面向SDN的移動目標防御技術研究進展

譚晶磊，張紅旗，雷程，劉小虎，王碩

?

面向SDN的移動目標防御技術研究進展

譚晶磊1,2，張紅旗1,2，雷程1,2，劉小虎1，王碩1

（1. 信息工程大學密碼工程學院，河南 鄭州 450001； 2. 河南省信息安全重點實驗室，河南 鄭州 450001）

軟件定義網絡是基于開放標準的靈活架構，通過控制層管理網絡功能和服務，具有控轉分離、集中控制的特性；移動目標防御技術致力于構建一個不斷變換的環境以提高網絡系統的視在不確定性，需要靈活可定制、集中可控制的網絡架構加以實施，因此將移動目標防御與軟件定義網絡相結合已成為更具應用價值研究熱點。首先，分別介紹了軟件定義網絡和移動目標防御的基本概念，概括了軟件定義網絡所面臨的安全威脅，闡述了面向SDN的移動目標防御的實現模型；其次，分別從SDN數據層、控制層和應用層歸納了移動目標防御的技術方法；最后，總結了現有SDN動態防御面臨的挑戰，對面向SDN的移動目標防御技術發展方向進行了展望。

軟件定義網絡；移動目標防御；動態化；多樣性；隨機性

1 引言

當前網絡空間面臨的威脅日益突出，安全狀況不容樂觀，各類網絡安全事故層出不窮，第四屆世界互聯網大會發布的《世界互聯網發展報告2017》藍皮書中指出，截至2017年6月，我國網民數量已經達到7.51億，位于全球首位，而勒索病毒、僵尸網絡等網絡安全問題也日漸突出。與此同時，開放網絡基金會（ONF）所提出的軟件定義網絡[1]（SDN, software defined network）的體系結構已經得到普遍認可，被認為是下一代互聯網的核心技術之一，基于OpenFlow協議的SDN體系結構框架如圖1所示，它由數據層、控制層、應用層以及南北向2個接口構成[2]，創造性地提出了數據層和控制層分離以及可編程的思想，在各種場景（如企業網絡、數據中心網絡等）和各種骨干網絡[3]中的優點已經日益凸顯，但全面實施SDN的運營商網絡[4]仍存在挑戰，其中一個最重要的挑戰是SDN本身的安全性。從SDN框架的角度考慮SDN安全[5]的具體問題，應用層、控制層、數據層以及南北向接口均面臨一系列的安全威脅，因此，必須探索克服SDN安全威脅的技術、方法和策略，以實現強大和可靠的廣域SDN部署[6]。

圖1 SDN體系結構框架

針對當前網絡固有的攻防不對稱特性，為了平衡現有網絡的攻防環境，美國網絡安全與信息保障研發計劃提出了應對新型網絡攻擊的新概念——移動目標防御技術[7]（MTD，moving target defense），作為一項革命性技術，它的核心思想是利用攻擊面[8]的變化使網絡系統動態化，通過“化靜為動”“反客為主”的機制策略，提供動態主動的網絡防御，使系統具有更少的確定性、靜態性、同構性，利用隨機化和多樣化減少攻擊者攻擊成功的可能性，以此限制攻擊者的攻擊，大大縮短攻擊者的攻擊周期，使攻擊者難以完成攻擊任務[9]。

近年來，國家、企業和服務提供商已經將注意力集中在計算機和網絡系統部署移動目標防御技術來提供更安全的服務，SDN是基于開放標準的靈活架構，具有一系列新的安全威脅與挑戰，而移動目標防御技術致力于構建一個不斷變換的環境來防御攻擊，一方面SDN可以利用移動目標防御技術保證自身網絡的安全性，與此同時，SDN集中控制、靈活定制的獨特優勢可以更好地發揮移動目標防御技術的防御效能，因此將移動目標防御的動態變換與軟件定義網絡的靈活編排相結合已成為更具應用價值的研究熱點。

2 安全威脅

在SDN場景下，根據SDN的邏輯架構，其面臨的安全威脅分為以下3大類，如圖2所示。

圖2 SDN各層面臨的安全威脅

（1）數據層面臨的安全威脅

軟件定義網絡中數據層[10-11]主要是由OpenFlow交換機、路由器、中間盒、服務器、虛擬機等設備組成，其中，OpenFlow交換機是數據層最重要的設備之一，負責流表的轉發功能，但現有的基于SDN的OpenFlow交換機基本使用軟件可編程的網絡處理器進行數據分組傳輸，因此，SDN數據平面容易受到利用轉發設備中的軟件漏洞發起未經請求的攻擊[12]。與傳統網絡中面臨的安全威脅相似，數據層面臨的主要安全威脅包括：DDoS/DoS攻擊[13]、隱身掃描、蠕蟲傳播、緩沖區溢出攻擊等安全威脅，其中，網絡掃描攻擊是該層面臨最大的安全威脅；數據層的DDoS攻擊通過僵尸網絡對交換設備之間的通信進行干擾，通過受干擾的交換機可以向其他交換機發送大量無效消息，很容易造成局部網絡癱瘓，甚至將影響擴散到全局網絡。

（2）控制層面臨的安全威脅

SDN控制器大都屬于集中式SDN控制器，一方面負責將請求從SDN應用層轉發到SDN數據路徑，另一方面負責向SDN應用提供網絡的抽象視圖。對于集中式模型控制器而言，單點故障是一個非常普遍的安全威脅[14]，SDN控制器容易受到DDoS攻擊和盲DDoS攻擊，其中，控制層的DDoS攻擊危害影響更為突出，與數據層面臨的DDoS攻擊不同，攻擊者利用控制器與數據層交換設備的交互發起攻擊，通過向控制器發送大量虛假請求而增加控制器的工作負載，從而導致控制器無法提供正常服務功能。此外，解析與編碼語言的錯誤也會增加SDN控制器的額外漏洞，由于SDN控制器和SDN交換機之間缺少加密通信，攻擊者同樣可以針對控制層發起竊聽攻擊和欺騙攻擊。

