張 洋

（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院徐州經(jīng)貿(mào)分院，江蘇徐州，221004）

基于SDN的DDoS攻擊檢測(cè)和防護(hù)機(jī)制研究

張 洋

（江蘇聯(lián)合職業(yè)技術(shù)學(xué)院徐州經(jīng)貿(mào)分院，江蘇徐州，221004）

隨著云計(jì)算和大數(shù)據(jù)等技術(shù)的發(fā)展，傳統(tǒng)網(wǎng)絡(luò)已經(jīng)無(wú)法滿足飛速發(fā)展的需求，軟件定義網(wǎng)絡(luò)（SDN）的出現(xiàn)帶來(lái)了網(wǎng)絡(luò)發(fā)展的變革，雖然SDN已經(jīng)得到一定的應(yīng)用，但是其仍處在研究完善階段。本文闡述了SDN的關(guān)鍵技術(shù)以及主要協(xié)議，分析了SDN面臨的安全問(wèn)題，提出了一種基于流表特征的DDoS攻擊檢測(cè)方法，并給出了對(duì)應(yīng)的攻擊緩解方案。

軟件定義網(wǎng)絡(luò)；OpenFlow；DDoS；網(wǎng)絡(luò)安全

1　軟件定義網(wǎng)絡(luò)（SDN）

1.1SDN技術(shù)

隨著云計(jì)算、大數(shù)據(jù)等互聯(lián)網(wǎng)新技術(shù)的出現(xiàn)以及大量應(yīng)用，對(duì)網(wǎng)絡(luò)設(shè)備提出了更新的要求，且需求變化周期越來(lái)越短。為了適應(yīng)新技術(shù)的需求，傳統(tǒng)網(wǎng)絡(luò)需要在網(wǎng)絡(luò)設(shè)備中集成更多的服務(wù)功能，目前，設(shè)備更新的滯后在一定程度上影響了互聯(lián)網(wǎng)信息技術(shù)發(fā)展。軟件定義網(wǎng)絡(luò)SDN提出了將控制層與數(shù)據(jù)層分離的思想，也就是將網(wǎng)絡(luò)服務(wù)功能從網(wǎng)絡(luò)設(shè)備中分離出來(lái)形成控制層，整個(gè)SDN架構(gòu)由三部分構(gòu)成：網(wǎng)絡(luò)設(shè)備所在的數(shù)據(jù)層主要負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)、使用網(wǎng)絡(luò)資源的應(yīng)用程序構(gòu)成的應(yīng)用層、以及網(wǎng)絡(luò)服務(wù)所在的控制層，在控制層提供應(yīng)用程序接口供應(yīng)用層中的業(yè)務(wù)邏輯使用，從而形成可編程的開(kāi)放網(wǎng)絡(luò)環(huán)境，路由策略由控制層下發(fā)到數(shù)據(jù)層中的網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備的集中管理。

在2009年Mckewon教授正式提出SDN概念之后，各大機(jī)構(gòu)便投入SDN的相關(guān)研究之中，目前已經(jīng)出臺(tái)了一定的SDN解決方案，雖然SDN已經(jīng)得到了一定程度的應(yīng)用，但是SDN目前仍處在研究發(fā)展階段，尤其是其集中控制和開(kāi)放網(wǎng)絡(luò)的特性帶來(lái)了新的安全挑戰(zhàn)。在SDN網(wǎng)絡(luò)中，控制層中的控制器是SDN網(wǎng)絡(luò)的關(guān)鍵環(huán)節(jié)，控制器成為對(duì)SDN網(wǎng)絡(luò)攻擊的重點(diǎn)，控制器與應(yīng)用層之間的授權(quán)安全、控制器和數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備之間的數(shù)據(jù)通道安全等問(wèn)題均缺乏十分有效的解決方案。軟件定義網(wǎng)絡(luò)SDN邏輯架構(gòu)如圖1所示。

圖1　軟件定義網(wǎng)絡(luò)SDN邏輯架構(gòu)

