基于安全態(tài)勢感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)設(shè)計(jì)

馮文靜

摘? 要： 針對原有SND網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)數(shù)據(jù)威脅等級評估精度低造成的防御對策效果較差的問題，設(shè)計(jì)基于安全態(tài)勢感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)。沿用原有系統(tǒng)中部分硬件，選用嵌入式芯片設(shè)計(jì)SND控制器與檢測網(wǎng)絡(luò)構(gòu)架。軟件部分僅針對威脅等級評估部分設(shè)計(jì)。采用安全態(tài)勢感知技術(shù)完成威脅可信度評估中數(shù)據(jù)獲取與分析工作，設(shè)定攻擊知識庫提升對攻擊數(shù)據(jù)的分析能力并制定相應(yīng)防御對策框架;將分析處理后的威脅信息通過歸一化處理完成威脅量化;采用量化后的信息運(yùn)用編程系統(tǒng)評估其攻擊源威脅等級并根據(jù)評估結(jié)果，采取對應(yīng)的防御對策。至此，基于安全態(tài)勢感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)設(shè)計(jì)完成。構(gòu)建系統(tǒng)性能測試環(huán)境完成性能測試，與原有防御系統(tǒng)相比，此系統(tǒng)威脅等級評估精度更高，與樣本更加接近。因而，此防御系統(tǒng)性能更佳。

關(guān)鍵詞： SDN網(wǎng)絡(luò)架構(gòu); 攻擊防御; 系統(tǒng)設(shè)計(jì); 安全態(tài)勢感知; 威脅等級評估; 性能測試

Abstract： In allusion to the poor defense countermeasure effect caused by the low assessment accuracy of the data threat level of the original? SDN （software?defined network） topology pollution attack defense system， a SDN topology pollution attack defense system based on security situation awareness is designed， in which some hardware of the original system is retained， and the embedded chip is used for the design of SDN controller and detection network architecture. In the software part， the design is performed only for the threat level assessment part. The security situation awareness technology is used to complete the data acquisition and analysis of the threat credibility assessment. The knowledge base of attack is set up to improve the ability of analyzing the attack data， and lay down the framework of corresponding defense countermeasures. The threat to the analyzed and processed threat information is quantized by means of the normalized processing. The quantified information and the programming system are used to assess the threat level of the attack source， and the corresponding defense countermeasures are taken according to the evaluation results. Thus， the design of SDN topology pollution attack defense system based on security situational awareness is completed. The system performance testing environment was built to accomplish the performance test. In comparison with the original defense system， the threat level assessment accuracy of this system is higher and closer to the sample. Therefore， it has better performance.

Keywords： SDN architecture; attack defense; system design; security situational awareness; threat level assessment; performance test

0? 引? 言

傳統(tǒng)的網(wǎng)絡(luò)構(gòu)架越來越難以滿足人們對網(wǎng)絡(luò)功能日益增加的需求，為解決這一問題，通過不斷地研究與開發(fā)，設(shè)計(jì)出軟件定義網(wǎng)絡(luò)，即SDN。SDN擁有較強(qiáng)的控制能力，其轉(zhuǎn)發(fā)分離、集中控制以及可編程能力都優(yōu)于傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)[1?2]。與傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)相比，其靈活性更強(qiáng)，成為未來網(wǎng)絡(luò)的演進(jìn)方向。與此同時(shí)，SDN也存在相應(yīng)的風(fēng)險(xiǎn)。在SDN網(wǎng)絡(luò)構(gòu)架中，由于控制層與數(shù)據(jù)層的分離會出現(xiàn)網(wǎng)絡(luò)漏洞，很容易被攻擊者利用，形成網(wǎng)絡(luò)拓?fù)湮廴竟?。因而，在SDN網(wǎng)絡(luò)架構(gòu)上構(gòu)建一個(gè)具有入侵檢測、自動響應(yīng)、對入侵對象靈活防御的系統(tǒng)至關(guān)重要。

增加安全態(tài)勢感知部分可有效解決上述問題。安全態(tài)勢感知以安全大數(shù)據(jù)為基礎(chǔ)，從整體網(wǎng)絡(luò)架構(gòu)出發(fā)，完成對網(wǎng)絡(luò)架構(gòu)安全威脅的識別、解析、相應(yīng)處理[3]。使用這一技術(shù)，可以有效解決原有防御系統(tǒng)無法解決的問題。鑒于上述優(yōu)點(diǎn)，設(shè)計(jì)基于安全態(tài)勢感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)。使用此系統(tǒng)可以針對污染等級排序完成對其防御工作。不再僅僅是簡單的防御工作，使污染防御更加具有針對性，實(shí)現(xiàn)防御的科學(xué)化與完整性。

1? SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)硬件設(shè)計(jì)

