基于網(wǎng)絡(luò)資源管理技術(shù)的SDN DoS攻擊動(dòng)態(tài)防御機(jī)制

王 濤 陳鴻昶 程國(guó)振

(國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 450002) (wangtaogenuine@163.com)

2017-06-02；

2017-07-28

國(guó)家自然科學(xué)基金創(chuàng)新群體項(xiàng)目(61521003)；國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目(2016YFB0800101)；國(guó)家自然科學(xué)基金青年科學(xué)基金項(xiàng)目(61602509)；河南省科技攻關(guān)計(jì)劃項(xiàng)目(172102210615)；信息工程大學(xué)新興方向培育基金項(xiàng)目(2016610708) This work was supported by the National Natural Science Foundation of China for Creative Research Groups (61521003), the National Key Research and Development Program of China (2016YFB0800101), the National Natural Science Foundation for Young Scientists (61602509), the Science and Technology Project of Henan Province (172102210615), and the Emerging Direction Fostering Fund of Information Engineering University (2016610708).

基于網(wǎng)絡(luò)資源管理技術(shù)的SDNDoS攻擊動(dòng)態(tài)防御機(jī)制

王 濤 陳鴻昶 程國(guó)振

(國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 450002) (wangtaogenuine@163.com)

軟件定義網(wǎng)絡(luò)(software defined networking, SDN)已經(jīng)迅速成為一種新的網(wǎng)絡(luò)通信管理模式，極大地改變了傳統(tǒng)網(wǎng)絡(luò)架構(gòu).SDN可以通過(guò)將控制層與數(shù)據(jù)層分離來(lái)實(shí)現(xiàn)更細(xì)粒度的網(wǎng)絡(luò)控制與管理.但是，轉(zhuǎn)控分離的SDN架構(gòu)也使得控制器極易成為DoS攻擊的目標(biāo).為解決這一問(wèn)題，現(xiàn)對(duì)SDN中的DoS攻擊進(jìn)行全面的研究，并提出一種輕量有效的MinDoS防御機(jī)制，該機(jī)制主要由簡(jiǎn)化的DoS攻擊探測(cè)模塊和優(yōu)先級(jí)管理模塊這2個(gè)核心模塊實(shí)現(xiàn).該機(jī)制可以根據(jù)用戶信任值將流請(qǐng)求分類并將其劃分到具有不同優(yōu)先級(jí)的多個(gè)緩沖隊(duì)列，然后使用SDN控制器以雙輪詢機(jī)制來(lái)調(diào)度處理這些流請(qǐng)求，從而在DoS攻擊下更好地保護(hù)控制器.另外，MinDoS還結(jié)合了多控制器動(dòng)態(tài)調(diào)度策略來(lái)降低全局響應(yīng)時(shí)間，提高用戶服務(wù)質(zhì)量.最后，分別在SDN單控制器和多控制器實(shí)驗(yàn)環(huán)境中對(duì)MinDoS防御性能進(jìn)行綜合評(píng)估，實(shí)驗(yàn)結(jié)果表明：MinDoS防御效果良好，系統(tǒng)設(shè)計(jì)滿足預(yù)期目標(biāo).

軟件定義網(wǎng)絡(luò)；拒絕服務(wù)攻擊；優(yōu)先級(jí)隊(duì)列；控制器雙輪詢機(jī)制；服務(wù)質(zhì)量

隨著網(wǎng)絡(luò)信息時(shí)代到來(lái)，網(wǎng)絡(luò)群體規(guī)模不斷擴(kuò)大，用戶需求及網(wǎng)絡(luò)流量急劇增加，傳統(tǒng)網(wǎng)絡(luò)體系架構(gòu)逐漸不能適應(yīng)云計(jì)算、大數(shù)據(jù)、虛擬化等新型網(wǎng)絡(luò)技術(shù)發(fā)展需求[1].在此背景下，軟件定義網(wǎng)絡(luò)架構(gòu)(software defined networking, SDN)由美國(guó)斯坦福大學(xué)Clean Slate研究組設(shè)計(jì)研發(fā)，其核心思想是將傳統(tǒng)網(wǎng)絡(luò)中的控制平面與數(shù)據(jù)平面分離，提高網(wǎng)絡(luò)可編程性和靈活性，便于實(shí)現(xiàn)細(xì)粒度網(wǎng)絡(luò)控制管理.因此，SDN作為一種新型網(wǎng)絡(luò)體系架構(gòu)近年來(lái)得到極大發(fā)展.當(dāng)然，隨著SDN在云數(shù)據(jù)中心等實(shí)際應(yīng)用場(chǎng)景中廣泛部署，相應(yīng)安全問(wèn)題[2]也逐漸顯現(xiàn)，SDN安全也成為近年來(lái)研究熱點(diǎn)問(wèn)題.其中，針對(duì)SDN邏輯中心化控制器的拒絕服務(wù)攻擊[3](denial of service, DoS)因攻擊影響大、解決難度高而廣受關(guān)注.

針對(duì)SDN控制器的DoS攻擊是傳統(tǒng)DoS攻擊的一種衍生攻擊技術(shù).在傳統(tǒng)DoS攻擊中，攻擊者定向發(fā)送大量無(wú)效數(shù)據(jù)請(qǐng)求到指定目標(biāo)，造成目標(biāo)服務(wù)過(guò)載，從而達(dá)到攻擊目的.同樣，在SDN中，由于控制器作為SDN網(wǎng)絡(luò)的“大腦”承擔(dān)著網(wǎng)絡(luò)請(qǐng)求策略制定等核心功能，因此攻擊者也可以通過(guò)類似攻擊方式大量消耗控制器計(jì)算資源，影響正常數(shù)據(jù)請(qǐng)求處理，從而使整個(gè)SDN網(wǎng)絡(luò)“癱瘓”.隨著SDN技術(shù)廣泛應(yīng)用，針對(duì)控制器的DoS攻擊態(tài)勢(shì)逐年上升，造成的損失也逐漸增加，因此，提出一種專門針對(duì)SDN控制器的DoS攻擊防御方案[4]迫在眉睫.

本文基于多優(yōu)先級(jí)隊(duì)列與控制器雙輪詢處理機(jī)制設(shè)計(jì)了一種針對(duì)SDN控制器DoS攻擊的動(dòng)態(tài)防御機(jī)制.該機(jī)制能夠有效保證控制器免受大量無(wú)效惡意數(shù)據(jù)包影響，為網(wǎng)絡(luò)內(nèi)所有用戶合理分配資源，動(dòng)態(tài)實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)質(zhì)量(quality of service, QoS)最優(yōu)化.本文的主要貢獻(xiàn)有5個(gè)方面:

1) 建立針對(duì)SDN控制器的DoS攻擊威脅模型；

2) 梳理現(xiàn)有防御機(jī)制發(fā)展趨勢(shì)及脈絡(luò)，并總結(jié)各解決方案優(yōu)劣性；

3) 在控制器端設(shè)計(jì)了一種基于多優(yōu)先級(jí)隊(duì)列與控制器雙輪詢機(jī)制的SDN DoS攻擊動(dòng)態(tài)防御機(jī)制，在保證QoS的同時(shí)有效防止控制器過(guò)載，而且動(dòng)態(tài)防御機(jī)制能夠根據(jù)網(wǎng)絡(luò)流量實(shí)際情況，動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)部署，實(shí)現(xiàn)全局網(wǎng)絡(luò)QoS最優(yōu)化；

4) 在開(kāi)源SDN控制器Floodlight上實(shí)現(xiàn)相應(yīng)防御機(jī)制并在實(shí)際SDN環(huán)境下測(cè)試以驗(yàn)證防御效果；

5) 從控制器端設(shè)計(jì)并開(kāi)發(fā)防御機(jī)制符合SDN安全發(fā)展的主流趨勢(shì)，減少對(duì)數(shù)據(jù)平面更改，有利于該防御機(jī)制廣泛部署，便于SDN標(biāo)準(zhǔn)化.

1 SDN網(wǎng)絡(luò)架構(gòu)及DoS攻擊安全威脅模型

SDN網(wǎng)絡(luò)架構(gòu)將控制平面與數(shù)據(jù)平面分離，提高了網(wǎng)絡(luò)可編程性和靈活性，降低了網(wǎng)絡(luò)運(yùn)維成本，加速相關(guān)網(wǎng)絡(luò)產(chǎn)業(yè)及技術(shù)的發(fā)展.

SDN的典型架構(gòu)主要由“三層兩接口”組成：三層按照架構(gòu)由上至下(由南至北)的邏輯順序分別為應(yīng)用層、控制層和數(shù)據(jù)層；兩接口分別為應(yīng)用層與控制層之間的北向接口(northbound interface, NBI)和控制層與數(shù)據(jù)層之間的南向接口(southbound interface, SBI).其中，應(yīng)用層包括各類SDN應(yīng)用，主要負(fù)責(zé)拓?fù)浒l(fā)現(xiàn)、路由、負(fù)載均衡等網(wǎng)絡(luò)策略制定；控制層主要通過(guò)控制器執(zhí)行編排數(shù)據(jù)層資源、維護(hù)全局網(wǎng)絡(luò)拓?fù)浜蜖顟B(tài)信息等細(xì)粒度控制操作；數(shù)據(jù)層包括SDN交換機(jī)等基礎(chǔ)網(wǎng)絡(luò)設(shè)施，主要負(fù)責(zé)數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集等.

