陳 松，楊 帆，胡 貴

（中國電子科技集團公司第三十研究所，四川 成都 610045）

0 引 言

軟件定義網(wǎng)絡(luò)是一種數(shù)據(jù)面和控制平面分離的網(wǎng)絡(luò)模式，在此網(wǎng)絡(luò)架構(gòu)下的應(yīng)用中，決定整個網(wǎng)絡(luò)轉(zhuǎn)發(fā)行為的控制器自然成為攻擊者的目標(biāo)，攻擊者只要控制了控制器就可以控制整個網(wǎng)絡(luò)。目前網(wǎng)絡(luò)控制器面臨的DDoS攻擊是一種較難防御的網(wǎng)絡(luò)攻擊，它會呈現(xiàn)出基于時間、空間、強度等多維度、多層次攻擊隨機分布的特點，本文提出一種安全防御體系的設(shè)計，針對DDoS特征構(gòu)建相應(yīng)多維度多層次的動態(tài)縱深防護體系，將內(nèi)生可信、擬態(tài)異構(gòu)等作為內(nèi)生安全防護基礎(chǔ)，從攻擊者發(fā)起的攻擊生命周期角度，建立一個縱深檢測、態(tài)勢感知、決策處置的閉環(huán)反饋體系，全面覆蓋攻擊者攻擊的主要路徑和環(huán)節(jié)，同時引入大數(shù)據(jù)威脅分析，機器學(xué)習(xí)等技術(shù)，從而實現(xiàn)智能防御能力的持續(xù)提升，縮短網(wǎng)絡(luò)空間安全對抗的不對稱性。

1 SDN網(wǎng)絡(luò)控制面臨的DDoS威脅

軟件定義網(wǎng)絡(luò)SDN（Soft Defined Network）是一種新的數(shù)據(jù)面和控制平面分離的網(wǎng)絡(luò)模式。在SDN中，控制器決定了整個網(wǎng)絡(luò)的行為。這種邏輯集中在一個軟件模塊的方式提供了多個好處。首先，通過軟件來修改網(wǎng)絡(luò)策略比經(jīng)由低級別的設(shè)備配置更簡單和更不容易出錯。第二，控制程序可以自動地響應(yīng)在網(wǎng)絡(luò)狀態(tài)變化，以保持高級別策略。第三，簡化了網(wǎng)絡(luò)功能發(fā)展，使得原本復(fù)雜的網(wǎng)絡(luò)設(shè)備可以簡單化和通用化。

由于具有上述優(yōu)點，SDN網(wǎng)絡(luò)技術(shù)具有較好的應(yīng)用前景。但是，SDN的網(wǎng)絡(luò)可編程性和集中式控制平面也給網(wǎng)絡(luò)帶來了一些新的安全威脅。集中的控制平面很自然成為攻擊者的目標(biāo)，攻擊者只要控制了控制器就可以控制整個網(wǎng)絡(luò)。同時，網(wǎng)絡(luò)可編程性產(chǎn)生的副作用是打開了之前不存在的新威脅的大門。例如，攻擊可能利用一組特定的可編程設(shè)備的一個奇特的脆弱性損害了部分網(wǎng)絡(luò)。因此，安全性問題應(yīng)在SDN的設(shè)計中首先予以考慮。

DDoS攻擊根據(jù)攻擊方式大致劃分為3類：泛洪攻擊、畸形報文攻擊、掃描探測類攻擊，從網(wǎng)絡(luò)層次的劃分見表1所示。

表1 DDoS攻擊種類列表

如下圖1所示為SDN網(wǎng)絡(luò)控制平面所面臨的多種威脅，包括應(yīng)用層面、控制層面、數(shù)據(jù)平面等面臨的安全威脅，攻擊可以來自北向、東西向、南向等多種攻擊實體。

圖1 SDN控制器面臨的安全威脅示意圖

1.1 北向接口威脅

北向通道指SDN網(wǎng)絡(luò)控制器向第三方開放的API接口，用戶可以通過這些開放接口開發(fā)應(yīng)用，并在SDN網(wǎng)絡(luò)上部署，體現(xiàn)了SDN技術(shù)的開放性和可編程性。從傳統(tǒng)的API設(shè)計來看，設(shè)計者們注重的是保證API執(zhí)行過程無差錯，而忽視了API的安全性和魯棒性。近年來，盡管設(shè)計者們在盡力設(shè)計安全的API，但各種缺陷仍然出現(xiàn)在很多已部署的API中。有研究者提出，如果不能完全消除API中的安全缺陷，可以考慮開發(fā)一種新的設(shè)計標(biāo)準來減少API使用帶來的負面影響。北向通道向上層提供接口時需要設(shè)置數(shù)據(jù)保護措施，防止第三方訪問核心數(shù)據(jù)。

