基于信譽機制的SDN安全策略研究

陳飛

摘要：首先分析了SDN所面臨的安全威脅，然后針對欺騙報文攻擊、泛洪式攻擊以及協(xié)議漏洞攻擊等常見DDoS攻擊威脅，提出了一種基于信譽機制的SDN安全策略?；赟DN控制器對攻擊報文的實時檢測，生成節(jié)點信譽度評價值，在此基礎上針對不同程度的安全威脅實施不同級別的威脅處理策略。

關鍵詞：SDN；安全；信譽；DDoS攻擊

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）27-0050-02

1 概述

軟件定義網(wǎng)絡（Software Defined Networking， SDN）是近年來出現(xiàn)的一種新型網(wǎng)絡結構，其設計理念是將網(wǎng)絡的控制平面與數(shù)據(jù)轉發(fā)平面進行分離，使數(shù)據(jù)平面專注于轉發(fā)，控制平面對網(wǎng)絡資源擁有全局視圖，并能夠?qū)崿F(xiàn)可編程化控制，從而可以根據(jù)上層用戶的不同業(yè)務需求，靈活高效地分配調(diào)度基礎網(wǎng)絡資源，完成對整個網(wǎng)絡的管理，最終實現(xiàn)新業(yè)務的快速部署、提升網(wǎng)絡資源利用率、保障業(yè)務服務質(zhì)量、降低網(wǎng)絡運營和維護成本[1.2]。

SDN在云計算數(shù)據(jù)中心、網(wǎng)絡虛擬化、防范網(wǎng)絡攻擊等領域都得了研究與應用，但其自身的威脅檢測與防護能力也急需完善，無論是在理論研究還是產(chǎn)品研發(fā)方面，SDN安全機制都備受關注[3，4]。本文首先簡要分析SDN架構所面臨的安全威脅，然后針對三類常見的DDoS（Distributed Denial of Service， DDoS）攻擊，提出一種基于信譽機制的SDN安全策略。

2 SDN所面臨的安全威脅

由于SDN的集中控制性、可編程性及開放性，SDN的安全問題具有其獨特性。目前，SDN架構所面臨的安全威脅可來自以下幾方面：

（1） 應用層策略沖突

當網(wǎng)絡中有多個應用同時運行時，可能會出現(xiàn)策略沖突，使網(wǎng)絡服務發(fā)生混亂，增加網(wǎng)絡管理的復雜度。因此，控制器需要按照一定的策略對上層應用進行相應的策略沖突檢測，若發(fā)現(xiàn)存在策略沖突則進行相應的協(xié)調(diào)。另外，當控制器將策略轉換成流表項下發(fā)至交換機時，可能會由于交換機完成流表部署時延不一致而導致控制失效。

（2） 北向接口

北向接口連接著控制層和應用層，為上層應用提供了大量的可編程的API接口，并且負責應用層與控制器之間的交互。由于SDN網(wǎng)絡的開放性，控制層對上層應用相對更加開放，北向接口在控制器與應用之間所建立的信賴連接關系也更加脆弱，為DDoS攻擊帶來了可能。

（3） 控制器安全威脅

SDN控制器的安全性決定了整個SDN網(wǎng)絡的安全性，是保障SDN網(wǎng)絡安全首先要解決的問題。目前SDN控制器所面臨的安全威脅主要包括網(wǎng)絡監(jiān)聽、DDoS攻擊、IP地址欺騙、單點失效和病毒、蠕蟲及木馬攻擊等[5]。其中，DDoS攻擊是SDN控制器所面臨的常見攻擊，攻擊者利用所控制的大量僵尸主機，在某一時刻同時向SDN網(wǎng)絡發(fā)送大量的無效信息，造成控制器服務能力癱瘓，無法為正常客戶提供服務。

（4） 南向接口

數(shù)據(jù)平面和控制平面之間通信采用OpenFlow協(xié)議標準，其安全通道采用TLS方式來保證雙方的通信安全，在實際的 OpenFlow 網(wǎng)絡部署過程中，由于TLS 部署的復雜性使得大部分控制器和交換機之間很難實現(xiàn)真正可靠的安全連接[6]。另外，OpenFlow協(xié)議中固有的安全機制設計比較薄弱，容易被攻擊者利用而形成安全隱患。

（5） 數(shù)據(jù)平面

數(shù)據(jù)平面主要由OpenFlow交換機和鏈路構成，不同的OpenFlow交換機在數(shù)據(jù)處理流程上存在較大差別，有可能被惡意攻擊者利用。如果 OpenFlow 交換機被惡意控制，可以任意竄改流表信息并進行數(shù)據(jù)轉發(fā)，甚至其自身直接生成大量報文對網(wǎng)絡造成影響。由于 OpenFlow 交換機直接與控制平面相連，在控制平面與外界隔離的情況下，攻擊者將通過向 OpenFlow交換機注入惡意流量來實施攻擊[7]。