1.2OpenFlow協(xié)議

控制層連接著應(yīng)用層和數(shù)據(jù)轉(zhuǎn)發(fā)層，控制層與應(yīng)用層之間通過(guò)北向接口相連，與數(shù)據(jù)轉(zhuǎn)發(fā)層通過(guò)南向接口相連。SDN網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)的最大的區(qū)別是控制與數(shù)據(jù)的分離，控制層與數(shù)據(jù)轉(zhuǎn)發(fā)層之間的南向接口成為SDN眾多接口的研究核心。由開(kāi)放網(wǎng)絡(luò)基金會(huì)ONF提出的控制平面接口（CDPI）成為南向接口的主流，該接口采用ONF制定的OpenFlow協(xié)議標(biāo)準(zhǔn)，該協(xié)議為第一個(gè)廣泛使用的南向接口協(xié)議，成為目前的主流協(xié)議標(biāo)準(zhǔn)。協(xié)議通過(guò)流的形式控制和管理交換機(jī)等網(wǎng)絡(luò)設(shè)備，使得網(wǎng)絡(luò)設(shè)備由傳統(tǒng)的單一封閉變成靈活可控。

OpenFlow控制網(wǎng)絡(luò)設(shè)備的消息類型按照消息的建立和保持方式主要有分為三種：對(duì)稱消息、控制器到交換機(jī)和異步消息。對(duì)稱消息（symmetric），控制器或者交換機(jī)的任意一方均可發(fā)起對(duì)稱消息，該消息主要用于建立和保持二者之間的連接；控制器到交換機(jī)（controller-to-switch）由控制器發(fā)起，主要用于獲取交換機(jī)狀態(tài)和管理交換機(jī)；異步消息（asynchronous）由交換機(jī)發(fā)起，用于向控制器傳遞設(shè)備自身狀態(tài)變化以及網(wǎng)絡(luò)事件。根據(jù)OpenFlow協(xié)議標(biāo)準(zhǔn)，交換機(jī)需要維護(hù)流表以便支持OpenFlow協(xié)議，而數(shù)據(jù)的轉(zhuǎn)發(fā)也是以流表的形式進(jìn)行，對(duì)流表的建立、下發(fā)以及維護(hù)等操作均由控制器實(shí)現(xiàn)。隨著OpenFlow版本的不斷更新，其功能不斷完善，先后增加了對(duì)IPV6的支持、流控制機(jī)制、流變復(fù)制和刪除機(jī)制等功能，然而隨著功能增加帶來(lái)的是流表負(fù)載過(guò)重的問(wèn)題。

1.3SDN安全挑戰(zhàn)

隨著軟件定義網(wǎng)絡(luò)的飛速發(fā)展，SDN已經(jīng)在校園網(wǎng)絡(luò)、小型企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、無(wú)線網(wǎng)絡(luò)、電信運(yùn)營(yíng)商網(wǎng)絡(luò)等領(lǐng)域中得到應(yīng)用。SDN數(shù)據(jù)轉(zhuǎn)發(fā)層與控制層分離的方式實(shí)現(xiàn)了網(wǎng)絡(luò)的全局視圖管理方式，網(wǎng)絡(luò)的高度集中和開(kāi)放性帶來(lái)諸多好處的同時(shí)，也帶來(lái)了新的安全問(wèn)題和挑戰(zhàn)。

1）控制器成為網(wǎng)絡(luò)攻擊的焦點(diǎn)

SDN網(wǎng)絡(luò)管理的高度集中使得網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)配置、安全策略等全都集成在控制器上，網(wǎng)絡(luò)的管理變得更加簡(jiǎn)便和靈活，然而一旦控制器被攻擊者控制，將影響控制器所控制的網(wǎng)絡(luò)范圍，造成網(wǎng)絡(luò)的癱瘓，因此對(duì)SDN控制器的安全防范的需求將大大增加。雖然控制器不太可能受到直接的大面積分布式攻擊，但是大量攻擊導(dǎo)致的初始流數(shù)據(jù)以及服務(wù)請(qǐng)求的地址偽造都可能造成控制器因?yàn)檫^(guò)載而停止提供服務(wù)。

2）API接口成為網(wǎng)絡(luò)威脅的突破口。SDN網(wǎng)絡(luò)的可編程性主要體現(xiàn)在控制器提供了大量的可編程的API接口，大量可編程接口的存在為網(wǎng)絡(luò)的更新升級(jí)提供了便利的同時(shí)也為拒絕服務(wù)攻擊提供了可能。另外，通過(guò)向應(yīng)用層植入木馬程序收集SDN網(wǎng)絡(luò)中的信息，從而進(jìn)一步修改網(wǎng)絡(luò)配置達(dá)到非法占用網(wǎng)絡(luò)資源、干擾控制器正常工作的目的。

3）SDN網(wǎng)絡(luò)的開(kāi)放性帶來(lái)很多的安全隱患。大量第三方應(yīng)用的出現(xiàn)，加快了業(yè)務(wù)創(chuàng)新的速度，隨之而來(lái)的是可能會(huì)導(dǎo)致應(yīng)用之間安全規(guī)則的沖突，大量的插件也可能存在一定的漏洞和惡意功能。