在SDN 網(wǎng)絡(luò)構(gòu)架中，控制器是網(wǎng)絡(luò)構(gòu)架的核心，網(wǎng)絡(luò)工作人員通過控制器接口實(shí)現(xiàn)網(wǎng)絡(luò)的控制?？紤]到污染攻擊對控制器的影響較大，設(shè)計(jì)新型中央控制器，完成防御工作[4?5]。原有防御系統(tǒng)對所有的攻擊均采用同樣的防御策略，時(shí)常出現(xiàn)誤警問題。增加檢測網(wǎng)絡(luò)框架是必不可少的一個(gè)部分。通過上述分析，將防御系統(tǒng)的硬件構(gòu)建共分為三層，層層遞進(jìn)完成防御工作。具體構(gòu)架如圖1所示。

沿用原有防御系統(tǒng)中部分硬件結(jié)合本文設(shè)計(jì)硬件部分，基于上述構(gòu)架，分項(xiàng)設(shè)計(jì)系統(tǒng)硬件。

1.1? SDN控制器設(shè)計(jì)

過往SDN控制器設(shè)計(jì)中，共有分層式、集中式及水平式[6]3種分布形式。此次采用分層式結(jié)構(gòu)。

為實(shí)現(xiàn)SND控制器的性能，選用1 000 Mb/s網(wǎng)卡為控制器載體，PCI?X作為控制器總線。在總線中，安裝千兆以太網(wǎng)配置器，提升網(wǎng)絡(luò)帶寬。在控制器中安裝多種接口。其中包含雙絞線、光纖、BNC、AUI、HomePNA接口等。設(shè)定1個(gè)Console管理接口，8個(gè)業(yè)務(wù)接口，包括6個(gè)1000BASE接口，2個(gè)1000BASE?X Combo接口。在控制器中含有開關(guān)電源1個(gè)，不可擴(kuò)展。網(wǎng)絡(luò)控制器由上述微小硬件設(shè)備組成。

1.2? 檢測網(wǎng)絡(luò)框架設(shè)計(jì)

設(shè)計(jì)檢測網(wǎng)絡(luò)框架，在檢測網(wǎng)絡(luò)中放置3臺SDN 交換機(jī)及對應(yīng)傳感器，安裝在原有系統(tǒng)硬件主機(jī)部分中，通過檢測探針完成對網(wǎng)絡(luò)中信息的提取與檢測。傳感器中設(shè)計(jì)雙CPU嵌入式網(wǎng)卡兩枚，一枚用于處理待檢測數(shù)據(jù)包，不設(shè)IP;另一枚將檢測后的報(bào)警數(shù)據(jù)輸出，設(shè)定對應(yīng)IP，作為檢測網(wǎng)絡(luò)管理接口。傳感器中的一張網(wǎng)卡連接至交換機(jī)的鏡像端口。

選擇Am186/88型號嵌入式芯片。在芯片內(nèi)部設(shè)有ROM/EPROM總線、看門狗、I/O接口、A/D接口等多種接口，保障多種信息高速傳播。

通過上述設(shè)計(jì)完成系統(tǒng)硬件設(shè)計(jì)，此次設(shè)計(jì)僅針對于防御系統(tǒng)中威脅等級評估模塊，其余硬件沿用原有系統(tǒng)設(shè)置。

2? SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)軟件設(shè)計(jì)

以上述硬件為基礎(chǔ)，設(shè)計(jì)網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)軟件，主要針對威脅等級評估不準(zhǔn)確問題優(yōu)化，設(shè)計(jì)新型評估模型，如圖2所示。

本文模型為層次化威脅評估模型，設(shè)定為4個(gè)層次。使用量化方式評估攻擊威脅程度與概率，從而了解網(wǎng)絡(luò)整體的安全狀態(tài)。采用上述層次化威脅評估模型，根據(jù)網(wǎng)絡(luò)特征完成威脅評估方案。

2.1? 威脅可信度評估

防御模型中，引用威脅可信度評估環(huán)節(jié)，將攻擊成功所需條件與攻擊目標(biāo)狀態(tài)、漏洞信息整合并對比，初步過濾入侵檢測錯(cuò)誤報(bào)警概率。在可信度評估中，引用安全態(tài)勢感知技術(shù)獲取網(wǎng)絡(luò)構(gòu)架中的威脅數(shù)據(jù)，并分析其攻擊性能。尋找威脅時(shí)間的發(fā)生原因與影響機(jī)制。在受到攻擊時(shí)，根據(jù)流量日記與報(bào)警記錄評估威脅可信度 [7?8]。為直觀判斷可信度評估，構(gòu)建對應(yīng)攻擊知識庫，具體內(nèi)容如表1所示。

