軟件定義網絡下的擬態防御實現架構

王禛鵬，扈紅超，程國振，張傳浩,2

（1. 國家數字交換系統工程技術研究中心，河南 鄭州 450003；2. 鐵道警察學院公安技術系，河南 鄭州 450053）

軟件定義網絡下的擬態防御實現架構

王禛鵬1，扈紅超1，程國振1，張傳浩1,2

（1. 國家數字交換系統工程技術研究中心，河南 鄭州 450003；2. 鐵道警察學院公安技術系，河南 鄭州 450053）

針對傳統防御技術難以應對未知漏洞和后門的問題，擬態安全防御（MSD, mimic security defense）通過構造動態異構冗余模型，提高系統的不確定性，增加攻擊者的攻擊難度和成本，提升網絡安全性能?；谲浖x網絡，提出了一種擬態防御的實現架構，首先，按照非相似余度準則構建異構冗余執行體，而后借助軟件定義網絡的集中管理控制實現動態選調和多模判決等功能。實驗驗證了架構的入侵容忍能力和可用性。

擬態安全防御；軟件定義網絡；主動防御；動態異構冗余

1 引言

網絡技術已廣泛應用于電力、金融、交通等關鍵基礎設施，在提供便捷的同時，其安全問題也為人類帶來了極大的安全威脅。相較于防御技術，網絡攻擊呈現愈演愈烈的態勢，究其原因，主要有以下幾點。1) 現有的網絡空間組成要素呈現的單一性，根據Net Market Share公布的數據注1，桌面操作系統的市場份額中，Windows占91.39%；搜索引擎方面，Google占79.45%；硬件方面，由Synergy Research公布的2016年的數據顯示，思科占全球交換路由器市場53%的份額注2。這些都將導致攻擊者極易利用單個安全缺陷，對網絡服務可用性等造成多次、大規模的損害[1,2]。2) 網絡元素、結構和配置呈現的靜態性，如使用靜態IP、靜態端口等，這樣攻擊者很容易對信息系統進行持續的探測和入侵。3) 現有的防御技術較為被動，如入侵檢測[3]、蜜罐[4]、沙箱[5]等，屬于“亡羊補牢式”的防護手段，這種先瞄準（發現攻擊特征）后打擊的防御手段，顯然無法滿足某些網絡關鍵基礎設施的安全需求，并對未知的漏洞威脅束手無策。

通過動態化“改變游戲規則”的思想解決上述問題已廣泛應用。其中最為典型的是美國提出的移動目標防御（MTD, moving target defense）[6]，其核心思想是通過為系統引入動態性和隨機性，增加系統的不可預測性，從而阻斷攻擊者的攻擊過程，提高攻擊者的攻擊難度和攻擊成本。而鄔江興院士[7]提出的創新思想擬態安全防御除了具備上述的內生安全防護性，還兼有檢測功能。擬態防御的核心思想是動態異構冗余機制，首先構建異構冗余的執行空間，然后在系統運行期間，從執行空間中動態地調度若干執行體提供服務，并采用多模判決機制對執行體的輸出結果進行一致性判決，檢測并定位攻擊行為。

為實現擬態防御的動態調度和多模判決等機制，本文提出了一種基于軟件定義網絡[8]的實現架構。SDN是一種數控分離的新型網絡體系結構，數據平面只負責基本的數據轉發，而將網絡管理功能集中于SDN控制平面。這種集中管理控制的架構，可以實現網絡流量的動態控制，為擬態防御思想的實現提供了有利條件。本文將選調、判決等機制作為應用（APP），設在SDN控制器上，通過下發流表項實現動態調度等功能，增強網絡安全性能。

2 相關工作

本節主要介紹防御技術的相關工作，防御技術主要介紹MTD[6]和N變體系統[9]這2種防御思想，然后簡要介紹利用SDN進行流量管理控制的相關研究。

MTD由美國網絡與信息技術研究與發展計劃（NITRD, federal networking and information technology research and development）[6]提出，旨在通過引入多樣性和動態性，增加系統對外呈現的不確定性。根據應用的場景不同，MTD技術可分為基于終端級和基于網絡級?；诮K端級的，如指令隨機化（ISR, instruction set randomization）技術[10]、代碼隨機化（code randomization）技術[11]，以及地址空間隨機化（ASLR, address space layout randomization）技術[12]等?；诰W絡級的移動目標防御技術主要是將網絡設備、功能的網絡配置動態化。例如，Dunlop等[13]提出的MT6D（moving target IPv6 defense），基于IPv6巨大的地址空間，動態輪轉網絡和傳輸層的地址（IP跳變），使攻擊者難以鎖定目標攻擊。Jafarian等[14]提出了RHM，采用基于地址空間和IP地址的分層跳轉方案，后又在文獻[15]中提出采用主動自適應地址跳變技術，該技術通過監測攻擊行為，自動執行地址跳轉。