由于應(yīng)用程序種類繁多且不斷更新，目前北向接口對應(yīng)用程序的認證方法和認證力度尚沒有統(tǒng)一的規(guī)定。此外，相對于控制層和基礎(chǔ)設(shè)施層之間的南向接口，北向接口在控制器和應(yīng)用程序之間所建立的信賴關(guān)系更加脆弱，攻擊者可利用北向接口的開放性和可編程性，對控制器中的某些重要資源進行訪問。因此，對攻擊者而言，攻擊北向接口的門檻更低。目前，北向接口面臨的安全問題主要包括非法訪問、數(shù)據(jù)泄露、消息篡改、身份假冒、應(yīng)用程序自身的漏洞以及不同應(yīng)用程序在合作時引入的新漏洞等。

1.2 南向接口威脅

OpenFlow是SDN網(wǎng)絡(luò)中一種常用的南向標(biāo)準協(xié)議，其協(xié)議本身存在漏洞。例如，OpenFlow協(xié)議要求在建立連接過程中，連接雙方必須先發(fā)送OFPT_HELLO消息給對方，若連接失敗，則會發(fā)送OFPT_ERROR消息，那么攻擊者可以通過中途攔截OFPT_HELLO消息或者偽造OFPT_ERROR消息來阻止連接正常建立[1]。另外，攻擊者可能惡意增加decrement TTL行為使數(shù)據(jù)包在網(wǎng)絡(luò)中因TTL耗盡而被丟棄。同時，如果OpenFlow連接在中途中斷，交換機會嘗試與其余備用控制器建立連接，如果也無法建立連接，則交換機會進入緊急模式，正常流表項從流表中刪除，所有數(shù)據(jù)包將按照緊急模式流表項轉(zhuǎn)發(fā)，正常的數(shù)據(jù)轉(zhuǎn)發(fā)完全失效，導(dǎo)致底層網(wǎng)絡(luò)癱瘓。有研究者提出了一種策略，通過基于可靠性感知的控制器部署以及流量控制路由，提高OpenFlow連接的可靠性，并盡可能實現(xiàn)連接失效后快速恢復(fù)。

其次，Openflow處于SDN網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)層與SDN網(wǎng)絡(luò)控制層之間，這個單一的接口面臨擴展性問題。OpenFlow接口的擴展性問題導(dǎo)致攻擊者能夠通過發(fā)送特定的大量的流請求數(shù)據(jù)包，使得這個缺乏擴展性的接口遭受拒絕服務(wù)攻擊。造成擴展性問題以及由此發(fā)展而來的拒絕服務(wù)攻擊隱患的根本原因在于OpenFlow接口分隔網(wǎng)絡(luò)控制層與網(wǎng)絡(luò)轉(zhuǎn)發(fā)層，使得網(wǎng)絡(luò)控制層集中化以方便對網(wǎng)絡(luò)數(shù)據(jù)流進行細粒度控制的工作方式。當(dāng)OpenFlow轉(zhuǎn)發(fā)層設(shè)備接收到一個新的數(shù)據(jù)包，轉(zhuǎn)發(fā)層設(shè)備查詢自己的流表項，發(fā)現(xiàn)沒有與新數(shù)據(jù)包對應(yīng)的網(wǎng)絡(luò)流匹配的流表規(guī)則時，轉(zhuǎn)發(fā)層設(shè)備會將該數(shù)據(jù)包發(fā)送給控制器。控制器接收到該數(shù)據(jù)包后，通過計算生成流表規(guī)則，將此流表項通過OpenFlow接口下發(fā)給轉(zhuǎn)發(fā)層設(shè)備，以此規(guī)定轉(zhuǎn)發(fā)層設(shè)備如何處理該數(shù)據(jù)包對應(yīng)的網(wǎng)絡(luò)流。但是，由于控制器是網(wǎng)絡(luò)的集中智能處理點，用于處理這些網(wǎng)絡(luò)流轉(zhuǎn)發(fā)需求的計算，因此，集中處理很快就體現(xiàn)出了擴展性問題，尤其是在網(wǎng)絡(luò)面對如拒絕服務(wù)攻擊等突發(fā)數(shù)據(jù)流時。更為嚴重的是，由于轉(zhuǎn)發(fā)層設(shè)備接收到的數(shù)據(jù)包能夠驅(qū)動轉(zhuǎn)發(fā)層設(shè)備與控制層設(shè)備的直接通信聯(lián)系，當(dāng)一個控制大量僵尸主機的攻擊者產(chǎn)生一系列大量的獨立的新網(wǎng)絡(luò)流通信請求的時候，由于每個新網(wǎng)絡(luò)流通信請求都產(chǎn)生一個新的不能夠被轉(zhuǎn)發(fā)層設(shè)備當(dāng)前流表規(guī)則應(yīng)對的數(shù)據(jù)包，因此，每一個這樣的新數(shù)據(jù)包都會驅(qū)動轉(zhuǎn)發(fā)層設(shè)備與控制層設(shè)備之間的通信聯(lián)系。而這些通信聯(lián)系全部都要經(jīng)過OpenFlow接口，所以，OpenFlow接口在面對這類大量的新網(wǎng)絡(luò)通信流請求時，很容易達到飽和狀態(tài)，而無法應(yīng)對其它通信需求[2]。