所構(gòu)建的知識庫共分成兩部分。使用攻擊依賴庫對產(chǎn)生攻擊時(shí)警報(bào)加以分析，可以得出該攻擊針對的操作系統(tǒng)類型與服務(wù)漏洞，分析其是否攻擊。使用主機(jī)漏洞庫分析漏洞成因，獲取防御對策。制定完備的攻擊知識庫，可以判斷出絕大部分的錯(cuò)誤警報(bào)，剔除不必要的報(bào)警。根據(jù)攻擊知識庫中的信息完成防御對策框架的構(gòu)建，系統(tǒng)中的防御對策將以其為基礎(chǔ)完成設(shè)計(jì)過程。

2.2? 威脅量化

根據(jù)上述的攻擊知識庫，得出相應(yīng)的報(bào)警信息，將其關(guān)聯(lián)處理。設(shè)定新報(bào)警組為[aQ]，其他處于活躍狀態(tài)的報(bào)警組集合為[aQ1，aQ2，…，aQn]，其對應(yīng)的關(guān)聯(lián)評估集合為[WaQ，aQ1，WaQ，aQ2，…，WaQ，aQn]，使用上述設(shè)定完成報(bào)警組的量化過程。

首先，采用Snort部分體現(xiàn)攻擊類型的報(bào)警反映威脅程度[9]。結(jié)合priority字段實(shí)現(xiàn)報(bào)警的緊要度?？紤]到這一次層因素，對每一字段值的報(bào)警組攻擊性能量化處理，則有：

式中：[R]表示字段的種類;[a]表示威脅值。采用此公式結(jié)合報(bào)警信息中統(tǒng)計(jì)到的其他字段，得出每一字段的單獨(dú)威脅量化?；趨f(xié)同攻擊的危害性，對其綜合量化[10]。利用關(guān)聯(lián)評估值集合，得出以下公式：

式中：[J]為單一評估值;[K]表示繪制綜合評估系數(shù);[i]表示字段序號。將其歸一化處理后得出報(bào)警組的威脅值為：

式中，[vthreshold]為定值，當(dāng)[v（aQ）]超過其就處于危險(xiǎn)環(huán)境了，這一定值需要根據(jù)網(wǎng)絡(luò)實(shí)際情況設(shè)定。通過上述步驟完成量化處理。

2.3? 攻擊源與攻擊目標(biāo)評估

通過上述量化結(jié)果完成對攻擊源與攻擊目標(biāo)的評估工作。在攻擊源對網(wǎng)絡(luò)節(jié)點(diǎn)攻擊的過程中，其可以偽造源地址，但作為攻擊目標(biāo)時(shí)，內(nèi)部信息是準(zhǔn)確的。因而，需要評估攻擊源與攻擊目標(biāo)的威脅程度。在評估的過程中，以上述歸一化處理后的威脅等級為基礎(chǔ)。采用Snort技術(shù)結(jié)合if語句完成編程處理。根據(jù)Scan local network：DISABLED//威脅信息評估攻擊源，并制定相應(yīng)的計(jì)算過程。完成對評估等級的計(jì)算，最終生成評估向量。采用此評估向量作為安全應(yīng)用防御決策輸出，保證防御對策的有效性。

威脅等級評估結(jié)果采取相應(yīng)的防御對策，實(shí)現(xiàn)的網(wǎng)絡(luò)拓?fù)湮廴竟舴烙δ?。在制定防御對策的過程中，以威脅等級為依據(jù)，結(jié)合對應(yīng)的知識庫內(nèi)容，充分考慮網(wǎng)絡(luò)構(gòu)架，完成指定工作。采用上述設(shè)計(jì)可有效提升系統(tǒng)防御能力。

3? 系統(tǒng)性能測試

搭建實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境將本文設(shè)計(jì)系統(tǒng)與原有防御系統(tǒng)對比，檢驗(yàn)其威脅等級評估準(zhǔn)確度。

3.1? 構(gòu)建測試環(huán)境

在此次性能測試中，使用VMware Workstation軟件安裝Ubuntu虛擬機(jī)實(shí)現(xiàn)實(shí)驗(yàn)網(wǎng)絡(luò)。在實(shí)驗(yàn)網(wǎng)絡(luò)中包含F(xiàn)loodlight控制器、OVS交換機(jī)以及5臺主機(jī)。設(shè)定主機(jī)節(jié)點(diǎn)如表2所示。

按照此節(jié)點(diǎn)數(shù)據(jù)完成虛擬機(jī)的安裝并得出相應(yīng)的網(wǎng)絡(luò)拓?fù)湫畔?。將威脅信息Dos分為3等，攻擊原有系統(tǒng)與本文設(shè)計(jì)系統(tǒng)網(wǎng)絡(luò)。其中，Ⅰ級信息15條，Ⅱ級信息30條，Ⅲ級信息50條。利用威脅信息等級評估模塊評估其威脅等級并采用相應(yīng)的防御對策。通過此方法檢驗(yàn)原有系統(tǒng)與本系統(tǒng)的威脅信息等級評估能力。