OpenFlow[5]協(xié)議作為SDN網(wǎng)絡(luò)架構(gòu)事實(shí)上統(tǒng)一的協(xié)議標(biāo)準(zhǔn)較好地實(shí)現(xiàn)了SDN原型設(shè)計(jì)思想.OpenFlow協(xié)議分為主動(dòng)模式和被動(dòng)模式2種工作模式.在主動(dòng)工作模式下，控制器會(huì)在網(wǎng)絡(luò)運(yùn)行前將相應(yīng)網(wǎng)絡(luò)策略分解為流規(guī)則形式提前下發(fā)至指定交換機(jī)，交換機(jī)在運(yùn)行過(guò)程中根據(jù)已有流表規(guī)則轉(zhuǎn)發(fā)相應(yīng)數(shù)據(jù)包.主動(dòng)工作模式下，由于流表項(xiàng)需要根據(jù)預(yù)置網(wǎng)絡(luò)策略提前下發(fā)，且在運(yùn)行過(guò)程中不能動(dòng)態(tài)調(diào)整轉(zhuǎn)發(fā)策略，因此，主動(dòng)模式下的SDN網(wǎng)絡(luò)具有明顯靜態(tài)性，局限性較高，不適宜實(shí)際網(wǎng)絡(luò)部署.在被動(dòng)工作模式下，控制器會(huì)根據(jù)交換機(jī)發(fā)送的數(shù)據(jù)包請(qǐng)求，結(jié)合網(wǎng)絡(luò)全局狀態(tài)視圖動(dòng)態(tài)計(jì)算轉(zhuǎn)發(fā)策略，并下發(fā)流規(guī)則到指定交換機(jī)，從而完成數(shù)據(jù)包轉(zhuǎn)發(fā).被動(dòng)工作模式更能體現(xiàn)SDN靈活的網(wǎng)絡(luò)管理方式，因此在實(shí)際部署中應(yīng)用更為廣泛.當(dāng)然，被動(dòng)工作模式的特有屬性使得SDN控制器直接面臨DoS攻擊風(fēng)險(xiǎn).

為了更好地分析SDN DoS攻擊安全威脅，我們基于OpenFlow被動(dòng)模式下的工作流程詳細(xì)說(shuō)明SDN DoS攻擊原理及過(guò)程.如圖1所示，當(dāng)正常用戶與服務(wù)器通信時(shí)，發(fā)送者首先發(fā)送帶有源地址及目的地址的數(shù)據(jù)包請(qǐng)求到所連接的交換機(jī)(Step1)；當(dāng)交換機(jī)接收到用戶請(qǐng)求時(shí)對(duì)數(shù)據(jù)包包頭域進(jìn)行解析，并在自身流表中查詢?cè)摂?shù)據(jù)包有無(wú)匹配流規(guī)則(Step2)，如果匹配成功則轉(zhuǎn)發(fā)到指定端口，否則將觸發(fā)交換機(jī)產(chǎn)生Packet-in事件，并發(fā)送Packet-in數(shù)據(jù)包到控制器以請(qǐng)求下發(fā)流規(guī)則(Step3)；控制器根據(jù)全局網(wǎng)絡(luò)狀態(tài)計(jì)算轉(zhuǎn)發(fā)策略，并下發(fā)流規(guī)則到指定交換機(jī)(Step4)；交換機(jī)根據(jù)流規(guī)則轉(zhuǎn)發(fā)數(shù)據(jù)包到服務(wù)器(Step5).

Fig. 1 SDN work processes and SDN DoS attacks圖1 SDN工作流程及SDN DoS攻擊原理

在上述過(guò)程中，如果攻擊者在短時(shí)間內(nèi)大量發(fā)送無(wú)效虛假數(shù)據(jù)包(數(shù)據(jù)包頭域以隨機(jī)值填充)到交換機(jī)，交換機(jī)同樣將不斷被觸發(fā)Packet-in事件并發(fā)送至控制器請(qǐng)求下發(fā)流規(guī)則.以上攻擊過(guò)程將會(huì)造成4方面嚴(yán)重后果：

1) 控制器計(jì)算資源短時(shí)間內(nèi)被大量無(wú)效虛假數(shù)據(jù)包請(qǐng)求消耗，正常用戶數(shù)據(jù)包由于控制器過(guò)載而無(wú)法得到正常服務(wù)，造成網(wǎng)絡(luò)服務(wù)中斷(Attack 1)；

2) 上層應(yīng)用由于攻擊請(qǐng)求數(shù)量過(guò)大而過(guò)載，同樣會(huì)造成網(wǎng)絡(luò)服務(wù)中斷(Attack 2)；

3) 控制器與交換機(jī)之間的通路因惡意攻擊請(qǐng)求在短時(shí)間內(nèi)觸發(fā)大量Pakcet-in事件(Step3)而阻塞，正常數(shù)據(jù)包觸發(fā)的Packet-in無(wú)法發(fā)送到控制器，從而產(chǎn)生拒絕服務(wù)攻擊(Attack 3)；

4) 交換機(jī)自身流表存儲(chǔ)空間被大量相應(yīng)攻擊請(qǐng)求的無(wú)效流規(guī)則擠占，針對(duì)正常數(shù)據(jù)包的流規(guī)則無(wú)法安裝到交換機(jī)，使正常網(wǎng)絡(luò)用戶服務(wù)中斷(Attack 4).

從上述安全威脅分析中可知，針對(duì)控制器計(jì)算資源的拒絕服務(wù)攻擊危害性最大.尤其對(duì)于目前廣泛部署的SDN多控制器模型影響最為明顯.隨著SDN網(wǎng)絡(luò)部署規(guī)模擴(kuò)大，需要采用多控制器模型實(shí)現(xiàn)高性能和高可擴(kuò)展性，然而多控制器模型更放大了此類DoS攻擊的影響，極易造成多控制器間的連鎖失敗[6].

Fig. 2 A cascading failure in SDN multi-controller network圖2 SDN多控制器間的連鎖失敗

如圖2所示，實(shí)心圓代表控制器，其處理能力為C；空心圓代表交換機(jī).當(dāng)C控制器因DoS攻擊而過(guò)載時(shí)，則將其負(fù)載遷移至A,D控制器(狀態(tài)1箭頭).遷移后，A,D控制器也因遷入流量而過(guò)載，因此又將負(fù)載遷移至B控制器(狀態(tài)2).此次遷移后，B控制器負(fù)載大大超過(guò)其處理能力(狀態(tài)3)，最終導(dǎo)致全部網(wǎng)絡(luò)崩潰(狀態(tài)4).由此看出，DoS攻擊給SDN網(wǎng)絡(luò)帶來(lái)毀滅性災(zāi)難，解決該安全威脅刻不容緩.

2 相關(guān)工作

隨著SDN技術(shù)的發(fā)展，業(yè)界對(duì)SDN安全的關(guān)注度逐漸增加.針對(duì)上述攻擊場(chǎng)景，相關(guān)研究人員從多種角度設(shè)計(jì)防御機(jī)制，推動(dòng)了SDN安全技術(shù)發(fā)展.

DoS攻擊在傳統(tǒng)網(wǎng)絡(luò)領(lǐng)域亦是熱點(diǎn)及難點(diǎn)問(wèn)題.其中一些方法也比較成熟，如異常流量檢測(cè)機(jī)制[7]，其一般流程包括信息收集、特征提取和分類識(shí)別，如果將該技術(shù)不經(jīng)改變直接用于SDN，則會(huì)產(chǎn)生一定局限性，如信息收集代價(jià)大且不靈活、需要重新定義特征向量等.客戶端難題機(jī)制[8-9](client puzzle)通過(guò)難題分發(fā)、應(yīng)答及驗(yàn)證機(jī)制，篩選出合法用戶繼續(xù)提供服務(wù).此機(jī)制雖然需要消耗一定資源代價(jià)，但在傳統(tǒng)網(wǎng)絡(luò)中仍可有效防御DoS攻擊.當(dāng)然，此機(jī)制并不適用于SDN網(wǎng)絡(luò)，客戶端難題機(jī)制的分發(fā)、應(yīng)答及驗(yàn)證過(guò)程，會(huì)產(chǎn)生更多Packet-in數(shù)據(jù)包消耗更多控制器資源，更容易造成控制器過(guò)載.因此，傳統(tǒng)DoS解決方案因其局限性不能直接用于SDN環(huán)境下.

AVANT-GUARD[10]對(duì)OpenFlow數(shù)據(jù)平面進(jìn)行擴(kuò)展，引入了連接遷移模塊和執(zhí)行觸發(fā)器模塊.連接遷移模塊可以代理TCP握手階段，阻塞TCP SYN Flood攻擊對(duì)控制器的影響.執(zhí)行觸發(fā)器模塊可在數(shù)據(jù)平面統(tǒng)計(jì)數(shù)據(jù)滿足一定條件時(shí)下觸發(fā)插入預(yù)置的安全流規(guī)則，從而改善對(duì)動(dòng)態(tài)變化流的快速處理能力.但是，AVANT-GUARD未加強(qiáng)控制層安全防御機(jī)制，僅從數(shù)據(jù)平面擴(kuò)展防御機(jī)制不符合SDN安全發(fā)展趨勢(shì).此外，該防御機(jī)制僅針對(duì)TCP型的DoS攻擊有效，具有一定局限性.