1.3 東西向接口威脅

網(wǎng)絡(luò)控制器東西向接口主要完成主從節(jié)點的選舉，數(shù)據(jù)信息的同步，面臨的威脅如下包括會話劫持、飽和流拒絕服務(wù)攻擊等。

會話劫持由于SDN控制器之間采用軟件接口的方式連接，攻擊者假冒SDN控制器集群節(jié)點，采用重放攻擊等攻擊方式就可能對控制器的東西向會話進行劫持，能達到對網(wǎng)絡(luò)控制器設(shè)備狀態(tài)同步等數(shù)據(jù)進行惡意篡改、數(shù)據(jù)竊取等目的。一旦SDN控制器被攻擊者非法接入，攻擊者可能竊取網(wǎng)絡(luò)拓撲、配置相關(guān)的數(shù)據(jù)庫信息，或者對數(shù)據(jù)與控制器程序進行篡改，并以此為基礎(chǔ)實施其他攻擊與破壞。飽和流拒絕服務(wù)攻擊也是一種針對SDN控制器的拒絕服務(wù)攻擊，類似傳統(tǒng)網(wǎng)絡(luò)中的DDoS攻擊，主要針對控制器東西向的通信接口發(fā)起大量的連接請求，消耗服務(wù)器系統(tǒng)資源為目的，它不但能夠嚴重破壞控制器正常工作，還能夠?qū)е陆粨Q機無法進行數(shù)據(jù)轉(zhuǎn)發(fā)。

2 抗DDoS縱深防御體系架構(gòu)設(shè)計

SDN控制面是網(wǎng)絡(luò)的控制中心，其必然成為攻擊的首要對象。分布式拒絕服務(wù)攻擊是一種耗盡型攻擊，其主要特點在于攻擊的流量強度大，攻擊時間不可預(yù)測，攻擊種類也不可預(yù)測，攻擊來源分布于網(wǎng)絡(luò)的許多地方，因此這類攻擊的防御難度較大。為了應(yīng)對上述DDoS攻擊，設(shè)計了基于多層次的縱深防御體系。

SDN網(wǎng)絡(luò)管理面，搜集網(wǎng)絡(luò)控制面、數(shù)據(jù)面上報的DDoS安全事件進行綜合分析，通過威脅分析和智能決策完成安全防護策略的下發(fā)，最終通過響應(yīng)處置中心完成處置響應(yīng)策略的下發(fā)，在控制面、數(shù)據(jù)面協(xié)同阻斷已發(fā)現(xiàn)的DDoS攻擊，其架構(gòu)如下圖2所示。

圖2 SDN控制面抗DDoS架構(gòu)

威脅阻斷主要體現(xiàn)在兩個方面開展。首先是網(wǎng)絡(luò)控制面，基于動態(tài)編排的虛擬化安全防護資源及調(diào)度的主機防護開展。其次是網(wǎng)絡(luò)數(shù)據(jù)面，基于軟件定義的全網(wǎng)分布式多級縱深安全協(xié)同防御體系開展。

