SDN網(wǎng)絡(luò)抗DDoS動(dòng)態(tài)縱深防御體系設(shè)計(jì)

０引言軟件定義網(wǎng)絡(luò)是一種數(shù)據(jù)面和控制平面分離的網(wǎng)絡(luò)模式，在此網(wǎng)絡(luò)架構(gòu)下的應(yīng)用中，決定整個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)行為的控制器自然成為攻擊者的目標(biāo)，攻擊者只要控制了控制器就可以控制整個(gè)網(wǎng)絡(luò)。目前網(wǎng)絡(luò)控制器面臨的DDoS攻擊是一種較難防御的網(wǎng)絡(luò)攻擊，它會(huì)呈現(xiàn)出基于時(shí)間、空間、強(qiáng)度等多維度、多層次攻擊隨機(jī)分布的特點(diǎn)，本文提出一種安全防御體系的設(shè)計(jì)，針對DDoS特征構(gòu)建相應(yīng)多維度多層次的動(dòng)態(tài)縱深防護(hù)體系，將內(nèi)生可信、擬態(tài)異構(gòu)等作為內(nèi)生安全防護(hù)基礎(chǔ)，從攻擊者發(fā)起的攻擊生命周期角度，建立一個(gè)縱深檢測、態(tài)勢感知、決策處置的閉環(huán)反饋體系，全面覆蓋攻擊者攻擊的主要路徑和環(huán)節(jié)，同時(shí)引入大數(shù)據(jù)威脅分析，機(jī)器學(xué)習(xí)等技術(shù)，從而實(shí)現(xiàn)智能防御能力的持續(xù)提升，縮短網(wǎng)絡(luò)空間安全對抗的不對稱性。１SDN網(wǎng)絡(luò)控制面臨的DDoS威脅軟件定義網(wǎng)絡(luò)SDN（SoftDefinedNetwork）是一種新的數(shù)據(jù)面和控制平面分離的網(wǎng)絡(luò)模式。在SDN中，控制器決定了整個(gè)網(wǎng)絡(luò)的行為。這種邏輯集中在一個(gè)軟件模塊的方式提供了多個(gè)好處。首先,通過軟件來修改網(wǎng)絡(luò)策略比經(jīng)由低級(jí)別的設(shè)備配置更簡單和更不容易出錯(cuò)。第二，控制程序可以自動(dòng)地響應(yīng)在網(wǎng)絡(luò)狀態(tài)變化，以保持高級(jí)別策略。第三,簡化了網(wǎng)絡(luò)功能發(fā)展，使得原本復(fù)雜的網(wǎng)絡(luò)設(shè)備可以簡單化和通用化。由于具有上述優(yōu)點(diǎn)，SDN網(wǎng)絡(luò)技術(shù)具有較好的應(yīng)用前景。但是，SDN的網(wǎng)絡(luò)可編程性和集中式控制平面也給網(wǎng)絡(luò)帶來了一些新的安全威脅。集中的控制平面很自然成為攻擊者的目標(biāo)，攻擊者只要控制了控制器就可以控制整個(gè)網(wǎng)絡(luò)。同時(shí)，網(wǎng)絡(luò)可編程性產(chǎn)生的副作用是打開了之前不存在的新威脅的大門。例如，攻擊可能利用一組特定的可編程設(shè)備的一個(gè)奇特的脆弱性損害了部分網(wǎng)絡(luò)。因此，安全性問題應(yīng)在SDN的設(shè)計(jì)中首先予以考慮。DDoS攻擊根據(jù)攻擊方式大致劃分為3類：泛洪攻擊、畸形報(bào)文攻擊、掃描探測類攻擊，從網(wǎng)絡(luò)層次的劃分見表1所示。表1DDoS攻擊種類列表如下圖1所示為SDN網(wǎng)絡(luò)控制平面所面臨的多種威脅，包括應(yīng)用層面、控制層面、數(shù)據(jù)平面等面臨的安全威脅，攻擊可以來自北向、東西向、南向等多種攻擊實(shí)體。