軟件定義網(wǎng)絡(luò)安全機(jī)制研究

◆胡光武 張超欽

（1.深圳信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)學(xué)院 廣東 518172；2.鄭州輕工業(yè)學(xué)院計(jì)算機(jī)學(xué)院 河南 415700）

軟件定義網(wǎng)絡(luò)安全機(jī)制研究

◆胡光武1張超欽2

（1.深圳信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)學(xué)院 廣東 518172；2.鄭州輕工業(yè)學(xué)院計(jì)算機(jī)學(xué)院 河南 415700）

軟件定義網(wǎng)絡(luò)（Software-Defined Networking，SDN）是一種可編程的集中管控的新型網(wǎng)絡(luò)架構(gòu)，利用以上特點(diǎn)，已有文獻(xiàn)對傳統(tǒng)網(wǎng)絡(luò)中存在的問題，特別是網(wǎng)絡(luò)安全問題提出了解決方案。本文從SDN安全應(yīng)用以及SDN自身安全兩個(gè)方面對已有SDN安全文獻(xiàn)進(jìn)行調(diào)研，并予以分類綜述，最后研究工作進(jìn)行了總結(jié)。

軟件定義網(wǎng)絡(luò)；安全機(jī)制；控制器；網(wǎng)絡(luò)操作系統(tǒng)

0 引言

軟件定義網(wǎng)絡(luò)（Software-Defined Networking，SDN）是一種將傳統(tǒng)路由轉(zhuǎn)發(fā)設(shè)備的控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)層面分離，從而實(shí)現(xiàn)網(wǎng)絡(luò)集中管控的新型網(wǎng)絡(luò)架構(gòu)。因其具有全局網(wǎng)絡(luò)視圖、集中管控、動態(tài)響應(yīng)，統(tǒng)一編程等特點(diǎn)，近年來得到學(xué)術(shù)界和工業(yè)界在大力研究。本文利用以上特點(diǎn)，已有文獻(xiàn)對傳統(tǒng)網(wǎng)絡(luò)中存在的問題，特別是網(wǎng)絡(luò)安全問題提出了解決方案。這些基于 SDN架構(gòu)的網(wǎng)絡(luò)安全問題研究主要分為兩大類：一是研究利用 SDN架構(gòu)解決傳統(tǒng)網(wǎng)絡(luò)中存在安全問題，如網(wǎng)絡(luò)攻擊檢測、DoS攻擊檢測與抑制，認(rèn)證授權(quán)等；二是研究SDN架構(gòu)自身存在的安全問題，如非授權(quán)訪問，惡意程序檢測、配置安全性等。在對以上文獻(xiàn)進(jìn)行全面分析整理的基礎(chǔ)上，本文將從以上兩方面對 SDN安全機(jī)制研究予以綜述。

1 SDN安全應(yīng)用研究

基于SDN的安全應(yīng)用主要通過SDN的反饋控制機(jī)制實(shí)現(xiàn)，即應(yīng)用首先搜集各 SDN轉(zhuǎn)發(fā)設(shè)備上數(shù)據(jù)流的統(tǒng)計(jì)信息，然后根據(jù)以上數(shù)據(jù)進(jìn)行異?；蛉肭謾z測，最后向 SDN轉(zhuǎn)發(fā)設(shè)備下發(fā)控制規(guī)則實(shí)現(xiàn)網(wǎng)絡(luò)保護(hù)。

1.1 網(wǎng)絡(luò)異常檢測及阻止

SnortFlow是一種通過搜集Snort節(jié)點(diǎn)數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行評估而實(shí)現(xiàn)的?；赟DN的入侵檢測系統(tǒng)（IDS）克服了傳統(tǒng)IDS系統(tǒng)在時(shí)延、準(zhǔn)確率及靈活性等方面存在的問題；進(jìn)一步地，SDNIPS實(shí)現(xiàn)了一種基于SDN的入侵阻止系統(tǒng)（IPS）方案，其擁有比傳統(tǒng)IPS系統(tǒng)更高的檢測率；同時(shí)，為解決SDN網(wǎng)絡(luò)規(guī)模及流量管控的可擴(kuò)展問題，ScalableIDS方案提出一種基于SDN的IDS架構(gòu)，其通過實(shí)時(shí)調(diào)整采樣率的方式實(shí)現(xiàn)了入侵檢測及網(wǎng)絡(luò)可擴(kuò)展的目標(biāo)；此外，Mehdi等人利用SDN架構(gòu)及NOX控制器實(shí)現(xiàn)了網(wǎng)絡(luò)異常檢測，Ramachandran等人則提出了阻止惡意軟件/病毒傳播以及數(shù)據(jù)泄露的Pedigree方案。

