演着重要角色。高层政策首先被翻译成一个中级安全策略语言,它允许指定工作流相关安全程序与技术无关。然后,这些政策是在特定的底层配置精制根据选定的推动者。政策细化过程中详细说明我们之前的论文(40]。
的监控组件收集实时信息包括安全报告,关于底层基础设施管理,包括生理的和虚拟的。它旨在提醒反应模块时出现故障。安全调查,比如id和流和资源监控探针部署到SDN, NFV和物联网基础设施领域提供反馈监控服务。
然后,反应组件负责提供适当的对策,根据系统模型的状态和监测监控组件的信息。它功能认知引擎负责提供情报的管理框架,例如,通过选择适应政策或意图相关的存储库中存储的要求重新配置安全推动者应对检测到攻击/威胁。
的安全协调器监督安全推动者的编排部署到安全执法飞机(介绍),根据政策要求。此外,在运行时,分析了反应结果并协调相应的对策。通过这种方式,整体框架的目标是实现自我修复和恢复能力,通过不断地确保安全需求中定义最终用户的满意度的政策。
的飞机安全执法分为三个主要领域。的控制和管理域监督资源的使用和运行时操作软件和物联网网络安全部署的推动者。SDN控制器负责与SDN-enabled通信网络元素来管理连接在下面虚拟和物理基础设施。从这个意义上说,网络政策执行者负责与代理的连接通过南行API部署在网络,例如,执行过滤规则与一个特定的过滤剂或虚拟防火墙(vFirewall)。协调器是NFV ETSI MANO-compliant提供支持的安全的放置和管理虚拟虚拟基础设施的安全功能。此外,不同的物联网控制器是用来管理物联网设备和低功耗和有损网络LoWPANs LPWANs。这些物联网控制器可以部署在网络的边缘部署和实施网络安全功能(nsf)在物联网领域。
的基础设施和虚拟化基础设施领域既有物理机器负责控股和支持存储、计算和网络基础设施,和虚拟化技术,提供基础设施即服务(IaaS)。这个领域包括交通管理所需的网络元素(例如,转发、转移、路由等),根据SDN控制器规则,以及安全探测数据采集监测所需的服务。
的VNF域指的是虚拟化基础设施包含VNFs部署执行5 g网络功能块以及任何虚拟网络安全功能(vNSF)部署的编排飞机,如虚拟防火墙、网络/ IPS, vChannelProtection等等。它能够提供防御机制和威胁安全策略要求的对策。
物联网领域包括NB-IoT网络(包括CIoT-RAN)以及物联网设备控制。这包括安全推动者、软件代理和致动器必须执行安全指令由编排飞机。即过滤代理部署在CIoT-RAN为了控制特定NB-IoT之间的交通网络根据过滤规则得到动态的网络政策执行者。
5。虚拟化和多租户NB-IoT基础设施
本节描述一个实验性部署基于虚拟化NB-IoT LTE部署基础设施,在我们的实验室,与几个5 g功能已经支持。为简单起见,图4提供了一个简化的部署基础设施,管理平面的省略。我们的基础设施是由10计算机一个Ubuntu 16.04和一个OpenStack Mitaka释放。部署使用中子和OpenDayLight SDN控制器运行NetVirt中子OpenDayLight提供的北向接口。OpenDayLight利用OpenFlow和OVSDB控制Open vSwitch v2.9软件用来控制虚拟机的数据路径。在图中,只有一个边缘和一个核心电脑显示为简单起见,尽管我们的实验室有两个边节点和8个核心节点。每一个箱子贴上运营商X代表一个租户管理域。每个租户已经部署了一套完整的VNFs运行5 g网络。
执行的部署VNFs, Mosaic5G (http://mosaic-5g.io/) (OpenAirInterface项目)的进化基础设施已经部署在每个租户的基础设施。当前版本的Mosaic5G允许功能崩溃DU和铜虽然使用4 g频谱。此外,为核心,当前版本仍然使用的居里夫人,高速钢,和信令转换/产气井术语;然而,它是VNFs完全虚拟化和运行。这个场景让我们有现实的基础设施来探索和分析NB-IoT交通以及所有网段。
有人指出开关标示在图4代表了控制点用于OpenStack为了执行意味着租户隔离的VLAN,虚拟扩展当地(VXLAN),或GRE封装。数据通路的不同的点标以B图4代表NB-IoT数据平面(使用IP连接),三磷酸鸟苷封装处理移动设备的存在。
数据包流整个基础设施如图4可以被封装成不同的封装协议取决于网段。点在数据路径标记与C的一个子集点贴上B代表的更复杂的封装段NB-IoT基础设施,同时,其中最有效的应用过滤政策由于接近硬件(运行在物理机器而不是VNFs)。时尤其重要交通来自非常密集部署,与成千上万的潜在NB-IoT设备,需要处理。