FloodGuard[11]以增強(qiáng)控制平面安全機(jī)制為切入點(diǎn)，增加主動(dòng)流規(guī)則分析模塊和數(shù)據(jù)包遷移模塊.主動(dòng)流規(guī)則分析模塊可以在發(fā)生DoS攻擊時(shí)保證基本網(wǎng)絡(luò)策略執(zhí)行.數(shù)據(jù)包遷移模塊可以及時(shí)緩存數(shù)據(jù)包并利用循環(huán)調(diào)度算法避免控制器過(guò)載.FloodGuard相比于AVANT-GUARD能夠防御各類DoS攻擊，而且未涉及數(shù)據(jù)平面改動(dòng)，有利于架構(gòu)的現(xiàn)實(shí)部署.然而，由于FloodGuard控制平面安全機(jī)制對(duì)控制器負(fù)載需求增加，而其并沒(méi)有擴(kuò)展優(yōu)化控制器處理能力，從一定程度上影響其防御效果.

文獻(xiàn)[12-13]采用自組織圖分類算法對(duì)所提取的網(wǎng)絡(luò)流量特征分類，在識(shí)別正常流量與攻擊流量后，采取相應(yīng)的防御措施.雖然這些文獻(xiàn)對(duì)流量特征及分類算法進(jìn)行了優(yōu)化，也取得了較高的準(zhǔn)確率，但是此類方法性能開(kāi)銷較大，不能滿足實(shí)時(shí)性檢測(cè)要求.Yan等人[14]基于模糊綜合評(píng)價(jià)模型設(shè)計(jì)了攻擊檢測(cè)算法，雖然基于模糊的防御方案具有輕量級(jí)優(yōu)勢(shì)，但是檢測(cè)準(zhǔn)確率有待進(jìn)一步增加.

通過(guò)梳理現(xiàn)有相關(guān)工作不難發(fā)現(xiàn)，針對(duì)SDN控制器的DoS攻擊，目前尚沒(méi)有一種防御機(jī)制能夠在符合SDN安全發(fā)展趨勢(shì)的同時(shí)滿足輕量、高效、準(zhǔn)確等特點(diǎn)，因此，本文基于多優(yōu)先級(jí)隊(duì)列與控制器雙輪詢處理機(jī)制設(shè)計(jì)了一種針對(duì)SDN控制器DoS攻擊的動(dòng)態(tài)防御機(jī)制，以推動(dòng)該領(lǐng)域進(jìn)展.

3 動(dòng)態(tài)防御機(jī)制設(shè)計(jì)

為了突出整體防御架構(gòu)設(shè)計(jì)思想，本文以圖3為例詳細(xì)介紹防御架構(gòu)各部分功能作用.在如圖3所示的SDN網(wǎng)絡(luò)中由控制器、SDN交換機(jī)、合法用戶、攻擊者和服務(wù)器5部分組成.為了便于敘述，3個(gè)SDN交換機(jī)以線性拓?fù)浞绞竭B接.其中，交換機(jī)1(S1)下連接3個(gè)攻擊者和3個(gè)合法用戶，交換機(jī)2(S2)下連接3個(gè)合法用戶，交換機(jī)3(S3)下連接3個(gè)合法用戶及1臺(tái)服務(wù)器.當(dāng)攻擊者發(fā)動(dòng)DoS攻擊時(shí)，發(fā)送大量虛假無(wú)效數(shù)據(jù)包至S1，S1產(chǎn)生大量Packet-in以消耗控制器計(jì)算資源.與此同時(shí)，3臺(tái)交換機(jī)下的合法用戶均請(qǐng)求與服務(wù)器建立TCP連接.當(dāng)然，由于在攻擊中控制器過(guò)載可能會(huì)導(dǎo)致正常合法用戶連接請(qǐng)求被丟棄.在以上攻擊情景中，我們?cè)O(shè)計(jì)一種基于網(wǎng)絡(luò)資源管理技術(shù)的SDN DoS攻擊動(dòng)態(tài)防御機(jī)制(下面簡(jiǎn)稱為MinDoS).

如圖3所示，MinDoS主要包括簡(jiǎn)化版DoS攻擊檢測(cè)模塊(simplified DoS detection module)和優(yōu)先級(jí)管理模塊(priority manager)兩部分.MinDoS主要利用上述功能模塊實(shí)現(xiàn)多邏輯隊(duì)列劃分、優(yōu)先級(jí)管理和控制器雙輪詢處理機(jī)制，從而達(dá)到基本防御效果.MinDoS工作流程如下：

Step1. 控制器劃分多交換機(jī)邏輯隊(duì)列;

Step2. 控制器執(zhí)行基于時(shí)間切片策略的多交換機(jī)邏輯隊(duì)列輪詢機(jī)制(控制器第1階段輪詢機(jī)制);

Step3. 網(wǎng)絡(luò)用戶優(yōu)先級(jí)管理及針對(duì)每一交換機(jī)邏輯隊(duì)列下多優(yōu)先級(jí)邏輯隊(duì)列劃分;

Step4. 控制器針對(duì)每一交換機(jī)邏輯隊(duì)列下的多優(yōu)先級(jí)隊(duì)列執(zhí)行基于權(quán)重策略的輪詢機(jī)制(控制器第2階段輪詢機(jī)制).

3.1控制器劃分多交換機(jī)邏輯隊(duì)列

傳統(tǒng)SDN控制器在接收到SDN交換機(jī)請(qǐng)求消息后會(huì)將所接收的請(qǐng)求數(shù)據(jù)包存儲(chǔ)在單物理隊(duì)列[15](single-Q)中，并且按照“先進(jìn)先出”(first come first service, FCFS)的處理原則對(duì)數(shù)據(jù)包請(qǐng)求回應(yīng)，從而完成整個(gè)后續(xù)轉(zhuǎn)發(fā)過(guò)程.當(dāng)然，此類機(jī)制具有明顯漏洞，給DoS攻擊者帶來(lái)可乘之機(jī).

傳統(tǒng)的single-Q機(jī)制將網(wǎng)絡(luò)內(nèi)所有SDN交換機(jī)請(qǐng)求存儲(chǔ)到一個(gè)單隊(duì)列中，控制器再以FCFS機(jī)制對(duì)該隊(duì)列請(qǐng)求處理.在此過(guò)程中，如果SDN網(wǎng)絡(luò)內(nèi)任意一個(gè)交換機(jī)遭受DoS攻擊后產(chǎn)生大量惡意Packet-in到該單隊(duì)列，則控制器計(jì)算資源將會(huì)被此類惡意請(qǐng)求大量消耗，造成整體網(wǎng)絡(luò)性能明顯降低.同時(shí)，由于single-Q缺少對(duì)不同交換機(jī)請(qǐng)求的隔離機(jī)制，使得SDN網(wǎng)絡(luò)內(nèi)其余正常交換機(jī)產(chǎn)生的正常請(qǐng)求與大量攻擊請(qǐng)求混雜在同一隊(duì)列中，使得控制器無(wú)法及時(shí)篩選并處理這些正常請(qǐng)求，加劇拒絕服務(wù)攻擊效果.

為了增加不同交換機(jī)請(qǐng)求的隔離性，降低DoS攻擊效果，本文改變傳統(tǒng)SDN控制器單隊(duì)列(single-Q)機(jī)制，將傳統(tǒng)單隊(duì)列劃分為多邏輯隊(duì)列(multi-Q)，其中，每一個(gè)邏輯隊(duì)列對(duì)應(yīng)一個(gè)SDN交換機(jī).通過(guò)multi-Q機(jī)制，不同交換機(jī)的請(qǐng)求排隊(duì)到相應(yīng)交換機(jī)的邏輯隊(duì)列后，控制器根據(jù)一定策略對(duì)這些邏輯隊(duì)列輪詢處理(控制器第1階段輪詢機(jī)制在3.2節(jié)中詳細(xì)介紹).通過(guò)此方法，控制器可以避免因FCFS機(jī)制一直處理大量處理惡意請(qǐng)求而過(guò)載，同時(shí)，也可以將其他正常交換機(jī)的請(qǐng)求與被攻擊交換機(jī)的攻擊請(qǐng)求隔離，避免其他交換機(jī)受到被攻擊交換機(jī)的影響，進(jìn)一步提升防御效果.

3.2基于時(shí)間切片策略的交換機(jī)隊(duì)列輪詢機(jī)制

控制器對(duì)于多交換機(jī)邏輯隊(duì)列輪詢機(jī)制需要保證全局資源分配的合理性，如果設(shè)計(jì)不當(dāng)，可能會(huì)影響全局網(wǎng)絡(luò)服務(wù)質(zhì)量.因此，本文提出一種基于時(shí)間切片策略的輪詢機(jī)制，通過(guò)對(duì)全局網(wǎng)絡(luò)進(jìn)行恰當(dāng)評(píng)估后進(jìn)行合理資源分配，同時(shí)提升防御效果.