1.2 DoS/DDoS攻擊檢測及保護(hù)

拒絕服務(wù)攻擊（DoS）是一種在短時(shí)間內(nèi)向目標(biāo)主機(jī)發(fā)送大量數(shù)據(jù)，致使目標(biāo)主機(jī)癱瘓從而使其無法正常工作的攻擊手段。為了掩蓋攻擊者身份，同時(shí)放大攻擊效果，攻擊者往往操縱大量受控設(shè)備同時(shí)向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，從而形成分布式拒絕攻擊（DDoS），如SYN-Flood，ICMP-Flood 等。傳統(tǒng)解決方案一般利用防火墻進(jìn)行規(guī)則部署實(shí)現(xiàn)DDoS攻擊檢測和阻止，但準(zhǔn)確率及效果并不理想。

為解決該問題，Braga等人根據(jù)轉(zhuǎn)發(fā)設(shè)備中OpenFlow流表對數(shù)據(jù)流的統(tǒng)計(jì)特征，如平均數(shù)據(jù)包數(shù)量、平均字節(jié)數(shù)、單個(gè)流的增長率等，并利用神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)了一種輕量級DDoS攻擊檢測方案，并具有較高的檢測率及較低的錯(cuò)誤警告率；類似地，Chu等人通過分析請求流量的頻率實(shí)現(xiàn)了 DDoS攻擊檢測及抑制；Lim等人則根據(jù)數(shù)據(jù)流統(tǒng)計(jì)分析實(shí)現(xiàn)了阻止僵尸網(wǎng)絡(luò)攻擊方案；此外，CONA方案通過在用戶主機(jī)及服務(wù)器之間建立中間節(jié)點(diǎn)，并搜集客戶主機(jī)對服務(wù)器的數(shù)據(jù)包請求，根據(jù)請求頻率并建立分析模型實(shí)現(xiàn)了DDoS攻擊檢測。

1.3 源地址驗(yàn)證

源地址欺騙問題是互聯(lián)網(wǎng)長期存在但未獲得完全解決的一項(xiàng)安全問題，許多互聯(lián)網(wǎng)攻擊手段與之直接相關(guān)聯(lián)。為解決該問題，VAVE方案建立一個(gè)保護(hù)區(qū)域，所有從外部進(jìn)入該區(qū)域的數(shù)據(jù)包若無法直接匹配規(guī)則，則須經(jīng)過控制器的源地址合法性驗(yàn)證后才能繼續(xù)轉(zhuǎn)發(fā)，否則將會被丟棄；O-CPF方案則利用控制器對所有數(shù)據(jù)包的（源地址、目標(biāo)地址）對的轉(zhuǎn)發(fā)路徑進(jìn)行計(jì)算，從而實(shí)現(xiàn)將轉(zhuǎn)發(fā)路徑節(jié)點(diǎn)上出現(xiàn)的非法數(shù)據(jù)包丟棄；而本文作者也提出了SAVSH方案，實(shí)現(xiàn)了SDN設(shè)備部署代價(jià)與部署效果的最大折中。

1.4 認(rèn)證授權(quán)及審計(jì)

網(wǎng)絡(luò)的授權(quán)訪問及行為審計(jì)可有效防止非法用戶訪問以及事后追蹤，這對于大型企業(yè)網(wǎng)絡(luò)安全性十分重要。AuthFlow便是最早利用SDN架構(gòu)進(jìn)行細(xì)粒度服務(wù)訪問控制的方案之一；之后，Dangovas等人結(jié)合RADIUS方案，進(jìn)一步提出了基于SDN架構(gòu)的認(rèn)證、授權(quán)和審計(jì)（AAA）綜合方案；此外，C-BAS方案為SDN實(shí)驗(yàn)網(wǎng)絡(luò)設(shè)施提了一種基于認(rèn)證的AAA解決方案，并結(jié)合分布式系統(tǒng)、安全和容錯(cuò)機(jī)制大大提高了系統(tǒng)的可靠性。

2 SDN自身安全研究

除了SDN安全應(yīng)用之外，SDN架構(gòu)本身也存在著安全問題，如DoS攻擊可造成控制平面癱瘓，惡意應(yīng)用可造成全局拓?fù)湟晥D污染，數(shù)據(jù)與控制通道攻擊可造成設(shè)備配置錯(cuò)誤等。為此，許多研究對SDN自身的安全性及可靠性進(jìn)行了研究。