6。流量过滤工艺设计
6.1。过滤过程
网络流量过滤过程完成根据建筑图中描述的步骤3。详细的步骤如下:(1)首先,在图的步骤(1)中3,管理员定义了主动安全政策意图,例如,过滤策略,采用一种可互操作的语言,如MSPL认为在欧盟H2020 ANASTACIA项目。(2)可互操作的政策完善和translated-step(2)之间特定的底层配置根据格式所需的特定的过滤代理部署在网络,如我们前面所示的阿纳斯塔西娅的背景下工作项目40)或者是一个在我们以前的工作在SELFNET项目的上下文(15]。(3)安全协调器的部署规则的通知。或者,也可能接触NFV Mano-step(3.1)——(如果没有部署)部署为VNF过滤代理充当vFirewall, CIoT-RAN或核心的网络。然后,在步骤(3.2)它接触SDN控制器或网络政策执行者通过向北方的API来执行过滤规则。(4)政策执行者关系网过滤代理使用南行API,例如,Netconf,步骤(4)中执行过滤规则。提出了过滤机制能够部署规则过滤代理部署CIoT-RAN或在VNF vFirewall部署虚拟化的核心领域5 g网络。(5)之后,在运行时,通过探测监控代理开始提供监测信息监控模块,步骤(5)。在这方面,这个监控流量通过发布/订阅代理发送。(6)以防监控模块检测到攻击基于配置签名,步骤(6),它警告反应模块相应的做出决定,这个通知是通过使用IODEF或IDEMEF标准。(7)反应模块组件,基于规则引擎,作出决定采取适当的对策来缓解攻击,步骤(7)。这可能意味着,例如,新的过滤规则下降,或转移流量来自一个特定的受感染的机器人执行低利率DDoS攻击的物联网设备。这个反应的结果可以使用标准如OpenC2或通过定制的机制,为下一节提出了我们的建议。(8)安全协调器再次接触网络政策执行者self-reconfigure动态网络通过部署相关的反应过滤规则使用北向的协议,如步骤(8)所示。(9)最后,配置过滤规则过滤剂通过南行API,步骤(9)。这些规则将考虑在部分网络流量过滤需求3.2。1应对NB-IoT交通,包括嵌套封装为移动性和多租户流量过滤的支持。
6.2。模式匹配过滤机制
本节详细描述了相关步骤显示在前面的小节上的执行过滤规则管理元素。
我们的网络过滤机制是基于带通滤波器(34)执行过滤规则。这个过滤数据包的过滤机制是一种有效的方式所使用的内核空间,今天在硬件网络设备,甚至在ov等虚拟网络软件,采用主要克服的局限性OpenFlow报文分类。
事实上,带通滤波器是用在许多管理实用工具如tcpdump、libpcap, iptables, ebtables,等。不仅带通滤波器实际上是一个语言表达过滤策略使用一个用户友好的高级描述性语言,还有一个内置的编译器(优化),将从高层带通滤波器程序转换为带通滤波器的x86字节码编译。
因此,带通滤波器允许系统管理员选择和控制数据包使用高级信息包过滤表达式。下面展示了一个筛选器表达式的例子使用tcpdump样式的语法将在一个带通滤波器程序被编译。
美元iptables - m带通滤波器,字节码美元(nbpf_compile
”原型[开始:结束]&面膜=价值”)美元
本文中使用的机制是基于这种方法,但使用一个与更复杂的匹配规则,帧穿越基础设施的复杂性考虑,在下一小节中所描述的。
6.3。分层封装
图5展示了一个例子,最复杂的分层封装中可用NB-IoT 5 g多租户基础设施,捕获的数据包对应控制点贴上C图4。
第一批头与物理机器之间的通信包括介质访问控制(MAC)、IP和UDP报头。第二组的头包括一个VXLAN, MAC IP, UDP,插入孤立租户的交通,特别是对于电信运营商共享相同的物理5 g基础设施作为一个租户。本文提出采用VXLAN协议实现租户隔离作为一个例子,但其他的替代协议可用于相同的目的。下一组头包括三磷酸鸟苷、IP、UDP,应用程序(应用程序)头和应用负载用于允许NB-IoT设备移动。三磷酸鸟苷是隧道协议用于NB-IoT和5 g基础设施建立物联网设备的数据通路特性如流动性、进气控制,等等。最后,应用程序标题和有效载荷代表了数据发送/接收的设备。
指出这是一个正常的IP网络这些头的使用非常有限的子集,例如,MAC / IP / UDP / APP-HEADER / APP-PAYLOAD。与简单的情况相比,增加了一些附加头实现多租户和流动性NB-IoT设备。
6.4。过滤规则的物联网交通5 g-aware NB-IoT网络
