基于路徑與端址跳變的SDN網絡主動防御技術

張連成 魏 強 唐秀存 房家保

1(數學工程與先進計算國家重點實驗室 鄭州 450002) 2(江南計算技術研究所 江蘇無錫 214083)

基于路徑與端址跳變的SDN網絡主動防御技術

張連成1魏 強1唐秀存2房家保1

1(數學工程與先進計算國家重點實驗室 鄭州 450002)2(江南計算技術研究所 江蘇無錫 214083)

(liancheng17@gmail.com)

為解決已有路徑跳變技術難以抵御全局截獲分析攻擊及已有端址跳變技術跳變同步難、部署難度大等問題，提出基于路徑與端址跳變的SDN網絡主動防御技術.首先，將路徑跳變問題建模為約束求解問題，使用可滿足性模理論求解器求解獲得滿足重復約束和容量約束的多條路徑，然后，依據特定跳變時隙向所選跳變路徑上的所有OpenFlow交換機下發對應的端址跳變流表項，使這些交換機對數據流進行正確轉發的同時，更改其端口與地址信息.理論分析與實驗結果表明：所提技術可以以較小的通信時延開銷與計算開銷實現通信雙方傳輸路徑與傳輸路徑上端口與地址的隨機跳變，且可提升SDN網絡對于全局截獲分析攻擊、拒絕服務攻擊與內部威脅的主動防御能力.

軟件定義網絡；移動目標防御；路徑跳變；端址跳變；主動防御

隨著軟件定義網絡(software defined network，SDN)標準與產品的日益成熟、部署與應用的逐步廣泛[1-2]，針對SDN網絡的探測掃描[3]、拒絕服務(denial of service，DoS)攻擊[4]等逐步出現[5-6]，SDN網絡安全問題日益突出.

當前，SDN網絡安全防護技術和手段大多采取防火墻[7]、入侵檢測與防御[8]、DoS攻擊檢測與防護[9-10]、安全策略增強[11-12]等被動式防護思想，安全防御者與網絡攻擊者之間所花費的時間與代價極其不對等，安全防御者處于非常被動的局面，通常要為整個網絡添加層層安全防護措施，而網絡攻擊者則較為主動，有時只需利用系統中的某一脆弱點即可攻破網絡.

為改變傳統安全防護極其被動的局面，移動目標防御(moving target defense，MTD)[13-15]技術是近年來出現的網絡安全領域的革命性技術，摒棄以構建無缺陷防御系統的方式維護網絡安全性，而代之以構建、評價、部署開發出一種多樣或持續隨時間無規律變化的機制來提升網絡攻擊的復雜度和花費，從而降低攻擊的成功率.

路徑跳變(path hopping)和端址跳變(port and address hopping)是典型的網絡MTD技術[13-15].為解決已有路徑跳變技術難以抵御全局截獲分析攻擊及已有端址跳變技術跳變同步難、部署難度大等問題，充分利用SDN網絡的控制與轉發分離、網絡可編程等新特性，提出基于路徑與端址跳變的SDN網絡主動防御(path and port address hopping based SDN proactive defense，PPAH-SPD)技術，可以用較小的代價和開銷，提高SDN網絡的主動防御能力.

1 研究現狀分析

本節主要對路徑跳變及與路徑跳變相關的多路徑路由(multipath routing)與端址跳變方面的研究現狀進行總結與分析.

1.1 多路徑路由

為實現負載均衡，學術界早在20世紀70年代就已提出在計算機網絡中使用多路徑路由，諸如拆分多路由(split multiple routing, SMR)[16]，AOMDV(ad hoc on-demand multipath distance vector)[17]和AODVM(ad hoc on-demand distance vector multipath)[18]等，試圖在路由中尋找不相交路徑(disjoint path)[18].通過多路徑路由來提高安全性的協議有SPREAD(security protocol for reliable data delivery)[19]，SRP(secure routing protocol)[20-21]，SecMR(secure multipath routing)[22]，然而這些協議中路由選擇是確定的，如果攻擊者知道算法，那么路由就能被預測到.Shu等人[23]提出的基于隨機走(random walk)的多路徑算法能在無線傳感器網絡中生成隨機、高分散、更節能的多路徑路由.然而，由于拓撲和服務質量(quality of service，QoS)的諸多限制，該算法并不適用于有線網絡.

1.2 路徑跳變

在傳統網絡協議中，轉發路由通常是靜態的，而靜態路由為攻擊者進行竊聽、收集網絡信息、開展DoS攻擊等提供了便利條件.為解決該問題，路徑跳變借鑒多路徑路由思想，使得通信雙方的通信路徑在通信過程中按照一定算法進行隨機跳變，使攻擊者失去對路徑上特定節點或鏈路進行有效監聽或DoS攻擊的能力，進而提高網絡與系統的安全性.

Talipov等人[24]提出基于R-ADOV(reverse AODV)的路徑跳變方法.通過R-AODV，源節點可建立到目的節點的多條路徑，在數據傳輸自適應跳轉到可用路徑上，可保護數據不受惡意節點的入侵.該方法適應于自組織網絡，在有線網絡中難以直接實現.