N變體系統[9]的核心思想是采用多個異構體執行相同的輸入，通過檢測其輸出結果的一致性判斷系統是否遭受攻擊，其原理是一種攻擊方法無法同時對多個變體有效，且造成相同的錯誤。Mayo等[16]提出的異構冗余模型采用了同樣的思想，并通過投票機制（大數判決）裁決最終的有效結果和異常變體，實現入侵容忍和攻擊檢測。

擬態安全防御的動態異構冗余模型則兼有上述MTD的動態性和N變體的異構冗余特性，其一般模型如圖1所示。其中為N個異構執行體空間，調度器動態地從中選取 M 個提供服務，對輸入進行處理，由判決器對多個結果進行裁決，輸出最可信的結果，定位輸出異常的執行體，并通告調度器，降低其選取概率權值或直接予以清洗，實現反饋控制。對于動態異構冗余模型，若取消其動態性，則擬態防御模型退化為N變體模型；若將上述M取值設為 1，并取消判決機制，則退化為移動目標防御模型。因此，上述2種防御思想某種程度上可視為擬態防御的特例。

圖1 動態異構冗余模型

目前，基于擬態防御思想進行安全防護的研究日益增加[17,18]，然而，擬態較為復雜的安全機制設計，使其在實際場景中不如上述 2個防御思想應用廣泛。針對這一問題，本文提出基于軟件定義網絡技術，實現擬態防御的簡易部署安全架構。

SDN集中管理控制的優勢為網絡流量動態管理提供了有利條件，如應用最為廣泛的流量均衡[19]。文獻[20]通過引導流量至新規劃的路徑利用 SDN實現鏈路快速恢復，增加網絡健壯性。文獻[21]將流量分多路徑進行分段傳輸，增加攻擊者截獲重組數據的難度，從而增加數據的可靠性。文獻[22]借助SDN實現動態多蜜罐技術。文獻[23]基于SDN網絡，實現透明無感的移動目標防御。文獻[24]基于 SDN，考慮了網絡功能的狀態信息，實現網絡功能的動態遷移。

本文利用軟件定義網絡集中管理控制的優勢，提出一種可應用于多種防御場景、易部署、非侵入的擬態防御實現方法和架構。

3 基于軟件定義網絡的擬態防御架構

基于軟件定義網絡的擬態防御整體架構如圖2所示。首先，本文利用網絡功能虛擬化等技術構建異構體空間，這種硬件資源虛擬化和軟硬解耦的設計有利于對異構體空間進行拓展、清洗等管理操作。其次，與圖1對應可以看出，本文將輸入代理（負責分流）交由SDN數據平面完成，而將調度、判決等控制相關功能置于SDN控制器上，而控制平面上的功能模塊分為基本模塊和拓展模塊，實現集中管理控制。

首先，通過這種架構設計，可以看出執行體池中的執行體根據應用場景部署為需要進行保護的信息系統，如域名系統（DNS, domain name system）服務器或 Web服務器等，得益于 SDN提供的可定義的開放編程接口，對于具體不同的應用場景和網絡狀態，只需修改SDN控制器上運行的應用中相關代碼實現調整部署。其次，這種冗余設計本身無需對原有的信息系統以及客戶端做任何修改：從客戶端的角度上看，其不會感知到冗余架構的信息系統；從每個執行體（信息系統）的角度上看，其不會感知到其余冗余執行體以及SDN（控制器）的操作處理（選調、裁決等），即每個執行體都獨立運行，相互之間不會感知和影響，實現了透明無感，是一種非侵入、易部署的設計。