除了指定的网络协议在前面的小节中,一个应用程序协议也被认为是过滤,因为不同的网络攻击是没有可识别的,除非在应用程序层流量过滤匹配特定的字段。从这个意义上说,如今,突出物联网应用协议CoAP [8]。它是一个轻量级协议遵循REST模型尤其是设计制约物联网设备(cat-M1) NB-IoT所需。图6显示的包结构CoAP协议(8]。
7所示。实施和验证
7.1。实现过滤规则在内核空间中
提出实现由过滤剂进行了原型在Python中使用鼠兔作为图书馆公开向北接口接收意图使用AMPQ协议(41]。意图定义什么类型的交通应该控制和操作需要执行这样的交通。这种方法完全符合小说的认知NB-IoT管理框架提出了部分4以这种方式,安全编排飞机能够部署和实施网络安全策略,提供一个运行时重新配置和适应。重要的是要突出这一古老的常见技术已经使用静态集过滤政策在一个特定的基于规则的系统(例如,ov)。这项工作增加了动态性的创造新的过滤规则对需求和使用一个基于规则的过滤系统,可以作为一个插件过滤剂。相同的意图消息将被用作过滤的输入在北向接口代理不管所需的插件,从而使用一个常见的方式部署在不同的过滤系统过滤规则。
作为一个例子,让我们假设过滤代理部署在两个点用C标记图4,交通需要被删除,以减轻低息DDoS攻击。本示例的目的在这种假设如图7。
滤剂能够添加/更新/删除意图来自网络政策执行者组件体系结构的介绍部分4。过滤代理会收到意图,然后选择在所有可能的插件注册为接口提供者,为了变换可实现的意图和一个可执行的规则。几个插件支持;为原型的目的,本研究工作采用过滤插件使用带通滤波器基于Linux内核空间规则。这个插件将意图转化为高层次的带通滤波器的语法。一个高层的带通滤波器规则也显示在图7。然后,高层带通滤波器语法送到iptables模块命名xt_bpf编译器。这个模块将高级津贴计划”语法编译为可执行的字节码在内核空间中。这个可执行的字节码与连接相关联点到Linux网络子系统(NetFilter)通过使用netlink API,所以当数据包等横向连接,执行字节码。带通滤波器的字节码编译的一个例子是图所示7。
7.2。分布式和可扩展的虚拟防火墙
NB-IoT网络将处理52500设备每个细胞(6),这意味着,即使低利率每秒数据包,过滤系统将需要扩大妥善处理大量的数据包在移动回程。在最坏的情况下可能会有一个每设备过滤规则;然而,目前基于软件的过滤实现是不可行的处理如此大量的规则和严重的交通只有一个防火墙。此外,这是更加复杂的复杂规则所述,需要检查数据包根据multiencapsulation强加在5 g NB-IoT建设网络。
我们的解决方案得益于利用NFV和云计算技术动态地部署在跑回程,需求,虚拟网络安全功能(vNSFs),在分布式vFirewalls的格式。每个vFirewall负责处理规则的一个子集根据网络分割解决在一个特定的。第一次过滤剂作为负载均衡器将快速交通相关的vFirewall负责处理规则的一个子集。网络分割和转发负载均衡器可以实现每部署后续vFirewall只有一个规则,检查内部的IP数据包封装流量。另外,每个租户可以做到这一点,通过调查VXLAN头。这种可伸缩的方法使部署额外的vFirewalls根据网络环境,虽然我们的认知管理框架允许这些vFirewalls自治规则的配置。
7.3。实验设计
表2提供了一个示例不同的头部分中解释6。3连同所有字段,将匹配在我们的实验中每头。有人指出CoAP已经使用的7层协议作为著名的协议NB-IoT部署。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
三个不同的测试设计为了压力过滤规则的复杂性和分析这种复杂性如何影响NB-IoT部署的可伸缩性。每个测试的相关字段匹配的数量在每个可用的协议在有效载荷被过滤。测试定义如下:(1)测试1评估规则与谓词匹配到一个字段/协议。(2)测试2评估规则与谓词匹配尽可能每协议两个字段。(3)测试3评估规则与谓词匹配尽可能每协议三个字段。
这三个不同的测试可以应用到不同的基础设施。首先,这些测试可以应用在一个经典的基于ip的基础设施是为了有一个参考点的性能,能够可评价的开销和复杂性的基础设施。它只需要使用头文件的组1(与物理通信)表示在表2。其次,测试也可以应用在多租户基础设施评估与租户相关的开销在这样一个环境中隔离和值得挖掘。它需要使用1组和2组的头(与物理通信和租户隔离)表示在表2。第三,测试可以进一步应用在一个NB-IoT多租户基础设施租户隔离和NB-IoT流动性需要处理。它需要使用组1、组2和组3头(与物理相关的沟通,租户隔离,和设备移动性)表示在表2。最后,测试也可以应用在一个支持服务NB-IoT多租户基础设施,不仅租户隔离和NB-IoT流动性需要处理,但也为NB-IoT协议需要特定于应用程序的过滤。它强加头从组1、组2组3组4(与物理相关的通讯、租户隔离、设备移动,和NB-IoT应用程序),是显示在表2。
