SDN網(wǎng)絡(luò)抗DDoS動態(tài)縱深防御體系設(shè)計*

陳 松，楊 帆，胡 貴

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610045）

0 引 言

軟件定義網(wǎng)絡(luò)是一種數(shù)據(jù)面和控制平面分離的網(wǎng)絡(luò)模式，在此網(wǎng)絡(luò)架構(gòu)下的應(yīng)用中，決定整個網(wǎng)絡(luò)轉(zhuǎn)發(fā)行為的控制器自然成為攻擊者的目標(biāo)，攻擊者只要控制了控制器就可以控制整個網(wǎng)絡(luò)。目前網(wǎng)絡(luò)控制器面臨的DDoS攻擊是一種較難防御的網(wǎng)絡(luò)攻擊，它會呈現(xiàn)出基于時間、空間、強(qiáng)度等多維度、多層次攻擊隨機(jī)分布的特點，本文提出一種安全防御體系的設(shè)計，針對DDoS特征構(gòu)建相應(yīng)多維度多層次的動態(tài)縱深防護(hù)體系，將內(nèi)生可信、擬態(tài)異構(gòu)等作為內(nèi)生安全防護(hù)基礎(chǔ)，從攻擊者發(fā)起的攻擊生命周期角度，建立一個縱深檢測、態(tài)勢感知、決策處置的閉環(huán)反饋體系，全面覆蓋攻擊者攻擊的主要路徑和環(huán)節(jié)，同時引入大數(shù)據(jù)威脅分析，機(jī)器學(xué)習(xí)等技術(shù)，從而實現(xiàn)智能防御能力的持續(xù)提升，縮短網(wǎng)絡(luò)空間安全對抗的不對稱性。

1 SDN網(wǎng)絡(luò)控制面臨的DDoS威脅

軟件定義網(wǎng)絡(luò)SDN（Soft Defined Network）是一種新的數(shù)據(jù)面和控制平面分離的網(wǎng)絡(luò)模式。在SDN中，控制器決定了整個網(wǎng)絡(luò)的行為。這種邏輯集中在一個軟件模塊的方式提供了多個好處。首先，通過軟件來修改網(wǎng)絡(luò)策略比經(jīng)由低級別的設(shè)備配置更簡單和更不容易出錯。第二，控制程序可以自動地響應(yīng)在網(wǎng)絡(luò)狀態(tài)變化，以保持高級別策略。第三，簡化了網(wǎng)絡(luò)功能發(fā)展，使得原本復(fù)雜的網(wǎng)絡(luò)設(shè)備可以簡單化和通用化。

由于具有上述優(yōu)點，SDN網(wǎng)絡(luò)技術(shù)具有較好的應(yīng)用前景。但是，SDN的網(wǎng)絡(luò)可編程性和集中式控制平面也給網(wǎng)絡(luò)帶來了一些新的安全威脅。集中的控制平面很自然成為攻擊者的目標(biāo)，攻擊者只要控制了控制器就可以控制整個網(wǎng)絡(luò)。同時，網(wǎng)絡(luò)可編程性產(chǎn)生的副作用是打開了之前不存在的新威脅的大門。例如，攻擊可能利用一組特定的可編程設(shè)備的一個奇特的脆弱性損害了部分網(wǎng)絡(luò)。因此，安全性問題應(yīng)在SDN的設(shè)計中首先予以考慮。

DDoS攻擊根據(jù)攻擊方式大致劃分為3類：泛洪攻擊、畸形報文攻擊、掃描探測類攻擊，從網(wǎng)絡(luò)層次的劃分見表1所示。

表1 DDoS攻擊種類列表

如下圖1所示為SDN網(wǎng)絡(luò)控制平面所面臨的多種威脅，包括應(yīng)用層面、控制層面、數(shù)據(jù)平面等面臨的安全威脅，攻擊可以來自北向、東西向、南向等多種攻擊實體。