Duan等人[25]提出一種主動隨機路由跳變(random route mutation，RRM)技術，能同時隨機改變網絡中多條數據流的路由來抵御探測、竊聽和DoS攻擊，并且滿足端對端QoS特性.為主動抵御DoS攻擊，Jafarian等人[26]提出一個靈活的多路徑路由方法，結合博弈論(game theory)和約束滿足優化(constraint satisfaction optimization)來確定攻擊威懾(attack deterrence)的最佳策略，同時滿足網絡的安全、性能和QoS要求.上述路徑跳變技術[25-26]側重于多路徑隨機傳輸，目的是減少被攻擊者截獲分析的可能性，對于只能截獲部分網絡鏈路與節點的局部攻擊者而言具有非常好的防范效果，但對于全局攻擊者，因攻擊者可以捕獲網絡中全部通信流量，進而可有效關聯分析得到真實的通信流量及順序，已有路徑跳變技術對于該類攻擊者的防范效果不夠好.

1.3 端址跳變

端址跳變通過在通信時對通信一方或雙方的地址和端口進行隨機跳變以實現主動安全防護，是地址跳變與端口跳變的結合.

Shi等人[27]提出一種基于端址跳變的DoS主動防御策略，并提出一種適合遠程網絡應用的時間戳同步方法，基于Java移動代理技術設計并實現了一個端址跳變原型系統，驗證了端址跳變策略抗DoS攻擊的良好性能.豐偉[28]提出一種改進的地址端口動態跳變技術，對網絡時間同步矯正方案進行了改進，并且驗證了所提技術可提高音視頻通信系統的抗攻擊能力.Luo等人[29]提出一種隨機端口地址跳變(random port and address hopping，RPAH)機制，基于源身份和服務身份，不可預測、持續高速地改變IP(Internet protocol)地址和通信端口，可有效抵御網絡探測、SYN(synchronize)洪泛攻擊和蠕蟲掃描.

端址跳變技術對通信雙方之間的跳變同步要求較高，通信雙方必須清楚跳變形式和規律及當前跳變時隙所使用的跳變信息，從而保證通信的正常進行.常見的跳變同步方式主要有嚴格時間同步[30]、ACK(acknowledge)同步[31]和時間戳同步[27].嚴格時間同步方式受網絡延遲、數據包擁堵等的影響較大；ACK同步方式將同步信息放置于ACK報文中，易被截獲分析；時間戳同步方式和分布式時間戳同步方式[32]不需要嚴格時間同步，但部署難度大、實現相對復雜.此外，現有端址跳變技術在跳變時與通信雙方的關聯度較高，部署難度較大.

為提升SDN網絡的主動防御能力，針對已有路徑跳變技術難以有效防御全局截獲分析攻擊者的問題與已有端址跳變技術跳變同步難、開銷大與部署難度大的問題，充分利用SDN網絡的控制與轉發分離、邏輯集中控制和網絡可編程等新特性，提出基于路徑與端址跳變的SDN網絡主動防御技術.

2 基于路徑與端址跳變的SDN主動防御技術

本節首先分析SDN網絡在實現路徑與端址跳變時的技術優勢，然后再對所提PPAH-SPD技術的架構及核心環節進行闡述.

2.1 SDN網絡優勢特性分析

由于SDN網絡架構具有鮮明的邏輯集中控制與網絡可編程特性[1-2]，在實現路徑與端址跳變時具有3點優勢：

1) SDN網絡由SDN控制器進行邏輯集中控制，跳變功能可以從具體的網絡代理(如路由器、中繼節點等)中抽取出來，統一放在SDN控制器處實現，使得跳變功能與通信雙方無關，進而無需改變通信節點的配置信息，不但實現方便、部署容易，且調試與修改也非常便利；

2) 在SDN網絡架構下，可對網絡通信數據流在轉發的同時進行數據包特定字段(如IP地址與端口等)的修改，不僅可避免通信會話中斷，還可實現通信數據流特定字段信息在網絡傳輸過程中的隨機變化，可有效應對全局攻擊者的截獲與分析，極大增加全局攻擊者的分析難度；

3) 可實現基于SDN控制器的透明跳變同步.借助SDN網絡的邏輯集中控制特性，SDN控制器具備天然的集中與同步特性，只需要向發送者與接收者所接入的OpenFlow交換機(即通信網關)分別發送特定流表項即可實現透明跳變同步，省卻同步開銷，不但不需要嚴格的時間同步和發送額外的事件同步報文，且可保證跳變信息的安全.

2.2 PPAH-SPD技術系統架構與基本處理流程

PPAH-SPD技術架構如圖1所示，路徑跳變模塊依據通信雙方協商的共享信息進行當前跳變時隙所需路徑信息的生成與選擇，并指示端址跳變模塊生成隨機地址與端口信息；端址跳變模塊主要依據路徑跳變模塊的指示與當前時隙生成所需的隨機地址端口表，并指示流表維護模塊進行流表項下發；流表維護模塊負責根據當前跳變時隙對當前跳變路徑上的所有交換機進行對應流表項的下發，并及時刪除過期跳變路徑上對應交換機的過期流表項.