3.2? 測試結(jié)果分析

應(yīng)用SND實(shí)驗(yàn)網(wǎng)絡(luò)，完成系統(tǒng)性能測試。測試結(jié)果如圖3所示。

由圖3結(jié)果可知，原有防御系統(tǒng)對威脅數(shù)據(jù)等級評估水平較差，對所有威脅數(shù)據(jù)均采用同種防御措施，針對性較差。采用本文設(shè)計(jì)系統(tǒng)對威脅數(shù)據(jù)等級評估準(zhǔn)確度較高，且本文設(shè)計(jì)系統(tǒng)與測試樣本等級分布相同?？梢?，其評估精度較高。本文設(shè)計(jì)系統(tǒng)對不同等級威脅防御對策也不相同，因而，防御效果較好。綜上所述，本文設(shè)計(jì)的基于安全態(tài)勢感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)性能更佳。

4? 結(jié)? 語

在此次測試中，利用SDN 網(wǎng)絡(luò)構(gòu)架控制器對網(wǎng)絡(luò)集中控制以及其可編程的特點(diǎn)，設(shè)計(jì)基于安全態(tài)勢感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)。系統(tǒng)設(shè)計(jì)采用Snort 計(jì)算優(yōu)化入侵防御檢測方法。在原有防御報(bào)警分析技術(shù)的基礎(chǔ)上，設(shè)計(jì)威脅評估方案，此方案可以實(shí)現(xiàn)攻擊威脅的量化處理，完成攻擊源與攻擊目標(biāo)的精準(zhǔn)評估，以此制定防御對策，實(shí)現(xiàn)防御系統(tǒng)的靈活決策。測試結(jié)果表明，所提系統(tǒng)可以有效提高網(wǎng)絡(luò)防御能力，保證網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1] 廉哲，殷肖川，譚韌，等.面向網(wǎng)絡(luò)攻擊態(tài)勢的SDN虛擬蜜網(wǎng)[J].空軍工程大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，18（3）：79?84.

[2] 陳興蜀，曾雪梅，王文賢，等.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全與情報(bào)分析[J].四川大學(xué)學(xué)報(bào)（工程科學(xué)版），2017，49（3）：1?12.

[3] 鄭正，徐明偉，李琦，等.SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙鶛C(jī)制研究[J].計(jì)算機(jī)研究與發(fā)展，2018，55（1）：207?215.

[4] 李方偉，李俊瑤，聶益芳，等.基于多代理系統(tǒng)的動態(tài)信任態(tài)勢感知機(jī)制[J].系統(tǒng)工程與電子技術(shù)，2017（5）：1148?1153.

[5] 劉猛，管碧強(qiáng).面向服務(wù)架構(gòu)的虛擬蜜網(wǎng)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].沈陽理工大學(xué)學(xué)報(bào)，2017，36（1）：56?60.

[6] 劉世文，馬多耀，雷程，等.基于網(wǎng)絡(luò)安全態(tài)勢感知的主動防御技術(shù)研究[J].計(jì)算機(jī)工程與科學(xué)，2018（6）：102?109.

[7] 陳興蜀，楊露，羅永剛.大數(shù)據(jù)安全保護(hù)技術(shù)[J].工程科學(xué)與技術(shù)，2017（5）：1?12.

[8] 趙國生，邵子豪，王健，等.基于生存簇識別和預(yù)測的生存態(tài)勢感知模型[J].電子科技大學(xué)學(xué)報(bào)，2018，47（4）：558?565.

[9] 龔儉，臧小東，蘇琪，等.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].軟件學(xué)報(bào)，2017，28（4）：1010?1026.

[10] 章學(xué)妙，傅翀，盧嘉.基于網(wǎng)絡(luò)安全態(tài)勢感知的網(wǎng)絡(luò)系統(tǒng)自防御體系[J].計(jì)算機(jī)應(yīng)用與軟件，2017，34（9）：159?165.

[11] 季新生，徐水靈，劉文彥，等.一種面向安全的虛擬網(wǎng)絡(luò)功能動態(tài)異構(gòu)調(diào)度方法[J].電子與信息學(xué)報(bào)，2019（10）：2435?2441.

[12] 謝連科，張永，馬新剛，等.基于無線傳感器網(wǎng)絡(luò)的智能變電站環(huán)境遠(yuǎn)程監(jiān)測[J].計(jì)算機(jī)與數(shù)字工程，2019（9）：2375?2380.

[13] 宋楊.基于混合加密算法的網(wǎng)絡(luò)安全體系構(gòu)造[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（9）：14?15.