圖1 SDN控制器面臨的安全威脅示意圖

1.1 北向接口威脅

北向通道指SDN網(wǎng)絡(luò)控制器向第三方開放的API接口，用戶可以通過這些開放接口開發(fā)應(yīng)用，并在SDN網(wǎng)絡(luò)上部署，體現(xiàn)了SDN技術(shù)的開放性和可編程性。從傳統(tǒng)的API設(shè)計來看，設(shè)計者們注重的是保證API執(zhí)行過程無差錯，而忽視了API的安全性和魯棒性。近年來，盡管設(shè)計者們在盡力設(shè)計安全的API，但各種缺陷仍然出現(xiàn)在很多已部署的API中。有研究者提出，如果不能完全消除API中的安全缺陷，可以考慮開發(fā)一種新的設(shè)計標(biāo)準(zhǔn)來減少API使用帶來的負(fù)面影響。北向通道向上層提供接口時需要設(shè)置數(shù)據(jù)保護(hù)措施，防止第三方訪問核心數(shù)據(jù)。

由于應(yīng)用程序種類繁多且不斷更新，目前北向接口對應(yīng)用程序的認(rèn)證方法和認(rèn)證力度尚沒有統(tǒng)一的規(guī)定。此外，相對于控制層和基礎(chǔ)設(shè)施層之間的南向接口，北向接口在控制器和應(yīng)用程序之間所建立的信賴關(guān)系更加脆弱，攻擊者可利用北向接口的開放性和可編程性，對控制器中的某些重要資源進(jìn)行訪問。因此，對攻擊者而言，攻擊北向接口的門檻更低。目前，北向接口面臨的安全問題主要包括非法訪問、數(shù)據(jù)泄露、消息篡改、身份假冒、應(yīng)用程序自身的漏洞以及不同應(yīng)用程序在合作時引入的新漏洞等。

1.2 南向接口威脅

OpenFlow是SDN網(wǎng)絡(luò)中一種常用的南向標(biāo)準(zhǔn)協(xié)議，其協(xié)議本身存在漏洞。例如，OpenFlow協(xié)議要求在建立連接過程中，連接雙方必須先發(fā)送OFPT_HELLO消息給對方，若連接失敗，則會發(fā)送OFPT_ERROR消息，那么攻擊者可以通過中途攔截OFPT_HELLO消息或者偽造OFPT_ERROR消息來阻止連接正常建立[1]。另外，攻擊者可能惡意增加decrement TTL行為使數(shù)據(jù)包在網(wǎng)絡(luò)中因TTL耗盡而被丟棄。同時，如果OpenFlow連接在中途中斷，交換機(jī)會嘗試與其余備用控制器建立連接，如果也無法建立連接，則交換機(jī)會進(jìn)入緊急模式，正常流表項從流表中刪除，所有數(shù)據(jù)包將按照緊急模式流表項轉(zhuǎn)發(fā)，正常的數(shù)據(jù)轉(zhuǎn)發(fā)完全失效，導(dǎo)致底層網(wǎng)絡(luò)癱瘓。有研究者提出了一種策略，通過基于可靠性感知的控制器部署以及流量控制路由，提高OpenFlow連接的可靠性，并盡可能實現(xiàn)連接失效后快速恢復(fù)。