Fig. 1 PPAH-SPD framework圖1 PPAH-SPD系統架構

在PPAH-SPD中，SDN控制器負責具體的決策，是PPAH-SPD技術的核心，主要功能是路徑跳變的觸發與具體決策、傳輸路徑上端址跳變功能實現等；OpenFlow交換機接收SDN控制器的具體決策，安裝特定流表項，通過不同的流表項來實現具體的路徑跳變與端址跳變；為提高PPAH-SPD技術的適用范圍，減少對通信雙方的依賴，整個跳變通信過程與通信雙方無關，通信雙方在通信時，SDN控制器會將其接入的OpenFlow交換機作為通信網關(如圖1中的發送者通信網關與接收者通信網關)，部署與實施更加方便與靈活.

下面主要闡述多路徑的約束求解、單路徑上的端址跳變及傳輸路徑上OpenFlow交換機處理流程核心環節.

2.3 多路徑的約束求解

路徑跳變需要隨機改變通信雙方之間的通信路徑與路由，同時在選擇路徑時還需要考慮：1)重復約束.為了增加不可預測性和更好的負載均衡，新路徑應該避免使用最近使用過的中間節點，路徑跳變中的重復節點及鏈路越少，不可預測性越大.2)容量約束.新的路徑不應該包含已經超負荷或者不滿足流量帶寬要求的節點或鏈路.

本文將路徑跳變問題建模為約束求解問題，使用可滿足性模理論(satisfiability modulo theory，SMT)求解器求解獲得滿足重復約束和容量約束的多條路徑.SMT是被眾多領域使用的強大約束滿足求解器，能處理任何能被建模成布爾或算數格式的約束，而且便于添加新的約束.

1) 路徑跳變建模與基本約束

將網絡建模為有向圖G=(V,E)，其中V是主機集合、E是鏈路集合.假設1條源節點為S、目的節點為D的流(S,D∈V)，流的持續期可被劃分為多個時間間隔，即跳變時隙λ(單位為s).路徑跳變需要為每個時隙在S和D之間找1條滿足容量與重復約束的路徑.

2) 攻擊者能力假設

對于截獲分析攻擊者，假設攻擊者不干擾網絡的正常功能，不生成或篡改流量，只是監聽鏈路或節點.假設攻擊者為全局攻擊者，能監聽整個網絡，也能截獲網絡中所有節點間的通信數據流并進行分析.

對于DoS攻擊者，假設攻擊者能在一段時間內破壞有限的鏈路或節點，因為攻擊者的預算和能力是有限的，且攻擊太多鏈路或節點也將增加暴露概率.

3) 基于SMT的約束求解

本節對路徑跳變進行SMT形式化.假設網絡中共包含a個節點v1,v2,…,va和b條鏈路e1,e2,…,eb.流入節點vj(1≤j≤a)的鏈路集合表示為Ij，流出節點vj的鏈路集合記為Oj.

源節點S到目的節點D的有效路徑可形式化為

(1)

(2)

(3)

ui∈{0,1}, ?i，

(4)

其中，變量ui表示鏈路ei是否出現在路徑中，如果ui=1，則鏈路ei被該路徑所使用，否則就沒被使用；式(1)保證了其他節點(除源節點和目的節點外)在流入與流出方面的平衡；式(2)和式(3)保證數據流的源節點和目的節點必須是S和D；式(4)指定ui的取值為0或1.

為保證之前用過的包含ei1,ei2,…,eig的路徑不被當前路徑再次使用，添加重復約束：

((ui1=1)∧(ui2=1)∧…∧(uig=1)).

(5)

對于容量約束，將其形式化為

(6)

其中，變量uik表示鏈路ei是否被路徑rk所使用，L表示路徑的個數，Ri表示允許包含鏈路ei的路徑最大數量.

4) 路徑跳變算法

算法1. 從S到D數據流路徑跳變算法.

使用SMT求解器確定滿足條件的路徑；

當第k個跳變時隙結束時

函數ModifyPath(如算法2所示)用于保證在數據流傳輸期間的端到端可達性，使得數據流被完全地傳輸.為達到此目標，必須要保證任何從舊路由rk跳變到新路由rk+1的跳變不會造成不可達.

算法2. 路徑修改算法.

函數ModifyPath(rk→rk+1)：

向滿足sw∈rk+1∧sw?rk的所有交換機sw添加路由條目；

向滿足sw∈rk+1∧sw∈rk的所有交換機sw修改路由條目；

等待1個往返時延；

向滿足sw?rk+1∧sw∈rk的所有交換機sw刪除路由條目.

定理1. 算法2保證了可靠、無損的數據流傳輸.

證明. 假設算法2不能保證無損的數據流傳輸，意味著存在交換機sw在某時刻不能轉發數據包.基于是否包含于舊路由rk與新路由rk+1，所有OpenFlow交換機可分為4種：

①sw?rk+1∧sw?rk.這種交換機不會收到任何數據流的數據包，因為沒有交換機有向這種交換機轉發數據包的規則.

②sw∈rk+1∧sw?rk.這種交換機在路由rk+1條目添加之前不會收到任何數據包，因為在路由rk上沒有交換機會轉發數據包給這種交換機.過后，這種交換機將可靠地轉發數據包.

③sw∈rk+1∧sw∈rk.該種交換機將基于路由rk或路由rk+1條目可靠地轉發數據包.

④sw?rk+1∧sw∈rk.在路由rk+1被激活后，交換機sw可能會收到1個數據包，最遲收到該數據包的時間比源與目的節點間數據包往返時延要短.在這之前，sw將可靠地轉發數據包，之后，該交換機將不會收到任何數據流的數據包.