圖2　DDoS攻擊檢測(cè)系統(tǒng)拓?fù)浣Y(jié)構(gòu)

圖3　基于流表特征的DDoS攻擊檢測(cè)方法

2　基于流表特征的DDoS攻擊檢測(cè)方法

目前SDN仍處在研究發(fā)展階段，其主要應(yīng)用的形式是SDN技術(shù)和傳統(tǒng)網(wǎng)絡(luò)的結(jié)合。利用SDN的集中調(diào)度、統(tǒng)一管理的優(yōu)勢(shì)，結(jié)合防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備構(gòu)建增強(qiáng)型SDN網(wǎng)絡(luò)，利用SDN技術(shù)進(jìn)行深層次的流數(shù)據(jù)分析、流量控制和網(wǎng)絡(luò)監(jiān)控。在此模式下本文提出基于流表特征的DDoS攻擊檢測(cè)機(jī)制。該機(jī)制由SDN控制器、OpenFlow交換機(jī)、防火墻、入侵檢測(cè)系統(tǒng)構(gòu)成。入侵檢測(cè)系統(tǒng)采用基于流表特征的DDoS攻擊檢測(cè)方法，其思想為通過(guò)提取SDN網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備中的流表信息，并將其轉(zhuǎn)換成特征向量，然后提取出最優(yōu)特征搭建攻擊檢測(cè)分類器，使用攻擊檢測(cè)分類器分類網(wǎng)絡(luò)流量，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的識(shí)別。DDoS攻擊檢測(cè)系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖2所示：

OpenFlow流表特征能夠反映出某些已知網(wǎng)絡(luò)攻擊的特性，對(duì)每一種攻擊方式均要提取出其攻擊特性，理想情況下，通過(guò)已知攻擊特性應(yīng)該總是能夠?qū)γ恳环N惡意網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和識(shí)別。對(duì)正常流數(shù)據(jù)和攻擊行為進(jìn)行高層抽象得出的流表特征向量，是檢測(cè)攻擊行為的重要識(shí)別依據(jù)。

網(wǎng)絡(luò)中數(shù)據(jù)存在著高維度的特點(diǎn)，在具體實(shí)現(xiàn)時(shí)可以在攻擊檢測(cè)系統(tǒng)中使用特征選擇算法和分類算法對(duì)攻擊進(jìn)行識(shí)別。算法的實(shí)現(xiàn)由三個(gè)部分構(gòu)成：流表數(shù)據(jù)處理、特征選擇、分類檢測(cè)。流表數(shù)據(jù)處理階段，主要是對(duì)原始流表數(shù)據(jù)進(jìn)行獲取和預(yù)處理，在該階段對(duì)流表項(xiàng)信息進(jìn)行分析統(tǒng)計(jì)，將其轉(zhuǎn)換成為特征值序列；特征選擇階段，主要是選擇出最優(yōu)特征子集，使用過(guò)濾式方法確定選擇最優(yōu)子集的標(biāo)準(zhǔn)，構(gòu)建出最優(yōu)特征子集作為分類訓(xùn)練的輸入，使得攻擊檢測(cè)具有較低的時(shí)空復(fù)雜度和較高的準(zhǔn)確率；分類檢測(cè)階段，在機(jī)器學(xué)習(xí)訓(xùn)練的基礎(chǔ)上，使用數(shù)據(jù)挖掘算法處理分類安全數(shù)據(jù)，構(gòu)建分類模型。攻擊檢測(cè)過(guò)程如圖3所示。

3　攻擊緩解方法

為了更快的反應(yīng)攻擊檢測(cè)結(jié)果和構(gòu)建全方位的攻擊緩解機(jī)制，結(jié)合OpenFlow協(xié)議的轉(zhuǎn)發(fā)機(jī)制，將ACL管理控制和流量管理等傳統(tǒng)網(wǎng)絡(luò)攻擊緩解機(jī)制應(yīng)用到SDN網(wǎng)絡(luò)中。SDN控制器在收到攻擊檢測(cè)結(jié)果和攻擊特征信息之后，下發(fā)指令更改防火墻配置，減少網(wǎng)絡(luò)攻擊流量，同時(shí)向OpenFlow交換機(jī)發(fā)送流表修改指令，更改流表匹配設(shè)置，丟棄掉攻擊數(shù)據(jù)包，同時(shí)進(jìn)行訪問(wèn)控制列表的管理以及采取適當(dāng)?shù)牧髁抗芾聿呗詫?duì)攻擊進(jìn)行緩解。