（3）應用層面臨的安全威脅

SDN應用層可用可編程的方式直接向SDN控制器發送網絡請求，它包括一個SDN應用邏輯和一個或多個NBI驅動器，由于應用層的應用程序采用分布式布局，未經身份驗證的應用程序與SDN控制器之間缺乏信任機制[15]，很容易發生欺騙攻擊；此外，不適當的授權可能導致應用程序遭受到攻擊者的惡意訪問，攻擊者通過脆弱的API接口獲得對整個SDN網絡控制權，傳統網絡所面臨的安全威脅在應用層可能會被放大。

表1中列出了SDN面臨的安全威脅的分類，將可能面臨的安全威脅與可能受影響的SDN 3層之間建立對應關系。

表1 SDN網絡面臨的安全威脅

3 實現架構

移動目標防御體系結構的理論支持是由Zhuang[16]首次提出的，圖3給出了MTD的理論模型，將物理網絡映射到邏輯任務模型，由調整引擎獲取邏輯任務模型的當前狀態，并由配置管理調整產生新狀態進行適應，此外分析引擎會獲取物理網絡的實時事件，利用傳統防御中入侵檢測、防火墻等檢測機制進行脆弱性分析，由邏輯安全模型產生邏輯安全狀態發送給調整引擎，形成一個閉合自反饋的動態調整系統。

Kampanakis等[17]基于Zhuang的MTD理論提出了一個SDN安全模型，如圖4所示，根據SDN控制器上運行的MTD安全模型進行適應性調整。控制器對當前的網絡狀態進行抽象，適應性引擎定期執行隨機網絡適應策略，分析引擎從網絡元素和當前配置導出實時數據事件，以評估SDN網絡對威脅和攻擊的暴露程度，MTD模塊主要由MTD網絡模型、分析引擎、適應引擎、計算引擎、配置管理以及可編程等插件構成，但絕對不僅僅局限于在控制層部署，可以通過在應用層開發相應的應用程序實現相應的功能。

圖3 MTD理論模型

圖4 面向SDN的移動目標防御安全模型

隨著云計算技術的逐漸興起，針對SDN多租戶數據中心網絡基礎設施的安全問題，Chun等[18]基于提出了安全彈性網絡服務架構——SeReNe （secure and resilient networking），根據網絡安全輿情制定相應的防御策略，一方面，在網絡和軟件層面建立MTD框架；另一方面，根據網絡帶寬分配的有效性，最大限度地減少對應用的干擾和部署成本，選擇最佳策略，建立可編程網絡MTD、軟件漏洞緩解MTD以及安全性流量工程模型。針對SDN控制器與交換機的安全問題，Zhou等[19]基于生物啟發提出了一種演進式防御架構（EDM），它由4個可獨立演變的模塊組成：安全信息檢測、變化策略選取、變換策略庫以及配置生成器，協調一致地根據系統、用戶或者當前的網絡安全狀態，選擇一種高效的網絡配置變化策略來應對相應的安全威脅。結合SDN的實施，EDM從新的角度解決了安全問題，并且能夠促進新的網絡安全技術發展。更進一步地，針對盲目采用MTD策略造成的網絡關鍵服務不可用問題，Wang等[20]則提出了CHAOS架構，它可以在網絡中區分并混淆具有不同安全級別的主機，將主機作為移動目標來混淆攻擊者，引入了混沌塔清洗（CTO）方法，該方法使用混沌塔結構（CTS）描繪網絡中所有主機的層次結構，并提供更加不可預測和靈活的混淆方法，通過快速的CTO算法最大化網絡的不可預測性，實驗證明，CHAOS能夠有效降低信息暴露比例，保證流量正常流動，在保證關鍵業務可用性的同時大大降低性能和成本。

4 技術分類

4.1 數據層移動目標防御技術

在攻擊者對OpenFlow交換機發起攻擊之前，需要獲得攻擊目標確切的IP地址、端口號或轉發路徑，因此移動數據層的這些參數會減輕有針對性的偵察攻擊的損害范圍[21]。針對數據層的一系列攻擊，當前面向SDN的移動目標防御技術主要分類以下3種技術：1) 地址跳變；2) 路由跳變；3) 端口跳變。

4.1.1 數據層地址跳變

當前網絡IP地址的靜態配置，使攻擊者可以通過遠程掃描準確快速地識別目標，給現有網絡帶來了極大的安全隱患。

2012年，Jafarian等[22]提出了一種數據層地址跳變機制，稱為OF-RHM（OpenFlow隨機主機跳變），通過OpenFlow交換機實現虛擬地址（vIP，virtual IP）到真實地址（rIP，real IP）的透明跳變，以最小化的操作開銷保證配置完整性，基于虛擬IP地址的通信流程如圖5所示。實驗結果表明，OF-RHM可有效防御隱身掃描、蠕蟲傳播和其他基于掃描的攻擊，但對于分布式攻擊等其他攻擊模型很難達到預期的效果。更進一步地，Corbett等[23]采用OpenFlow組件完成了OF-RHM的硬件測試，與此同時，為了解決同步問題，基于信息調整機制構建協議轉換框架，并針對智能干擾攻擊對OF-RHM系統的防御效果進行了評估，實驗結果表明，OF-RHM系統可以成功抵御智能干擾攻擊。