圖1SDN控制器面臨的安全威脅示意圖1.1北向接口威脅北向通道指SDN網(wǎng)絡(luò)控制器向第三方開放的API接口，用戶可以通過這些開放接口開發(fā)應(yīng)用，并在SDN網(wǎng)絡(luò)上部署，體現(xiàn)了SDN技術(shù)的開放性和可編程性。從傳統(tǒng)的API設(shè)計(jì)來看，設(shè)計(jì)者們注重的是保證API執(zhí)行過程無差錯(cuò)，而忽視了API的安全性和魯棒性。近年來，盡管設(shè)計(jì)者們在盡力設(shè)計(jì)安全的API,但各種缺陷仍然出現(xiàn)在很多已部署的API中。有研究者提出，如果不能完全消除API中的安全缺陷，可以考慮開發(fā)一種新的設(shè)計(jì)標(biāo)準(zhǔn)來減少API使用帶來的負(fù)面影響。北向通道向上層提供接口時(shí)需要設(shè)置數(shù)據(jù)保護(hù)措施，防止第三方訪問核心數(shù)據(jù)。由于應(yīng)用程序種類繁多且不斷更新，目前北向接口對應(yīng)用程序的認(rèn)證方法和認(rèn)證力度尚沒有統(tǒng)一的規(guī)定。此外，相對于控制層和基礎(chǔ)設(shè)施層之間的南向接口，北向接口在控制器和應(yīng)用程序之間所建立的信賴關(guān)系更加脆弱，攻擊者可利用北向接口的開放性和可編程性，對控制器中的某些重要資源進(jìn)行訪問。因此，對攻擊者而言，攻擊北向接口的門檻更低。目前，北向接口面臨的安全問題主要包括非法訪問、數(shù)據(jù)泄露、消息篡改、身份假冒、應(yīng)用程序自身的漏洞以及不同應(yīng)用程序在合作時(shí)引入的新漏洞等。1.2南向接口威脅OpenFlow是SDN網(wǎng)絡(luò)中一種常用的南向標(biāo)準(zhǔn)協(xié)議，其協(xié)議本身存在漏洞。例如，OpenFlow協(xié)議要求在建立連接過程中，連接雙方必須先發(fā)送OFPT_HELLO消息給對方，若連接失敗，則會(huì)發(fā)送OFPT_ERROR消息，那么攻擊者可以通過中途攔截OFPT_HELLO消息或者偽造OFPT_ERROR消息來阻止連接正常建立。另外，攻擊者可能惡意增加decrementTTL行為使數(shù)據(jù)包在網(wǎng)絡(luò)中因TTL耗盡而被丟棄。同時(shí)，如果OpenFlow連接在中途中斷，交換機(jī)會(huì)嘗試與其余備用控制器建立連接，如果也無法建立連接，則交換機(jī)會(huì)進(jìn)入緊急模式，正常流表項(xiàng)從流表中刪除，所有數(shù)據(jù)包將按照緊急模式流表項(xiàng)轉(zhuǎn)發(fā)，正常的數(shù)據(jù)轉(zhuǎn)發(fā)完全失效，導(dǎo)致底層網(wǎng)絡(luò)癱瘓。有研究者提出了一種策略，通過基于可靠性感知的控制器部署以及流量控制路由，提高OpenFlow連接的可靠性，并盡可能實(shí)現(xiàn)連接失效后快速恢復(fù)。其次，Openflow處于SDN網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)層與SDN網(wǎng)絡(luò)控制層之間，這個(gè)單一的接口面臨擴(kuò)展性問題。OpenFlow接口的擴(kuò)展性問題導(dǎo)致攻擊者能夠通過發(fā)送特定的大量的流請求數(shù)據(jù)包，使得這個(gè)缺乏擴(kuò)展性的接口遭受拒絕服務(wù)攻擊。