王天明，符 天

?

基于擴(kuò)展OpenFlow流標(biāo)結(jié)構(gòu)增強(qiáng)SDN網(wǎng)絡(luò)安全性研究

王天明1，符 天2

（1. 海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)信息中心，海南 海口 571127；2. 海南軟件職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)信息中心，海南 瓊海 571400）

軟件定義網(wǎng)絡(luò)（software defined networking，簡(jiǎn)稱(chēng)SDN）是分離了網(wǎng)絡(luò)的控制平面和數(shù)據(jù)平面新興網(wǎng)絡(luò)技術(shù),該技術(shù)為研發(fā)新的網(wǎng)絡(luò)應(yīng)用和未來(lái)互聯(lián)網(wǎng)技術(shù)提供了一種全新的解決方案。本文綜述了基于OpenFlow的SDN網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀,首先介紹了OpenFlow協(xié)議版本和OpenFlow的流表結(jié)構(gòu),并分析了如何通過(guò)擴(kuò)展流標(biāo)結(jié)構(gòu)來(lái)增強(qiáng)SDN網(wǎng)絡(luò)安全性。由于擴(kuò)展了流標(biāo)結(jié)構(gòu)，增大了SDN網(wǎng)絡(luò)的運(yùn)算負(fù)擔(dān)，簡(jiǎn)述如何通過(guò)人工神經(jīng)網(wǎng)絡(luò)方法SOM（self organizing map）對(duì)OpenFlow的流表進(jìn)行降維處理來(lái)減輕SDN網(wǎng)絡(luò)的運(yùn)算負(fù)擔(dān)，最后探討了SDN網(wǎng)絡(luò)安全未來(lái)的發(fā)展和研究趨勢(shì)。

軟件定義網(wǎng)絡(luò)；OpenFlow；流表；人工神經(jīng)網(wǎng)絡(luò)

0 引言

隨著Internet技術(shù)的高速發(fā)展，云計(jì)算、虛擬化等新型技術(shù)在互聯(lián)網(wǎng)中大規(guī)模部署。對(duì)網(wǎng)絡(luò)帶寬需求猛增、互聯(lián)網(wǎng)面對(duì)著種類(lèi)繁多的業(yè)務(wù)需求，也給互聯(lián)網(wǎng)提出了更高的要求。面對(duì)日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)的TCP/IP網(wǎng)絡(luò)面對(duì)著巨大的挑戰(zhàn)。尤其數(shù)據(jù)中心的虛擬化已經(jīng)大規(guī)模部署、傳統(tǒng)的TCP/IP網(wǎng)絡(luò)已經(jīng)傳統(tǒng)網(wǎng)絡(luò)難以應(yīng)對(duì)現(xiàn)代虛擬化計(jì)算，所以提出軟件定義網(wǎng)絡(luò)，并將在管理程序內(nèi)處理這些決定，而傳統(tǒng)TCP/IP網(wǎng)絡(luò)則沒(méi)有這么靈活。傳統(tǒng)網(wǎng)絡(luò)核心的路由器，只有少量網(wǎng)絡(luò)管理人員只能通過(guò)命令行接口（command-line interface，簡(jiǎn)稱(chēng)CLI)路由器對(duì)其進(jìn)行設(shè)置，研究人員很難在真實(shí)的網(wǎng)絡(luò)中進(jìn)行試驗(yàn)和部署網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，目前網(wǎng)絡(luò)中已經(jīng)大量部署原有的網(wǎng)絡(luò)設(shè)備和TCP/IP等協(xié)議也要在很長(zhǎng)一段時(shí)間內(nèi)延續(xù)目前網(wǎng)絡(luò)體系結(jié)構(gòu)，因?yàn)榇罅康木W(wǎng)絡(luò)設(shè)備不可能在短期內(nèi)全部更換，為解決TCP/IP協(xié)議網(wǎng)絡(luò)這一系列的問(wèn)題。許多國(guó)都在研究未來(lái)互聯(lián)網(wǎng)，未來(lái)互聯(lián)網(wǎng)體系結(jié)構(gòu)是允許用戶(hù)自行定義路由器和交換機(jī)的功能模塊。目前，可編程虛擬化路由器和交換機(jī)已經(jīng)被業(yè)界廣泛關(guān)注，未來(lái)互聯(lián)網(wǎng)是否可以得到長(zhǎng)遠(yuǎn)的發(fā)展取決于網(wǎng)絡(luò)設(shè)計(jì)的開(kāi)放性和可控性。OpenFlow技術(shù)概念最早由斯坦福大學(xué)的 Nick McKeown教授提出，是斯坦福大學(xué) Clean Slate計(jì)劃資助的一個(gè)開(kāi)放式協(xié)議標(biāo)準(zhǔn)，后成為 GENI 計(jì)劃的子項(xiàng)目。OpenFlow將控制功能從網(wǎng)絡(luò)設(shè)備中分離出來(lái)，在網(wǎng)絡(luò)設(shè)備上維護(hù)流表（Flow table)結(jié)構(gòu)，數(shù)據(jù)分組按照流表進(jìn)行轉(zhuǎn)發(fā)，而流表的生成、維護(hù)、配置則由中央控制器來(lái)管理[5]。在這種控制轉(zhuǎn)發(fā)分離架構(gòu)下，網(wǎng)絡(luò)的邏輯控制功能和高層策略可以通過(guò)中央控制器靈活地進(jìn)行動(dòng)態(tài)管理和配置，可在不影響傳統(tǒng)網(wǎng)絡(luò)正常流量的情況下，在現(xiàn)有的網(wǎng)絡(luò)中實(shí)現(xiàn)和部署新型網(wǎng)絡(luò)架構(gòu)[6]。所以可以擴(kuò)展流標(biāo)結(jié)構(gòu)來(lái)增強(qiáng)SDN網(wǎng)絡(luò)安全性。