因此，沒有交換機不能轉發數據流的數據包，存在矛盾，假設不成立，證明定理1是正確的.

證畢

2.4 單路徑上的端址跳變

本文所提PPAH-SPD技術不但采取多條路徑進行數據流傳輸，為進一步提高攻擊者難度，防范全局截獲分析攻擊者，還在每條路徑上實現網絡通信數據流中所攜帶的源及目的IP地址與端口在轉發過程中隨機跳變功能，且該過程對源、目的節點透明.

1) 端址跳變過程

與傳統跳變技術相比，PPAH-SPD技術將隨機跳變功能從網絡節點處轉移到通信數據傳輸的路徑上，通信數據流所經過的每一跳OpenFlow交換機都會對數據包中的源和目的IP地址與源和目的端口進行隨機修改，而傳統跳變技術中的跳變只發生在傳輸路徑的第1跳和/或最后1跳.與傳統跳變技術相比，本文所提技術可使得通信數據流中源和目的地址與端口的跳變更頻繁、更加難以預測，可有效提升攻擊者的攻擊復雜度、時間及精力花費，進而可降低網絡被攻擊的風險.

單路徑上的端址跳變過程為：對于需要轉發的數據包，在保證數據包按照既定路徑到達目的節點的同時，每一跳OpenFlow交換機將會根據匹配的流表項對數據包中的源及目的IP地址與源及目的端口進行隨機更改，如圖2所示，其中rIPa，rIPb為實際IP地址，vIP1，vIP2為虛擬IP地址；rPORTa，rPORTb為實際端口，vPORT1，vPORT2為虛擬端口.

2) 隨機地址端口生成算法

SDN控制器生成的隨機地址端口表若固定不變，那么攻擊者可以通過多次測試監聽，從而獲得完整的隨機地址端口表，進而對通信數據流進行截獲重組分析，難以達到保護網絡通信數據安全的目的.

本文隨機IP地址生成算法為

IP=Hash(Timestamp)16|Hash(Nonce)16，

(7)

其中，Timestamp是時間戳，Nonce是隨機數，Hash(Timestamp)16表示取時間戳經過Hash之后的前16 b，Hash(Nonce)16表示取隨機數經過Hash之后的后16 b，由2者組成隨機的IP地址.

Fig. 2 Port and address hopping along a specific path圖2 單路徑上的端址跳變

Fig. 3 Port and address hopping process on different switches along a specific path圖3 單路徑上端址跳變數據流處理流程

隨機端口生成算法為

PORT=Hash(Timestamp|Nonce)16，

(8)

其中，Hash(Timestamp|Nonce)16表示取時間戳和隨機數經過Hash之后的前16 b，作為隨機端口.

時間戳Timestamp和隨機數Nonce由SDN控制器隨機生成，每當生成新的隨機地址端口表，控制器就依據該表對跳變路徑上所有交換機的流表項進行維護，以此提高攻擊者的監聽與分析難度.

2.5 傳輸路徑上OpenFlow交換機處理流程

OpenFlow交換機通過流表中用戶定義或預設的規則(流表項)按照優先級匹配和處理數據包.當數據包成功匹配1條流表項后將首先更新該流表項對應的統計數據(如成功匹配數據包總數目和總字節數等)，然后根據流表項中的指令進行相應操作，如轉發至某一端口、修改數據包某一字段等.

PPAH-SPD技術主要利用SDN網絡中的控制器為特定傳輸路徑上的所有OpenFlow交換機下發不同匹配項、不同執行動作的流表項來實現端址跳變功能，該過程的處理流程如圖3所示.

當OpenFlow交換機收到數據流之后，首先判斷有無相匹配的流表項，如果有，則按照流表項中的動作執行處理，如果沒有(表明SDN控制器尚未下發相應的流表項)，則需向SDN控制器發送數據包請求下發相應的流表項.當SDN控制器收到該數據包之后，則會根據該數據包進行流表項下發.在下發流表項時，SDN控制器根據式(7)和式(8)生成隨機地址端口表，包括隨機源IP地址子表、隨機目的IP地址子表、隨機源端口子表和隨機目的端口子表，4張子表大小均為l-1(l為路徑上OpenFlow交換機的個數)，SDN控制器針對傳輸路徑上的OpenFlow交換機下發往返方向的流表項.

3 安全性分析

從影響網絡安全性的全局截獲分析攻擊、拒絕服務攻擊與內部威脅3個方面來分析PPAH-SPD技術的安全防御能力.

3.1 抗全局截獲分析攻擊能力分析

假設真實所傳輸的數據包序列為{p1,p2,…,pn}，攻擊者截獲得到的數據包序列為{c1,c2,…,cm}(假設m>n).截獲分析攻擊的目的就是從截獲得到的所有m個數據包中分析得到真實的n個數據包，并且分析得出n個數據包的真實順序并重組.

假設攻擊者能力較強，可將發送者與接收者之間通信時間內該網絡中產生的所有數據包都截獲到(包含網絡中所有通信的交互數據包)，假設Sc為攻擊者捕獲數據包的開銷，Se為比對過濾所花費的開銷(因單條傳輸路徑上PPAH-SPD技術還進行了端址跳變，因此攻擊者還需要對多個數據包序列進行比對過濾)，Sf為攻擊者從比對過濾后數據包中分析重組得到真實序列的數據包的開銷，則攻擊者的總開銷為

Sall=Sc+Se+Sf.