造成擴(kuò)展性問題以及由此發(fā)展而來的拒絕服務(wù)攻擊隱患的根本原因在于OpenFlow接口分隔網(wǎng)絡(luò)控制層與網(wǎng)絡(luò)轉(zhuǎn)發(fā)層，使得網(wǎng)絡(luò)控制層集中化以方便對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行細(xì)粒度控制的工作方式。當(dāng)OpenFlow轉(zhuǎn)發(fā)層設(shè)備接收到一個(gè)新的數(shù)據(jù)包，轉(zhuǎn)發(fā)層設(shè)備查詢自己的流表項(xiàng)，發(fā)現(xiàn)沒有與新數(shù)據(jù)包對應(yīng)的網(wǎng)絡(luò)流匹配的流表規(guī)則時(shí)，轉(zhuǎn)發(fā)層設(shè)備會(huì)將該數(shù)據(jù)包發(fā)送給控制器?？刂破鹘邮盏皆摂?shù)據(jù)包后，通過計(jì)算生成流表規(guī)則，將此流表項(xiàng)通過OpenFlow接口下發(fā)給轉(zhuǎn)發(fā)層設(shè)備，以此規(guī)定轉(zhuǎn)發(fā)層設(shè)備如何處理該數(shù)據(jù)包對應(yīng)的網(wǎng)絡(luò)流。但是，由于控制器是網(wǎng)絡(luò)的集中智能處理點(diǎn)，用于處理這些網(wǎng)絡(luò)流轉(zhuǎn)發(fā)需求的計(jì)算，因此，集中處理很快就體現(xiàn)出了擴(kuò)展性問題，尤其是在網(wǎng)絡(luò)面對如拒絕服務(wù)攻擊等突發(fā)數(shù)據(jù)流時(shí)。更為嚴(yán)重的是，由于轉(zhuǎn)發(fā)層設(shè)備接收到的數(shù)據(jù)包能夠驅(qū)動(dòng)轉(zhuǎn)發(fā)層設(shè)備與控制層設(shè)備的直接通信聯(lián)系，當(dāng)一個(gè)控制大量僵尸主機(jī)的攻擊者產(chǎn)生一系列大量的獨(dú)立的新網(wǎng)絡(luò)流通信請求的時(shí)候，由于每個(gè)新網(wǎng)絡(luò)流通信請求都產(chǎn)生一個(gè)新的不能夠被轉(zhuǎn)發(fā)層設(shè)備當(dāng)前流表規(guī)則應(yīng)對的數(shù)據(jù)包，因此，每一個(gè)這樣的新數(shù)據(jù)包都會(huì)驅(qū)動(dòng)轉(zhuǎn)發(fā)層設(shè)備與控制層設(shè)備之間的通信聯(lián)系。而這些通信聯(lián)系全部都要經(jīng)過OpenFlow接口，所以，OpenFlow接口在面對這類大量的新網(wǎng)絡(luò)通信流請求時(shí)，很容易達(dá)到飽和狀態(tài)，而無法應(yīng)對其它通信需求。1.3東西向接口威脅網(wǎng)絡(luò)控制器東西向接口主要完成主從節(jié)點(diǎn)的選舉，數(shù)據(jù)信息的同步，面臨的威脅如下包括會(huì)話劫持、飽和流拒絕服務(wù)攻擊等。會(huì)話劫持由于SDN控制器之間采用軟件接口的方式連接，攻擊者假冒SDN控制器集群節(jié)點(diǎn)，采用重放攻擊等攻擊方式就可能對控制器的東西向會(huì)話進(jìn)行劫持，能達(dá)到對網(wǎng)絡(luò)控制器設(shè)備狀態(tài)同步等數(shù)據(jù)進(jìn)行惡意篡改、數(shù)據(jù)竊取等目的。一旦SDN控制器被攻擊者非法接入，攻擊者可能竊取網(wǎng)絡(luò)拓?fù)洹⑴渲孟嚓P(guān)的數(shù)據(jù)庫信息，或者對數(shù)據(jù)與控制器程序進(jìn)行篡改，并以此為基礎(chǔ)實(shí)施其他攻擊與破壞。