1 OpenFlow簡(jiǎn)介

OpenFlow是一種新興交換技術(shù)，OpenFlow協(xié)議可建立SDN網(wǎng)絡(luò)，SDN網(wǎng)絡(luò)把網(wǎng)絡(luò)設(shè)備整體進(jìn)行管理，而不是多個(gè)的相互獨(dú)立網(wǎng)絡(luò)設(shè)備進(jìn)行管理。

SDN網(wǎng)絡(luò)的數(shù)據(jù)包轉(zhuǎn)發(fā)指令是基于流表，流表由數(shù)據(jù)包通用特性構(gòu)成。流表需要設(shè)定多個(gè)參數(shù)，其中包括：輸入端口、源MAC地址、目的MAC地址、以太網(wǎng)類(lèi)型、VLAN ID、原地址、目標(biāo)地址等數(shù)據(jù)包共有特性。SDN網(wǎng)絡(luò)的控制器會(huì)在交換機(jī)上設(shè)置多個(gè)參數(shù)，用于定義OpenFlow的流表，以及與數(shù)據(jù)包與流表匹配后的數(shù)據(jù)包處理方式。

OpenFlow定義了控制器與交換機(jī)之間的通信協(xié)議，以及控制器對(duì)交換機(jī)一系列操作?？刂破鞯浇粨Q機(jī)通信通過(guò)TLS協(xié)議或TCP協(xié)議連接?？刂破魍ㄟ^(guò)TLS協(xié)議或TCP協(xié)議向交換機(jī)發(fā)送指令，控制數(shù)據(jù)包的轉(zhuǎn)發(fā)方式、處理方法、以及配置參數(shù)。交換機(jī)也會(huì)把當(dāng)前狀態(tài)通知控制器，如：鏈路中斷或出現(xiàn)未指定轉(zhuǎn)發(fā)指令的數(shù)據(jù)包。