本文提出的時(shí)間切片策略需要結(jié)合簡(jiǎn)化版DoS攻擊檢測(cè)模塊進(jìn)行實(shí)現(xiàn).簡(jiǎn)化版DoS攻擊檢測(cè)模塊是在現(xiàn)有DoS檢測(cè)算法的基礎(chǔ)上進(jìn)行改進(jìn)實(shí)現(xiàn)的.通過(guò)第2節(jié)相關(guān)工作中可知，SGuard通過(guò)設(shè)計(jì)全新的六元特征組向量對(duì)攻擊流量進(jìn)行特征提取后從而判斷網(wǎng)絡(luò)攻擊狀態(tài)，此方法雖然準(zhǔn)確率較高，但負(fù)載仍不能滿足我們對(duì)防御架構(gòu)輕量級(jí)的要求；Yan等人基于模糊綜合評(píng)價(jià)模型設(shè)計(jì)了攻擊檢測(cè)算法，雖然基于模糊的防御方案具有輕量級(jí)優(yōu)勢(shì)，但是檢測(cè)準(zhǔn)確率有待進(jìn)一步增加.受到以上工作啟發(fā)，我們結(jié)合SGuard[12]和模糊綜合評(píng)價(jià)模型[14]的優(yōu)勢(shì)，將六元特征組作為模糊綜合評(píng)價(jià)的特征集，得出相應(yīng)綜合評(píng)價(jià)因子，從而實(shí)現(xiàn)能夠同時(shí)滿足輕量級(jí)及準(zhǔn)確率方面要求的簡(jiǎn)化版DoS攻擊檢測(cè)模塊.該模塊可針對(duì)SDN網(wǎng)絡(luò)內(nèi)所有交換機(jī)進(jìn)行攻擊評(píng)估，并對(duì)每一交換機(jī)計(jì)算出綜合評(píng)價(jià)因子.綜合評(píng)價(jià)因子的值介于0～1之間，0表示該交換機(jī)未受到攻擊者的DoS攻擊，1則表示該交換受到最為嚴(yán)重的DoS攻擊.通過(guò)每個(gè)交換機(jī)的攻擊綜合評(píng)價(jià)因子，我們采取不同的時(shí)間切片分配策略，該策略表示為

(1)

其中，μ表示控制器數(shù)據(jù)包請(qǐng)求處理能力，Degk表示交換機(jī)k的攻擊綜合評(píng)價(jià)因子，F(xiàn)Pk表示控制器為交換機(jī)邏輯隊(duì)列k分配的計(jì)算資源.通過(guò)式(1)可以看出，當(dāng)交換機(jī)k的攻擊綜合評(píng)價(jià)因子越小時(shí)，即交換機(jī)受到DoS攻擊程度越低，控制器為該交換機(jī)邏輯隊(duì)列分配的資源越大；反之，控制器為該交換機(jī)邏輯隊(duì)列分配的資源越少.通過(guò)此策略，正常交換機(jī)下的用戶QoS要高于被攻擊交換機(jī)下的用戶QoS，基本達(dá)到了阻塞攻擊者、保護(hù)合法用戶的防御效果.當(dāng)然，控制器第1階段輪詢機(jī)制在處理與攻擊者連接同一交換機(jī)合法用戶的請(qǐng)求時(shí)存在明顯不對(duì)稱性，需要進(jìn)一步引入相應(yīng)機(jī)制優(yōu)化防御方案.

3.3網(wǎng)絡(luò)用戶優(yōu)先級(jí)及交換機(jī)邏輯隊(duì)列管理機(jī)制

由于攻擊者會(huì)造成所連接的交換機(jī)攻擊綜合評(píng)價(jià)因子升高，進(jìn)而減少控制器對(duì)該交換機(jī)邏輯隊(duì)列資源分配量，所以與攻擊者連接同一交換機(jī)的合法用戶所獲得控制器的輪詢處理能力也隨之降低[15].為了解決這一矛盾，本文引入優(yōu)先級(jí)管理機(jī)制，針對(duì)每一交換機(jī)邏輯隊(duì)列內(nèi)的請(qǐng)求進(jìn)行優(yōu)先級(jí)管理，從而進(jìn)一步提升與攻擊者連接同一交換機(jī)的合法用戶的QoS.Priority Manager模塊在此階段進(jìn)行網(wǎng)絡(luò)用戶信任評(píng)級(jí)后，根據(jù)用戶請(qǐng)求數(shù)據(jù)包優(yōu)先級(jí)標(biāo)簽將不同數(shù)據(jù)包劃分至多優(yōu)先級(jí)隊(duì)列，從而為控制器輪詢處理多優(yōu)先級(jí)隊(duì)列奠定基礎(chǔ).

3.3.1 優(yōu)先級(jí)管理

為了解決控制器執(zhí)行多交換機(jī)邏輯隊(duì)列輪詢機(jī)制時(shí)所產(chǎn)生的矛盾，本文需要引入優(yōu)先級(jí)機(jī)制對(duì)同一交換機(jī)下的攻擊者和正常用戶提供差別服務(wù).控制器通過(guò)動(dòng)態(tài)調(diào)整用戶信任值來(lái)區(qū)分不同用戶優(yōu)先級(jí).優(yōu)先級(jí)機(jī)制具體流程如算法1所示.

算法1. 用戶優(yōu)先級(jí)(信任值)管理算法.

輸入：用戶IP;

輸出：用戶優(yōu)先級(jí)(信任值)列表tli.

① in每一時(shí)間間隔t

② for每一交換機(jī)ido

③ for用戶s(ip)的請(qǐng)求rdo

④ if用戶s(ip)不在信任列表tlithen

⑤ 為用戶s在信任列表tli中新建表項(xiàng)

⑥ 關(guān)聯(lián)ip與表項(xiàng)id，并初始化tv(id)=1；

⑦ else

⑧id←indexof(ip,tli)；

⑨ end if

⑩ if用戶s(ip)總請(qǐng)求數(shù)>Tithen

Priority Manager為每個(gè)交換機(jī)k維護(hù)一個(gè)信任值列表trustlistk，列表中存儲(chǔ)著該交換機(jī)下的所有用戶(包括攻擊者)的信任值信息.當(dāng)用戶s首次連接到SDN網(wǎng)絡(luò)后，Priority Manager將用戶s的IP插入到相應(yīng)交換機(jī)的優(yōu)先級(jí)列表中，該列表主要包括表項(xiàng)ID、所對(duì)應(yīng)的用戶IP和用戶信任值TrustValue組成.首次接入到網(wǎng)絡(luò)的用戶(IP)將于信任列表中唯一的ID綁定，并且初始信任值設(shè)置為1(行①～⑨).隨著網(wǎng)絡(luò)運(yùn)行，信任列表中的用戶信任值動(dòng)態(tài)調(diào)整.當(dāng)用戶發(fā)送請(qǐng)求速率超過(guò)網(wǎng)絡(luò)預(yù)置閾值時(shí)，意味著該用戶可能成為潛在的攻擊者，所以優(yōu)先級(jí)管理模塊對(duì)其信任值相應(yīng)調(diào)整；相反，如果用戶發(fā)送請(qǐng)求速率在網(wǎng)絡(luò)合理范圍區(qū)間內(nèi),意味著用戶趨向?yàn)檎：戏ㄓ脩?行⑩～).當(dāng)然，閾值的設(shè)置具體可以根據(jù)控制器處理性能、網(wǎng)絡(luò)拓?fù)浯笮〖熬W(wǎng)絡(luò)內(nèi)用戶需求進(jìn)行綜合衡量，其中文獻(xiàn)[16]已經(jīng)對(duì)該問(wèn)題進(jìn)行詳細(xì)敘述，在此我們不再贅述.另外，該信任評(píng)級(jí)動(dòng)態(tài)調(diào)整算法與普通限速算法有著本質(zhì)區(qū)別：限速算法在用戶請(qǐng)求速率超過(guò)閾值后直接迅速采取懲罰措施，這樣會(huì)使得大量正常請(qǐng)求被限速，誤報(bào)率較高；而信任評(píng)級(jí)動(dòng)態(tài)調(diào)整算法以信任值連續(xù)調(diào)整的方式調(diào)整優(yōu)先級(jí)，避免不必要的懲罰，更具合理性.考慮到DoS攻擊特性，如果用戶IP一定時(shí)間內(nèi)無(wú)任何請(qǐng)求，其優(yōu)先級(jí)同樣以一定衰減系數(shù)減低(行～).

3.3.2 交換機(jī)邏輯隊(duì)列下多優(yōu)先級(jí)隊(duì)列劃分機(jī)制

在優(yōu)先級(jí)管理模塊對(duì)用戶優(yōu)先級(jí)進(jìn)行評(píng)定后，該用戶發(fā)送的數(shù)據(jù)包均帶有相應(yīng)優(yōu)先級(jí)標(biāo)簽，優(yōu)先級(jí)管理模塊根據(jù)發(fā)送用戶的信任值標(biāo)簽將數(shù)據(jù)包劃分至不同優(yōu)先級(jí)的隊(duì)列中，以便控制器第2階段輪詢處理.多優(yōu)先級(jí)隊(duì)列劃分流程如算法2所示.