圖2 基于SDN的擬態防御實現架構

本節首先對架構的各個模塊進行介紹，然后分析架構本身的安全性。

3.1 基本模塊

作為擬態防御最核心的功能模塊，基本模塊主要包含選調器和判決器，負責異構執行體的動態調度和輸出結果的多模判決，下面分別進行介紹。

3.1.1 選調器

選調器主要工作為動態調度和控制交換機（圖1中switch0）進行分流。選調器主要通過下發 OFPT_FLOW_MOD（OpenFlow流表修改消息）實現網絡流量分流。例如，某時刻執行體1～3（A1～A3）被選取出，則向 switch0下發的OFPT_FLOW_MOD消息中2個關鍵的match（匹配字段）和actions（行為字段）設置如程序1所示（本文采用Ryu控制器），當switch0安裝相應流表項后，switch0就會將匹配的數據分組（程序1中只采用in_port（入端口）作為匹配字段，實際中可增用 IP地址等）復制 3份，分別發往switch1～switch3，最終交由A1～A3進行處理。

程序1

1) function output(x)

2) output to x // output的功能是將網絡數據分組轉發給交換機的端口x

3) end function

4) match = (in_port == from_client) //流表規則中的匹配字段，匹配內容為：從客戶方向進入交換機端口的網絡請求

5) actions = [output(switch1), output(switch2),output(switch3)] //流表規則中的行為字段，操作為：將網絡請求分別分發給交換機 switch1,switch2, switch3

6) if match == True //如果滿足上述匹配內容，則執行如下操作

7) then actions //將網絡請求發往設定的交換機switch1, switch2, switch3

8) end if

選調器的調度方法一般借助判決器實現反饋控制。例如，某執行體出現異常（輸出結果與大多數結果不一致或者拓展模塊檢測出異常等），則選調器可以降低選取它的概率等。具體的策略則可根據實際應用場景進行定制設置。例如，對于某些網絡核心服務，安全需求較高時，當發現執行體異常，可以不再選?。ǜ怕蕿?），清洗后方才使用；而其他一些場景，則可以采用較溫和的方法，根據其出現異常的次數，逐漸降低其選調概率[17]，在保證安全性能的情形下，增加利用率，降低維護成本（清洗操作開銷大）。

而觸發選調器的機制一般為定時觸發機制（即周期性選?。┖彤惓Ｊ录|發（即判決器等發現不一致時）。

3.1.2 判決器

判決器主要對 switch1～switchM 上報的輸出結果進行裁決，然后將結果用 OFPT_PACKET_OUT消息下發給switch0返回用戶，并向選調器和管理模塊通告異常。判決器一般采用投票機制，即大數判決，半數以上一致結果判定為正確結果。這種裁決機制是基于假設：攻擊者難以對多數異構執行體成功實施攻擊，并造成相同的錯誤輸出[1]。

而判決2個結果是否一致的方法一般通過比對數據分組中某些數據的一致性，需要根據不同的應用場景進行區別設置，如在 DNS查詢服務中，某個域名可能對應多個 IP地址，此時 DNS服務器返回的報文中這多個 IP地址的順序可能不同，因此可以采用IP集合比對的方法；若是在異構 SDN控制器場景下，則可比對 OFPT_FLOW_MOD中的match和actions這2個關鍵字段[18]。

由于處理效能或網絡時延等影響，可能存在多個輸入的輸出結果亂序問題，對此也可根據報文中序號 ID等標記進行區分輸出結果對應的輸入，如DNS報文中的transaction_id、ping包中的序列號等。

3.2 拓展模塊

拓展模塊是除上述基本模塊的可選功能拓展，如檢測器和管理器等，下面分別進行介紹。

1) 檢測器：攻擊檢測模塊負責對網絡流量進行抽樣分析檢測，并向選調器和判決器匯報異常，而后選調器可以調整選調策略，但判決器可以不考慮異常執行體的結果。在移動目標防御和擬態防御模型的情形下，除了常規的檢測，還可利用動態冗余模型的優勢對攻擊者的探測等攻擊行為進行檢測：若某時刻發現存在處于非活躍態（未被選取）執行體的相關流量，則可判定這些數據為可疑流量[25]，然后著重進行考察。顯然，通過這樣的針對性檢測機制，可以提高檢測效率和準確性。除此之外，利用蜜罐技術，將這些可疑流量引導至蜜罐中，從而進一步分析攻擊者的行為特征等。