圖1 OpenFlow交換機(jī)構(gòu)成

通過(guò)OpenFlow交換機(jī)的全部數(shù)據(jù)包都要經(jīng)過(guò)OpenFlow流水線處理。每個(gè)OpenFlow交換機(jī)的流水線包含多個(gè)流表，每個(gè)流表包含多個(gè)流表項(xiàng)（如圖3所示）。OpenFlow的流水線處理過(guò)程中定義了數(shù)據(jù)包與那些流表進(jìn)行交互操作（如圖2所示）。 OpenFlow交換機(jī)中至少要有一個(gè)流表，可以有多個(gè)的可選擇的流表。只有單一流表的OpenFlow交換機(jī)是有效的，而且在這種情況下流水線處理數(shù)據(jù)包過(guò)程是比較簡(jiǎn)化的。

OpenFlow交換機(jī)中的流表是按順序進(jìn)行編號(hào)。流水線的處理總是從第一個(gè)流表開(kāi)始：當(dāng)數(shù)據(jù)包第一個(gè)與的流表項(xiàng)匹配后，根據(jù)匹配結(jié)果調(diào)用交換機(jī)內(nèi)的其他流表進(jìn)行匹配。

Match Fields：數(shù)據(jù)輸入端口的匹配、數(shù)據(jù)包報(bào)頭的匹配、上一個(gè)表指定的可選的源數(shù)據(jù)的匹配；Priority：流表項(xiàng)的匹配次序；Counters：匹配數(shù)據(jù)包的計(jì)數(shù)；Instructions：指令集的修改或流水線處理的修改；Timeouts：流有處理的效時(shí)間；cookie：控制器選擇的不透明數(shù)據(jù)值?？刂破髯饔檬沁^(guò)濾流、統(tǒng)計(jì)數(shù)據(jù)包、更改流和刪除流等操作，但處理數(shù)據(jù)包過(guò)程中不能進(jìn)行以上操作。數(shù)據(jù)包是否通過(guò)哪些由流表項(xiàng)的Match Field字段和Priority字段決定，在一個(gè)流表中Match Field字段和Priority字段共同確定唯一的流表項(xiàng)。

圖2 通過(guò)處理了流水線的數(shù)據(jù)包流

圖3 流標(biāo)包含項(xiàng)

數(shù)據(jù)包在流表中匹配過(guò)程（如圖4所示）。

圖4 流程圖描述了數(shù)據(jù)包流通過(guò)一個(gè)OpenFlow交換機(jī)

2 擴(kuò)展流標(biāo)結(jié)構(gòu)增強(qiáng)SDN安全性

2.1 加強(qiáng)安全性的流標(biāo)結(jié)構(gòu)

在流表中增加安全規(guī)則，來(lái)檢測(cè)通過(guò)交換機(jī)的數(shù)據(jù)包是否有網(wǎng)絡(luò)攻擊行為并處理這些含有攻擊行為的數(shù)據(jù)包（如圖5所示）。規(guī)則頭包含一條規(guī)則的基本信息，定義了規(guī)則的行為、規(guī)則檢測(cè)的、數(shù)據(jù)包的源、目的IP地址和源、目的端口號(hào)以及數(shù)據(jù)的流向。規(guī)則選項(xiàng)緊接在規(guī)則頭后，括在一對(duì)括號(hào)中，由一個(gè)或多個(gè)可選項(xiàng)組成，規(guī)則選項(xiàng)通過(guò)設(shè)置各種選項(xiàng)值，詳細(xì)描述每一種惡意攻擊的特征。

如下是一條典型的擴(kuò)展流標(biāo)結(jié)構(gòu)的安全規(guī)則：

alert ip $EXTERNAL_NET any -> $HOME_ NET any (msg:"DOS Jolt attack"; fragbits: M; dsize:408; reference:cve,CAN-1999-0345; classtype: attempted-dos; sid:268; rev:2;)注：參考入侵檢測(cè)系統(tǒng)snort的規(guī)則。