表3说明了组合选定字段的匹配规则,分组根据协议提供的三个基础设施分析了三个测试在这些基础设施。大小的表包含字节需要匹配的规则为每个组。它允许读者分析每个测试的日益复杂与前一个相比。指出,这些尺寸累积自组2头的使用意味着使用组1的标题,等等。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
实验表明在表的集合3旨在验证的可行性提出交通过滤机制来处理交通来自成千上万的NB-IoT设备在多租户的核心5 g网络模拟低利率DDoS攻击,可能发送数据包每30年代保持连接/会话打开目标服务崩溃。为此,每个实验范围指数(功率2)的过滤规则被加载(1、2、4、8、16、32,64,128,256,512,1024,2048,4096,8192,16384和32768年)根据数据包每秒钟到达过滤代理。在最坏的情况下的可伸缩性,管理员需要最优秀的粮食的细节的控制流量,因此考虑一个规则每个正在运行的服务在每个NB-IoT设备的基础设施。通常,一个NB-IoT设备主机一个服务。因此,1:1匹配过滤规则的数量和设备之间的通信可以认为实验。总之,分析了四种不同的基础设施在规则,对三种不同的复杂性和每一个场景将先前所描述的范围对不同数量的规则。
7.4。硬件基础设施
部署图4匹配部署在我们与一些假设的前提。首先,一个操作员已经部署在我们的基础设施和一个铜和杜对目前部署。第二,其基于lte网络的两个传感器同时连接到我们的实验为了复制数据包跟踪数据路径,NB-IoT设备完全准确。这以来一直要求我们基于5 g LTE堆栈OpenAirInterface目前并不提供支持NB-IoT无线电接口。然而,主要限制显示在前面的章节在电台访问,这些假设不影响结果的质量提出由于数据包封装堆栈的评价是等价的。完整的基础设施已经部署在OpenStack Mitaka允许租户隔离。此部署使我们收集数据包捕获(PCAP)文件的物联网设备之间的通信的信令转换和PCAPs四个不同的基础设施提出了实验部分。
后PCAP文件已经聚集了一个设备,他们已经处理以生成衍生物PCAP文件哪里有尽可能多的流动设备分析了场景。正如前面提到的,有一个1:1匹配设备、流程和规则。然后,这些文件被用于与相同数量的规则/相关的实验设备。
因此,实验建立了衡量匹配时间和可伸缩性的过滤机制提出并验证其可行性大规模NB-IoT改变部署。图8显示了一个逻辑布局组件部署在物理计算机用于执行绩效评估的实验。实验机已经安装了Ubuntu 16.01异花受粉的64位操作系统,配备了32个镶条内存,16个核心Intel Xeon处理器e5 - 2630 v4 @2.2GHz处理器、硬盘和2 tb光学+ 500 gb固态硬盘。每个虚拟机用于部署的vFirewall实验进行了部署KVM和8 gb RAM, 2 vCores, 40 g硬盘。
首先,过滤代理接收一个意图和使用Netfilter (iptables)提供的用户空间工具加载框架的过滤规则在两个不同的点NF_IP_PRE_ROUTING NF_IP_LOCAL_IN,分别连接分1和2(见图8)。其次,外部过程回放PCAP文件生成的这个实验的位置标签如图B所示8。当第一个数据包的网络接口匹配连接时候C如图1所示的标签8,一个时间戳值是生产和保存这些信息。最后,数据包穿过连接2贴上D图8所有的规则集已经部署(从1到131072年,根据场景)。只有最后一个规则包含过滤谓词,完美匹配的流动。所有的规则均匀在复杂性和所有的数据包必须匹配所有的规则。这种方法是一个非常悲观的方法因为它总是假设最坏的情况。然而,如果可伸缩性是证明这种最糟糕的情况下,它将继续减少极端条件下有效。一旦第一个数据包到达最后一个规则,它匹配预定义的谓词,并产生一个新的时间戳。因此,时间戳之间的差异聚集在挂钩点2点1提供了一个数据包的时间消耗穿过内核网络空间时应用不同的规则。这让我们来测量性能结果谓词的复杂性和数量相关的规则,以及它如何影响网络的正常交通的延误。
8。绩效评估