飽和流拒絕服務(wù)攻擊也是一種針對SDN控制器的拒絕服務(wù)攻擊，類似傳統(tǒng)網(wǎng)絡(luò)中的DDoS攻擊，主要針對控制器東西向的通信接口發(fā)起大量的連接請求，消耗服務(wù)器系統(tǒng)資源為目的，它不但能夠嚴(yán)重破壞控制器正常工作，還能夠?qū)е陆粨Q機(jī)無法進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。２抗DDoS縱深防御體系架構(gòu)設(shè)計(jì)SDN控制面是網(wǎng)絡(luò)的控制中心，其必然成為攻擊的首要對象。分布式拒絕服務(wù)攻擊是一種耗盡型攻擊，其主要特點(diǎn)在于攻擊的流量強(qiáng)度大，攻擊時(shí)間不可預(yù)測，攻擊種類也不可預(yù)測，攻擊來源分布于網(wǎng)絡(luò)的許多地方，因此這類攻擊的防御難度較大。為了應(yīng)對上述DDoS攻擊，設(shè)計(jì)了基于多層次的縱深防御體系。SDN網(wǎng)絡(luò)管理面，搜集網(wǎng)絡(luò)控制面、數(shù)據(jù)面上報(bào)的DDoS安全事件進(jìn)行綜合分析，通過威脅分析和智能決策完成安全防護(hù)策略的下發(fā)，最終通過響應(yīng)處置中心完成處置響應(yīng)策略的下發(fā)，在控制面、數(shù)據(jù)面協(xié)同阻斷已發(fā)現(xiàn)的DDoS攻擊，其架構(gòu)如下圖2所示。圖2

SDN控制面抗DDoS架構(gòu)威脅阻斷主要體現(xiàn)在兩個(gè)方面開展。首先是網(wǎng)絡(luò)控制面，基于動(dòng)態(tài)編排的虛擬化安全防護(hù)資源及調(diào)度的主機(jī)防護(hù)開展。其次是網(wǎng)絡(luò)數(shù)據(jù)面，基于軟件定義的全網(wǎng)分布式多級(jí)縱深安全協(xié)同防御體系開展。SDN網(wǎng)絡(luò)控制面按需編排調(diào)度相應(yīng)的安全防護(hù)資源，可以實(shí)時(shí)監(jiān)測攻擊的發(fā)起，從而啟動(dòng)相應(yīng)內(nèi)部或外部的流量清洗資源開展防御?？紤]網(wǎng)絡(luò)的健壯性與安全性，主要體現(xiàn)在被攻擊的情況下，如何保證服務(wù)鏈的功能能夠正常地運(yùn)行而不被影響。DDoS一般呈現(xiàn)出隨機(jī)性的特征，其強(qiáng)度、種類、時(shí)間都不可預(yù)測，因此在編排安全功能服務(wù)鏈的映射過程中可以采用同一網(wǎng)元功能映射出多臺(tái)同一功能的虛機(jī)或容器，這些虛機(jī)與容器可以位于不同的物理實(shí)體服務(wù)器平臺(tái)上，同一服務(wù)鏈的業(yè)務(wù)由不同的相同功能虛機(jī)或容器共同分擔(dān)完成，一旦某臺(tái)服務(wù)器發(fā)生硬件或者軟件上的故障，可以快速地將該服務(wù)器上虛機(jī)或容器所承載的業(yè)務(wù)流量導(dǎo)流到其他物理機(jī)上對應(yīng)功能的虛機(jī)或容器，實(shí)現(xiàn)網(wǎng)絡(luò)功能的快速無縫切換，最大程度提升網(wǎng)絡(luò)的魯棒性。