其次，Openflow處于SDN網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)層與SDN網(wǎng)絡(luò)控制層之間，這個單一的接口面臨擴(kuò)展性問題。OpenFlow接口的擴(kuò)展性問題導(dǎo)致攻擊者能夠通過發(fā)送特定的大量的流請求數(shù)據(jù)包，使得這個缺乏擴(kuò)展性的接口遭受拒絕服務(wù)攻擊。造成擴(kuò)展性問題以及由此發(fā)展而來的拒絕服務(wù)攻擊隱患的根本原因在于OpenFlow接口分隔網(wǎng)絡(luò)控制層與網(wǎng)絡(luò)轉(zhuǎn)發(fā)層，使得網(wǎng)絡(luò)控制層集中化以方便對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行細(xì)粒度控制的工作方式。當(dāng)OpenFlow轉(zhuǎn)發(fā)層設(shè)備接收到一個新的數(shù)據(jù)包，轉(zhuǎn)發(fā)層設(shè)備查詢自己的流表項，發(fā)現(xiàn)沒有與新數(shù)據(jù)包對應(yīng)的網(wǎng)絡(luò)流匹配的流表規(guī)則時，轉(zhuǎn)發(fā)層設(shè)備會將該數(shù)據(jù)包發(fā)送給控制器?？刂破鹘邮盏皆摂?shù)據(jù)包后，通過計算生成流表規(guī)則，將此流表項通過OpenFlow接口下發(fā)給轉(zhuǎn)發(fā)層設(shè)備，以此規(guī)定轉(zhuǎn)發(fā)層設(shè)備如何處理該數(shù)據(jù)包對應(yīng)的網(wǎng)絡(luò)流。但是，由于控制器是網(wǎng)絡(luò)的集中智能處理點，用于處理這些網(wǎng)絡(luò)流轉(zhuǎn)發(fā)需求的計算，因此，集中處理很快就體現(xiàn)出了擴(kuò)展性問題，尤其是在網(wǎng)絡(luò)面對如拒絕服務(wù)攻擊等突發(fā)數(shù)據(jù)流時。更為嚴(yán)重的是，由于轉(zhuǎn)發(fā)層設(shè)備接收到的數(shù)據(jù)包能夠驅(qū)動轉(zhuǎn)發(fā)層設(shè)備與控制層設(shè)備的直接通信聯(lián)系，當(dāng)一個控制大量僵尸主機(jī)的攻擊者產(chǎn)生一系列大量的獨立的新網(wǎng)絡(luò)流通信請求的時候，由于每個新網(wǎng)絡(luò)流通信請求都產(chǎn)生一個新的不能夠被轉(zhuǎn)發(fā)層設(shè)備當(dāng)前流表規(guī)則應(yīng)對的數(shù)據(jù)包，因此，每一個這樣的新數(shù)據(jù)包都會驅(qū)動轉(zhuǎn)發(fā)層設(shè)備與控制層設(shè)備之間的通信聯(lián)系。而這些通信聯(lián)系全部都要經(jīng)過OpenFlow接口，所以，OpenFlow接口在面對這類大量的新網(wǎng)絡(luò)通信流請求時，很容易達(dá)到飽和狀態(tài)，而無法應(yīng)對其它通信需求[2]。

1.3 東西向接口威脅

網(wǎng)絡(luò)控制器東西向接口主要完成主從節(jié)點的選舉，數(shù)據(jù)信息的同步，面臨的威脅如下包括會話劫持、飽和流拒絕服務(wù)攻擊等。

會話劫持由于SDN控制器之間采用軟件接口的方式連接，攻擊者假冒SDN控制器集群節(jié)點，采用重放攻擊等攻擊方式就可能對控制器的東西向會話進(jìn)行劫持，能達(dá)到對網(wǎng)絡(luò)控制器設(shè)備狀態(tài)同步等數(shù)據(jù)進(jìn)行惡意篡改、數(shù)據(jù)竊取等目的。一旦SDN控制器被攻擊者非法接入，攻擊者可能竊取網(wǎng)絡(luò)拓?fù)?、配置相關(guān)的數(shù)據(jù)庫信息，或者對數(shù)據(jù)與控制器程序進(jìn)行篡改，并以此為基礎(chǔ)實施其他攻擊與破壞。飽和流拒絕服務(wù)攻擊也是一種針對SDN控制器的拒絕服務(wù)攻擊，類似傳統(tǒng)網(wǎng)絡(luò)中的DDoS攻擊，主要針對控制器東西向的通信接口發(fā)起大量的連接請求，消耗服務(wù)器系統(tǒng)資源為目的，它不但能夠嚴(yán)重破壞控制器正常工作，還能夠?qū)е陆粨Q機(jī)無法進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