本节评估的影响处理复杂的规则,需要支持嵌套深度检查数据包封装是多租户和机动性的5 g NB-IoT网络。明智的最大数量的实验估计可以执行复杂的过滤规则,在一个vFirewall不引起丢包,(即考虑最好的粒度的条件。每NB-IoT设备),一个规则。此外,它的可伸缩性和性能评估的抖动,开销,匹配过滤规则和管理时刻(冲洗和加载规则)。
为每个评估,为此,本文比较了我们的交通性能过滤机制NB-IoT 5 g支持服务网络的性能实现传统IP基础设施,可以处理传统流量过滤方法。图9显示了四个基础设施之前提出了部分7.3,它将沿着这一节进行分析。(1)经典的IP基础设施。(2)User-aware多租户基础设施,哪里有租户隔离和虚拟化。(3)5 g NB-IoT设备移动、多租户基础设施,哪里有租户隔离,虚拟化和设备移动。(4)支持服务NB-IoT 5 g多租户基础设施,哪里有租户隔离,虚拟化和设备移动和NB-IoT服务水平过滤支持。
图10代表了实证结果的性能代价次分析基础设施。x轴是一个指数函数,增加设备的数量/规则为了展示该滤波方法尺度根据设备的数量。有人指出NB-IoT部署应该处理成千上万的设备。这就是为什么最大的场景分析使用这种级别的可伸缩性来证明该方法在工业生产的可行性。轴的平均时间在毫秒采取过程包横向加载的所有规则。
前面三个系列代表了三个不同的测试。规则匹配时间一长按增加基础设施部署的复杂性和提供的服务的基础设施。这进一步导致更复杂的过滤规则,需要应用。因此,经典的IP基础设施支持服务提供了最快的性能结果而NB-IoT 5 g多租户基础设施提供了最慢。
图中我们可以看到,部署的规则数量是主要的关键因素,影响的可伸缩性。此外,支持基础设施的复杂性(场景)也有影响。最大的部署与32768设备,时间消耗在一个经典的IP基础设施情况是20毫秒左右。这种情况下可以视为参考最好的情况,因为这是最简单的基础设施。其他三种情况分析了User-aware多租户基础设施(或简单地称为多租户)和5 g NB-IoT设备移动/多租户基础设施(NB-IoT多租户)以及5 g NB-IoT设备移动/多租户基础设施支持服务(NB-IoT多租户)暴露越来越开销对经典的IP的场景。最后,可用规则的复杂性在每个场景中为每个基础设施似乎是一个因素导致更少的延迟。
此外,经典滤波方法仅使用IP协议检验是一场测试,约37% 48% 2-field测试,69%支持服务3-fields速度比NB-IoT多租户场景时,成千上万的规则应用于vFirewall。
此外,最大的NB-IoT场景与32768规则/设备被过滤的同时需要30 ms匹配,显然是在可容忍的延误表示的边界由NB-IoT和LTE-M标准。
图11说明了相同的结果绘制在图10然而在一个指数量表(log2基地,轴)的时间开销和一个指数规模数量的设备(轴)。尽管指数性质的尺度,情节展示了一个接近线性趋势随着设备数量的增长,良好的可伸缩性性能的验证该方法在扩展规则/设备的数量。
经过上述分析的所有不同的行为规则的复杂性,进行了深入分析,强调系统的基础设施来收集结果对可伸缩性的同步设备的数量执行低利率DDoS攻击。为此,数字12,13,14专注于最复杂的场景中所有标题的字段匹配(3-field测试)。这些数据分析系统的行为时,4096年,8192年和16384年设备发送低利率数据包每30年代,模拟低利率DDoS攻击的行为。它会导致137、274和546包/ s,分别表示在这些数字的传说。
图12展示了三个不同的系统是稳定的设备数量分析直到4096年开销时间接近秒规则。除此之外,系统仍然是稳定与274年8196规则场景PPS(每秒数据包)(即。,8196devices) for all infrastructures analyzed, including NB-IoT 5G service-aware infrastructure where the average overhead time is around 100ms. However, the system becomes unstable when 8,196 rules are facing a higher volume of attack, 546 PPS (i.e., 16384 devices). This threshold determines the boundaries of the scalability in terms of devices supported by a given virtual firewall.