這條規(guī)則的含義是：對(duì)任何一個(gè)數(shù)據(jù)包標(biāo)記位為“M”、數(shù)據(jù)包大小為“408”、涉及到“CVE”并且包頭表明是從外部網(wǎng)絡(luò)發(fā)給內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)的流量產(chǎn)生報(bào)警。這是一種典型的DOS攻擊，導(dǎo)致系統(tǒng)崩潰。

2.2 自組織映射組織映射

（SOM）是人工神經(jīng)網(wǎng)絡(luò)將一個(gè)給定的n維數(shù)據(jù)模式空間劃分為1或2維地圖或網(wǎng)格。這劃分完成后，拓?fù)渑判蛟跀?shù)據(jù)模式向量（突觸或權(quán)重）相似統(tǒng)計(jì)特征的聚集地區(qū)靠近對(duì)方網(wǎng)格。這個(gè)學(xué)習(xí)的過(guò)程是以競(jìng)爭(zhēng)基礎(chǔ)，因?yàn)樯窠?jīng)元相互競(jìng)爭(zhēng)要放在神經(jīng)網(wǎng)絡(luò)的輸出層，但只有一個(gè)神經(jīng)元能競(jìng)爭(zhēng)到神經(jīng)網(wǎng)絡(luò)的輸出層（如圖6所示）。也正是因?yàn)樯窠?jīng)元網(wǎng)絡(luò)在無(wú)監(jiān)督自主學(xué)習(xí)下并進(jìn)入競(jìng)爭(zhēng)模式，重組后的每一次訓(xùn)練數(shù)據(jù)本身和調(diào)整其權(quán)重作為新的數(shù)據(jù)到達(dá)輸出層。

下面詳細(xì)描述了完整的SOM算法[8]，并對(duì)對(duì)SOM的學(xué)習(xí)過(guò)程的主要的步驟的進(jìn)行如下總結(jié)。

（1）初始化：初始化過(guò)程是所有的神經(jīng)元突觸權(quán)重向量隨機(jī)生成，載體必須進(jìn)入相同維數(shù)的模式空間。

（2）抽樣：?jiǎn)我粯颖具x擇輸入模式空間，并送入到神經(jīng)元網(wǎng)格。

其中是網(wǎng)格中的神經(jīng)元的數(shù)目。

圖6 Kohonen自組織映射

（4）突觸后的適應(yīng)：尋找勝利神經(jīng)元，每個(gè)神經(jīng)元的突觸權(quán)重向量進(jìn)行調(diào)整：

（5）重復(fù)步驟（2）到（4），直到拓?fù)鋱D沒(méi)有顯著的變化。

SOM是一個(gè)合適檢測(cè)分類(lèi)網(wǎng)絡(luò)數(shù)據(jù)流量方法，由于其即使在高噪聲的數(shù)據(jù)信號(hào)速率模式下也有很強(qiáng)的識(shí)別能力。此外，它可以在輸入空間的數(shù)據(jù)段找到隱藏的關(guān)系。當(dāng)數(shù)據(jù)包進(jìn)入的空間流動(dòng)，因而我們能夠檢測(cè)到攻擊，并檢查通過(guò)數(shù)據(jù)包的報(bào)頭，若有攻擊行為報(bào)警。

2.3 輕量級(jí)的基于流量的DDoS攻擊檢測(cè)

我們的輕量級(jí)的DDoS攻擊檢測(cè)方法包括在預(yù)定的時(shí)間間隔監(jiān)測(cè)網(wǎng)絡(luò)的NOX的注冊(cè)交換機(jī)。在規(guī)定的時(shí)間間隔，在現(xiàn)有的所有交換機(jī)流表提取特征。每個(gè)數(shù)據(jù)包通過(guò)一個(gè)分類(lèi)器模塊，使用獲勝神經(jīng)元的空間在拓?fù)鋱D的位置，判斷該信息的網(wǎng)絡(luò)流量屬于正常的網(wǎng)絡(luò)行為還是攻擊行為。