2.1 非授權(quán)訪問

無論是非授權(quán)的控制器還是非授權(quán)的SDN應(yīng)用，都會給SDN網(wǎng)絡(luò)配置造成破壞，進(jìn)而影響整體網(wǎng)絡(luò)的安全性。為解決該問題，Othman等人通過對控制器所下發(fā)的控制規(guī)則進(jìn)行簽名，從而實(shí)現(xiàn)了一種基于認(rèn)證的分布式控制模型；同時(shí)，為限制 SDN應(yīng)用不必要的權(quán)限，PermOF提出了應(yīng)用最小權(quán)限管理系統(tǒng)；此外，OperationCheckpoint方案通過在應(yīng)用層與控制層之間設(shè)置權(quán)限檢查點(diǎn)，實(shí)現(xiàn)了 SDN應(yīng)用對控制權(quán)限的超范圍使用；最后，SE-Floodlight方案對應(yīng)用層、控制層及以數(shù)據(jù)層之間的通訊進(jìn)行了基于角色的授權(quán)，實(shí)現(xiàn)了安全約束檢查。

2.2 惡意程序檢測

為避免惡意SDN應(yīng)用任意，一些應(yīng)用提出在控制器/應(yīng)用與SDN轉(zhuǎn)發(fā)設(shè)備建立通訊連接之前，應(yīng)通過身份識別從而建立連接信任通道，從而阻止這些應(yīng)用可能造成的網(wǎng)絡(luò)破壞。為此，F(xiàn)ortNOX通過建立安全策略執(zhí)行核心，對流控規(guī)則進(jìn)行優(yōu)先級排序，實(shí)現(xiàn)了規(guī)則的沖突檢測和處理；同時(shí)，為了增強(qiáng)控制器的魯棒性，并防止惡意應(yīng)用對控制器控制平面的破壞，Rosemary首先提出了魯捧性好、安全性高及高性能的控制器操作系統(tǒng)，并通過采用沙箱模型將應(yīng)用進(jìn)行分隔，從而實(shí)現(xiàn)了惡意應(yīng)用的識別及阻止；此外，LegoSDN還提出了一種控制器層級架構(gòu)方案，實(shí)現(xiàn)了系統(tǒng)容錯(cuò)以及網(wǎng)絡(luò)事務(wù)管理的功能。

2.3 DoS攻擊檢測及阻止

DoS攻擊不僅對網(wǎng)絡(luò)造成影響，若對SDN控制器及其控制平面的進(jìn)行攻擊，就有可能造使控制器或者重要設(shè)備變?yōu)楣收掀款i點(diǎn)。為此，AVANT-GUARD利用控制平面的連接請求遷移工具，對非觸發(fā)流控規(guī)則下發(fā)的交互請求進(jìn)行轉(zhuǎn)移，從而實(shí)現(xiàn)了控制器控制平面的DoS攻擊檢測，并增強(qiáng)了控制平面對正常請求的動態(tài)響應(yīng)性；此外，CPRecovery方案則通過建立無縫的主從控制器備份方案，使得控制器即使受到DoS攻擊的情況下，仍能使用備用控制器履行職責(zé)。

2.4 配置安全

控制器對轉(zhuǎn)發(fā)設(shè)備所下發(fā)的流控規(guī)則是 SDN網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵。為防止規(guī)則錯(cuò)誤或規(guī)則沖突，F(xiàn)lowChecker利用二元決策圖對交換機(jī)內(nèi)部規(guī)則進(jìn)行測試，實(shí)現(xiàn)了規(guī)則的沖突檢測及消除；VeriFlow方案則通過劃分SDN網(wǎng)絡(luò)區(qū)域，實(shí)現(xiàn)了網(wǎng)絡(luò)異常的實(shí)時(shí)檢測；而FlowGuard方案則實(shí)現(xiàn)了防火墻策略的沖突與檢測；此外，還有方案通過形式化的驗(yàn)證方法對規(guī)則的一致性進(jìn)行了檢測，如Splendid Isolation， Verificare ，VeriCon方案等。

3 結(jié)語

軟件定義網(wǎng)絡(luò)是一種“中心命令，邊緣響應(yīng)”的集中化控制的新型網(wǎng)絡(luò)架構(gòu)，這為解決傳統(tǒng)網(wǎng)絡(luò)中存在的安全問題提供了新契機(jī)。本文全面調(diào)研了當(dāng)前SDN安全應(yīng)用及增強(qiáng)SDN自身安全性方案，并對這些方案進(jìn)行了歸納整理和綜述。我們希望通過以上調(diào)研工作能為SDN安全方案研究做出貢獻(xiàn)。

[1]張朝昆，崔勇，唐翯祎，吳建平．軟件定義網(wǎng)絡(luò)(SDN)研究進(jìn)展．軟件學(xué)報(bào)，2015．

廣東省自然科學(xué)基金(項(xiàng)目編號：2015A030310492)；深圳市基礎(chǔ)研究項(xiàng)目(項(xiàng)目編號：JCYJ20160301152145171)。