图13显示了一个包丢失的分析,让前面的结果如图12。没有包丢失的三个不同数量的设备分析直到4096年规则。然后,系统仍然接近0%包丢失8196规则与274年PPS(即一个场景。8196设备)。在这一点上,丢失的数据包的数量开始急剧增加,显示绘制在图类似的行为12。与16384年设备支持服务的NB-IoT多租户场景(546 PPS)和8192条规则显示了不可接受的数据包损失率约为50%。
图14显示抖动的行为当测距设备的数量和规则。抖动几乎是无关紧要的,接近于0,4096规则。然后,它仍然是可以接受与274 PPS(即一个场景。,8,196devices) where the jitter is around 100-300us, depending on the infrastructure analyzed. Beyond that number of devices, the jitter increases significantly.
它可以得出结论,该建议的体系结构的可扩展性的边界设置为8192 NB-IoT每个虚拟防火墙设备,这类设备的每个控制NB-IoT服务相关的规则。我们的实验能力65536年8个vm运行设备,这远远超出了预期每细胞示NB-IoT标准(52.5476]。这个结果成功地验证该方法的适用性。
数据15和16说明结果冲洗和加载时间的规则,分别以分析该方法的管理平面。飞机从管理的角度来看,冲洗,加载时间给关键信息管理系统需要多长时间重置vFirewall突然约8192设备同时攻击系统。清洗最后配置和装载一个全新的女士需要大约0.6和6年代,分别。换句话说,该系统将准备控制成千上万的6 s NB-IoT设备完全不同。应该注意到,这些支持服务NB-IoT精密规则,和值得澄清的是,通过使用一个更通用的规则,如租户或使用口罩的过滤IP地址,多个流可能不再仅仅通过使用一个规则和流程包括冲洗、装入和匹配从上面指定的时间将会显著降低。
9。结论
本文描述了一种新颖的自主安全框架具有一个有效的网络流量过滤系统虚拟化和多租户5 g NB-IoT网络,依靠认知管理框架提供自主网络自我保护功能。
我们建议的安全框架和过滤系统准备减轻攻击部署和动态加载,vFirewall成千上万的过滤规则,对应于成千上万的NB-IoT设备。过滤机制是能够处理封装5 g网络流量在核心和边缘的虚拟化同时5 g网络,多租户、移动性和DPI的支持。复杂的过滤规则,能够处理这样的交通,在内核空间评估我们的过滤代理vFirewall以最小的开销,这表明该安全框架的可行性和性能和过滤系统。
作为未来的工作,我们计划调查机制,增加我们的情报管理框架,以提高可伸缩性和加速,甚至更多,交通过滤机制的性能。我们还设想扩展框架的安全功能,探索自主部署和管理的其他类型的虚拟网络安全功能,如vAAA或vChannelProtection,应对的挑战要求物联网场景。
数据可用性
没有外部数据用于支持本研究。所有网络数据包的捕获和派生数据集生成在我们的基础设施。
的利益冲突
作者宣称没有利益冲突。
确认
这项工作已经部分由“Fundacion Seneca-Agencia de Ciencia y Tecnologia de la地区德穆尔西亚”,根据该计划“吉梅内斯·德·拉·埃斯帕达德Movilidad Investigadora, Cooperacion e Internacionalizacion呆(20177 / EE / 17)。本文的结果联合协作部分由两个欧盟H2020项目:SLICENET,格兰特协议H2020 ict - 2016 2/761913和欧盟ANASTACIA,没有授予协议。731558年。此外,它支持了博士后INCIBE格兰特”效果“Excelencia de los的球队de Investigacion Avanzada en Ciberseguridad”项目,与代码incibei - 2015 - 27363。
引用
- m·哈顿Machina研究预测1000万5 g在2024年物联网连接,2016,https://machinaresearch.com/report/5g将-账户- 1000万细胞-物联网-连接- - 2024/。
- m . De不清楚n . Dragoni a . Giaretta和a . Spognardi”DDoS-Capable物联网Malwares:比较分析和Mirai调查,“安全性和通信网络卷,2018行,2018页。视图:谷歌学术搜索
- f . y, y Peng谢et al .,“cyber-physical系统安全威胁和脆弱性分析,”学报2013年第三国际会议上计算机科学和网络技术2013年10月,页50 - 55,。视图:出版商的网站|谷歌学术搜索
- 主要涉及物联网设备的DDoS攻击,2016,https://www.enisa.europa.eu/publications/info-notes/major-ddos-attacks-involving-iot-devices。
