各位领导、各位专家，大家好。那我叫伍军，来自上海交通大学，因为李院长临时有其他重要的任务，我代他给大家做一个汇报。我今天汇报的题目是未来新型通信网络的威胁和防御，当然未来通信网络的种类和形态很多，我们主要还是关注SDN（英文），主要是安全的威胁和我们所能够采取防御的技术，那么我们主要是从这三个方面做介绍，第一个是新型通信网络本身威胁，安全防御关键技术，第三个是我们在做的事情。这是网络通信的发展趋势，从我们最开始的网络它的整个趋势由我们原来刚开始的小规模的，发展到大规模的IP网络，再到我们的（英文）化，以内容和用户为中心的点评化的结果，到未来的网络，我们的网络可以更好应用，比如说云、大数据中心，把这些上层服务，直接拉到网络层，跟网络层做一个扁平的结合，无缝对接。

那么这是一些新型通信网络的网络的需求，在未来的新型网络都会运用到各个不同的领域。这是各国对未来新型网络的大量的投入包括欧盟的FP7等等，根据现在的网络，新型网络应该是主流方向之一。另外一个是ICN，我们的理解是我们承担国家的项目包括华为中心的合作，我们的理解，我们从IP过度到未来网络的话，我们认为是一个方案。我们可以看到，这是去年国际电信联盟ITU的文件，它已经把信息中心网络已经作为5G网络非常关键的技术写如到这个文件。实际上这样的技术可以在国际电信联盟的推动下，可以推动智慧城市物联网的领域。

这是它的一个基本架构，这是SDN的基本架构，地层数据专发，中间是网络虚拟抽象，上层是各种控制和应用。在这样的架构下面，会导致安全威胁，简单来说它是更加开放的网络，这样会给带来很大的脆弱性，比如在应用层我们会有木马的风险等等，都是它面临的安全威胁。

这是我们列的SDN安全威胁主要的种类，比如说管理站的脆弱性可能被利用遭受攻击，控制器的脆弱性被利用遭受攻击，应用和控制器之间缺乏信任机制，控制流遭受攻击，专发设备的脆弱性被利用遭受攻击，伪造通信流都是可能的攻击，这些攻击跟传统网络都有区别。

当然我们SDN都会面临安全威胁，这张图是传统网络和SDN的区别，传统网络最中间的位置是IP，右边的图区别在哪里？我们是以内容为中心的，我是通过内容的方式来缓存。在SDN它的类型非法内容的请求，隐藏的合法内容，包括内容的伪造篡改，同时它蕴含了大量的羽异（音）特性。

我们要实现新型通信网络的技术难点，主要包含下面几个部分，一个是拓补的动态性，还有一个是控制的开放性，以及资源的虚拟性，还有内容的中心，这几个特点都会带来难点。

网络结构和安全行为关系难以准备描述，控制节点的脆弱性影响整个网络，以内容为中心，去IP化等等，我们从网络结构等等，都是我们的关键问题。

对于关键问题我们都做了延伸，包括虚拟异构的分析、检测机制、态势分析等等问题。

针对这些问题，包括我们社会上合作承担的项目，第一个考虑的是SDN拓补的建模，建立起较为准确的系统模型描述SDN拓补的演变，进行实时检测和预测。

我们把边缘计算跟SDN做一些融合，增加边缘的计算力，这是我们提的通信结构，我就不过多展开了。第二个是脆弱性分析，跟我们常规的软件有一些共同之处，它的对象主要还是在SDN里面，包括控制器，包括路由、转发，这些协议层面都会有脆弱性。我们是基于本题进行建模，同时在SDN控制器中间它的操作系统是安全的基础，由于量很大也存在攻击面，面临很多威胁，我们也在做面向控制器的算法，来做这样的模糊测试等等，包括恶意代码这样的检测，我们都在做这样的工作，这样跟传统的会有联系也有区别。