SDN網(wǎng)絡(luò)控制面按需編排調(diào)度相應(yīng)的安全防護資源，可以實時監(jiān)測攻擊的發(fā)起，從而啟動相應(yīng)內(nèi)部或外部的流量清洗資源開展防御。考慮網(wǎng)絡(luò)的健壯性與安全性，主要體現(xiàn)在被攻擊的情況下，如何保證服務(wù)鏈的功能能夠正常地運行而不被影響。DDoS一般呈現(xiàn)出隨機性的特征，其強度、種類、時間都不可預(yù)測，因此在編排安全功能服務(wù)鏈的映射過程中可以采用同一網(wǎng)元功能映射出多臺同一功能的虛機或容器，這些虛機與容器可以位于不同的物理實體服務(wù)器平臺上，同一服務(wù)鏈的業(yè)務(wù)由不同的相同功能虛機或容器共同分擔(dān)完成，一旦某臺服務(wù)器發(fā)生硬件或者軟件上的故障，可以快速地將該服務(wù)器上虛機或容器所承載的業(yè)務(wù)流量導(dǎo)流到其他物理機上對應(yīng)功能的虛機或容器，實現(xiàn)網(wǎng)絡(luò)功能的快速無縫切換，最大程度提升網(wǎng)絡(luò)的魯棒性。

除了考慮上述優(yōu)化的目標(biāo)之外，在服務(wù)鏈的映射過程中應(yīng)該考慮到一個重要的問題是，服務(wù)鏈的映射不應(yīng)該僅僅是靜態(tài)的服務(wù)映射，在整個系統(tǒng)運行的過程中，用戶的需求會存在不斷變化的情況，流量的到達會隨著網(wǎng)絡(luò)用戶行為的不同而有所變化，導(dǎo)致單條服務(wù)鏈所需的計算、存儲、網(wǎng)絡(luò)資源是動態(tài)變化的；此外，服務(wù)鏈本身的數(shù)量也是在不斷變化，部分網(wǎng)絡(luò)業(yè)務(wù)需要臨時啟動，部分業(yè)務(wù)在完成了業(yè)務(wù)服務(wù)之后需要關(guān)閉，這些動態(tài)的過程對服務(wù)鏈的映射提出了新的挑戰(zhàn)，這要求在服務(wù)鏈的映射過程中，充分考慮當(dāng)前網(wǎng)絡(luò)的現(xiàn)狀，同時預(yù)測未來網(wǎng)絡(luò)業(yè)務(wù)的變化趨勢，基于這些信息進行網(wǎng)絡(luò)的業(yè)務(wù)服務(wù)鏈的映射，以便于進一步的服務(wù)擴容與節(jié)能安排。

此外，SDN網(wǎng)絡(luò)為了抗擊大規(guī)模的DDoS攻擊，需要利用分級分域的流量清洗中心完成。為了遵循盡量從源頭抑制攻擊的原則，SDN控制面需要掌握全局的網(wǎng)絡(luò)拓撲以及安全清洗資源的分布，通過優(yōu)化計算可以牽引來自不同入口的威脅流量就近完成清洗。

3 基于虛擬化安全資源動態(tài)編排的主機防護設(shè)計

SDN網(wǎng)絡(luò)控制器軟件通常運行在高性能服務(wù)器的環(huán)境中，因此服務(wù)器的主機安全防護能力是整個SDN控制器軟件穩(wěn)定可靠運行的基礎(chǔ)，需要構(gòu)建一個基于可信安全的主機防護架構(gòu)。

整個安全可信SDN控制器防護體系架構(gòu)，如下圖3所示。

其中，安全可信計算運行環(huán)境，采用可信根為引導(dǎo)，完成整個運行環(huán)境不受外界木馬植入的威脅，實現(xiàn)運行環(huán)境的受控運行。通過可信運行控制，完成上層應(yīng)用程序基于白名單的安全運行控制，以防止惡意程序或未知病毒的運行。主機入侵防護軟件，安裝運行在SDN控制器程序的同一虛擬機內(nèi)，主要完成主機的安全防護功能，對各類已知、未知攻擊和惡意代碼進行檢測分析，主要包括可執(zhí)行文件掃描、進程行為監(jiān)控、惡意代碼分析、流量攻擊監(jiān)測等，為計算環(huán)境抵御攻擊提供支撐。

安全防護虛擬機，提供L2～L7安全防護功能，能夠與虛擬交換機、虛擬機管理系統(tǒng)之間實現(xiàn)無縫結(jié)合。根據(jù)攻擊強度，可動態(tài)編排分配此虛擬機資源性能及數(shù)量，實施防護能力按需擴展，可與網(wǎng)絡(luò)控制器1：N配置（N≥1）。其安全防護功能采用精細化多層過濾防御技術(shù)，通過報文合法性檢查、特征過濾、虛假源認證、應(yīng)用層認證、會話分析、行為分析、智能限速等技術(shù)手段，阻斷針對協(xié)議棧的威脅攻擊、具有特征的DDoS攻擊、傳輸協(xié)議層威脅攻擊、應(yīng)用協(xié)議層攻擊、異常連接威脅、慢速攻擊、突發(fā)流量攻擊等。