圖5 基于虛擬IP地址的通信流程

為了進一步防御攻擊者的復雜威脅，2014年，Jafarian等[24]又提出了時空地址跳變技術（STAM），使每個主機的IP綁定根據主機源標識（空間隨機化）和時間參數（時間隨機化）在網絡中隨機變化，將每個真實IP地址（rIP）映射到一個根據源標識和時間參數確定的瞬時IP地址（eIP），2015年，Jafarian等[25]又提出了一種新型主動自適應防御機制，自適應地將網絡主機地址重新配置，一方面通過快速準確的非一致性和非重復性假設檢驗表征攻擊行為，另一方面通過終端主機和網絡設備管理實現IP隨機化跳變，這種對抗性偵察的自適應跳變可以有效緩解攻擊并提高可檢測性，但增加了實際部署的復雜度，在實際應用中可能無法達到預期的實驗效果。隨后Jafarian等[26]在綜合上述研究成果之后提出了隨機主機地址跳變機制，通過快速高效且不可預測的地址隨機化實現最大化的防御效果，同時盡可能降低操作和配置開銷。將地址跳變建模為多級可滿足性問題，通過對抗偵察快速表征適應性跳變方案，保證網絡的完整性和可管理性。同樣，Chavez等[27]在進行IP地址跳變的同時，利用SDN控制器學習拓撲并為流量分配隨機流量，使SDN更具確定性。

但是這些工作存在以下2個問題：一是沒有在實際網絡中提出相應的框架，二是沒有考慮SDN交換機的不可信因素。為了檢測攻擊類型，針對DoS攻擊以及蠕蟲病毒，Smith等[28]提出了數據驅動的機制，通過增強拓撲算法（NEAT）識別稀疏神經網絡拓撲進行輕量級檢測，利用SDN啟動移動目標防御策略，可以有效地干擾惡意用戶的攻擊行為。而對于SDN數據層元素的不可信問題，Nojoumian等[29]提出了一種博弈論解決方案以防止共謀攻擊（collusion attack），基于SDN的平臺進行網絡欺騙和共謀攻擊建模。

Macfarland等[30]基于SDN提出了一種新的可擴展的移動目標防御機制，為未修改的客戶端提供服務，同時將可信客戶與不可信客戶區分開來，利用傳統網絡中的DNS和NAT流程，允許防御者使用預共享密鑰、加密MAC或將密碼嵌入標準主機名中，以便為傳統客戶端提供訪問控制，從而區分可信和不可信的客戶端。實驗結果表明，該方法對網絡原有性能造成的延遲不會影響用戶的正常操作。Chavez等[31]提出了基于SDN的IP地址隨機化機制，編寫了一個IP地址隨機化應用程序，其核心組件由以下3個部分組成：網絡隨機化算法、OpenFlow接口（NWR）隨機IP地址生成器（GEN）、網絡映射數據庫模塊（NETMAP）。NWR組件負責讀取流表信息并構建后端數據庫；GEN組件用于跟蹤隨機化IP地址和真實IP地址；NETMAP用于存儲網絡映射數據庫，為NWR算法提供必要的函數支持。針對當前地址跳變局限于某一子網變化空間不充分的問題，為了進一步增加不確定性，Wang等[32]提出了一種動態地址解決方案，將可供跳變的地址空間從特定的子網擴展到整個網絡地址，并提出一種基于交換機自學習算法的新算法部署在SDN控制器，可以在很大限度上提高地址跳變的不確定性和不可預測性。

4.1.2 數據層路由跳變

面對數據層不同的攻擊行為，Aydeger等[33]針對DDoS攻擊中的新型交火攻擊，提出了路由跳變的MTD防御機制，設計和部署了ICMP監測模塊、跟蹤路由分析模塊、路由跳變模塊和擁塞鏈路監測模塊。評估結果表明，該防御機制可有效降低鏈路泛洪機會，從而減少目標鏈路擁塞，且不會對網絡服務造成任何重路由大的干擾。針對鏈路洪泛攻擊[34]（LFA, link-flooding attack），Wang等[35]提出了一種稱為Linkbait的主動LFA緩解機制，它是由鏈路篩選、鏈路混淆和僵尸網絡檢測3部分組成，通過為攻擊者提供虛假鏈路圖有效地緩解LFA，創造性地提出了鏈路混淆算法和僵尸網絡檢測算法，Linkbait能以非常低的網絡延遲有效緩解LFA。而對于網絡竊聽攻擊，Aseeri等[36]提出了一種反竊聽雙向多路由機制，利用Dijsktra算法[37]找到發送方和接收方之間的最短路由以及下一個最短路由。結果表明，反竊聽雙向多路由方法可以完全避免數據被捕獲，并且與之前已有的多路由方法相比，可以大大減少數據暴露的可能性。針對網絡竊聽攻擊，Liu等[38]提出了一種隨機路由跳變機制RRMF，如圖6所示，它由網絡信息采集、跳變路由觸發、跳變路由生成以及跳變路由更新4個階段構成，通過攻擊者破獲節點數、不同網絡節點規模、抗DoS攻擊性能以及轉發性能等實驗驗證，在增加網絡竊聽難度的同時，有效降低了正常數據轉發的時延問題。

圖6 基于OpenFlow協議的隨機路由跳變架構

在理論求解方面，Duan等[39]使用可滿足性模理論（SMT）將路由跳變建模為約束補償問題，并提出一種新的覆蓋布局技術以最大化路由跳變的有效性，最后在不同攻擊模型以及參數選擇下進行了驗證評估，更進一步地，Lei等[40]通過可滿足性模理論形式化規約路徑跳變所需滿足的約束，以防止路徑跳變引起的瞬態問題，提出了基于最優路徑跳變的網絡移動目標防御技術。Jafarian等[41]將博弈論和約束補償問題的優化相結合，將隨機路由防御和DoS攻擊之間的交互作為一種博弈過程進行建模，并利用SMT進行形式化和模型優化，實施表明該方案可以高效部署在網絡上，而不會對流量造成任何干擾。與前人工作不同，Rauf等[42]將路由跳變形式化為高效和有彈性的端到端（E2E）可達性問題，設計并實施了分散式端點路由跳變（EPRM）協議，最后，基于PlanetLab驗證所提方案的正確性、有效性和可擴展性。