(9)

假設攻擊者比對過濾后的數據包里包含全部通信雙方的數據包，且順序完全正確，這種情況下攻擊者的重組開銷最小，其重組開銷為

(10)

假設攻擊者比對過濾后的數據包里包含全部通信雙方的數據包，但順序完全逆序，這種情況下攻擊者的重組開銷最大，其重組開銷為

(11)

綜合式(9)～(11)可知，攻擊者總體開銷為：Sc+Se+O(n)≤Sall≤Sc+Se+O(n2).一般而言，攻擊者在數據包截獲方面的開銷相對固定，則截獲分析攻擊者所需的總體開銷為Ω(n)≤Sall≤O(n2).

上述分析過程并未包含因數據包加密而給攻擊者可能帶來的解密與分析開銷，如果通信雙方在通信過程中再使用加密算法將通信數據流進行加密處理，則攻擊者的總體開銷將會更大；另外，如果攻擊者所部署的數據包捕獲工具一旦出現漏抓的情況，則很有可能漏掉部分數據包，進而會直接到影響攻擊者的分析與重組工作.

綜上，PPAH-SPD技術對于數據流截獲分析攻擊有較好防范作用，即使攻擊者可截獲通信雙方通信過程中的全部數據包，也難以分析得出正常的順序而還原出原始傳輸數據信息.

3.2 抗拒絕服務攻擊能力分析

假設中間路徑上的DoS攻擊者知道PPAH-SPD技術的存在，并從可用路徑、地址與端口總數中隨機挑選路徑、地址與端口進行攻擊.

假設T0為未使用PPAH-SPD技術時攻擊者擊中目標所耗費的時間，Nr是可用路徑的總數，Na是可用地址的總數，Np是可用端口的總數，可知引入PPAH-SPD技術后，攻擊者成功擊中目標的時間為

(12)

由式(12)可知，由于采用路徑與端址跳變，PPAH-SPD技術增加了攻擊者的時間代價.

假設Nd是DoS攻擊者的數量，z是攻擊者產生數據包的速率，λ是跳變時隙，x代表包含正確路徑、地址和端口的惡意數據包(即命中數據包)，x的均值為

(13)

由式(13)可知，PPAH-SPD技術抗DoS攻擊性能除了與攻擊者數量Nd、攻擊數據包產生速率z有關，還與跳變時隙λ、可用路徑總數Nr、可用地址總數Na和可用端口總數Np有關.λ越小，則跳變速度就越快，攻擊者猜中路徑、地址與端口號的概率越低，連續時間內遭受攻擊的概率就越低；可用路徑總數Nr、可用地址總數Na和可用端口總數Np越大，攻擊者猜中路徑、地址與端口號的概率越低，網絡的安全性就越高.

因此，在應用PPAH-SPD技術時，應盡可能減小跳變時隙.另外，還可想辦法增加可用路徑、地址與端口總數.如：擴大可用網絡的規模和數量，在更大的網絡范圍內使用路徑與端址跳變技術；在網絡層同時啟動IPv4(Internet protocol version 4)協議和IPv6(Internet protocol version 6)協議進行通信(充分利用IPv6網絡地址空間巨大的特點)、采用多穴跳變通信方式等；在傳輸層同時采用用戶數據報協議(user datagram protocol, UDP)、傳輸控制協議(transmission control protocol, TCP)和其他傳輸層協議進行通信.

3.3 抗內部威脅能力分析

在PPAH-SPD技術中，雖然發送者和接收者的真實地址和端口并未發生變化(為了實現對通信雙方的透明，減少通信雙方配置復雜度與部署難度)，面臨被攻擊者開展針對性攻擊的風險，但仍然能有效抵御來自SDN網絡內部的安全威脅.這是因為：1)即使攻擊者處于與發送者或接收者同樣的內部網絡之中，由于SDN網絡的邏輯集中控制和控制與轉發分離特性，攻擊者的截獲分析能力并未比3.1節假設的能力更強；2)攻擊者可截獲的鏈路與節點越多，雖然截獲能力越強，但對攻擊者的能力和資源要求越高，被發現的概率也越高；3)因攻擊者不是授權用戶，其在訪問目的主機(發送者或接收者)時，同樣也要經過SDN控制器的檢查與過濾.

4 實驗結果及分析

為測試PPAH-SPD技術的有效性和性能，使用Mininet網絡模擬軟件[33]、Open vSwitch(OVS)虛擬交換機[34]模擬并搭建SDN測試網絡，采用NOX[35]作為SDN控制器負責路徑與端址跳變功能，Mininet模擬器、OVS交換機、SDN控制器、發送者、接收者及攻擊者(單個攻擊節點可運行多個攻擊程序)均部署在不同的節點上，這些節點構建于若干臺配置均為Intel i7-4790 4核3.6 GHz CPU,4 GB內存的機器上.搭建的測試環境拓撲結構與圖1類似，不再贅述.

4.1 跳變開銷測試

本節主要從路徑選擇時SMT求解開銷、路徑跳變時路徑更新開銷、控制器CPU處理開銷和數據流平均傳輸時延4個方面來測試路徑與端址跳變帶來的各項開銷.