3.1ACL管理控制

Access Control List（ACL）訪問(wèn)控制列表，為網(wǎng)絡(luò)設(shè)備中用于控制端口是否允許進(jìn)出數(shù)據(jù)包的指令列表，可以在網(wǎng)絡(luò)層實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶訪問(wèn)資源的控制。ACL的訪問(wèn)控制指令信息既可以具體到兩臺(tái)設(shè)備之間的網(wǎng)絡(luò)應(yīng)用，也可以是對(duì)特定網(wǎng)段進(jìn)行大規(guī)模信息匹配。另外通過(guò)ACL配置策略使得用戶只能訪問(wèn)特定的資源，從而達(dá)到有效地控制內(nèi)網(wǎng)安全的作用。

在SDN網(wǎng)絡(luò)環(huán)境下使用訪問(wèn)控制列表技術(shù)響應(yīng)攻擊檢測(cè)結(jié)果，使用控制器對(duì)數(shù)據(jù)包進(jìn)行統(tǒng)一的通信管理，可以有效地對(duì)網(wǎng)絡(luò)中所有流數(shù)據(jù)進(jìn)行集中管理和靈活調(diào)配。SDN控制器可以使用OpenFlow協(xié)議中規(guī)定的controller-to-switch消息對(duì)OpenFlow交換機(jī)的流表項(xiàng)進(jìn)行動(dòng)態(tài)改變，控制器根據(jù)攻擊檢測(cè)結(jié)果和安全策略通過(guò)controller-to-switch消息下發(fā)流表項(xiàng)到交換機(jī)，控制主機(jī)之間的通信許可，從而達(dá)到保護(hù)網(wǎng)絡(luò)、緩解攻擊、控制入侵蔓延的作用。

3.2流量管理

流量管理主要有限速和分流兩種方式。作為DDoS攻擊響應(yīng)的主要手段限速是借助網(wǎng)絡(luò)設(shè)備將多余的流量過(guò)濾掉，以達(dá)到緩解DDoS對(duì)網(wǎng)絡(luò)進(jìn)行破壞的目的。限速作為一種直接而有效的方式也存在一定的弊端，那就是正常數(shù)據(jù)流和異常數(shù)據(jù)流混雜在一起時(shí)，其被過(guò)濾的概率是一致的。在OpenFlow協(xié)議中，流表項(xiàng)中的匹配域除涵蓋了網(wǎng)絡(luò)層和鏈路層的大多數(shù)網(wǎng)絡(luò)標(biāo)記外，還包含目的端口、TCP、UDP等信息 ，在此基礎(chǔ)上SDN控制器可以綜合不同網(wǎng)絡(luò)層中的流量信息做出合理準(zhǔn)確的限速方案。流量管理的另一手段為分流，其主要是將正常數(shù)據(jù)流和攻擊數(shù)據(jù)流分離，將攻擊流轉(zhuǎn)發(fā)到專門負(fù)責(zé)抵抗DDoS攻擊的設(shè)備或空閑鏈路，從而盡可能減少攻擊對(duì)正常數(shù)據(jù)流的干擾，緩解受害鏈路和主機(jī)的服務(wù)擁塞情況。SDN網(wǎng)絡(luò)中在確定分流點(diǎn)以及其到DDoS攻擊清洗池之間最佳路徑之后，由控制器向交換機(jī)下發(fā)流表項(xiàng)實(shí)施攻擊分流，對(duì)攻擊流進(jìn)行清洗后，再將其分流到原目的地，在有效防御DDoS攻擊的同時(shí)，避免單點(diǎn)故障波及整個(gè)網(wǎng)絡(luò)的問(wèn)題。

3.3攻擊緩解機(jī)制

1）攻擊檢測(cè)模塊檢測(cè)受到DDoS網(wǎng)絡(luò)攻擊時(shí)，會(huì)收集被攻擊主機(jī)的相關(guān)信息以及與攻擊有關(guān)的流表信息，并將這些信息發(fā)送至狀態(tài)檢測(cè)模塊，狀態(tài)檢測(cè)模塊根據(jù)攻擊相關(guān)的流表信息結(jié)合全局網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)能夠檢測(cè)到被攻擊主機(jī)的網(wǎng)絡(luò)位置以及和該主機(jī)進(jìn)行通信的主機(jī)位置，構(gòu)成主機(jī)列表HOSTS=｛host1，……h(huán)ostn｝。