算法2. 多優(yōu)先級(jí)隊(duì)列管理算法.

輸入：優(yōu)先級(jí)列表tli、優(yōu)先級(jí)隊(duì)列長(zhǎng)度L;

輸出：請(qǐng)求劃分至相應(yīng)優(yōu)先級(jí)隊(duì)列.

① in每一時(shí)間間隔t

② for每一交換機(jī)ido

③ for用戶s(ip)的請(qǐng)求rdo

④id←indexof(ip,tli)；

⑤ 請(qǐng)求r對(duì)應(yīng)的優(yōu)先級(jí)隊(duì)列索引Nr：

⑦ 將請(qǐng)求r劃分至第Nr個(gè)優(yōu)先級(jí)隊(duì)列；

⑧ else

⑨ 丟棄最低優(yōu)先級(jí)索引非空隊(duì)列中的請(qǐng)求；

⑩ 將請(qǐng)求r劃分至第Nr個(gè)優(yōu)先級(jí)隊(duì)列；

優(yōu)先級(jí)管理模塊可將每一個(gè)交換機(jī)邏輯隊(duì)列繼續(xù)劃分為Nq個(gè)優(yōu)先級(jí)隊(duì)列，當(dāng)帶有優(yōu)先級(jí)標(biāo)簽的數(shù)據(jù)包到達(dá)時(shí)，計(jì)算該數(shù)據(jù)包所對(duì)應(yīng)的優(yōu)先級(jí)隊(duì)列索引.其索引表達(dá)式為

其中，Nr表示該數(shù)據(jù)包所對(duì)應(yīng)的優(yōu)先級(jí)隊(duì)列索引，tv(id)為該數(shù)據(jù)包所對(duì)應(yīng)的用戶信任值，min {tvintli}表示在交換機(jī)i所對(duì)應(yīng)優(yōu)先級(jí)列表中用戶信任值的最小值，max {tvintli}表示在交換機(jī)i所對(duì)應(yīng)優(yōu)先級(jí)列表中用戶信任值的最大值.從式(2)不難看出，用戶信任值越高，對(duì)應(yīng)的優(yōu)先級(jí)索引越大(行③～⑤)，當(dāng)控制器進(jìn)行第2階段輪詢時(shí)，相應(yīng)索引對(duì)應(yīng)的隊(duì)列資源分配量越大.

另外，當(dāng)新數(shù)據(jù)包插入優(yōu)先級(jí)隊(duì)列之前，需要先判斷該交換機(jī)邏輯隊(duì)列(Lmax)長(zhǎng)度是否滿足要求，如果該交換機(jī)邏輯隊(duì)列長(zhǎng)度不足，則先刪除最低優(yōu)先級(jí)索引隊(duì)列中的數(shù)據(jù)包再添加新數(shù)據(jù)包請(qǐng)求；如果滿足長(zhǎng)度要求，直接將請(qǐng)求添加到指定優(yōu)先級(jí)索引隊(duì)列(行⑥～⑩).通過(guò)優(yōu)先級(jí)機(jī)制，正常合法用戶的數(shù)據(jù)包優(yōu)先級(jí)索引將會(huì)遠(yuǎn)大于攻擊數(shù)據(jù)包優(yōu)先級(jí)索引，因此，正常用戶服務(wù)質(zhì)量將會(huì)顯著提升.

3.4控制器基于權(quán)重策略的多優(yōu)先級(jí)隊(duì)列輪詢機(jī)制

當(dāng)優(yōu)先級(jí)管理模塊將每一交換機(jī)邏輯隊(duì)列繼續(xù)劃分為多優(yōu)先級(jí)隊(duì)列后，控制器需要繼續(xù)對(duì)多優(yōu)先級(jí)隊(duì)列中的請(qǐng)求進(jìn)行輪詢處理.為了提高控制器在單位時(shí)間切片內(nèi)對(duì)高優(yōu)先級(jí)隊(duì)列處理量(控制器對(duì)優(yōu)先級(jí)隊(duì)列的資源分配量)，改善與攻擊者在同一交換機(jī)的正常合法用戶的服務(wù)質(zhì)量，本文設(shè)計(jì)了控制器基于權(quán)重策略的多優(yōu)先級(jí)隊(duì)列輪詢機(jī)制(控制器第2階段輪詢機(jī)制).其工作流程如算法3所示.

算法3. 基于權(quán)重策略的多優(yōu)先級(jí)隊(duì)列輪詢算法.

輸入：第1輪控制器資源分配量FPi、邏輯隊(duì)列;

輸出：優(yōu)先級(jí)隊(duì)列處理權(quán)重及相應(yīng)資源分配量.

① in每一時(shí)間間隔t

② for每一交換機(jī)ido

③ forn=1 toNqdo

④ 計(jì)算每一優(yōu)先級(jí)隊(duì)列權(quán)重：

⑤ end for

⑥ 控制器每一輪在nth隊(duì)列的處理請(qǐng)求數(shù)目：

⑦ end for

從算法3可知，為減少正常合法用戶受到來(lái)自同一交換機(jī)下的攻擊者的攻擊影響，提高正常用戶服務(wù)質(zhì)量，減緩或者忽略攻擊者攻擊請(qǐng)求，控制器每輪對(duì)不同優(yōu)先級(jí)隊(duì)列的處理量與優(yōu)先級(jí)隊(duì)列權(quán)重成正比(行⑥).不同優(yōu)先級(jí)隊(duì)列的權(quán)重由優(yōu)先級(jí)索引與隊(duì)列長(zhǎng)度共同決定：

(3)

其中,ωn為優(yōu)先級(jí)索引為n的優(yōu)先級(jí)隊(duì)列權(quán)重，Ln為優(yōu)先級(jí)索引為n的優(yōu)先級(jí)隊(duì)列長(zhǎng)度，Lmax為該交換機(jī)邏輯隊(duì)列總長(zhǎng)度，δ為權(quán)重比例因子.從式(3)可以看出，優(yōu)先級(jí)索引數(shù)越大，該優(yōu)先級(jí)隊(duì)列權(quán)重越大；優(yōu)先級(jí)隊(duì)列長(zhǎng)度越大，該優(yōu)先級(jí)隊(duì)列權(quán)重越大.優(yōu)先級(jí)索引是隊(duì)列權(quán)重首要決定性因素(指數(shù)級(jí)影響因素)，當(dāng)然，優(yōu)先級(jí)隊(duì)列長(zhǎng)度也對(duì)權(quán)重起一定作用.通過(guò)此種權(quán)重策略設(shè)計(jì)，可以兼顧優(yōu)先級(jí)索引及優(yōu)先級(jí)排隊(duì)長(zhǎng)度的影響，有助于提高用戶服務(wù)質(zhì)量.

4 控制器動(dòng)態(tài)調(diào)度策略設(shè)計(jì)

隨著云數(shù)據(jù)中心[17]等SDN網(wǎng)絡(luò)部署規(guī)模不斷擴(kuò)大，業(yè)界普遍采用SDN多控制器模型[18-19]實(shí)現(xiàn)高性能及高可擴(kuò)展性.但是，SDN多控制模型對(duì)于針對(duì)控制器的DoS攻擊具有明顯脆弱性(見(jiàn)第1節(jié))，因此更需要部署相關(guān)SDN DoS防御機(jī)制增強(qiáng)其可用性.本文第3節(jié)所設(shè)計(jì)的防御機(jī)制完全適合部署于該SDN多控制器模型，可以有效防御針對(duì)控制器的DoS攻擊，避免控制器單點(diǎn)故障[20]問(wèn)題.當(dāng)然，該防御機(jī)制由于引入了優(yōu)先級(jí)管理等安全機(jī)制，會(huì)相對(duì)增加控制器負(fù)載，另外，考慮到DoS攻擊具有一定隨機(jī)性(可以在隨機(jī)時(shí)間、隨機(jī)地點(diǎn)以隨機(jī)攻擊速率對(duì)隨機(jī)控制器發(fā)動(dòng)攻擊)，因此可能會(huì)造成多控制器間負(fù)載不均衡問(wèn)題，影響全局網(wǎng)絡(luò)平均響應(yīng)時(shí)間，降低全局用戶服務(wù)質(zhì)量.為進(jìn)一步優(yōu)化本文所提出的防御機(jī)制應(yīng)用于SDN多控制器模型下的防御效果，本節(jié)同時(shí)提出一種控制器動(dòng)態(tài)調(diào)度策略來(lái)保證全局網(wǎng)絡(luò)狀態(tài)最優(yōu)化，提高攻擊防御效率.

4.1控制器動(dòng)態(tài)調(diào)度模型建立

我們假設(shè)SDN網(wǎng)絡(luò)內(nèi)由M個(gè)控制器和N個(gè)交換機(jī)構(gòu)成，控制器集合和交換機(jī)集合分別以集合C={c1,c2,…,cm}和S={s1,s2,…,sn}表示，其中cm和sn分別表示第m個(gè)控制器和第n個(gè)交換機(jī).y(t)i j表示第i個(gè)交換機(jī)與第j個(gè)控制器是否連接(1表示連接，0表示未連接)，di j則表示第i個(gè)交換機(jī)與第j個(gè)控制器距離(跳數(shù)).控制器集合C中各控制器處理能力為μ={μ1,μ2,…,μm}.另外，為增加控制器可靠性及彈性，本文設(shè)置各控制器處理能力衰減系數(shù)γ={γ1,γ2,…,γm}，其中γ∈(0,1).