1) 路徑選擇時SMT求解開銷

重復約束條件下路徑選擇時的SMT求解時間如圖4所示，其中w是新路徑不能重復的跳變時隙數量.從圖4可知，當網絡規模增加時，特別是當網絡中交換機數量達到300后，SMT求解時間也隨之增加.這是因為隨著網絡規模的增加，可能的路徑數量以指數級增加.

Fig. 4 SMT solving time under overlap constraint圖4 重復約束條件下SMT求解時間

2) 路徑跳變時路徑更新開銷

假設新路徑與舊路徑間的重復節點很少，則路徑跳變過程的路徑更新開銷可以通過每個跳變時隙中路徑的平均長度來估算.對不同規模和長度上限的Waxman隨機網絡進行SMT求解獲得的平均路由長度如圖5所示.從圖5可知，隨著網絡規模(即圖5中的N)的增加，路徑跳變算法的平均路由長度收斂于某值.

Fig. 5 Average route length of path hopping algorithm圖5 路徑跳變算法平均路由長度

3) 控制器CPU處理開銷

為測試PPAH-SPD技術對SDN控制器(因跳變功能主要由SDN控制器配合交換機來完成，而交換機的開銷主要體現在流表項的查詢與轉發修改上，屬于其基本功能)所帶來的額外處理開銷，分別使用不同長度的數據包進行通信，測試其對控制器CPU處理開銷的影響，測試結果如圖6所示.測試結果表明，PPAH-SPD技術對通信雙方的通信過程進行端址跳變保護時，對SDN控制器所帶來的額外開銷并不大，在3.7%～6.5%之間，屬于可接受的安全開銷范圍.

Fig. 6 Controller CPU load influenced by PPAH-SPD圖6 控制器CPU負載影響

4) 數據流平均傳輸時延

對不同路徑跳數情況下通信數據流的平均傳輸時延進行了測試，同時測試不采取端址跳變(未跳變)情況下的平均傳輸時延，2種情況下的對比結果如圖7所示.從圖7可知，在路徑跳數相同的情況下，數據流在端址跳變情況下時延較高，而在未跳變情況下時延較低，但是端址跳變所增加的時延數量級為微秒.為保證通信的安全，端址跳變所增加的處理時延處于可接受的范圍之內.

Fig. 7 Transmission delay difference between port and address hopping and non-hopping圖7 端址跳變與未跳變下的傳輸時延比較

4.2 抗全局截獲分析攻擊能力測試

為測試PPAH-SPD技術保護下通信雙方地址與端口的變化情況(以單路徑上的端址跳變為例)，對通信雙方的流量進行分析，并與未跳變和端口跳變技術進行對比.

假設PPAH-SPD技術下通信節點所使用的地址范圍為192.168.1.0/24與192.168.2.0/24，通信雙方使用的地址隨機分配在2個地址空間里，遠程攻擊者很難分析得出通信雙方當前通信與全程通信中所使用的地址與端口信息，進而難以有效還原重組出正確的數據流及順序.

假設截獲分析攻擊者位于通信雙方附近，可以將通信雙方之間的全部通信數據包都截獲下來，未跳變、地址跳變與端址跳變(只選取了部分地址對)3種不同情況下的通信地址對情況如圖8所示：

Fig. 8 Communication address pairs for non-hopping, port hopping and port and address hopping圖8 未跳變、端口跳變與端址跳變下的通信地址對

實驗結果表明:未跳變與端口跳變技術均難以有效分散網絡流量，抗全局截獲分析攻擊能力較差；而端址跳變技術則可有效分散網絡流量，使得通信雙方的通信流量分散于多個網絡連接中，攻擊者即便是截獲到完整的數據流，其分析重組出通信數據流的復雜度和難度也極大.

4.3 抗拒絕服務攻擊能力測試

為測試PPAH-SPD技術的抗DoS攻擊能力，使用hping3開源軟件[36]構建典型SYN洪泛DoS攻擊工具，攻擊者逐個攻擊受保護通信雙方可用的路徑、地址與端口.

測試受保護節點在不同DoS攻擊速率下的響應時間，以測試PPAH-SPD技術的處理性能和開銷大小，并與未跳變時的響應時間進行對比，如圖9所示:

Fig. 9 Node response time comparison圖9 節點響應時間測試

從圖9可以看到，隨著攻擊強度的不斷增大，未跳變情況下的固定路徑與地址端口的通信方式，在DoS攻擊面前，節點的響應時間很容易受到影響，而在PPAH-SPD技術保護下，節點則可承受更多攻擊流量的攻擊，因此PPAH-SPD技術可有效提高節點間通信的抗DoS攻擊能力.

5 結束語

為提升SDN網絡主動防御能力，充分利用SDN網絡的控制與轉發分離、邏輯集中控制等特性，引入移動目標防御與多路徑路由思想，提出基于路徑與端址跳變的SDN網絡主動防御技術，不但可實現通信過程的多路徑隨機跳變，且可有效隱藏通信雙方的原始地址和端口信息，對于全局截獲分析攻擊、DoS攻擊與內部威脅有較好的主動防御能力.