該方法分將三個(gè)模塊放置在NOX控制器檢測(cè)回路（如圖7所示），三檢測(cè)回路模塊描述如下：流量采集模塊負(fù)責(zé)定期采集交換機(jī)流表所有競(jìng)爭(zhēng)數(shù)據(jù)包，特征提取模塊接收采集的數(shù)據(jù)包并提取特征，并收集他們的6元組被傳遞到分類(lèi)器。每6元組的都有屬于它的ID，可以容易地獲得的NOX。

圖7 Kohonen的人工神經(jīng)網(wǎng)絡(luò)圖

3 實(shí)驗(yàn)與分析

3.1 虛擬OpenFlow實(shí)驗(yàn)環(huán)境

硬件平臺(tái)：PC機(jī)器＊1臺(tái)

軟件平臺(tái)：Ubuntu12.04+Floodlight+Mininet，其中，需要使用到虛擬機(jī)軟件，使用的是Virtualbox。

整個(gè)環(huán)境如下：

PC機(jī)器上安裝Floodlight，作為OpenFlow環(huán)境的控制器。

PC機(jī)器上Virtualbox中運(yùn)行帶有Mininet的虛擬機(jī)，用來(lái)模擬出OpenFlow交換機(jī)，以及Host和自定義的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

3.2 攻擊工具：DDoSMaker.exe

DDoSMaker.exe工具是用來(lái)產(chǎn)生DDOS洪水攻擊的流量。是目前開(kāi)展的訓(xùn)練和測(cè)試階段的攻擊類(lèi)型，以及產(chǎn)生各類(lèi)型攻擊的流量數(shù)（如表1所示）。在括號(hào)內(nèi)的值是在攻擊期間發(fā)送的數(shù)據(jù)包的大小，DDoSMaker.exe工具攻擊數(shù)據(jù)包最大為1024字節(jié)。表1每一參數(shù)值的影響等表描述的DDoS攻擊如下。只有時(shí)間間隔參數(shù)改變，而其他參數(shù)保持默認(rèn)值。

（1）DDOS攻擊速度是可以調(diào)節(jié)的，攻擊的時(shí)間隔期可以設(shè)置固定時(shí)間發(fā)送的數(shù)據(jù)包數(shù)?？梢詮牡偷礁卟灰?guī)則的設(shè)置攻擊時(shí)間間隔。

（2）DDOS攻擊可動(dòng)態(tài)設(shè)置，可以設(shè)置為連續(xù)攻擊或和規(guī)定時(shí)間間隔攻擊，默認(rèn)值設(shè)置為連續(xù)。

（3）網(wǎng)絡(luò)流量攻擊可設(shè)置為同步或交錯(cuò)兩種模式，同步模式是默認(rèn)值。

表1 DDoS攻擊用于訓(xùn)練和測(cè)試

Tab.1 DDoS attacks are used for training and testing

3.3 時(shí)間訓(xùn)練和分類(lèi)的流量

SOM的訓(xùn)練階段期間收集了3500份攻擊樣本和5108個(gè)非攻擊樣本。

表2比較了內(nèi)六元組和四元組執(zhí)行SOM一系列任務(wù)的時(shí)間，任務(wù)包括：培養(yǎng)神經(jīng)元網(wǎng)格、給定一個(gè)樣本的分類(lèi)、判別函數(shù)的執(zhí)行。

表2 SOM檢測(cè)任務(wù)的執(zhí)行時(shí)間

Tab.2 SOM execution time of the detection task

3.4 性能檢測(cè)

檢測(cè)率的定義

誤報(bào)率定義

表3 檢測(cè)結(jié)果

Tab.3 Test results

4 結(jié)語(yǔ)