- x y . e . Wang Lin A Adhikary et al .,“引物3 gpp窄带互联网上的东西,“IEEE通讯杂志,55卷,不。3、117 - 123年,2017页。视图:出版商的网站|谷歌学术搜索
- 技术规范组织GSM / EDGE无线接入网络,“细胞系统支持超低的复杂性和低吞吐量物联网(CIoT)(13)发布,“技术。众议员45.820 V13.1.0,第三代合作伙伴项目,2015年1月。视图:谷歌学术搜索
- l, m .辽、c .元,h·张,“低利率DDoS攻击检测使用数据包大小的期望,”安全性和通信网络,2017卷,2017年。视图:谷歌学术搜索
- z谢尔比、k . Hartke和c·鲍曼“限制应用程序协议(CoAP),”IETF,文章ID RFC 7252, 2014。视图:谷歌学术搜索
- a . El-Atawy t·沙马、大肠Al-Shaer和l .香港“利用网络流量统计匹配优化信息包过滤性能,”《IEEE国际会议上计算机通信(INFOCOM ' 07)安克雷奇,页866 - 874年,阿拉斯加,美国,2007年。视图:出版商的网站|谷歌学术搜索
- a . El-Atawy和大肠Al-Shaer“适应性早期信息包过滤防火墙DoS攻击辩护,”《IEEE计算机通讯大会上(INFOCOM ' 09),页2437 - 2445,里约热内卢,巴西,2009。视图:出版商的网站|谷歌学术搜索
- z Trabelsi l . Zhang, s . Zeidan”动态规则和rule-field优化对提高防火墙性能和安全性,”专业信息安全,8卷,不。4、250 - 257年,2014页。视图:出版商的网站|谷歌学术搜索
- z Trabelsi s zeidan m·m·马苏德•k . Ghoudi,“统计动态斜面树过滤器对多级防火墙包过滤增强,”电脑与安全53卷,第131 - 109页,2015年。视图:谷歌学术搜索
- 齐格勒,a . Skarmeta j .伯纳尔·e·e·金,和美国比安奇,“Anastacia:先进的网络代理安全与信任评估CPS物联网架构,”《全球物联网峰会,GIoTS 20172017年,页1 - 6、瑞士。视图:谷歌学术搜索
- p•内维斯r·凯尔·m·r·科斯塔et al .,“自主管理SELFNET方法NFV / SDN网络范式”国际期刊的分布式传感器网络,12卷,不。2、2016。视图:谷歌学术搜索
- p . Salva-Garcia j . m . Alcaraz-Calero r . m . Alaez e . Chirivella-Perez j .夜莺问:王,“5 g-uhd:设计、原型设计和自适应的经验评估根据基于可伸缩视频流H.265虚拟化5 g网络,”计算机通信卷,118年,第184 - 171页,2018年。视图:出版商的网站|谷歌学术搜索
- r . Ricart-Sanchez p . Malagon p . Salva-Garcia e·c·佩雷斯问:Wang和j . m . Alcaraz Calero,“对一个FPGA-Accelerated可编程数据路径edge-to-core 5 g通信网络,”网络和计算机应用》杂志上卷,124年,第93 - 80页,2018年。视图:出版商的网站|谷歌学术搜索
- z佩尔韦兹·a·塞拉诺Mamolar, j . m . Alcaraz Calero,和a . m . Khattak”向横向检测DDoS网络攻击的5 g多租户覆盖网络,”电脑与安全卷,79年,第147 - 132页,2018年。视图:出版商的网站|谷歌学术搜索
- M.-A。Kourtis, h . Koumaras g . Xilouris f .自由,”一个NFV-Based视频质量评估方法/ 5 g小细胞网络,”IEEE多媒体,24卷,不。4、68 - 78年,2017页。视图:出版商的网站|谷歌学术搜索
- m .当天艳阳高照,s . Marchal哈菲兹·,n .同联合。Sadeghi, s . Tarkoma“物联网前哨:自动化设备类型识别物联网安全执法”《IEEE国际会议在分布式计算系统中,ICDCS 20172017年,页2177 - 2184,美国。视图:谷歌学术搜索
- h .谢长廷,j·陈,a·苏莱曼”5 g物联网应用程序虚拟化计算平台多路存取的边缘,“网络和计算机应用》杂志上卷,115年,第102 - 94页,2018年。视图:出版商的网站|谷歌学术搜索
- w·孟”,在物联网时代的入侵检测:通过交通滤波和采样,建立信任”电脑杂志,51卷,不。7日,第36 -,2018页。视图:出版商的网站|谷歌学术搜索
- n Pandeeswari g·库马尔,“异常检测系统在云环境中使用基于模糊聚类的安,”移动网络和应用程序,21卷,不。3、494 - 505年,2016页。视图:出版商的网站|谷歌学术搜索