本文所實現的路徑跳變為主動式，跳變規則、信息與策略等都是事先設置或臨時配置的，較為依賴防護者的防護水平和配置能力，下一步擬引入博弈論進行跳變策略的優化選擇，并實現反應式(reactive)跳變，將攻擊者行為與網絡實時狀況納入防御體系中，進一步提高SDN網絡的主動防御能力.另外，為提高PPAH-SPD系統的可擴展能力，可將其擴展為多個控制器同時協調進行跳變處理，每個控制器管理一部分網絡，緩解單個控制器情況下的性能瓶頸.

[1]Xia Wenfeng, Wen Yonggang, Foh C H, et al. A survey on software-defined networking[J]. IEEE Communications Surveys & Tutorials, 2015, 17(1): 27-51

[2] Farhady H, Lee H, Nakao A. Software-defined networking: A survey[J]. Computer Networks, 2015, 81: 79-95

[3] Shin S, Gu Guofei. Attacking software-defined networks: A first feasibility study[C] //Proc of the 2nd ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. New York: ACM, 2013: 165-166

[4] Antikainen M, Aura T, Sarela M. Spook in your network: Attacking an SDN with a compromised OpenFlow switch[G] //LNCS 8788: Proc of the 19th Nordic Conf. Berlin: Springer, 2014: 229-244

[5] Akhunzada A, Ahmed E, Gani A, et al. Securing software defined networks: Taxonomy, requirements, and open issues[J]. IEEE Communications Magazine, 2015, 53(4): 36-44

[6] Alsmadi I, Xu Dianxiang. Security of software defined networks: A survey[J]. Computers & Security, 2015, 53: 79-108

[7] Hu Hongxin, Han W, Ahn G, et al. FlowGuard: Building robust firewalls for software-defined networks[C] //Proc of the 3rd ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. New York: ACM, 2014: 97-102

[8] Giotis K, Argyropoulos C, Androulidakis G, et al. Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments[J]. Computer Networks, 2014, 62: 122-136

[9] Wang Bing, Zheng Yao, Lou Wenjing, et al. DDoS attack protection in the era of cloud computing and software-defined networking[J]. Computer Networks, 2015, 81: 308-319

[10] Wang Haopei, Xu Lei, Gu Guofei. FloodGuard: A DoS attack prevention extension in software-defined networks[C] //Proc of the 45th Annual IEEE/IFIP Int Conf on Dependable Systems and Networks. Piscataway, NJ: IEEE, 2015: 239-250

[11] Shin S, Yegneswaranz V, Porrasz P, et al. AVANT-GUARD: Scalable and vigilant switch flow management in software-defined networks[C] //Proc of the 20th ACM Conf on Computer and Communications Security. New York: ACM, 2013: 413-424

[12] Kreutz D, Ramos F M V, Verissimo P. Towards secure and dependable software-defined networks[C] //Proc of the 2nd ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. New York: ACM, 2013: 55-60

[13] Carvalho M, Richard F. Moving-target defenses for computer networks[J]. IEEE Security & Privacy, 2014, 12(2): 73-76

[14] Xu Jun, Guo Pinyao, Zhao Mingyi, et al. Comparing different moving target defense techniques[C] //Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 97-107

[15] Cai Guilin, Wang Baosheng, Wang Tianzuo, et al. Research and development of moving target defense technology[J]. Journal of Computer Research and Development, 2016, 53(5): 968-987 (in Chinese)(蔡桂林, 王寶生, 王天佐, 等. 移動目標防御技術研究進展[J]. 計算機研究與發展, 2016, 53(5): 968-987)

[16] Lee S, Gerla M. Split multipath routing with maximally disjoint paths in ad hoc networks[C] //Proc of the 11th IEEE Int Conf on Communications. Piscataway, NJ: IEEE, 2001: 3201-3205

[17] Marina M K, Das S R. On-demand multipath distance vector routing in ad hoc networks[C] //Proc of the 9th IEEE Int Conf on Network Protocols. Piscataway, NJ: IEEE, 2001: 14-23

[18] Ye Zhenqiang, Krishnamurthy S V, Tripathi S K. A framework for reliable routing in mobile ad hoc networks[C] //Proc of the 22nd Annual Joint Conf of the IEEE Computer and Communications Societies, Volume 1. Piscataway, NJ: IEEE, 2003: 270-280

[19] Lou Wenjing, Liu Wei, Fang Yuguang. Spread: Enhancing data confidentiality in mobile ad hoc networks[C] //Proc of the 23rd Annual Joint Conf of the IEEE Computer and Communications Societies, Volume 4. Los Alamitos, CA: IEEE Computer Society, 2004: 2404-2413

[20] Papadimitratos P, Haas Z J. Secure routing for mobile ad hoc networks[C] //Proc of SCS Communication Networks and Distributed Systems Modeling and Simulation Conf. Piscataway, NJ: IEEE, 2002: 193-204

[21] Argyroudis P, O’Mahony D. Secure routing for mobile ad hoc networks[J]. IEEE Communications Surveys & Tutorials, 2006, 7(3): 2-21

[22] Mavropodi R, Kotzanikolaou P, Douligeris C. SecMR—A secure multipath routing protocol for ad hoc networks[J]. Ad Hoc Networks, 2007, 5(1): 87-99