本文在SDN軟件定義網(wǎng)絡(luò)，提出了增強(qiáng)安全性的解決思路和方法，在流表項(xiàng)中增加安全規(guī)則，來(lái)檢測(cè)網(wǎng)絡(luò)攻擊，通過(guò)控制器來(lái)阻斷網(wǎng)絡(luò)攻擊。本文僅以DDOS攻擊作為實(shí)驗(yàn)，其它攻擊實(shí)驗(yàn)也可以應(yīng)用在該方法中。

[1] Elliott C. GENI: Opening up new classes of experiments in global networking. IEEE Internet Computing, 2010, 14(1): 39-42

[2] Gavras A, Karila A, Fdida S, May M, Potts M. Future Internet research and experimentation: The FIRE initiative. ACM SIGCOMM Computer Communication Review, 2007, 37(3): 89-92. [doi: 10. 1145/1273445. 1273460]

[3] JGN2plus. 2012. http://www.jgn.nict.go.jp/english/index.html

[4] SOFIA. 2012. http://fi.ict.ac.cn/research/sofia_overview.htm

[5] Mckeown N, Anderson T, Balakrishnan H, Parulkar G, Peterson L, Rexford J, Shenker S, Turner J. OpenFlow: Ena-bling innovation in campus networks. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74. [doi: 10.1145/1355734.1355746]

[6] 左青云. 基于OpenFlow的SDN技術(shù)研究[J], 軟件學(xué)報(bào), 2013, 24(5) 1078-1097

[7] T. Kohonen, “The self-organizing map,” Proceedings of the IEEE vol.78, no.9, pp. 1464-1480, 1990

[8] S. Haykin, Neural networks: a comprehensive foundation. Prentice Hall PTR Upper Saddle River, NJ, USA, 1999.

[9] 陶軍. 基于OpenFlow的SDN技術(shù)研究[J]. 電信技術(shù), 2014(2): 62-65

[10] 蔣培成, 陳鳴, 李兵. OpenFlow軟交換機(jī)的性能測(cè)量[J]. 重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版), 2013, 25(1): 24-29

[11] 俞慧春. SDN技術(shù)的發(fā)展和應(yīng)用淺析[J]. 中國(guó)新通信, 2014, 16(16): 85-86.

[12] 諸葛斌, 鄧麗, 戴國(guó)偉, 王偉明, 蘭巨龍. 基于雙邊市場(chǎng)多歸屬結(jié)構(gòu)的SDN資源管理機(jī)制[J]. 電信科學(xué), 2014, 30(5): 55-64.

Extended OpenFlow Flow Structure Based on Enhanced Security Research of SDN Network

WANG Tian-ming1, FU Tian2

(1. Hainan College of Ecnomics and Business，Network Information Center, Haikou, Hainan, 571127; 2. Hainan College Of Software Technology，Network Information Center, Qionghai, Hainan, 571400)

Software defined network (software defined networking, referred to as SDN) is the separation of control plane and data plane network emerging network technology, the technology for the development of new network applications and the future of Internet technology provides a new solution. This paper summarizes the development status of SDN network security technology based on OpenFlow, firstly introduces the flow table structure of OpenFlow protocol version and OpenFlow, and analyzed how to through the expansion flow standard structure to enhance the security of SDN network. Due to expansion of the flow structure, increases the SDN network computing burden, how to through the artificial neural network method SOM(self organizing map) by dimensionality reduction to reduce the burden on the table of SDN network operation flow of OpenFlow, finally discusses the SDN network security in the future development and research trend.

Software defined network; OpenFlow; FlowTable; The artificial neural network

TP391. 41

A

10.3969/j.issn.1003-6970.2018.07.001

海南省自然科學(xué)基金項(xiàng)目(批準(zhǔn)號(hào)：617172)

王天明(1977-)，男，副教授，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)；符天(1982-)，男，副教授，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

本文著錄格式：王天明，符天. 基于擴(kuò)展OpenFlow流標(biāo)結(jié)構(gòu)增強(qiáng)SDN網(wǎng)絡(luò)安全性研究[J]. 軟件，2018，39（7）：01-05