第三是入侵节点和异常行为分析，包括基于优化思想的网络数据流量监控与采集，采集完以后我们做异常的分析，我们基于网络演算的QOS异常检测，可以提高安全性发现它的异常，可以通过它的配置来优化SDN网络。这是它整个的架构，那么第四是SDN的安全评估攻击缓解是很重要的，当SDN进入到网络节点之后，它的脆弱性会带来新的安全威胁，我们做的是构建安全的方法，将SDN动态纳入到我们评估的范围，并且将各种SDN的动态因子分成多等级的建模来评估，对它进行量化。在量化的基础上我们可以基于我们评估结果来做攻击缓解，检查所有注册的虚拟网络，对它进行判断，然后我们再结合（英文）技术结合起来，通过这样的策略对它地层的设备，来对它动态的策略更改进行攻击缓解。

当然还有一个比较重要的是SDN安全管控和态势感知，这是我们在做的东西，根据多元的异构数据采集，采集回来以后，我们用我们的一些数据，安全数据对它进行关联，找出攻击轨迹。

    同时提出面向SDN的信息安全数据融合模型，那么在这个基础上，我们再来做它的SDN全息安全威胁态势评估模型，总的来讲，自下而上、先局部后整体的评估策略，以网络流量、脆弱性、异常行为告警等等。

这个是SDN态势的要素值的算法，我们会把要素取回来，进行推演，利用一些有的算法，来计算平均入侵的度量，包括系统可用性，都可以来做，这是我们正在做的工作。

在这个基础上，我们结合它的态势要素和节点自身的重要性，来得到整个系统全局的态势值，可以对未来的趋势做一定程度的研判。

那么第六个关键技术是，前面我们SDN工作做得比较多，现在SDN做的是面向SDN智能化的防火墙，它用雾节点来做防火墙。这是它基本的架构图，左边是架构图，右边是整个防火墙根据SDN的一个结构。

后面是我们在做的系统，这是基于我们的一些项目和合作方的需求，第一个是我们国家重点基金项目在做，也在搭SDN的系统，包括我们前面讲的异常检测、预测，包括脆弱性分析，以及态势评估，这块我们都在做这样的工作，来搭这样的系统。

还有一个是节点，我们也是搭起来一个提供一定规模的时间节点，SDN的系统测试平台，对这样的攻击包括检测，响应可以在我们的测试床上面做一些相关的工作。那么这是我们的一个测试床的一些照片。

另外一个是SDN安全管控及态势分析的系统，这样的系统我们也在做这块，但是我们现在做的不一样的地方，就是把我们的系统进行改进和定制。因为我们原来的系统业服务国家的行业和特殊部门。

其实总的趋势就是我们地层取数据和流量，到流量上面通过流量来形成事件，事件形成关联和态势，可以对全局的这样的一个整个的网络进行一个有效的管理和推演，进行有效的防护。那么这是SDN态势管制的平台，把管理、控制、响应面对这个系统架构，也在自主研发态势分析的系统，能够做SDN的风险评估，以及海量安全事件的处理，还有也在做的是人工智能的方法，结合我们的边缘计算，用到我们SDN的防御里面。当然是云边结合，就是云计算和边缘计算结合，来起到防御的能力。

当然还有一个就是我们也在做的工作，SDN环境下我们雾计算的防火系统，左边的图是我们基于雾计算防火墙的架构，当然同时我们也在搭这个测试床，并且已经搭出来了，它的结构我们可以看左边的图，实际上它是雾的架构，它是一个分层的。我们基于雾的架构，把它黑名单、白名单，这样的数据库弄到这个里面。右边这个图是我们的实验，包括我们加了防火墙，加了和没加的实验比较，下面那个图就是我们针对未知内容的精度，不同颜色的柱状图，实际上我们标了，比如说20%未知、50%未知，在这样未知程度不一样的情况下，我们做了一些精度，应该说这个还是挺有意思的算法。