圖3 安全可信SDN控制器主機防護體系

安全綜合管理虛擬機，作為一個獨立的虛擬機存在，實現(xiàn)安全監(jiān)測預(yù)警和綜合決策管理功能。安全監(jiān)測預(yù)警模塊通過運行在其他虛擬機上的探針上報各類安全事件和日志信息，實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的實時監(jiān)測分析，及時發(fā)現(xiàn)各類網(wǎng)絡(luò)威脅攻擊，實時監(jiān)測各類主機安全運行狀態(tài)，產(chǎn)生并展現(xiàn)網(wǎng)絡(luò)控制器的安全態(tài)勢，為安全綜合決策處置提供重要支撐。安全綜合決策管理模塊，通過安全監(jiān)測預(yù)警模塊提供的安全態(tài)勢信息，通過綜合智能決策（應(yīng)急預(yù)案庫、知識庫、機器學(xué)習(xí)）完成安全應(yīng)急處置任務(wù)的創(chuàng)建與下發(fā)。

4 全網(wǎng)分布式多級安全協(xié)同防御設(shè)計

由于常見的DDoS攻擊呈現(xiàn)分布式特征，其強度、時間、攻擊類型都存在不確定性，因此為了適應(yīng)高強度的攻擊主機防護能力是不夠的，需要全網(wǎng)構(gòu)建多級檢測及清洗防御架構(gòu)，防御級別、資源數(shù)量和力度均隨著攻擊強度進行自適應(yīng)和調(diào)整，此外為了應(yīng)對分布式攻擊，需要建立分布式的區(qū)域檢測和清洗中心的模式進行聯(lián)動響應(yīng)，將流量盡可能的在源頭被抑制。

DDoS主要是耗盡型攻擊，其特征呈現(xiàn)為大流量，因此需要監(jiān)測、清洗、評估閉環(huán)控制。其中流量監(jiān)測的主要工作是分類統(tǒng)計流量，和預(yù)先配置的檢測閾值進行比較來判斷是否啟動清洗，閾值的合理設(shè)置涉及到周期性的網(wǎng)絡(luò)流量統(tǒng)計和機器學(xué)習(xí)等動態(tài)流量基線技術(shù)，在檢測中也涉及到針對精細化的逐包檢測以及抽樣方式的逐流檢測等不同類型，以及基于大數(shù)據(jù)的信譽體系構(gòu)建，使得系統(tǒng)的檢測和處理更加高效。其次，清洗技術(shù)涉及到報文攻擊特征的識別與過濾，采用預(yù)置攻擊特征的靜態(tài)指紋與自動學(xué)習(xí)的動態(tài)指紋相結(jié)合，其中可以引入人工智能機器學(xué)習(xí)等新技術(shù)實現(xiàn)自動提取指紋特征。

如下圖4所示為一個全網(wǎng)分布式多級縱深安全協(xié)同防御的體系架構(gòu)，隨著攻擊強度的增加，一旦超過流量閾值門限，SDN控制器集群會上報安全事件給全網(wǎng)監(jiān)測預(yù)警中心，由監(jiān)測預(yù)警中心通過事件分析與智能決策，按照就近引流原則牽引全網(wǎng)攻擊流量至多個分布式部署的區(qū)域清洗中心，完成DDoS攻擊流量清洗，區(qū)域清洗中心的分布式部署可以按照分級分域的方式進行設(shè)計，與網(wǎng)絡(luò)體系分層架構(gòu)保持一致，盡量從攻擊源頭消除威脅[3]。

5 結(jié) 語

針對上述分析的SDN控制器面臨的各種安全威脅情況，整個SDN網(wǎng)絡(luò)控制的安全防護的體系架構(gòu)需要整體設(shè)計，提供可信可控、全維全時、協(xié)同縱深的安全防護保障，能夠抵御來自各個層面的攻擊威脅，為網(wǎng)絡(luò)防御行動指揮和運維管理提供智能高效、體系聯(lián)動的安全防護保障，從而有效抵御戰(zhàn)略對手大規(guī)模、高強度網(wǎng)絡(luò)攻擊，有效保障基礎(chǔ)網(wǎng)絡(luò)安全運行、信息系統(tǒng)安全應(yīng)用、信息資源安全共享，為基于網(wǎng)絡(luò)信息體系的聯(lián)合作戰(zhàn)提供牢固的安全基石。

圖4 全網(wǎng)分布式多級安全協(xié)同防御設(shè)計