2) 管理器：主要負責執行體的管理，如清洗執行體、新增或刪除執行體等。清洗執行體，如通過遠程控制清除其狀態數據，并重置至初始狀態，而觸發清洗操作的可以是檢測器或者判決器發現異常執行體。另外，還可從系統安全和效能狀態的角度進行考察，決定新增或刪除執行體，得益于網絡功能虛擬化（NFV, network function virtualization）、Docker等虛擬化技術，可較便捷、快速地新建鏡像實例或刪除。

3.3 架構安全性分析

通過3.1節和3.2節的設計，本文在軟件定義網絡下完成了擬態防御實現設計?？梢钥闯觯诒疚闹?SDN控制器是實現架構的核心組件，選調、裁決和管理等邏輯功能都集中于 SDN控制層、存在單點問題等。因此，架構本身，尤其是SDN控制器的安全問題也需要分析。

首先，SDN控制器本身作為SDN網絡中最重要的部分，它集中管理著其覆蓋網絡的所有視圖信息，負責完成網絡的基礎邏輯功能，同時在本架構中SDN控制器承擔著架構中的核心功能，如選調器、判決器和管理器等功能的實現，極易成為攻擊的首選目標，因此，架構存在SDN控制器單點失效的安全隱患。

其次，由選調器調度的功能實現可以看出，架構依靠選調器動態下發流表規則至交換機完成網絡請求的分發，因此，控制器下發流表的正確性也需要得到保證，否則攻擊者可以通過篡改SDN控制器下發的流表規則將流量引至已被攻陷的執行體上，從而完成攻擊。因此，架構還存在流表規則篡改攻擊的安全威脅。

針對SDN控制器的安全問題，首先，采用安全增強型的控制器，如 FortNOX[26]、SE-Floodlight[27]和Rosemary[28]等；其次，為解決上述的單點失效和流表篡改問題，可以采用多控制器的分布式 SDN控制層設計，如 ONOS[29]、拜占庭容錯NOS[30]，以及文獻[31]提出的MNOS，將動態異構冗余思想引入控制層，可以有效解決上述問題。通過上述的安全措施，在增加一定開銷代價下，可以有效保障架構中SDN控制器的可用性和可靠性，從而提升架構整體本身的安全性能。

4 關鍵機制

本節主要介紹地址隱藏機制和動態切換機制，分別為提升架構安全性能和工作效率。

4.1 地址隱藏機制

如前文所述，擬態防御的異構冗余可以增強系統的入侵容忍性能，然而，其仍然無法應對半數以上執行體被攻擊的場景，因此，在面對高級持續性威脅（APT, advanced persistent threat）類攻擊時，攻擊者可能不惜代價逐一探測并實施攻擊，成功滲透。因此，本文提出地址隱藏機制，通過隱藏執行體的真實IP地址，進一步保障系統安全。

地址隱藏的目標是對外呈現統一的虛擬 IP地址，而使用戶或潛在的攻擊者無法獲取執行體的真實地址。具體地，本文利用 OpenFlow交換機的數據修改功能實現，以 switch1為例，假設對外暴露的虛擬IP地址設置為10.0.0.2，而執行體E1的真實地址為10.0.0.101，則在switch1中下發的流表項的邏輯如程序2所示?？梢?，switch1對來源于switch0輸入的操作是首先修改IP地址為執行體E1真實IP地址（mod_nw_dst功能為修改目的網絡地址），然后交由執行體 E1處理；而對執行體E1的處理結果的操作是修改源IP地址為虛擬地址（mod_nw_src功能為修改源網絡地址），然后交由控制器的判決器進行綜合裁決。

程序2

1) function mod_nw_dst(x)

2) modify the destination IP address to be x//mod_nw_dst功能為修改報文的目的IP地址

3) end function

4) function mod_nw_src(x)

5) modify the source IP address to be x//mod_nw_src功能為修改報文的源IP地址

6) end function

7) match1 = (in_port == from_switch0) //流表規則中的匹配字段，匹配內容為：接收到來自交換機switch0發來的網絡請求

8) actions1 = [mod_nw_dst(10.0.0.101), output(E1)] //流表規則中的行為字段，操作為：首先修改報文的目的IP地址為10.0.0.101（E1的IP地址），然后轉發給E1

9) match2 = (in_port == E1) //流表規則中的匹配字段，匹配內容為：接收到來自E1的執行結果，即響應

10) actions2 = [mod_nw_src(10.0.0.2), output(controller)] //流表規則中的行為字段，操作為：首先修改報文的源IP地址為10.0.0.2（虛擬地址），然后轉發給SDN controller進行裁決等處理