2 抗DDoS縱深防御體系架構(gòu)設(shè)計

SDN控制面是網(wǎng)絡(luò)的控制中心，其必然成為攻擊的首要對象。分布式拒絕服務(wù)攻擊是一種耗盡型攻擊，其主要特點在于攻擊的流量強(qiáng)度大，攻擊時間不可預(yù)測，攻擊種類也不可預(yù)測，攻擊來源分布于網(wǎng)絡(luò)的許多地方，因此這類攻擊的防御難度較大。為了應(yīng)對上述DDoS攻擊，設(shè)計了基于多層次的縱深防御體系。

SDN網(wǎng)絡(luò)管理面，搜集網(wǎng)絡(luò)控制面、數(shù)據(jù)面上報的DDoS安全事件進(jìn)行綜合分析，通過威脅分析和智能決策完成安全防護(hù)策略的下發(fā)，最終通過響應(yīng)處置中心完成處置響應(yīng)策略的下發(fā)，在控制面、數(shù)據(jù)面協(xié)同阻斷已發(fā)現(xiàn)的DDoS攻擊，其架構(gòu)如下圖2所示。

圖2 SDN控制面抗DDoS架構(gòu)

威脅阻斷主要體現(xiàn)在兩個方面開展。首先是網(wǎng)絡(luò)控制面，基于動態(tài)編排的虛擬化安全防護(hù)資源及調(diào)度的主機(jī)防護(hù)開展。其次是網(wǎng)絡(luò)數(shù)據(jù)面，基于軟件定義的全網(wǎng)分布式多級縱深安全協(xié)同防御體系開展。

SDN網(wǎng)絡(luò)控制面按需編排調(diào)度相應(yīng)的安全防護(hù)資源，可以實時監(jiān)測攻擊的發(fā)起，從而啟動相應(yīng)內(nèi)部或外部的流量清洗資源開展防御。考慮網(wǎng)絡(luò)的健壯性與安全性，主要體現(xiàn)在被攻擊的情況下，如何保證服務(wù)鏈的功能能夠正常地運行而不被影響。DDoS一般呈現(xiàn)出隨機(jī)性的特征，其強(qiáng)度、種類、時間都不可預(yù)測，因此在編排安全功能服務(wù)鏈的映射過程中可以采用同一網(wǎng)元功能映射出多臺同一功能的虛機(jī)或容器，這些虛機(jī)與容器可以位于不同的物理實體服務(wù)器平臺上，同一服務(wù)鏈的業(yè)務(wù)由不同的相同功能虛機(jī)或容器共同分擔(dān)完成，一旦某臺服務(wù)器發(fā)生硬件或者軟件上的故障，可以快速地將該服務(wù)器上虛機(jī)或容器所承載的業(yè)務(wù)流量導(dǎo)流到其他物理機(jī)上對應(yīng)功能的虛機(jī)或容器，實現(xiàn)網(wǎng)絡(luò)功能的快速無縫切換，最大程度提升網(wǎng)絡(luò)的魯棒性。

除了考慮上述優(yōu)化的目標(biāo)之外，在服務(wù)鏈的映射過程中應(yīng)該考慮到一個重要的問題是，服務(wù)鏈的映射不應(yīng)該僅僅是靜態(tài)的服務(wù)映射，在整個系統(tǒng)運行的過程中，用戶的需求會存在不斷變化的情況，流量的到達(dá)會隨著網(wǎng)絡(luò)用戶行為的不同而有所變化，導(dǎo)致單條服務(wù)鏈所需的計算、存儲、網(wǎng)絡(luò)資源是動態(tài)變化的；此外，服務(wù)鏈本身的數(shù)量也是在不斷變化，部分網(wǎng)絡(luò)業(yè)務(wù)需要臨時啟動，部分業(yè)務(wù)在完成了業(yè)務(wù)服務(wù)之后需要關(guān)閉，這些動態(tài)的過程對服務(wù)鏈的映射提出了新的挑戰(zhàn)，這要求在服務(wù)鏈的映射過程中，充分考慮當(dāng)前網(wǎng)絡(luò)的現(xiàn)狀，同時預(yù)測未來網(wǎng)絡(luò)業(yè)務(wù)的變化趨勢，基于這些信息進(jìn)行網(wǎng)絡(luò)的業(yè)務(wù)服務(wù)鏈的映射，以便于進(jìn)一步的服務(wù)擴(kuò)容與節(jié)能安排。