[23] Shu Tao, Krunz M, Liu Sisi. Secure data collection in wireless sensor networks using randomized dispersive routes[J]. IEEE Trans on Mobile Computing, 2010, 9(7): 941-954

[24] Talipov E, Jin D, Jung J, et al. Path hopping based on reverse AODV for security[G] //LNCS 4238: Proc of the 9th Asia-Pacific Network Operations and Management Symp. Berlin: Springer, 2006: 574-577

[25] Duan Qi, Al-Shaer E, Jafarian H. Efficient random route mutation considering flow and network constraints[C] //Proc of the 1st IEEE Conf on Communications and Network Security. Piscataway, NJ: IEEE, 2013: 260-268

[26] Jafarian J H, Al-Shaer E, Duan Qi. Formal approach for route agility against persistent attackers[G] //LNCS 8134: Proc of the 18th European Symp on Research in Computer Security. Berlin: Springer, 2013: 237-254

[27] Shi Leyi, Jia Chunfu, Lü Shuwang, et al. Port and address hopping for active cyber-defense[G] //LNCS 4430: Proc of the 5th Pacific Asia Workshop on Intelligence and Security Informatics. Berlin: Springer, 2007: 295-300

[28] Wei Feng. Research and implementation of the address and port hopping technology for network communication[D]. Wuhan: Huazhong University of Science and Technology, 2013 (in Chinese)(豐偉. 網絡通信中地址端口動態跳變技術的研究與實現[D]. 武漢: 華中科技大學, 2013)

[29] Luo Yuebin, Wang Baosheng, Wang Xiaofeng, et al. RPAH: Random port and address hopping for thwarting internal and external adversaries[C] //Proc of the 14th IEEE Int Conf on Trust, Security and Privacy in Computing and Communications. Piscataway, NJ: IEEE, 2015: 263-270

[30]Lee H C J, Thing V L L. Port hopping for resilient networks[C] //Proc of the 60th IEEE Vehicular Technology Conf, Volume 5. Piscataway, NJ: IEEE, 2004: 3291-3295

[31] Badishi G, Herzberg A, Keidar I. Keeping denial-of-service attackers in the dark[J]. IEEE Trans on Dependable and Secure Computing, 2007, 4(3): 191-204

[32] Lin Kai, Jia Chunfu, Weng Chen. Distributed timestamp synchronization for end hopping[J]. China Communications, 2011, 8(4): 164-169

[33] de Oliveira R L S, Schweitzer C M, Shinoda A A, et al. Using Mininet for emulation and prototyping software-defined networks[C] //Proc of IEEE Colombian Conf on Communications and Computing. Piscataway, NJ: IEEE, 2014

[34] Linux Foundation. Open vSwitch[CP/OL]. (2014-08-14)[2014-12-25]. http://openvswitch.org/releases/openvswitch-2.3.0.tar.gz

[35] Gude N, Koponen T, Pettit J, et al. NOX: Towards an operating system for networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(3): 105-110

[36] Sanfilippo S. hping3[CP/OL]. (2005-11-05)[2014-12-14]. http://www.hping.org/hping3-20051105.tar.gz

PathandPortAddressHoppingBasedSDNProactiveDefenseTechnology

Zhang Liancheng1, Wei Qiang1, Tang Xiucun2, and Fang Jiabao1

1(StateKeyLaboratoryofMathematicalEngineeringandAdvancedComputing,Zhengzhou450002)2(JiangnanInstituteofComputingTechnology,Wuxi,Jiangsu214083)

Existing path hopping technologies are not so efficient for defending global network interception and analysis attackers, and existing port and address hopping technologies spend too much effect on hopping synchronization and are difficult to be deployed. In order to mitigate these problems, a path and port address hopping based SDN proactive defense (PPAH-SPD) scheme, making full use of SDN network characteristics (such as control plane and data plane separation, logically centralized control) and introducing of multi-path routing, is proposed. PPAH-SPD scheme models the path hopping problem as a constraint solving problem, and utilizes satisfiability modulo theory solver to obtain multiple available paths, which satisfy overlap and capacity constraints. According to path hopping strategy and specific hopping interval, SDN controller installs corresponding flow entries into all OpenFlow switches along every specific path, and these switches can then use these flow entries to properly forward the corresponding network flows, and simultaneously change their address and port information. Theoretical analysis and experimental results show that PPAH-SPD scheme can not only achieve transmission path hopping and port and address random hopping along every single transmission path with comparatively small communication time delay and computation overhead, and but also improve proactive defense capability of SDN network to resist global network interception and analysis attack, denial of service attack and insider threat.

software defined network (SDN); moving target defense; path hopping; port and address hopping; proactive defense

2016-06-15；

2016-08-31

國家自然科學基金項目(61402526，61402525，61502528)

This work was supported by the National Natural Science Foundation of China (61402526, 61402525, 61502528).

TP393.08

ZhangLiancheng, born in 1982. PhD, lecturer. His main research interests include SDN security and flow watermarking.

WeiQiang, born in 1979. PhD, associate professor, master supervisor. His main research interests include SDN security and network security (funnywei@163.com).

TangXiucun, born in 1980. PhD, engineer. His main research interest includes SDN security (tang-xc@sohu.com).

FangJiabao, born in 1993. Master candidate. His main research interest is network security (2014xdfjb@sina.com).