11) if match1 == True //如果滿足上述match1，則執行如下操作

12) then actions1 //執行action1

13) end if

14) if match2 == True //如果滿足上述match2，則執行如下操作

15) then actions2 //執行action2

16) end if

通過上述機制，可實現對用戶和執行體本身的透明無感：用戶將錯誤地認為處理他們請求的是IP地址為10.0.0.100的執行體，同時執行體也無需做任何更改。同時，假若在 switch1和執行體以外的網絡位置有任何涉及執行體真實 IP地址的報文出現，即可認為其可疑（因為執行體對外呈現的都是虛擬IP地址），然后將這些可疑流量引至蜜罐，進行攻擊行為分析，之后調整相應的防御策略，進一步增強安全性。

4.2 動態切換機制

由于一般的裁決機制都需要對所有執行體的處理結果進行綜合判決，因此，判決器需要知道當前活躍（被選取的）執行體的數量，如典型的大數判決。在一般情況下，該數據固定且可以從選調器獲取，然而，對于動態切換過程中收到的處理結果的數量卻無法確定。例如，t1時刻前，活躍執行體數量為3，t1時刻，選調器決定新選取5個執行體，并向switch0下發流表項，更改轉發規則，假設t2時刻，switch0收到該指令，并完成流表安裝工作。顯然，對于t1～t2時間內的輸入，仍然是由舊的3個執行體處理，而t2以后的輸入為新執行體處理，然而這些信息判決器無法獲得：控制器到 switch0以及安裝流表的時延和具體從哪個輸入開始切換的都無法確定。因此，當判決器收到3份處理結果時，它無法確定是否還需要等待剩余2份，因此可能一直等待，而實際上可能該輸入本身就由舊的3個執行體處理，從而導致處理效率降低，時延增加。因此，本文提出一種切換機制，可以有效解決這一問題。

本文的思路是借助 SDN控制器實現切換時轉發和輸入的標記工作，具體步驟如下。

1) 在t1時刻，選調器決定選取新執行體，并向switch0下發流表項，與程序1不同，這里actions字段中的output設置為controller，即將收到的數據上報給控制器，而不是直接給switch1～switchN。

2) t2時刻，指令到達 switch0并完成流表安裝，在t3時刻，控制器收到由switch0上報的第一個數據（輸入），并記錄其序號 ID，然后將該輸入以及后續收到的輸入都發往新執行體對應的交換機。

3) 假設在t4時刻，判決器收到步驟2)中記錄序號ID的處理結果，即為第一個由新執行體處理的輸入。

4) 最后，選調器才向switch0下發流表項，將輸入直接output至執行體對應的交換機，完成切換過程。

經上述步驟，判決器將通過時間t4確定具體的數量：在t4時刻以前的輸入，是由舊執行體處理的，而t4時刻以后的，由新執行體處理，之后即可從選調器獲取新、舊執行體的數量。

5 實驗評估

本節從安全性能和時延開銷的角度，對架構進行測試評估。本文在華為服務器（RH2288H V3,Intel Xeon E5-2600 v3系列處理器）上搭建實驗環境，采用mininet(2.2.0)搭建實驗拓撲，共有8個主機（其中7個用作執行體，1個作為用戶），用戶的 IP地址為 10.0.0.1，執行體的真實地址設為10.0.0.101～10.0.0.107，對外呈現的虛擬 IP地址為10.0.0.2。本文在用戶上用ping請求（ping虛擬地址）作為輸入，而執行體的ping響應報文作為輸出。

5.1 入侵容忍能力驗證

首先驗證架構的入侵容忍能力。在實驗設置上，采用3個執行體(E1,E2,E3)，將E1的ping包響應的數據域進行主動修改（模擬執行體被入侵后，報文被修改），而E2,E3的響應不做處理，即實現3個執行體容忍1個錯誤/入侵。

圖3是Ryu控制器上接收到switch1～switch3上報的各執行體的處理結果。可見，由 switch1上報的結果（from switch1框）與switch2～switch3（from switch2和from switch3框）不同，此時，判決器采取大數判決機制，判決占多數的結果作為最終結果（final answer），從而實現對E1的錯誤/入侵容忍。