除了考慮上述優(yōu)化的目標(biāo)之外，在服務(wù)鏈的映射過程中應(yīng)該考慮到一個(gè)重要的問題是，服務(wù)鏈的映射不應(yīng)該僅僅是靜態(tài)的服務(wù)映射，在整個(gè)系統(tǒng)運(yùn)行的過程中，用戶的需求會(huì)存在不斷變化的情況，流量的到達(dá)會(huì)隨著網(wǎng)絡(luò)用戶行為的不同而有所變化，導(dǎo)致單條服務(wù)鏈所需的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源是動(dòng)態(tài)變化的；此外，服務(wù)鏈本身的數(shù)量也是在不斷變化，部分網(wǎng)絡(luò)業(yè)務(wù)需要臨時(shí)啟動(dòng)，部分業(yè)務(wù)在完成了業(yè)務(wù)服務(wù)之后需要關(guān)閉，這些動(dòng)態(tài)的過程對服務(wù)鏈的映射提出了新的挑戰(zhàn)，這要求在服務(wù)鏈的映射過程中，充分考慮當(dāng)前網(wǎng)絡(luò)的現(xiàn)狀，同時(shí)預(yù)測未來網(wǎng)絡(luò)業(yè)務(wù)的變化趨勢，基于這些信息進(jìn)行網(wǎng)絡(luò)的業(yè)務(wù)服務(wù)鏈的映射，以便于進(jìn)一步的服務(wù)擴(kuò)容與節(jié)能安排。此外，SDN網(wǎng)絡(luò)為了抗擊大規(guī)模的DDoS攻擊，需要利用分級(jí)分域的流量清洗中心完成。為了遵循盡量從源頭抑制攻擊的原則，SDN控制面需要掌握全局的網(wǎng)絡(luò)拓?fù)湟约鞍踩逑促Y源的分布，通過優(yōu)化計(jì)算可以牽引來自不同入口的威脅流量就近完成清洗。３基于虛擬化安全資源動(dòng)態(tài)編排的主機(jī)防護(hù)設(shè)計(jì)SDN網(wǎng)絡(luò)控制器軟件通常運(yùn)行在高性能服務(wù)器的環(huán)境中，因此服務(wù)器的主機(jī)安全防護(hù)能力是整個(gè)SDN控制器軟件穩(wěn)定可靠運(yùn)行的基礎(chǔ)，需要構(gòu)建一個(gè)基于可信安全的主機(jī)防護(hù)架構(gòu)。整個(gè)安全可信SDN控制器防護(hù)體系架構(gòu)，如下圖3所示。圖3安全可信SDN控制器主機(jī)防護(hù)體系其中，安全可信計(jì)算運(yùn)行環(huán)境，采用可信根為引導(dǎo)，完成整個(gè)運(yùn)行環(huán)境不受外界木馬植入的威脅,實(shí)現(xiàn)運(yùn)行環(huán)境的受控運(yùn)行。通過可信運(yùn)行控制，完成上層應(yīng)用程序基于白名單的安全運(yùn)行控制，以防止惡意程序或未知病毒的運(yùn)行。主機(jī)入侵防護(hù)軟件,安裝運(yùn)行在SDN控制器程序的同一虛擬機(jī)內(nèi)，主要完成主機(jī)的安全防護(hù)功能，對各類已知、未知攻擊和惡意代碼進(jìn)行檢測分析，主要包括可執(zhí)行文件掃描、進(jìn)程行為監(jiān)控、惡意代碼分析、流量攻擊監(jiān)測等，為計(jì)算環(huán)境抵御攻擊提供支撐。安全防護(hù)虛擬機(jī)，提供L2?L7安全防護(hù)功能，能夠與虛擬交換機(jī)、虛擬機(jī)管理系統(tǒng)之間實(shí)現(xiàn)無縫結(jié)合。根據(jù)攻擊強(qiáng)度，可動(dòng)態(tài)編排分配此虛擬機(jī)資源性能及數(shù)量，實(shí)施防護(hù)能力按需擴(kuò)展，可與網(wǎng)絡(luò)控制器1：N配置（NN1）。其安全防護(hù)功能采用精細(xì)化多層過濾防御技術(shù)，通過報(bào)文合法性檢查、