Haack等[43]提出了基于Ant的網絡防御機制（ABCD, ant-based cyber defense）[44]，其系統架構如圖7所示。它使用多代理系統和MTD，根據代理的密度來檢測攻擊，將具有不同參數的傳感器螞蟻與監控主機的軟件相結合，當發生攻擊時，傳感器螞蟻聚集在受害主機周圍來確定攻擊情況，但它采用的是完整的分布式系統，很難檢測到對每個主機流量影響不大的攻擊，因此，Miyazaki等[45]在ABCD系統的基礎上，基于SDN設計了一個采用多代理系統的分布式防御算法，通過螞蟻代理啟發式的控制算法，感知檢測攻擊威脅并由SDN控制器確定數據分組的下一跳地址，以此通過路徑的動態遷移完成對攻擊的最大化防御。接下來需要進一步驗證更大網絡規模下以及其他網絡拓撲模型下的防御效果。

圖7 ABCD系統架構

4.1.3 數據層端口跳變

SDN數據層端口跳變的核心思想是將服務端口動態隨機映射到未使用的端口，使攻擊者無法準確找到網路服務所使用的開放端口，以此達到混淆攻擊者攻擊行為的目的。

Kampanakis等[17]利用思科One PK實施了基于SDN的MTD應用程序，在真實的SDN環境中進行部署和實驗，針對網絡映射攻擊，提出了基于MTD的反網絡偵察算法，以便響應TCP端口掃描來執行MTD模糊處理。每個數據分組的操作都保存在緩沖區中以確保一致的行為。作為這種算法的結果，隨機端口將作為開放端口出現在掃描階段。攻擊者需要更多資源深入挖掘以識別運行在這些虛假開放端口上的服務。接著又提出針對操作系統指紋的MTD算法，確保服務版本和操作系統不被攻擊者正確識別。通過對攻擊者的時間和流量成本的評估，實驗結果表明，該方法可以顯著增加攻擊者的攻擊開銷，但沒有考慮SDN應用程序本身的成本和安全性，仍然存在安全隱患。Lei等[46]提出了一種自適應變換的移動目標防御機制，采用基于策略感知的跳變觸發方法，通過Sibson熵感知掃描攻擊策略并選取跳變策略，以提高跳變防御的針對性，更進一步地，為了擴大跳變空間，提出了一種基于協同跳變的移動目標防御技術，將端信息和轉發路徑協同變換，極大地提高了跳變的不確定性。

針對端口跳變，最大的難點就是同步問題，當前端口跳變的同步方法有嚴格的時間同步[48]，基于ACK（確認）的同步[49]和基于時間戳的同步[50]，Luo等[51]為了解決端口跳變后可能帶來的傳輸時延、流量阻塞、分組丟失重傳等問題，提出了基于密鑰散列的自同步方案（KHSS），所提出的方法基于散列MAC生成消息認證碼，并將其作用于端口地址編碼和解碼的同步信息，該方案為端口跳變通信系統提供了一包一跳和不可見消息認證的功能，利用SDN獨有的流表通信機制使客戶端和服務器能夠不斷改變其身份，并在不可靠的通信介質上執行消息認證，而無需同步和認證信息傳輸，最后在傳統網絡中進行了KHSS同步性能的驗證，實驗結果表明，該方案在安全性和跳變效率這2方面明顯優于現有的方案，但是該方案并沒有利用SDN集中控制的優勢進行部署搭建，只是在理論分析了SDN流表轉發的跳變優勢。

與此同時，Zhang等[52]也對這一問題進行了研究，提出了基于透明同步的SDN端口跳變機制，將源、目節點獨立以實現通信雙方的透明同步傳輸，一方面不需要嚴格的時間同步，另一方面也不需要發送額外的同步數據分組，它的理論分析和實驗結果表明，該方案能夠在保證網絡低開銷的基礎上有效抵抗各種攻擊。針對DoS攻擊，Zhang等[53]又提出了基于端口跳變的SDN DoS緩解機制（PHS-DM），它的結構框架如圖8所示，利用時間戳反饋實現端口的同步跳變，在降低網絡通信成本開銷的基礎上，有效抵御端口掃描和內部攻擊，下一步需要將錯誤反饋引入到端口跳變中，通過給攻擊者提供虛假的端口跳變信息使防御更有主動性。

圖8 PHS-DM結構框架

4.2 控制層移動目標防御技術

SDN控制器是SDN最為核心的部件，也是整個SDN系統安全鏈中最脆弱和最薄弱的環節，它決定整個SDN的工作狀態，當控制器因受到攻擊而無法正常工作時，整個SDN將陷入癱瘓，因此SDN控制層的安全問題尤為重要，針對SDN控制層的攻擊也日漸常態化、多樣化，越來越多的研究學者將控制層的移動目標防御技術作為研究重點進行開展。

4.2.1 基于多控制器遷移機制MTD技術

為了抵御針對SDN控制器的盲DDoS攻擊，Ma等[54]將SDN定義為一個半開放半封閉式的混合系統，利用SDN的多控制器架構進行模型設計，提出了基于多控制器遷移的移動目標防御機制，采用多控制器池解決飽和問題，并根據洪流密度動態地將控制器連接到交換機上。該機制將受保護的SDN系統分為多個控制器組成的控制器池、MTD策略管理器，基于路由映射規則的洪泛過濾設備和SDN交換機。其中，MTD策略管理器負責監控在線控制器的帶寬和負載，當網絡受到盲DDoS攻擊時，MTD策略管理器將多個離線控制器切換到在線狀態，為其分配合適的IP地址。通過隨機延遲掃描報文和路由映射過濾泛洪，該技術可以有效抵御盲DDoS攻擊，保護SDN的可用性和可靠性。但是，該方法仍存在以下局限性：一方面，采用隨機數據分組傳輸延遲的方法會影響正常的數據傳輸性能；另一方面，路由表過期可能產生誤報影響系統正常運行。