4.1.1 全局控制器平均處理時(shí)間

對(duì)于i∈(1,N),若第i個(gè)交換機(jī)在時(shí)刻t以速率υ(t)i向控制器發(fā)送請(qǐng)求時(shí)，控制器j在時(shí)刻t平均負(fù)載可表示為

(4)

結(jié)合式(4)，同時(shí)考慮到網(wǎng)絡(luò)拓?fù)湟?guī)模對(duì)控制器平均處理時(shí)間的影響，控制器j的平均請(qǐng)求處理時(shí)間為

(5)

其中,V表示網(wǎng)絡(luò)拓?fù)湟?guī)模(即網(wǎng)絡(luò)規(guī)模節(jié)點(diǎn)數(shù)).

根據(jù)式(4)、(5)可得全局控制器請(qǐng)求平均處理時(shí)間為

(6)

4.1.2 控制器動(dòng)態(tài)調(diào)度模型

控制器動(dòng)態(tài)調(diào)度模型的目的是在給定多控制器模型下，根據(jù)交換機(jī)請(qǐng)求負(fù)載變化情況，動(dòng)態(tài)調(diào)整所連接的控制器，從而降低全局控制器平均處理時(shí)間，最優(yōu)化全局用戶服務(wù)質(zhì)量.該模型可以抽象為控制器動(dòng)態(tài)調(diào)度分配問(wèn)題：

Minimizeξ(t)

(7)

目標(biāo)式(7)保證全局控制器平均處理時(shí)間最優(yōu)；不等式(8)約束所有控制器均不過(guò)載；約束條件式(9)保證每個(gè)交換機(jī)必須連接且只連接一個(gè)控制器，確保有效性和唯一性.

4.2控制器動(dòng)態(tài)調(diào)度模型求解

由于控制器動(dòng)態(tài)調(diào)度模型面向SDN多控制器模型，因此對(duì)于該模型求解需滿足高效性以確保在網(wǎng)絡(luò)在動(dòng)態(tài)環(huán)境中迅速收斂，獲得全局最優(yōu)控制器-交換機(jī)映射關(guān)系，使得多控制器間負(fù)載相對(duì)平衡，提高網(wǎng)絡(luò)性能及防御機(jī)制防御效果.

為求解最優(yōu)控制器動(dòng)態(tài)調(diào)度模型，本文首先令控制器與交換機(jī)進(jìn)行“雙向選擇”形成初始映射關(guān)系，然后再利用迭代算法動(dòng)態(tài)調(diào)整控制器-交換機(jī)映射關(guān)系實(shí)現(xiàn)全局網(wǎng)絡(luò)性能最優(yōu)化.下面本節(jié)將以上求解算法進(jìn)行詳細(xì)介紹.

4.2.1 控制器與交換機(jī)“雙向選擇”機(jī)制

本文采用“雙向選擇”機(jī)制來(lái)構(gòu)建控制器與交換機(jī)初始映射關(guān)系.具體來(lái)說(shuō)，控制器和交換機(jī)各自維護(hù)一個(gè)偏好[21]列表，在滿足全局約束條件的情況下，以各自偏好列表構(gòu)建初始映射關(guān)系.

從交換機(jī)角度分析可知，交換機(jī)優(yōu)先選擇控制器處理能力高、處理時(shí)間短的控制器(如式(5))，但是該因素與其他交換機(jī)連接情況耦合性較大，不便于實(shí)際選取，因此本文以控制器最長(zhǎng)處理時(shí)間為指標(biāo)構(gòu)建每一交換機(jī)偏好列表，第j個(gè)控制器最長(zhǎng)處理時(shí)間為

(11)

根據(jù)式(11)，在第i個(gè)交換機(jī)的偏好列表Γ(si)中所有控制器以其最長(zhǎng)處理時(shí)間大小按照升序排列，在該偏好列表中索引越小，表明交換機(jī)i對(duì)該控制器偏好程度越高，相應(yīng)的控制器最長(zhǎng)處理時(shí)間也越短.即：

(12)

從控制器角度分析可知，控制器優(yōu)先選擇請(qǐng)求速率小且距離其跳數(shù)小的交換機(jī)，因此在第j個(gè)控制器的偏好列表中所有交換機(jī)以請(qǐng)求速率和距離第j個(gè)控制器跳數(shù)的乘積為指標(biāo)按照升序排列，在該控制器偏好列表中，交換機(jī)所對(duì)應(yīng)的索引值越小，其被控制器j所選中的優(yōu)先級(jí)越高.即：

(13)

當(dāng)然，在上述情況中，如果控制器j想將第i*個(gè)交換機(jī)列入初始映射中，則控制器j需要滿足在列入第i*個(gè)交換機(jī)后不能超過(guò)控制器負(fù)載，即：

?si*,θ(t)j+υ(t)i*≤γjμj.

(14)

綜上所述，控制器與交換機(jī)“雙向選擇”機(jī)制算法流程如算法4所示.

算法4. 控制器-交換機(jī)初始映射機(jī)制算法.

輸入：?i,υ(t)i，?j,μj,γj;

輸出：?i,j,y(t)i j.

① functionMutualChoice(υ(t)i,μj,γj)

② 每一交換機(jī)和控制器分別建立Γ(si),Γ(cj);

③ while交換機(jī)存在任意提議do

④ if所有提議不違反約束條件8 then

⑤ 控制器接受交換機(jī)所有提議；

⑥ else

⑦ 控制器僅接受Γ(si)優(yōu)先級(jí)最高的提議；

⑧ 控制器拒絕其他交換機(jī)提議；

⑨ end if

⑩ end while

4.2.2 最優(yōu)化映射算法

通過(guò)上述控制器與交換機(jī)“雙向選擇”機(jī)制可以得到控制器與交換機(jī)的初始映射關(guān)系Θ，該初始映射關(guān)系并不能滿足最優(yōu)化效果，因此，本節(jié)通過(guò)確定交換機(jī)遷移規(guī)則并利用迭代算法得到控制器與交換機(jī)最優(yōu)化映射關(guān)系.

遷移規(guī)則：假設(shè)交換機(jī)s在初始映射關(guān)系Θ中與控制器a對(duì)應(yīng)，在滿足一定遷移規(guī)則后，交換機(jī)s在更新后的映射關(guān)系Θ中對(duì)應(yīng)控制器b.上述過(guò)程以transfer(s,a,b)表示.在遷移前，控制器a所映射的交換機(jī)包括s；遷移后，在控制器a所映射的交換機(jī)中刪除s，同時(shí)在控制器b所映射的交換機(jī)集合中添加s.遷移規(guī)則根據(jù)全局控制器處理時(shí)間最優(yōu)化目標(biāo)確定.若根據(jù)遷移后的控制器與交換機(jī)映射關(guān)系，全局控制器處理時(shí)間降低，則滿足遷移規(guī)則，同時(shí)更新控制器與交換機(jī)映射關(guān)系.上述遷移過(guò)程數(shù)學(xué)表達(dá)為

遷移前：transfer(s,a,b)

Sa=Θ(a)，Sb=Θ(b)；

(15)

遷移后：transfer(s,a,b)

(16)

遷移規(guī)則：

TR(s,a,b)=?(t)a*+?(t)b*-[?(t)a+?(t)b]<0.

(17)

根據(jù)以上遷移規(guī)則，我們?cè)O(shè)計(jì)算法5動(dòng)態(tài)調(diào)整控制器與交換機(jī)映射關(guān)系[22]，在基于控制器-交換機(jī)初始映射關(guān)系及相關(guān)初始狀態(tài)參數(shù)上求解出具有最小遷移規(guī)則值的遷移對(duì)(transfer pair)后，更新映射關(guān)系，實(shí)現(xiàn)全局控制器響應(yīng)時(shí)間最優(yōu)效果.

算法5. 控制器-交換機(jī)映射動(dòng)態(tài)調(diào)整機(jī)制算法.

輸入：?j,μj,γj、初始映射Θ;

輸出：?i,j,y(t)i j.

① functiontransfer(Θ,μj,γj)

② for控制器,?j,cjdo

③ for交換機(jī)si∈Θ(cj) do

④ for控制器cm∈C{cj} do

⑤ 找到具有最小TR(si,cj,cm)值的遷移對(duì)(si,cj,cm)；

⑥ end for

⑦ ifTR(si,cj,cm)<0 then

⑧ update：Θ←transfer(si,cj,cm)

⑨ end if

⑩ end for

5 實(shí)驗(yàn)驗(yàn)證與分析

Fig. 4 Performance comparison between MinDoS and existing defense mechanisms under different DoS attack intensities圖4 不同攻擊速率下MinDoS與現(xiàn)有機(jī)制的防御性能比較

為驗(yàn)證上述機(jī)制有效性，本文分別在SDN單控制器的模擬環(huán)境和基于SDN多控制器模型的實(shí)際數(shù)據(jù)中心下進(jìn)行實(shí)驗(yàn)驗(yàn)證與分析.本節(jié)將詳細(xì)介紹2種實(shí)驗(yàn)環(huán)境下實(shí)驗(yàn)設(shè)計(jì)思路并進(jìn)行實(shí)驗(yàn)結(jié)果分析.