特征過濾、虛假源認(rèn)證、應(yīng)用層認(rèn)證、會(huì)話分析、行為分析、智能限速等技術(shù)手段，阻斷針對協(xié)議棧的威脅攻擊、具有特征的DDoS攻擊、傳輸協(xié)議層威脅攻擊、應(yīng)用協(xié)議層攻擊、異常連接威脅、慢速攻擊、突發(fā)流量攻擊等。安全綜合管理虛擬機(jī)，作為一個(gè)獨(dú)立的虛擬機(jī)存在，實(shí)現(xiàn)安全監(jiān)測預(yù)警和綜合決策管理功能。安全監(jiān)測預(yù)警模塊通過運(yùn)行在其他虛擬機(jī)上的探針上報(bào)各類安全事件和日志信息，實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)監(jiān)測分析，及時(shí)發(fā)現(xiàn)各類網(wǎng)絡(luò)威脅攻擊，實(shí)時(shí)監(jiān)測各類主機(jī)安全運(yùn)行狀態(tài)，產(chǎn)生并展現(xiàn)網(wǎng)絡(luò)控制器的安全態(tài)勢，為安全綜合決策處置提供重要支撐。安全綜合決策管理模塊，通過安全監(jiān)測預(yù)警模塊提供的安全態(tài)勢信息，通過綜合智能決策（應(yīng)急預(yù)案庫、知識(shí)庫、機(jī)器學(xué)習(xí)）完成安全應(yīng)急處置任務(wù)的創(chuàng)建與下發(fā)。４全網(wǎng)分布式多級(jí)安全協(xié)同防御設(shè)計(jì)由于常見的DDoS攻擊呈現(xiàn)分布式特征，其強(qiáng)度、時(shí)間、攻擊類型都存在不確定性，因此為了適應(yīng)高強(qiáng)度的攻擊主機(jī)防護(hù)能力是不夠的，需要全網(wǎng)構(gòu)建多級(jí)檢測及清洗防御架構(gòu)，防御級(jí)別、資源數(shù)量和力度均隨著攻擊強(qiáng)度進(jìn)行自適應(yīng)和調(diào)整，此外為了應(yīng)對分布式攻擊，需要建立分布式的區(qū)域檢測和清洗中心的模式進(jìn)行聯(lián)動(dòng)響應(yīng)，將流量盡可能的在源頭被抑制。DDoS主要是耗盡型攻擊，其特征呈現(xiàn)為大流量，因此需要監(jiān)測、清洗、評估閉環(huán)控制。其中流量監(jiān)測的主要工作是分類統(tǒng)計(jì)流量，和預(yù)先配置的檢測閾值進(jìn)行比較來判斷是否啟動(dòng)清洗，閾值的合理設(shè)置涉及到周期性的網(wǎng)絡(luò)流量統(tǒng)計(jì)和機(jī)器學(xué)習(xí)等動(dòng)態(tài)流量基線技術(shù)，在檢測中也涉及到針對精細(xì)化的逐包檢測以及抽樣方式的逐流檢測等不同類型，以及基于大數(shù)據(jù)的信譽(yù)體系構(gòu)建，使得系統(tǒng)的檢測和處理更加高效。其次，清洗技術(shù)涉及到報(bào)文攻擊特征的識(shí)別與過濾，釆用預(yù)置攻擊特征的靜態(tài)指紋與自動(dòng)學(xué)習(xí)的動(dòng)態(tài)指紋相結(jié)合，其中可以引入人工智能機(jī)器學(xué)習(xí)等新技術(shù)實(shí)現(xiàn)自動(dòng)提取指紋特征。如下圖4所示為一個(gè)全網(wǎng)分布式多級(jí)縱深安全協(xié)同防御的體系架構(gòu)，隨著攻擊強(qiáng)度的增加，一旦超過流量閾值門限，SDN控制器集群會(huì)上報(bào)安全事件給全網(wǎng)監(jiān)測預(yù)警中心，由監(jiān)測預(yù)警中心通過事件分析與智能決策，按照就近引流原則牽引全網(wǎng)攻擊流量至多個(gè)分布式部署的區(qū)域清洗中心，完成DDoS攻擊流量