4.2.2 基于CP動態防御機制的MTD技術

針對使用DPID身份偽造對SDN控制器發起的DoS攻擊，Wu等[55]研究了基于OpenFlow的SDN控制器上的數據路徑識別（DPID）偽造攻擊，提出了一種基于CP（client-puzzle）的動態防御機制，當客戶端請求連接時，服務器產生一個問題發送給客戶端解決；客戶端在解決該問題后將答案發送回服務器進行驗證。如果答案被成功驗證，完成后續交互；否則不會有任何后續的交互，通過生成多級困難問題實現對轉發設備請求的動態管理，從而提高攻擊者的難度。該方法可以減少網絡負載以及網絡攻擊流量，并過濾掉合法流量，增加攻擊者的攻擊開銷和攻擊難度。實驗結果表明，當控制器和轉發設備的成本增加2%~5%時，攻擊者CPU的成本增加近90%，這大大增加了攻擊者的攻擊難度。下一步的工作是研究如何將MTD與SDN的動態可編程性結合起來，并將其應用于SDN控制器北向接口的防御工作。

4.2.3 基于博弈獎懲機制的MTD技術

面對威脅日益嚴重的DDoS攻擊，Chowdhary等[56]在前人工作基礎上構建攻防過程中基于獎懲機制的博弈論機制，將DDoS攻擊建模為攻擊者和管理員之間的動態博弈，對實施DDoS流量的攻擊者進行懲罰，同時對合作的玩家進行獎勵，從而有效地為網絡管理員實施期望的結果，實現動態防御的目的，體系架構如圖9所示，為解決網絡帶寬的速率問題，提出貪心算法進行動態網絡博弈中的懲罰機制，通過研究DDoS攻擊的3種典型攻擊：SYN Flood攻擊、UDP Flood攻擊以及ICMP Flood攻擊，根據從SDN控制器收到的警報處理所有這些攻擊，以減輕對SDN控制器的大規模流量攻擊，并在不同的網絡拓撲中進行應用，具有很好的可擴展性。下一步工作是基于OpenStack的云框架進行更大規模的網絡動態防御，使用基于人工智能（AI）的算法識別攻擊，并使用異常檢測以及基于簽名的檢測機制構建一個全面的攻擊緩解解決方案。

圖9 基于獎懲機制的體系架構

4.3 應用層移動目標防御技術

SDN應用層中的漏洞可以給攻擊者提供訪問或修改受限制數據的機會，這使防御者必須盡可能地保護應用程序免受攻擊者偵察，由于當前SDN北向接口的定義尚不明確，對于應用層的研究尚處在初步階段，因而對于應用層網絡攻擊防御問題研究較少，很難從現有的文獻中進行相關的總結分析。但是，云計算體系架構以及網絡功能虛擬化（NFV）的迅速興起，SDN應用層的虛擬機租戶管理已經成為下一步的發展趨勢，因此，針對SDN應用層虛擬化資源也將面臨巨大的安全隱患。

4.3.1 基于動態訪問控制的MTD技術

傳統網絡中的應用程序極易受到攻擊者的DDoS攻擊，Jantila等[57]在Devi等[58]的基礎上，針對SDN應用層可能遭受DDoS攻擊這一情況，利用STRIDE威脅模型，通過分析基于客戶訪問行為的信任值以及熵值區分攻擊者與合法用戶，以確定應用層相關應用程序的脆弱性問題，在允許它們訪問服務器之前授權每個客戶端，網絡元素本身根據流量信息和實時警報實施動態訪問控制策略，以此動態智能地保護網絡和資源不被篡改數據、泄露信息，但并沒有對該方法的效率和有效性進行評估驗證。

4.3.2 基于虛擬機遷移技術的MTD技術

針對SDN應用層的應用程序虛擬機極易受到DoS攻擊這一安全問題，Debroy等[59]提出了一種基于智能MTD的主被動結合的虛擬機遷移機制，如圖10所示，基于攻擊概率的頻率最小化和跨異構虛擬機的目標移動的位置選擇，在保證云資源浪費最小化的情況下不影響應用性能，大大優化了遷移頻率，很好地減少了網絡資源的浪費，同時限制了攻擊效應。此外，該方案還根據候選虛擬機容量、可用網絡帶寬以及攻擊歷史記錄中虛擬機的信譽計算出理想的遷移位置，使用大規模GENI測試平臺評估了方案的有效性，實驗結果表明，該方案可以降低攻擊成功率，提高應用性能。下一步工作將基于MTD解決方案的云管理考慮成本問題，以便在系統混淆和資源管理之間進行權衡，更好地實現系統地可用性。

類似地，Gillani等[60]提出在虛擬網絡（VN）下動態地改變VN來重新分配網絡資源，并向新資源提供持續的VN遷移，以此抵御大規模持續的DDoS攻擊，整個防御過程基于SMT的形式化方法，利用非關鍵資源替代關鍵資源規避攻擊的同時，建立了一種VM遷移機制，由虛擬化物理網絡上框架生成的VN遷移策略，最后，利用Mininet工具進行實驗仿真，仿真結果表明該方法可以在保證網絡可用性的前提下很好地抵御DDoS攻擊。

5 結束語

隨著SDN、云計算以及網絡功能虛擬化的不斷結合，安全問題日益突出，面向SDN的移動目標防御技術還存在很多未解決的挑戰，SDN仍缺乏細粒度的安全性和可靠性，具有很大的發展潛力，打造一個真正安全可靠的軟件定義網絡還需要付出很多努力。

圖10 基于智能MTD的主被動結合的虛擬機遷移方案

5.1 優化防御體系架構

目前，面向SDN的移動目標防御架構尚不成熟，缺乏相關的理論體系支持，可以考慮利用最新的相關技術進行SDN安全防御體系架構的設計與實施，設計更加彈性動態化的SDN動態防御體系架構，利用不斷變換的攻擊面暴露攻擊者在偵察SDN信息時的攻擊意圖，以此實現更加主動的防御策略。