此外，SDN網(wǎng)絡(luò)為了抗擊大規(guī)模的DDoS攻擊，需要利用分級分域的流量清洗中心完成。為了遵循盡量從源頭抑制攻擊的原則，SDN控制面需要掌握全局的網(wǎng)絡(luò)拓?fù)湟约鞍踩逑促Y源的分布，通過優(yōu)化計算可以牽引來自不同入口的威脅流量就近完成清洗。

3 基于虛擬化安全資源動態(tài)編排的主機(jī)防護(hù)設(shè)計

SDN網(wǎng)絡(luò)控制器軟件通常運行在高性能服務(wù)器的環(huán)境中，因此服務(wù)器的主機(jī)安全防護(hù)能力是整個SDN控制器軟件穩(wěn)定可靠運行的基礎(chǔ)，需要構(gòu)建一個基于可信安全的主機(jī)防護(hù)架構(gòu)。

整個安全可信SDN控制器防護(hù)體系架構(gòu)，如下圖3所示。

其中，安全可信計算運行環(huán)境，采用可信根為引導(dǎo)，完成整個運行環(huán)境不受外界木馬植入的威脅，實現(xiàn)運行環(huán)境的受控運行。通過可信運行控制，完成上層應(yīng)用程序基于白名單的安全運行控制，以防止惡意程序或未知病毒的運行。主機(jī)入侵防護(hù)軟件，安裝運行在SDN控制器程序的同一虛擬機(jī)內(nèi)，主要完成主機(jī)的安全防護(hù)功能，對各類已知、未知攻擊和惡意代碼進(jìn)行檢測分析，主要包括可執(zhí)行文件掃描、進(jìn)程行為監(jiān)控、惡意代碼分析、流量攻擊監(jiān)測等，為計算環(huán)境抵御攻擊提供支撐。

安全防護(hù)虛擬機(jī)，提供L2～L7安全防護(hù)功能，能夠與虛擬交換機(jī)、虛擬機(jī)管理系統(tǒng)之間實現(xiàn)無縫結(jié)合。根據(jù)攻擊強(qiáng)度，可動態(tài)編排分配此虛擬機(jī)資源性能及數(shù)量，實施防護(hù)能力按需擴(kuò)展，可與網(wǎng)絡(luò)控制器1：N配置（N≥1）。其安全防護(hù)功能采用精細(xì)化多層過濾防御技術(shù)，通過報文合法性檢查、特征過濾、虛假源認(rèn)證、應(yīng)用層認(rèn)證、會話分析、行為分析、智能限速等技術(shù)手段，阻斷針對協(xié)議棧的威脅攻擊、具有特征的DDoS攻擊、傳輸協(xié)議層威脅攻擊、應(yīng)用協(xié)議層攻擊、異常連接威脅、慢速攻擊、突發(fā)流量攻擊等。

圖3 安全可信SDN控制器主機(jī)防護(hù)體系

安全綜合管理虛擬機(jī)，作為一個獨立的虛擬機(jī)存在，實現(xiàn)安全監(jiān)測預(yù)警和綜合決策管理功能。安全監(jiān)測預(yù)警模塊通過運行在其他虛擬機(jī)上的探針上報各類安全事件和日志信息，實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的實時監(jiān)測分析，及時發(fā)現(xiàn)各類網(wǎng)絡(luò)威脅攻擊，實時監(jiān)測各類主機(jī)安全運行狀態(tài)，產(chǎn)生并展現(xiàn)網(wǎng)絡(luò)控制器的安全態(tài)勢，為安全綜合決策處置提供重要支撐。安全綜合決策管理模塊，通過安全監(jiān)測預(yù)警模塊提供的安全態(tài)勢信息，通過綜合智能決策（應(yīng)急預(yù)案庫、知識庫、機(jī)器學(xué)習(xí)）完成安全應(yīng)急處置任務(wù)的創(chuàng)建與下發(fā)。