3 基于信譽機制的SDN安全策略

3.1 安全策略原理

信譽在現(xiàn)實社會中用于表達個體在群體心目中的誠信程度，而在網(wǎng)絡系統(tǒng)中，信任關系在每一個網(wǎng)絡實體間依然存在，和網(wǎng)絡的安全性密切相關。信譽值是信譽被量化的結果，可以反應網(wǎng)絡中節(jié)點的誠信度。針對欺騙報文攻擊、泛洪式攻擊以及協(xié)議漏洞攻擊等常見DDoS攻擊威脅，提出了一種基于信譽機制的SDN安全策略?；赟DN控制器精確到端口的實時威脅檢測，生成主機的信譽度評價值。在此基礎上提出多級威脅處理機制，針對不同程度的安全威脅實施細粒度的防護執(zhí)行策略?；谛抛u機制的SDN安全策略架構如圖1所示，包含基礎設施層、控制層和DDoS攻擊檢測與防護層。在基礎設施層，主要包括 OpenFlow 交換機和 OpenFlow 路由器等網(wǎng)絡設備。在控制層，有SDN控制器，可實現(xiàn)設備管理、拓撲管理和流表管理等功能。在DDoS攻擊檢測與防護層，實現(xiàn)了攻擊檢測模塊、信譽策略模塊和威脅處理模塊。

3.2 主要功能模塊

1） DDoS攻擊檢測模塊

DDoS攻擊檢測模塊對數(shù)據(jù)包依次進行“欺騙報文檢測”、“破壞報文檢測”和“異常報文檢測”，各檢測單元根據(jù)攻擊報文的特征，采用相應的攻擊檢測方法。如“破壞報文檢測單元”可對報文的各標志位進行檢測，通過判斷各標志位是否符合TCP/IP協(xié)議規(guī)范來判斷是否為破壞報文攻擊[8]。攻擊檢測模塊可識別并防護ARP協(xié)議攻擊、反射式DDoS攻擊、IP報文攻擊、泛洪式DDoS攻擊等常見的DDoS攻擊，提升網(wǎng)絡防護能力。

2） 信譽策略模塊

構建SDN網(wǎng)絡中的所有主機的“網(wǎng)絡狀態(tài)表”，網(wǎng)絡中的每個主機都對應表中的一個鍵值，將單位時間內(nèi)網(wǎng)絡中主機發(fā)送的威脅數(shù)據(jù)包個數(shù)計入對應鍵值，以此作為該主機的信譽度評價值。并且在每個表中設置閾值，每次累加計數(shù)后檢查信譽值是否超過設定的閾值。如果超過閾值，則觸發(fā)相應的威脅處理操作。endprint

3） 威脅分級處理模塊

當“欺騙報文檢測”、“破壞報文檢測”和“異常報文檢測”單元檢測到威脅，且信譽度計數(shù)值超出警戒閾值，則可觸發(fā)丟棄數(shù)據(jù)包、屏蔽威脅主機或僅屏蔽攻擊程序端口等不同級別的威脅處理動作。

4 結束語

本文對SDN架構面臨的安全問題進行了分析，并針對三類常見的DDoS攻擊，提出了一種基于信譽機制的軟件定義網(wǎng)絡安全策略，通過對攻擊報文的檢測，對威脅數(shù)據(jù)包進行統(tǒng)計分析，基于實時識別與統(tǒng)計結果，可實現(xiàn)不同級別的威脅處理。

參考文獻：

[1] Chung Shen， Liao Li， Wan Jiun. Software defined networks[J].Communications Magazine， IEEE， 2013， 51（2）：1-13.

[2] 左青云， 陳鳴， 趙廣松， 等. 基于 OpenFlow的SDN技術[J]. 軟件學報， 2013， 3（29）：1078- 1097.

[3] Bing Wang， Yao Zheng， Wenjing Lou， Y. DDoS attack protection in the era of cloud computing and Software-Defined Networking [J]. Computer Networks， 2015， 81（22）：308-319.

[4] WEI Z， WEIJIA J， et al. Detection and Defense of Application-Layer DDoS Attacks in Backbone Web Traffic[J]. Future Generation Computer Systems， 2014， 38：36-46.

[5] 武澤慧 ，魏強，王清賢. 基于OpenFlow的SDN網(wǎng)絡攻防方法綜述[J]. 計算機科學， 2017， 44（6）：121-132.

[6] Benton K， Camp L， Small C. Open Flow Vulnerability Assessment[C]// Hot SDN. 2013：151-152.

[7] 左青云，張海栗. 基于OpenFlow的SDN網(wǎng)絡安全分析與研究[J]. 信息網(wǎng)絡安全， 2015，（2）：26-32.

[8] 張家華， 楊種學， 王江平， 等. 融合 DDoS 威脅過濾與路由優(yōu)化的SDN通信質(zhì)量保障策略[J]. 電信科學，2015， 31 （4）：27-133.endprint