針對網絡攻擊中的LM網絡殺傷鏈模型映射相應的網絡動態防御鏈，在攻擊者的每個攻擊階段都部署相應的移動目標防御策略，使整個SDN防御體系串聯成鏈，統籌聯動，給攻擊者營造一個更加不可預測的網絡環境，從而使整個網絡攻防天平向利于防御者的一端傾斜。

5.2 層間聯動防御技術

從具體實現技術來看，在數據層面的移動目標防御技術考慮從時間和空間2個維度同時進行動態變化，與此同時考慮變化頻率的問題，在保證可用性的基礎上，最大限度地減少網絡管理人員的成本，此外，多個網絡參數同時變化成為下一步的研究趨勢，使端口、IP地址以及路徑路由等網絡參數的變化更加不可預測，但網絡可用性和安全性之間的平衡是一個很突出的研究問題。

對于控制層面而言，作為整個SDN的核心部件，要具備防御各種攻擊的能力，僅僅解決某一攻擊行為對控制器來說遠遠不夠，需要建立攻擊威脅數據庫，確保在面對不同攻擊時可以采取不同的移動目標防御策略進行防御，與此同時，如何快速有效地進行策略選取是一個值得關注的問題。

對于應用層而言，利用軟件驅動網絡進行自主通信，可完成自動測試、集成和網絡功能部署等一系列安全防御機制，還可結合移動目標防御的思想利用機器學習技術進行網絡安全動態的自我管理和優化，確保應用程序的安全性，在SDN安全應用程序開發方面，已經提出諸如FRESCO[61]、CloudWatcher[62]以及OrchSec[63]等OpenFlow安全應用程序開發框架，鮮有學者將移動目標防御技術融入這一開發框架中實施動態防御。

下一步的研究方向不能僅僅考慮SDN單個層面的移動目標防御技術，要增加三層體系結構之間的聯動配合，在優化后的防御系統架構之上，進行體系化的更加全面的移動目標防御技術部署，將整個面向SDN的移動目標防御技術環環相扣，構筑起更加安全可靠的SDN。

隨著學科交叉與融合的不斷推進，可以通過跨學科、多領域的研究對SDN的移動目標防御技術進行新的探索，與此同時，隨著越來越多的人將傳統科學應用到計算機和互聯網安全研究，跨學科跨領域研究應用必將在多樣復雜的網絡空間環境中發揮愈加重要的作用。

[1] LANTZ B, HELLER B, Mckeown N. A network in a laptop:rapid prototyping for software-defined networks[C]// ACM Workshop on Hot Topics in Networks. HOTNETS 2010, Monterey, Ca, Usa - October. DBLP, 2010:1-6.

[2] KREUTZ D, RAMOS F M V, et al. Software-defined networking: a comprehensive survey[J]. Proceedings of the IEEE, 2014, 103(1): 10-13.

[3] SCOTT-HAYWARD S, O'CALLAGHAN G, SEZER S. SDN security: a survey[C]// Future Networks and Services. IEEE, 2013:1-7.

[4] EATHERTON W. The push of network processing to the top of the pyramid[C]// Architecture for Networking and Communications Systems. 2005.

[5] BENTON K, CAMP L J, SMALL C. OpenFlow vulnerability assessment[C]// ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING. ACM, 2013:151-152.

[6] OpenFlow Switch Specification v1.3.0 (2013)[S]. https://www. open- networking.org/images/stories/downloads

[7] JAJODIA S, GHOSH A K, SWARUP V, et al. Moving target defense: creating asymmetric uncertainty for Cyber Threats[M]. Berlin：Springer, 2011, 54.

[8] MANADHATA P K, WING J M. A formal model for a system’s attack surface[J]. Advances in Information Security, 2011, 54:1-28.

[9] ZHANG H G, HAN W B, LAI X J, et al. Survey on cyberspace security[J]. Science China Information Sciences, 2015, 58(11):1-43.

[10] 雷程,馬多賀,張紅旗,楊英杰,王利明.基于網絡攻擊面自適應轉換的移動目標防御技術[J/OL].計算機學報,2017(5):1-23. LEI C, MA D, ZHANG H, et al. Moving target defense technology based on network attack surface self-adaptive mutation[J]. Chinese Journal of Computers, 2017(5):1-23.

[11] MA D, LEI C, WANG L, et al. A Self-adaptive hopping approach of moving target defense to thwart scanning attacks[C]//International Conference on Information and Communications, Security, 2016.

[12] PAPPA A C, ASHOK A, GOVINDARASU M. Moving target defense for securing smart grid communications: architecture, implementation & evaluation[C]// Power & Energy Society Innovative Smart Grid Technologies Conference. IEEE, 2017:1-5.

[13] ZARGAR S T, JOSHI J, TIPPER D. A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks[J]. IEEE Communications Surveys & Tutorials, 2013, 15(4): 2046-2069.

[14] TOOTOONCHIAN A, GORBUNOV S, SHERWOOD R, et al. On controller performance in software-defined networks[C]// Usenix Conference on Hot Topics in Management of Internet, Cloud, and Enterprise Networks and Services. USENIX Association, 2012.

[15] FEGHALI A, KILANY R, CHAMOUN M. SDN security problems and solutions analysis[C]// International Conference on Protocol Engineering. IEEE, 2015:1-5.

[16] ZHUANG R. A theory for understanding and quantifying moving target defense[J]. Dissertations & Theses - Gradworks, 2015.

[17] KAMPANAKIS P, PERROS H, BEYENE T. SDN-based solutions for moving target defense network protection[C]// World of Wireless, Mobile and Multimedia Networks. IEEE, 2014:1-6.