5.1SDN單控制器環(huán)境下實(shí)驗(yàn)及結(jié)果分析

在單控制器環(huán)境中，我們基于開(kāi)源的Floodlight控制器部署本文所提出的安全機(jī)制.實(shí)驗(yàn)拓?fù)淙鐖D3所示，3個(gè)SDN交換機(jī)以線性拓?fù)浞绞竭B接.其中，交換機(jī)1(S1)下連接3個(gè)攻擊者和3個(gè)合法用戶，交換機(jī)2(S2)下連接3個(gè)合法用戶，交換機(jī)3(S3)連接3個(gè)合法用戶及1臺(tái)服務(wù)器.交換機(jī)S1～S3下所連接的用戶分別部署到3臺(tái)服務(wù)器上，每臺(tái)服務(wù)器均配置Intel?Xeon?CPU x5690 3.47 GHz和48 GB RAM，運(yùn)行Ubuntu 16.04 server版系統(tǒng)，交換機(jī)采用pica8 SDN交換機(jī).表1列出了其余主要實(shí)驗(yàn)參數(shù)設(shè)置.

Table 1 Experimental Parameter Settings表1 實(shí)驗(yàn)參數(shù)設(shè)置

Flooglight控制器處理能力設(shè)置為μ=1 000 pkts·s-1,為使模擬環(huán)境更加接近真實(shí)環(huán)境，正常合法用戶在隨機(jī)時(shí)刻以隨機(jī)速率發(fā)送請(qǐng)求數(shù)據(jù)包，其速率范圍設(shè)置為μ5～3μ5.我們分別在攻擊者總攻擊速率為1.5μ,2μ,4μ,8μ的情況下，測(cè)試不同交換機(jī)下正常合法用戶TCP連接失敗率Rf及TCP連接建立的平均時(shí)延Ds.為了橫向?qū)Ρ葘?shí)驗(yàn)效果，我們分別以先進(jìn)先出機(jī)制(FCFS)、SGuard防御機(jī)制、DoS模糊綜合評(píng)價(jià)防御機(jī)制(FSEDM)為對(duì)照，測(cè)試上述防御機(jī)制TCP連接失敗率及平均時(shí)延.實(shí)驗(yàn)結(jié)果如圖4所示：

從以上實(shí)驗(yàn)結(jié)果可以看出，由于FCFS機(jī)制完全不具備防御功能，因此隨著攻擊速率不斷增加時(shí)，其相應(yīng)時(shí)延不斷增加，TCP連接失敗率在ε=8μ時(shí)更是達(dá)到80%，網(wǎng)絡(luò)性能垂直下降.相比之下，SGuard和FSEDM在連接建立時(shí)延及失敗率方面具有一定防御效果，在ε<4μ的攻擊情景下，時(shí)延控制在1 s左右，連接失敗率維持在10%以下.但是，SGuard和FSEDM在更高強(qiáng)度的DoS攻擊下，如在ε=8μ時(shí)，由于兩者自身防御機(jī)制負(fù)載原因，時(shí)延和失敗率均顯著上升，其中，F(xiàn)SEDM機(jī)制連接失敗率甚至接近20%，防御效果降低.MinDoS由于采用優(yōu)先級(jí)隊(duì)列及控制器雙輪詢機(jī)制，整體防御機(jī)制較為輕量、高效，因此，在不同攻擊速率下，防御性能可以基本穩(wěn)定，即使在攻擊強(qiáng)度較高的情況下，時(shí)延也能控制在1 s以內(nèi)，失敗率維持在5%以下.另外，在本實(shí)驗(yàn)中，由于交換機(jī)1下連接攻擊者，所以在以上機(jī)制中，交換機(jī)1下的平均時(shí)延及連接失敗率比其余交換機(jī)略高.綜上所述，MinDoS相較于SGuard，F(xiàn)SEDM和FCFS機(jī)制，不管在時(shí)延還是失敗率方面具有絕對(duì)優(yōu)勢(shì)，而且隨著攻擊速率不斷增加，防御性能優(yōu)勢(shì)也逐漸明顯.

Fig. 5 Response time comparison between MinDoS and existing defense mechanisms in SDN multi-controller model under different DoS attack intensities圖5 不同攻擊速率下SDN多控制器模型中MinDoS與現(xiàn)有防御機(jī)制的響應(yīng)時(shí)間比較

5.2SDN多控制器模型下實(shí)驗(yàn)及結(jié)果分析

為檢驗(yàn)基于多優(yōu)先級(jí)隊(duì)列與控制器雙輪詢機(jī)制的SDN DoS攻擊動(dòng)態(tài)防御機(jī)制在實(shí)際SDN環(huán)境中的部署效果，本文將該防御機(jī)制實(shí)際部署于數(shù)據(jù)中心中測(cè)試其防御效果.通過(guò)5.1節(jié)單控制器環(huán)境下的實(shí)驗(yàn)結(jié)果分析可知，本文所提出的防御機(jī)制較其他機(jī)制具有明顯優(yōu)勢(shì)，但是在單控制器環(huán)境下防御機(jī)制相對(duì)靜態(tài)，沒(méi)有體現(xiàn)出該機(jī)制應(yīng)用于數(shù)據(jù)中心等實(shí)際環(huán)境中控制器動(dòng)態(tài)調(diào)度策略對(duì)全局網(wǎng)絡(luò)性能方面的動(dòng)態(tài)優(yōu)勢(shì)，因此，本節(jié)對(duì)該防御機(jī)制應(yīng)用于數(shù)據(jù)中心環(huán)境中的性能進(jìn)行測(cè)試.

本文選擇的數(shù)據(jù)中心拓?fù)錇?4-pod fat-tree結(jié)構(gòu)，該拓?fù)湎鹿灿?20個(gè)交換機(jī)和3 456個(gè)主機(jī)用戶.該數(shù)據(jù)中心內(nèi)部署了30個(gè)Floodlight控制器.各控制器彈性系數(shù)γi隨機(jī)設(shè)置為0.92～0.96.其余實(shí)驗(yàn)參數(shù)設(shè)置如表1所示.攻擊者在該數(shù)據(jù)中心下以總用戶數(shù)5%的比例隨機(jī)選取.為了便于對(duì)比分析，本文在攻擊者攻擊速率分別為1.5μ,2μ,4μ,8μ的情況下，測(cè)試并分析MinDoS,SGuard和FSEDM在該數(shù)據(jù)中心拓?fù)浣Y(jié)構(gòu)下的全局正常用戶請(qǐng)求處理時(shí)間.實(shí)驗(yàn)結(jié)果如圖5所示.其中，圖5(a)～(d)分別展示了不同攻擊速率情況下的全局時(shí)間.

分析圖5(a)～(d)可知：在發(fā)動(dòng)不同速率攻擊之前(10 s)，采用MinDoS控制器動(dòng)態(tài)調(diào)度策略的響應(yīng)時(shí)間明顯低于SGuard和FSEDM機(jī)制，這是由于本文所提出的控制器動(dòng)態(tài)調(diào)度策略能夠有效均衡數(shù)據(jù)中心各控制器負(fù)載，使得全局響應(yīng)時(shí)間最優(yōu)化.在t=10 s以后，當(dāng)攻擊者開(kāi)始發(fā)動(dòng)攻擊時(shí)，圖5(a)～(d)在SGuard和FSEDM機(jī)制下的響應(yīng)時(shí)間開(kāi)始逐漸增加，并且該響應(yīng)時(shí)間隨著攻擊速率升高而增加(響應(yīng)時(shí)間增加幅度關(guān)系1.5μ<2μ<4μ<8μ).當(dāng)然，由于SGuard和FSEDM機(jī)制具有一定DoS攻擊防御效果，因此，在攻擊速率分別為1.5μ,2μ,4μ,8μ時(shí)，其響應(yīng)時(shí)間峰值分別為{(0.7,0.85);(0.9,1.2);(1.16. 1.62);(2,2.6)},該響應(yīng)時(shí)間雖然受到一定性能影響，但仍然控制在合理范圍內(nèi).相較于以上2種防御機(jī)制，MinDoS在該多控制器模型下具有顯著優(yōu)勢(shì)，即使在不同攻擊速率下，MinDoS防御機(jī)制下的全局相應(yīng)時(shí)間也基本維持在(0.2,0.6)區(qū)間內(nèi)，浮動(dòng)率較低.這是因?yàn)镸inDoS機(jī)制從控制器處理方式角度出發(fā)，與攻擊速率關(guān)聯(lián)度較低，而且MinDoS采用控制器動(dòng)態(tài)調(diào)度策略有助于優(yōu)化全局網(wǎng)絡(luò)性能.綜上所述，在基于多控制器模型的小型數(shù)據(jù)中心場(chǎng)景中，MinDoS在未發(fā)動(dòng)攻擊的條件下，其全局響應(yīng)時(shí)間優(yōu)于現(xiàn)有解決方案，證明控制器動(dòng)態(tài)調(diào)度策略能夠顯著降低全局控制器相應(yīng)時(shí)間，滿足預(yù)期實(shí)驗(yàn)?zāi)繕?biāo)；MinDoS在受到不同程度的DoS攻擊情況下，其全局響應(yīng)時(shí)間仍然優(yōu)于現(xiàn)有解決方案，證明MinDoS在有效防御DoS攻擊的同時(shí)能夠顯著提高系統(tǒng)整體性能，更加有力地證明了MinDoS有利于在實(shí)際真實(shí)環(huán)境中廣泛部署.