圖3 判決器收到的處理結果

5.2 攻擊成功概率仿真

下面對架構的安全性能進行仿真評估。假設一個調度周期內，攻擊者對執行體Ei成功實施攻擊的概率為iaP，由于采用異構配置，因而假設則成功攻擊系統的概率可計算為，即至少成功攻擊過半（大數判決）。圖4為攻擊成功概率與Pa和選取出的執行體數量的關系。可見，執行體數量越多，系統架構的安全性能越好。

圖4 攻擊成功概率與執行體數量的關系

5.3 代價分析

由于引入了冗余執行體，并增設了控制器環節，涉及選調、判決等模塊，因此本文對傳統單一執行體和本文架構的處理時延進行了對比分析評估。為更好描述和分析引入的額外時延開銷，給出本節涉及的相關符號和定義，如表1所示。

表1 本節涉及的相關符號和定義

因此，傳統單執行體的時延可表示為（這里忽略主機到交換機的時延）

而由架構的工作流程可以看出，本文架構的時延可表示為（按處理流程順序）其中，Tce′表示本文擬態架構下多執行體到控制器的總時延，可以表示為因為判決器需要等待所有報文進行判決，所以這部分時延由M個執行體中時延最大的決定，下文簡稱為“max效應”。而每個都可表示為

因此，額外增加的時延可表示為

考慮到本實驗中交換機間的傳輸時延以及交換機修改報文時延無法避免（從改進的角度上看），且經過測試這部分時延約為0.01 ms，相比而言較小，將其忽略，則式(3)近似為

可見，時延的增加主要源于選調、判決等引入的處理時延，控制器與交換機間傳輸時延，以及由于max效應帶來的時延。

最終的時延測試結果如圖 5所示。其中，Normal是指傳統的單一執行體的情況，M-1～M-7表示本文的擬態架構分別采用1～7個執行體的情形。

圖5 ping包時延

顯然，M-1本身并不屬于擬態架構，因為只有1個執行體（沒有冗余空間），本文主要是將其與 Normal進行對比。此時的時延增加主要源于，因為其他時延基本相同，而且由于沒有選調和判決，Tpd_c也可忽略，此時延約為0.542 ms。

而將M-3～M-7與M-1進行對比，則可以看出由 max效應和控制器選調判決等帶來的時延（因為Ttd_cs抵消）。此時的時延大約與執行體數量呈線性增加的趨勢，M-7相比M-1的時延增加約為278%，增幅較大。

上述的時延開銷，如Ttd_cs本身由架構導致，無法進行改進，Tpd_c也只能對選調判決機制優化，因此，可以進行改進的是Ttd′_ce，即由 max效應帶來的時延。對此可以采用“先斬后奏”的策略——判決器在接收到一個應答后先將該應答返回用戶，然后在后續報文到達后進行第二次判決。顯然，若采用這種策略，用戶的等待時延可以相應降低，甚至可以比原始的時延還低，因為此時的時延為當然，上述策略也可以修改為：判決器接收少數應答后先進行一次簡易判決，全票則先發給用戶，否則等待后續完整的大數判決結果?？傮w來說，這種策略在不影響架構安全性的情況下，降低了用戶的等待時延，當然用戶為此付出的代價是安全性的降低，可以認為是效率與安全性的“置換”。

最后，本文對切換機制進行了測試。如圖 6所示，在第50、100、150個ping包請求時進行切換，分別用不同線型表示不同執行體數量配置下的時延?？梢?，在每次切換瞬間，時延都會陡增。增幅主要源于：1) 采用了更多的執行體，max效應增加；2) 由于切換期間的 ping包請求由控制器負責轉發分流，因而增加了其瞬時負載，處理時延也相應增大。但在切換后的平均第5個請求時，時延就會恢復、下降，即切換完成后，控制器負載恢復正常。并且從各配置穩態時的時延也可以看出，時延隨執行體數量增加而增加（max效應），這與圖5結果相符。

圖6 切換時延

6 結束語

鄔江興院士提出的“改變游戲規則”的擬態安全防御思想，以其動態異構冗余模型有效增加系統的安全性能，如入侵容忍能力、自身的攻擊檢測能力等。本文在分析已有的防御機制的基礎上，利用軟件定義網絡的集中管理控制優勢，提出了一種實現擬態防御思想的安全架構。該架構在 SDN控制器上實現執行體的動態調度和輸出的裁決，利用SDN交換機實現分流和報文修改功能。另外，為進一步提升性能，本文提出并實現了地址隱藏機制和動態快速切換機制。