- c·莫迪,d . Patel b . Borisaniya h·帕特尔,A . Patel和m . Rajarajan”入侵检测技术在云的调查。”网络和计算机应用》杂志上,36卷,不。1,42-57,2013页。视图:出版商的网站|谷歌学术搜索
- a . v .霍和m . j . Corasick”有效的字符串匹配:一个援助书目搜索,“ACM的通信18卷,第340 - 333页,1975年。视图:出版商的网站|谷歌学术搜索|MathSciNet
- r·s·波伊尔和j·斯特罗瑟摩尔一个快速字符串搜索算法帕洛阿尔托研究中心,帕洛阿尔托,加州,美国,1976。
- A . n . m . e .拉菲克m . w . El-Kharashi f . Gebali,“快速字符串搜索深度报文分类算法,”计算机通信,27卷,不。15日,第1538 - 1524页,2004年。视图:出版商的网站|谷歌学术搜索
- 库马尔,s . Dharmapurikar f . Yu·克罗利和j·特纳,”算法来加速深层数据包检测多个正则表达式匹配,”SIGCOMM计算机通信评审,36卷,不。4、339 - 350年,2006页。视图:谷歌学术搜索
- r .史密斯,c范围、美国Jha和美国,“紧缩大爆炸:快速和可伸缩的深度数据包检测扩展有限自动机,”SIGCOMM计算机通信评审,38卷,不。4、207 - 218年,2008页。视图:谷歌学术搜索
- t . Bujlow诉Carela-Espanol, p . Barlet-Ros”独立的比较受欢迎的DPI交通工具分类、”网络和计算机应用》杂志上卷,76年,第89 - 75页,2015年。视图:出版商的网站|谷歌学术搜索
- ONF:打开网站,网络基础https://www.opennetworking.org/。
- b .普法夫和o . v . s .提交,http://www.openvswitch.org/support/slides/p4.pdf。
- w·c。c .你“抛售使用eBPF ov流处理,”http://www.openvswitch.org/support/ovscon2016/7/1120-tu.pdf。视图:谷歌学术搜索
- w·斯登”Netfilter扩展HOWTO:新Netfilter比赛,”http://www.netfilter.org/documentation/howto/netfilter -扩展- howto - 3. - html。视图:谷歌学术搜索
- McCanne和v .雅各布森,bsd包过滤:用户级数据包捕获、新架构”USENIX学报1993年冬季会议论文集在USENIX 1993年冬季会议,页2 - 2,USENIX协会,1993。视图:谷歌学术搜索
- ”P.N.A. Harald Welte:netfilter / iptables项目主页netfilter.org“iptables”项目,“http://www.netfilter.org/projects/iptables/index.html。视图:谷歌学术搜索
- j . Schlienz和d . Raddino窄带互联网白皮书的东西,”IEEE微波杂志,8卷,不。1,第82 - 76页,2016。视图:谷歌学术搜索
- c . Mysirlidis a . Lykoyrgiotis t . Dagiuklas politi,和s Kotsopoulos”Media-aware代理:为流媒体应用层过滤和L3流动性优化”IEEE国际会议通信学报》,2015年刑事法庭2015年,页6912 - 6917,英国。视图:谷歌学术搜索
- a . Stanciu苏耿赋。巴兰、c . Gerigan和美国Zamfir”,确保物联网网关基于多模式搜索算法的硬件实现,”程序优化国际会议上的电气和电子设备,OPTIM 2017和Intl爱琴海电机与电力电子会议,ACEMP 2017罗马尼亚,页1001 - 1006年,2017年。视图:谷歌学术搜索
- 崔j . Kima d Kimb,美国“3 gpp sa2 5 g移动通信体系结构和功能,“ICT表达,3卷,不。1,1 - 8,2017页。视图:谷歌学术搜索
- a·莫利纳Zarca j·伯纳尔Bernabe,法里斯,y Khettab, t·塔勒布,a . Skarmeta”加强物联网安全通过网络softwarization和虚拟安全设备,“国际期刊的网络管理,28卷,不。5,2018。视图:出版商的网站|谷歌学术搜索
- o .标准,“绿洲高级消息队列协议(AMQP) 1.0版”。视图:谷歌学术搜索
版权
版权©2018 Pablo Salva-Garcia et al。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。