6 總結(jié)和未來(lái)工作

本文為解決針對(duì)SDN控制器的DoS攻擊問(wèn)題，設(shè)計(jì)了一種基于網(wǎng)絡(luò)資源管理技術(shù)的SDN DoS攻擊動(dòng)態(tài)防御機(jī)制.1)介紹了SDN基本架構(gòu)及針對(duì)SDN控制器的DoS攻擊原理，然后介紹和分析了現(xiàn)有針對(duì)該問(wèn)題的解決方案及其自身的優(yōu)缺點(diǎn);2)針對(duì)現(xiàn)有解決方案的不足，創(chuàng)新性地提出優(yōu)先級(jí)隊(duì)列算法和控制器雙輪詢機(jī)制，同時(shí)，結(jié)合多控制器動(dòng)態(tài)調(diào)度策略，進(jìn)一步提升防御效果和網(wǎng)絡(luò)性能；3)本文將該防御機(jī)制與現(xiàn)有防御機(jī)制分別在SDN單控制器模型和多控制模型下進(jìn)行防御效果對(duì)比分析，實(shí)驗(yàn)結(jié)果表明：該防御機(jī)制可以有效防御針對(duì)SDN控制器的DoS攻擊，并且防御性能優(yōu)于現(xiàn)有解決方案，完全適合部署于實(shí)際SDN場(chǎng)景中.在未來(lái)的工作中，我們將繼續(xù)將該防御機(jī)制部署于大型數(shù)據(jù)中心中，在實(shí)際網(wǎng)絡(luò)流量環(huán)境中測(cè)試其防御效果，發(fā)現(xiàn)并解決可能存在的問(wèn)題，進(jìn)一步調(diào)整并優(yōu)化相應(yīng)防御機(jī)制.

[1] Jain R. Internet 3.0: Ten problems with current Internet architecture and solutions for the next generation[C] //Proc of MILCOM’06. Piscataway, NJ: IEEE, 2006: 1-9

[2] Sezer S, Scott-Hayward S, Chouhan P K, et al. Are we ready for SDN? Implementation challenges for software-defined networks[J]. IEEE Communications Magazine, 2013, 51(7): 36-43

[3] Kandoi R, Antikainen M. Denial-of-service attacks in OpenFlow SDN networks[C] //Proc of the 14th Int Symp on Integrated Network Management. Piscataway, NJ: IEEE, 2015: 1322-1326

[4] Li Baohui, Xu Kefu, Zhang Peng. pTrace: A counter technology of DDoS attack source for controllable cloud computing[J]. Journal of Computer Research and Development, 2015, 52(10): 2212-2223 (in Chinese)

(李保琿, 徐克付, 張鵬, 等. pTrace: 一種面向可控云計(jì)算的DDoS攻擊源控制技術(shù)[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52(10): 2212-2223)

[5] Mckeown N, Anderson T, Balakrishnan H, et al. OpenFlow: Enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74

[6] Yao Guang, Bi Jun, Guo Luoyi. On the cascading failures of multi-controllers in software defined networks[C] //Proc of the 22nd IEEE Int Conf on Network Protocols. Piscataway, NJ: IEEE, 2014: 1-2

[7] Kim M S, Kong H J, Hong S C, et al. A flow-based method for abnormal network traffic detection[C] //Proc of NOMS’04. Piscataway, NJ: IEEE, 2004: 599-612

[8] Waters B, Juels A, Halderman J A, et al. New client puzzle outsourcing techniques for DoS resistance[C] //Proc of the 11th ACM Conf on Computer and Communications Security. New York: ACM, 2004: 246-256

[9] Michalas A, Komninos N, Prasad N R, et al. New client puzzle approach for DoS resistance in ad hoc networks[C] //Proc of the 2010 IEEE Int Conf on Information Theory and Information Security. Piscataway, NJ: IEEE, 2010: 568-573

[10] Shin S, Yegneswaran V, Porras P, et al. AVANT-GUARD: Scalable and vigilant switch flow management in software-defined networks[C] //Proc of ACM CCS’13. New York: ACM, 2013: 413-424

[11] Wang Haopei, Xu Lei, Gu Guofei. FloodGuard: A DoS attack prevention extension in software-defined networks[C] //Proc of the 45th Annual IEEE/IFIP Int Conf on Dependable Systems and Networks. Piscataway, NJ: IEEE, 2015: 239-250

[12] Wang Tao, Chen Hongchang. SGuard: A lightweight SDN safe-guard architecture for DoS attacks[J]. China Communications, 2017, 14(6): 113-125

[13] Alsulaiman M M, Alyahya A N, Alkharboush R A, et al. Intrusion detection system using self-organizing maps[C] //Proc of the 3rd Int Conf on Network and System Security. Piscataway, NJ: IEEE, 2009: 397-402

[14] Yan Qiao, Gong Qingxiang, Deng Fangan. Detection of DDoS attacks against wireless SDN controllers based on the fuzzy synthetic evaluation decision-making model[J]. Ad Hoc & Sensor Wireless Networks, 2016, 33(1): 275-299

[15] Zhang Peng, Wang Huanzhao, Hu Chengchen, et al. On denial of service attacks in software defined networks[J]. IEEE Network, 2016, 30(6): 28-33

[16] Floyd S, Jacobson V. Random early detection gateways for congestion avoidance[J]. IEEE/ACM Trans on Networking, 1993, 1(4): 397-413

[17] Roy A, Zeng Hongyi, Bagga J, et al. Inside the social network’s (datacenter) network[C] //Proc of the 2015 ACM Conf on Special Interest Group on Data Communication. New York: ACM, 2015: 123-137

[18] Yu Minlan, Rexford J, Freedman M J, et al. Scalable flow-based networking with DIFANE[C] //Proc of ACM SIGCOMM’10 Conf on Applications, Technologies, Architectures, and Protocols for Computer Communications. New York: ACM, 2010: 351-362

[19] Koponen T, Casado M, Gude N, et al. Onix: A distributed control platform for large-scale production networks[C] //Proc of the 9th USENIX Conf on Operating Systems Design and Implementation. Berkeley, CA: USENIX Association, 2010: 351-364

[20] Tootoonchian A, Gorbunov S, Ganjali Y, et al. On controller performance in software-defined networks[C] //Proc of the 12th USENIX Conf on Hot Topics in Management of Internet, Cloud, and Enterprise Networks and Services. Berkeley, CA: USENIX Association, 2012: 10-10

[21] Liu Fangmin, Guo Jian, Huang Xiaomeng, et al. eBA: Efficient Bandwidth Guarantee Under Traffic Variability in Datacenters[J]. IEEE/ACM Trans on Networking, 2017, 51(1): 506-519

[22] Guo Jian, Liu Fangmin, Zeng Dan, et al. A cooperative game based allocation for sharing data center networks[C] //Proc of the 32nd IEEE Int Conf on Computer Communications. Piscataway, NJ: IEEE, 2013: 2139-2147

ADynamicDefenseMechanismforSDNDoSAttacksBasedonNetworkResourceManagementTechnology

Wang Tao, Chen Hongchang, and Cheng Guozhen

(NationalDigitalSwitchingSystemEngineeringandTechnologicalResearchCenter,Zhengzhou450002)

Software defined networking (SDN) has quickly emerged as a new communication network management paradigm and greatly changed the traditional network architecture. It provides fine-grained network management service by decoupling the control plane from the data plane. However, due to the separation of control plane from data plane, controller is easy to be the attacking target of DoS. To address this problem, we make a comprehensive research on DoS attacks in SDN, and propose MinDoS, a lightweight and effective DoS mitigation method. MinDoS mainly contains two key techniquesmodules: simplified DoS detection module and priority manager. MinDoS can divide flow requests into multiple buffer queues with different priorities according to the users’ trust values. For a better protection towards controller under DoS attacks, this method then uses the SDN controller to schedule processing these flow requests by a dual polling mechanism. In addition, the design of MinDoS is also combined with dynamic controller assignment strategy so as to minimize the average response time of the control plane and improve the quality of service. Finally, we evaluate the performance of MinDoS in the single controller experimental environment and multi-controller experimental environment respectively. The experimental results show that the defense effect of MinDoS works well and the designed system meets the design objective basically.

software defined networking (SDN); denial-of-service (DoS) attacks; multi-priority queues; dual polling mechanism; quality of service (QoS)

TP391

WangTao, born in 1993. MS candidate at National Digital Switching System Engineering and Technological Research Center (NDSC) at Zhengzhou, China. His main research interests include software-defined networking and security.

ChenHongchang, born in 1964. PhD, professor, PhD supervisor. His main research interests include future network communication and future network architecture (chc@mail.ndsc.com.cn).

ChengGuozhen, born in 1986. PhD, assistant professor. His main research interests include network security (chengguozhen1986@163.com)