[18] CHUN C J, XING T, HUANG D, et al. SeReNe: on establishing secure and resilient networking services for an SDN-based multi-tenant datacenter environment[C]// IEEE International Conference on Dependable Systems and Networks Workshops. IEEE, 2015:4-11.

[19] ZHOU H, WU C, JIANG M, et al. Evolving defense mechanism for future network security[J]. IEEE Communications Magazine, 2015, 53(4):45-51.

[20] WANG J, XIAO F, HUANG J, et al. CHAOS: an SDN-based moving target defense system[J]. arXiv: 1704.01482, 2017.

[21] KOPONEN T, CASADO M, GUDE N, et al. Onix: a distributed control platform for large-scale production networks[C]//Usenix Conference on Operating Systems Design and Implementation. USENIX Association, 2010:351-364.

[22] JAFARIAN J H, AL-SHAER E, DUAN Q. Openflow random host mutation: transparent moving target defense using software defined networking[C]// The Workshop on Hot Topics in Software Defined Networks. ACM, 2012:127-132.

[23] CORBETT C, UHER J, COOK J, et al. Countering intelligent jamming with full protocol stack agility[J]. IEEE Security & Privacy, 2014, 12(2):44-50.

[24] JAFARIAN J H H, AL-SHAER E, DUAN Q. Spatio-temporal address mutation for proactive cyber agility against sophisticated attackers[C]// ACM Workshop. ACM, 2014:69-78.

[25] JAFARIAN J H, AL-SHAER E, DUAN Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]// Computer Communications. IEEE, 2015:738-746.

[26] JAFARIAN J H, AL-SHAER E, DUAN Q. An effective address mutation approach for disrupting reconnaissance attacks[J]. IEEE Transactions on Information Forensics & Security, 2015, 10(12): 2562-2577.

[27] CHAVEZ A R, STOUT W M S, Peisert S. Techniques for the dynamic randomization of network attributes[C]// International Carnahan Conference on Security Technology. IEEE, 2016:1-6.

[28] SMITH R J, ZINCIR-HEYWOOD A N, JACOBS J T, et al. Initiating a moving target network defense with a real-time neuro-evolutionary detector[C]//Genetic and Evolutionary Computation Conference Companion. ACM, 2016:1095-1102.

[29] NOJOUMIAN M, GOLCHUBIAN A, SAPUTRO N, et al. Preventing collusion between SDN defenders anc attackers using a game theoretical approach[C]// Computer Communications Workshops. IEEE, 2017.

[30] MACFARLAND D C, SHUE C A. The SDN Shuffle: creating a moving-target defense using host-based software-defined networking[C]// ACM Workshop on Moving Target Defense. ACM, 2015: 37-41.

[31] CHAVEZ A R, STOUT W M S, PEISERT S. Techniques for the dynamic randomization of network attributes[C]// International Carnahan Conference on Security Technology. IEEE, 2016:1-6.

[32] WANG S, ZHANG L, TANG C. A new dynamic address solution for moving target defense[C]// Information Technology, Networking, Electronic and Automation Control Conference, IEEE, 2016: 1149-1152.

[33] AYDEGER A, SAPUTRO N, AKKAYA K, et al. Mitigating crossfire attacks using sdn-based moving target defense[C]// Local Computer Networks. IEEE, 2016:627-630.

[34] MIN S K, LEE S B, GLIGOR V D. The crossfire attack[C]// IEEE Symposium on Security and Privacy. IEEE Computer Society, 2013:127-141.

[35] WANG Q, XIAO F, ZHOU M, et al. Linkbait: active link obfuscation to thwart link-flooding attacks[J]. arXiv:1703.09521, 2017.

[36] ASEERI A, NETJINDA N, HEWETT R. Alleviating eavesdropping attacks in software-defined networking data plane[C]// Conference on Cyber and Information Security Research. ACM, 2017:1.

[37] FEAMSTER N, REXFORD J, ZEGURA E. The road to SDN: an intellectual history of programmable networks[M]. ACM, 2014.

[38] LIU J, ZHANG H, GUO Z. A Defense mechanism of random routing mutation in SDN[J]. Ieice Transactions on Information & Systems, 2017, 100(5):1046-1054.

[39] DUAN Q, AL-SHAER E, JAFARIAN H. Efficient random route mutation considering flow and network constraints[C]// Communications and Network Security. IEEE, 2013:260-268.

[40] 雷程, 馬多賀, 張紅旗,等. 基于最優路徑跳變的網絡移動目標防御技術[J]. 通信學報, 2017, 38(3):133-143. LEI C, MA D H, ZHANG H Q, et al. Network moving target defense technique based on optimal forwarding path migration[J]. Journal on Communications, 2017, 38(3): 133-143.

[41] JAFARIAN J H, AL-SHAER E, DUAN Q. Formal approach for route agility against persistent attackers[C]// European Symposium on Research in Computer Security. Springer, Berlin, Heidelberg, 2013:237-254.

[42] RAUF U, GILLANI F, AL-SHAER E, et al. Formal approach for resilient reachability based on end-system route agility[C]// ACM Workshop on Moving Target Defense. ACM, 2016:117-127.

[43] HAACK J N, FINK G A, MAIDEN W M, et al. Ant-based cyber security[C]// Eighth International Conference on Information Technology: New Generations. IEEE, 2011:918-926.

[44] FINK G A, HAACK J N, MCKINNON A D, et al. Defense on the move: ant-based cyber defense[J]. IEEE Security & Privacy, 2014, 12(2):36-43.

[45] MIYAZAKI R, KAWAMOTO J, MATSUMOTO S, et al. Host independent and distributed detection system of the network attack by using OpenFlow[C]// International Conference on Information NETWORKING. IEEE, 2017:236-241.

[46] LEI C, ZHANG H Q, MA D H, et al. Network moving target defense technique based on self-adaptive end-point hopping[J]. Arabian Journal for Science & Engineering, 2017, 42(8):1-14.