4 全網(wǎng)分布式多級安全協(xié)同防御設(shè)計

由于常見的DDoS攻擊呈現(xiàn)分布式特征，其強(qiáng)度、時間、攻擊類型都存在不確定性，因此為了適應(yīng)高強(qiáng)度的攻擊主機(jī)防護(hù)能力是不夠的，需要全網(wǎng)構(gòu)建多級檢測及清洗防御架構(gòu)，防御級別、資源數(shù)量和力度均隨著攻擊強(qiáng)度進(jìn)行自適應(yīng)和調(diào)整，此外為了應(yīng)對分布式攻擊，需要建立分布式的區(qū)域檢測和清洗中心的模式進(jìn)行聯(lián)動響應(yīng)，將流量盡可能的在源頭被抑制。

DDoS主要是耗盡型攻擊，其特征呈現(xiàn)為大流量，因此需要監(jiān)測、清洗、評估閉環(huán)控制。其中流量監(jiān)測的主要工作是分類統(tǒng)計流量，和預(yù)先配置的檢測閾值進(jìn)行比較來判斷是否啟動清洗，閾值的合理設(shè)置涉及到周期性的網(wǎng)絡(luò)流量統(tǒng)計和機(jī)器學(xué)習(xí)等動態(tài)流量基線技術(shù)，在檢測中也涉及到針對精細(xì)化的逐包檢測以及抽樣方式的逐流檢測等不同類型，以及基于大數(shù)據(jù)的信譽體系構(gòu)建，使得系統(tǒng)的檢測和處理更加高效。其次，清洗技術(shù)涉及到報文攻擊特征的識別與過濾，采用預(yù)置攻擊特征的靜態(tài)指紋與自動學(xué)習(xí)的動態(tài)指紋相結(jié)合，其中可以引入人工智能機(jī)器學(xué)習(xí)等新技術(shù)實現(xiàn)自動提取指紋特征。

如下圖4所示為一個全網(wǎng)分布式多級縱深安全協(xié)同防御的體系架構(gòu)，隨著攻擊強(qiáng)度的增加，一旦超過流量閾值門限，SDN控制器集群會上報安全事件給全網(wǎng)監(jiān)測預(yù)警中心，由監(jiān)測預(yù)警中心通過事件分析與智能決策，按照就近引流原則牽引全網(wǎng)攻擊流量至多個分布式部署的區(qū)域清洗中心，完成DDoS攻擊流量清洗，區(qū)域清洗中心的分布式部署可以按照分級分域的方式進(jìn)行設(shè)計，與網(wǎng)絡(luò)體系分層架構(gòu)保持一致，盡量從攻擊源頭消除威脅[3]。

5 結(jié) 語

針對上述分析的SDN控制器面臨的各種安全威脅情況，整個SDN網(wǎng)絡(luò)控制的安全防護(hù)的體系架構(gòu)需要整體設(shè)計，提供可信可控、全維全時、協(xié)同縱深的安全防護(hù)保障，能夠抵御來自各個層面的攻擊威脅，為網(wǎng)絡(luò)防御行動指揮和運維管理提供智能高效、體系聯(lián)動的安全防護(hù)保障，從而有效抵御戰(zhàn)略對手大規(guī)模、高強(qiáng)度網(wǎng)絡(luò)攻擊，有效保障基礎(chǔ)網(wǎng)絡(luò)安全運行、信息系統(tǒng)安全應(yīng)用、信息資源安全共享，為基于網(wǎng)絡(luò)信息體系的聯(lián)合作戰(zhàn)提供牢固的安全基石。

圖4 全網(wǎng)分布式多級安全協(xié)同防御設(shè)計