當然，架構也存在一定的不足，如實驗測試中代價分析部分所述，由于采用冗余執行體帶來的max效應，會增加一定的時延。對此，可以采用“先斬后奏”機制降低時延。后續的可能研究思路主要包括應用該架構在某些實際場景中，如 DNS服務器；優化判決機制，進一步降低時延等。

[1] VOAS J, GHOSH A, CHARRON F, et al. Reducing uncertainty about common-mode failures[C]//IEEE Symposium Software Reliability Engineering. 1997: 308-319.

[2] LEVITIN G. Optimal structure of fault-tolerant software systems[J].Reliability Engineering amp; System Safety, 2005, 89(3):286-295.

[3] AROMS E. NIST special publication 800-94 guide to intrusion detection and prevention systems (IDPS)[M]. South Carolina:CreateSpace, 2012.

[4] SPITZNER L. Honeypots: catching the insider threat[C]//IEEE Computer Security Applications Conference. 2003:170-179.

[5] JANA S, PORTER D E, SHMATIKOV V. TxBox: building secure,efficient sandboxes with system transactions[C]//IEEE Symposium on Security and Privacy, IEEE Computer Society. 2011: 329-344.

[6] ZHUANG R, DELOACH S A, OU X. Towards a theory of moving target defense[C]//ACM Workshop on Moving Target Defense.2014: 31-40.

[7] 鄔江興. 網絡空間擬態防御研究[J]. 信息安全學報, 2016,1(4):1-10.WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4): 1-10.

[8] MCKEOWN N, ANDERSON T. OpenFlow: enabling innovation in campus networks[J]. ACM Sigcomm Computer Communication Review, 2008, 38(2):69-74.

[9] COX B, EVANS D, FILIPI A, et al. 2006. N-variant systems: a secretless framework for security through diversity[C]//Usenix Security Symposium. 2006:9.

[10] KC G S, KEROMYTIS A D, PREVELAKIS V. Countering code-injection attacks with instruction-set randomization[C]//ACM Conference on Computer and Communications Security. 2003:272-280.

[11] HOMESCU A, BRUNTHALER S, LARSEN P, et al. Librando:transparent code randomization for just-in-time compilers[C]//ACM Sigsac Conference on Computer amp; Communications Security.2013:993-1004.

[12] BHATKAR S, DUVARNEY D C, SEKAR R. Address obfuscation:an efficient approach to combat a board range of memory error exploits[C]// Conference on Usenix Security Symposium. 2003:105-120.

[13] DUNLOP M, GROAT S, URBANSKI W, et al. Mt6d: a moving target IPv6 defense[C]//IEEE Military Communications Conference.2011: 1321-1326.

[14] JAFARIAN J H, AL-SHAER E, DUAN Q. An effective address mutation approach for disrupting reconnaissance attacks[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(12):2562-2577.

[15] JAFARIAN J H, AL-SHAER E, DUAN Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]//2015 IEEE Conference on Computer Communications (Infocom). 2015: 738-746.

[16] MAYO J R, TORGERSON M D, WALKER A M, et al. The theory of diversity and redundancy in information system security[R].LDRD Final Report, 2010.

[17] 王禛鵬, 扈紅超, 程國振. 一種基于擬態安全防御的 DNS框架設計[J]. 電子學報.WANG Z P, HU H C, CHENG G Z. A DNS architecture based on mimic security defense [J]. Chinese Journal of Electronics.

[18] HU H C, WANG Z P, CHENG G Z, et al. MNOS: a mimic network operating system for software defined networks[J]. IET Information Security, 2017.

[19] WANG H, SCHMITT J. Load balancing-towards balanced delay guarantees in NFV/SDN[C]//IEEE Conference on NFV-SDN 2016:240-245.

[20] CASCONE C, SANVITO D, POLLINI L, et al. Fast failure detection and recovery in SDN with stateful data plane[J]. International Journal of Network Management, 2016.

[21] PANG J, XU G, FU X. SDN-based data center networking with collaboration of multipath TCP and segment routing[J]. IEEE Access, 2017, (99):1-1.