2）在得到主機(jī)列表之后，使用ACL控制管理模塊對(duì)主機(jī)列表中的主機(jī)一次進(jìn)行分類標(biāo)記，如果判斷為攻擊主機(jī)，則標(biāo)記到黑名單中，如果為正常主機(jī)則標(biāo)記到白名單中。對(duì)于列入黑名單的主機(jī)通過(guò)下發(fā)流表項(xiàng)，禁止其與被攻擊主機(jī)的通信；如果為白名單，則判斷其流統(tǒng)計(jì)值是否超出預(yù)設(shè)的上限，如果超出則使用流量控制模塊對(duì)其進(jìn)行處理。對(duì)于ACL控制管理模塊無(wú)法標(biāo)記的主機(jī)組成新的主機(jī)列表HOST T，并將該主機(jī)列表直接發(fā)送給流量管理模塊。

3）在流量管理模塊中，對(duì)于無(wú)法識(shí)別的HOSTT中的主機(jī)和超過(guò)預(yù)設(shè)上限的主機(jī)，進(jìn)行流數(shù)據(jù)信息的統(tǒng)計(jì)排序，根據(jù)預(yù)設(shè)規(guī)則篩選出可疑主機(jī)列表，然后對(duì)其實(shí)施分流或者限速。如果為分流則計(jì)算最佳路徑并修改流表項(xiàng)，將其引導(dǎo)至DDoS攻擊清洗池，同時(shí)禁止其與被攻擊主機(jī)的通信。如果為限速，則根據(jù)預(yù)先設(shè)定的速率修改流表項(xiàng)，同時(shí)向通信源頭和目的地址下發(fā)流表項(xiàng)，對(duì)可疑流的速率進(jìn)行限制，減弱其對(duì)正常流通信的影響。

4　總結(jié)

軟件定義網(wǎng)絡(luò)SDN的出現(xiàn)以及對(duì)相關(guān)技術(shù)的不斷研究和突破，給傳統(tǒng)網(wǎng)絡(luò)的突破發(fā)展帶來(lái)了新機(jī)遇，同時(shí)其自身也面臨著不可低估的挑戰(zhàn)。本文在研究現(xiàn)有SDN網(wǎng)絡(luò)主要技術(shù)和協(xié)議的基礎(chǔ)上，對(duì)SDN面臨的安全問(wèn)題進(jìn)行了分析，給出了SDN網(wǎng)絡(luò)可能遇到的安全攻擊問(wèn)題，提出了基于流表特征的DDoS攻擊檢測(cè)方法，并針對(duì)性給出了攻擊緩解方案。

［1］張朝昆，崔勇，唐翯祎，吳建平.軟件定義網(wǎng)絡(luò)（SDN）研究進(jìn)展［J］.軟件學(xué)報(bào)，2015，26（1）.

［2］孫鵬，劉秋妍.SDN安全技術(shù)研究［J］.中國(guó)電子科學(xué)研究院學(xué)報(bào)，2015，10（4）.

［3］何亨，黃偉，李濤，曾朋，董新華.基于SDS架構(gòu)的多級(jí)DDoS防護(hù)機(jī)制［J］.計(jì)算機(jī)工程與應(yīng)用，2016，52（1）.

［4］李鶴飛.基于軟件定義網(wǎng)絡(luò)的DDoS攻擊檢測(cè)方法和緩解機(jī)制的研究［D］.華東師范大學(xué)，2015.

［5］夏彬.基于軟件定義網(wǎng)絡(luò)的WLAN中DDoS攻擊檢測(cè)和防護(hù)［D］.上海交通大學(xué)，2015。

Research on DDoS Dtection and Protection Based on SDN

Zhang Yang
（Jiangsu Union Technical Institute， Xuzhou Economic and Trade Branch，JiangSu Xuzhou，221004）

With the development of cloud computing and big data technology，traditional network has been unable to meet the needs of rapid development，software defined network（SDN）brings to the change of the development of network，although the SDN has been used，but it is still in a stage of study and improve.This paper describes the key technology of SDN and the main protocol，Analysis of security issues faced by SDN，A DDoS attack detection method based on flow table feature is proposed， and puts forward the corresponding attack mitigation schemes.Propose corresponding attack mitigation plan。

Software Defined Network；OpenFlow；DDoS；Network Security

張洋（1982-），男，江蘇徐州人，碩士，講師，研究方向?yàn)榫W(wǎng)站建設(shè)、軟件工程等。