[47] ZHANG H Q, LEI C, CHANG D X, et al. Network moving target defense technique based on collaborative mutation[J]. Computers & Security, 2017, 70:51-71.

[48] LEE H C J, THING V L L. Port hopping for resilient networks[C]// Vehicular Technology Conference, IEEE, 2004:3291-3295.

[49] BADISHI G, HERZBERG A, KEIDAR I. Keeping denial-of-service attackers in the dark[J]. IEEE Transactions on Dependable & Secure Computing, 2007, 4(3):191-204.

[50] SHI L, JIA C, Lü S, et al. Port and address hopping for active cyber-defense[M]// Intelligence and Security Informatics. Springer Berlin Heidelberg, 2007:295-300.

[51] LUO Y B, WANG B S, WANG X F, et al. A keyed-hashing based self-synchronization mechanism for port address hopping communication[J]. Frontiers of Information Technology and Electronic Engineering, 2017, 18(5):719-728.

[52] ZHANG L, WANG Z, GU K, et al. Transparent synchronization based port mutation scheme in SDN network[C]// International Conference on Computer Science and Network Technology. 2016: 581-585.

[53] ZHANG L, GUO Y, YUWEN H, et al. A port hopping based dos mitigation scheme in SDN network[C]// International Conference on Computational Intelligence and Security. IEEE, 2017:314-317.

[54] MA D, XU Z, LIN D. Defending blind DDoS attack on SDN based on moving target defense[C]// International Conference on Security and Privacy in Communication Networks. 2014:463-480.

[55] WU Z, WEI Q, REN K, et al. A dynamic defense using client puzzle for identity-forgery attack on the south-bound of software defined networks[J]. Ksii Transactions on Internet & Information Systems, 2017, 11(2):846-864.

[56] CHOWDHARY A, PISHARODY S, ALSHAMRANI A, et al. Dynamic game based security framework in SDN-enabled cloud networking environments[C]// ACM International Workshop on Security in Software Defined Networks & Network Function Virtualization. ACM, 2017:53-58.

[57] JANTILA S, CHAIPAH K. A Security analysis of a hybrid mechanism to defend DDoS attacks in SDN [J]. Procedia Computer Science, 2016, 86:437-440.

[58] DEVI S R, YOGESH P. A Hybrid approach to counter application layer DDoS attacks[J]. International Journal on Cryptography & Information Security, 2012.

[59] DEBROY S, CALYAM P, NGUYEN M, et al. Frequency-minimal moving target defense using software-defined networking[C]// International Conference on Computing, Networking and Communications. IEEE, 2016:1-6.

[60] GILLANI F, AL-SHAER E, LO S, et al. Agile virtualized infrastructure to proactively defend against cyber attacks[C]// Computer Communications. IEEE, 2015:729-737.

[61] SHIN S, PORRAS P, YEGNESWARAN V, et al. FRESCO: modular composable security services for software defined networks[J]. Proceedings of Network & Distributed Security Symposium, 2013.

[62] SHIN S, GU G. CloudWatcher: network security monitoring using openflow in dynamic cloud networks (or: How to provide security monitoring as a service in clouds?)[C]// IEEE International Conference on Network Protocols. IEEE Computer Society, 2012:1-6.

[63] ZAALOUK A, KHONDOKER R, MARX R, et al. OrchSec: anorchestrator-based architecture for enhancing network-security using Network Monitoring and SDN Control functions[C]//Noms. IEEE, 2014:1-9.

Research progress on moving target defense for SDN

TAN Jinglei1,2, ZHANG Hongqi1,2, LEI Cheng1,2, LIU Xiaohu1, WANG Shuo1

1. School of Cryptography Engineering, Information Engineering University, Zhengzhou 450001, China 2. Henan Provincial Key Laboratory of Information Security, Zhengzhou 450001, China

Software-defined network is based on flexible and open standards, which manages network functions and services by the control layer. And it has the unique advantages of control-separation and centralized control. The moving target defense technology is dedicated to build an ever-changing environment to increase the uncertainty of the network system, which requires a flexible and customizable, centralized and controllable network architecture to implement it. Therefore, the combination of moving target defense and software-defined network have become a more valuable research hotspot. Firstly, the basic concepts of software-defined network and moving target defense were introduced, the security threats of software-defined network was summarized, and the realization model of moving target defense for SDN network was described. Secondly, the technical methods for moving target defense were summarized respectively form the data layer, control layer and application layer of the SDN. Finally, summing up the challenges of existing SDN dynamic defense, and looking forward to the development direction of moving target defense technologies for the SDN.

software-defined network, moving target defense, dynamic, diversity, randomness

TP393

A

10.11959/j.issn.2096-109x.2018061

譚晶磊（1994-），男，山東章丘人，信息工程大學研究生，主要研究方向為網絡信息安全、移動目標防御。

張紅旗（1962-），男，河北遵化人，信息工程大學教授、博士生導師，主要研究方向為網絡安全、移動目標防御、等級保護和信息安全管理。

雷程（1989-），男，北京人，信息工程大學博士生，主要研究方向為網絡信息安全、移動目標防御、數據安全交換和網絡流指紋。

劉小虎（1989-），男，河南太康人，信息工程大學講師，主要研究方向為動態網絡防御。

王碩（1991-），男，河南南陽人，信息工程大學博士生，主要研究方向為網絡系統安全。

2018-06-15；

2018-07-03

譚晶磊，nxutjl@126.com

國家高技術研究發展計劃（“863”計劃）基金資助項目（No.2012AA012704, No.2015AA7116040）；鄭州市科技領軍人才基金資助項目（No.131PLJRC644）

The National High Technology Research and Development Program of China (863 Program) (No.2012AA012704, No.2015AA7116040), Zhengzhou Science and Technology Leader Project (No.131PLJRC644)