[22] HAN W, ZHAO Z, AHN G J. HoneyMix: toward SDN-based intelligent honeynet[C]//ACM International Workshop on Security in Software Defined Networks amp; Network Function Virtualization.2016:1-6.

[23] JAFARIAN J H, AL-SHAER E, DUAN Q. Openflow random host mutation: transparent moving target defense using software defined networking[C]//The Workshop on Hot Topics in Software Defined Networks. 2012:127-132.

[24] GEMBER-JACOBSON A, VISWANATHAN R, PRAKASH C, et al. OpenNF: enabling innovation in network function control[C]//ACM Conference on Sigcomm. 2015:163-174.

[25] JAFARIAN J H, AL-SHAER E, DUAN Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]//Computer Communications(IEEE Infocom). 2015: 738-746.

[26] PORRAS P, SHIN S, YEGNESWARAN V, et al. A security enforcement kernel for OpenFlow networks[C]//The First Workshop on Hot Topics in Software Defined Networks. 2012:121-126.

[27] CHEUNG S, FONG M, PORRAS P, et al. Securing the software-defined network control layer[C]//Network and Distributed System Security Symposium. 2015.

[28] SHIN S, SONG Y, LEE T, et al. Rosemary: a robust, secure, and high-performance network operating system[C]//2014 ACM SIGSAC Conference on Computer and Communications Security.2014:78-89.

[29] BERDE P, HART J, HART J, et al. ONOS: towards an open, distributed SDN OS[C]//The Workshop on Hot Topics in Software Defined Networking. 2010:1-6.

[30] LI H, LI P, GUO S, et al. Byzantine-resilient secure softwaredefined networks with multiple controllers in cloud[J]. IEEE Transactions on Cloud Computing, 2015, 2(4):436-447.

[31] HU H C, WANG Z P, CHENG G Z, et al. MNOS: a mimic network operating system for software defined networks[J]. IET Information Security, 2017.

Implementation architecture of mimic security defense based on SDN

WANG Zhen-peng1, HU Hong-chao1, CHENG Guo-zhen1, ZHANG Chuan-hao1,2

(1. National Digital Switching System Engineering amp; Technological Ramp;D Center, Zhengzhou 450003, China;2. Public Security Technology Department, Railway Police College, Zhengzhou 450053, China)

To deal with the attacks employing unknown security vulnerabilities or backdoors which are difficult for traditional defense techniques to eliminate, mimic security defense (MSD) that employs “dynamic, heterogeneity, redundancy(DHR)” mechanism can increase the difficulty and cost of attack and uncertainty of system so as to improve network security. Based on the software defined networking (SDN), an implementation architecture of MSD was proposed. First, diverse functional equivalent variants for the protected target were constructed, then leverage the rich programmability and flexibility of SDN to realize the dynamic scheduling and decision-making functions on SDN controller. Simulation and experimental results prove the availability and the intrusion tolerant ability of the architecture.

mimic security defense, software defined networking, active defense, dynamic heterogeneous redundancy

s：The National Natural Science Foundation of China (No.61309020, No.61602509); The Foundation for Innovative Research Groups of the National Natural Science Foundation of China (No.61521003), The National Key Research and Development Program of China (No.2016YFB0800100, No.2016YFB0800101), The Key Technologies Research and Development Program of Henan Province of China (No.172102210615, No.172102210441)

TP393

A

10.11959/j.issn.2096-109x.2017.00205

2017-08-13；

2017-09-24。

扈紅超，13633833568@139.com

國家自然科學基金資助項目（No.61309020, No.61602509）；國家自然科學基金創新群體基金資助項目（No.61521003）；國家重點研發計劃基金資助項目（No.2016YFB0800100, No.2016YFB0800101）；河南省科技攻關基金資助項目（No.172102210615, No.172102210441）

注1：http://www.netmarketshare.com/

注2：https://www.srgresearch.com.

王禛鵬（1993-），男，湖北黃岡人，國家數字交換系統工程技術研究中心碩士生，主要研究方向為擬態安全防御。

扈紅超（1982-），男，河南商丘人，國家數字交換系統工程技術研究中心副研究員，主要研究方向為網絡安全防御和新型網絡體系結構。

程國振（1986-），男，山東菏澤人，國家數字交換系統工程技術研究中心助理研究員，主要研究方向為主動防御技術和SDN安全。

張傳浩（1979-），男，河南鄭州人，鐵道警察學院講師，主要研究方向為網絡安全。