基于安全態勢感知SDN網絡拓撲污染攻擊防御系統設計

馮文靜

摘? 要： 針對原有SND網絡拓撲污染攻擊防御系統數據威脅等級評估精度低造成的防御對策效果較差的問題，設計基于安全態勢感知SDN網絡拓撲污染攻擊防御系統。沿用原有系統中部分硬件，選用嵌入式芯片設計SND控制器與檢測網絡構架。軟件部分僅針對威脅等級評估部分設計。采用安全態勢感知技術完成威脅可信度評估中數據獲取與分析工作，設定攻擊知識庫提升對攻擊數據的分析能力并制定相應防御對策框架;將分析處理后的威脅信息通過歸一化處理完成威脅量化;采用量化后的信息運用編程系統評估其攻擊源威脅等級并根據評估結果，采取對應的防御對策。至此，基于安全態勢感知SDN網絡拓撲污染攻擊防御系統設計完成。構建系統性能測試環境完成性能測試，與原有防御系統相比，此系統威脅等級評估精度更高，與樣本更加接近。因而，此防御系統性能更佳。

關鍵詞： SDN網絡架構; 攻擊防御; 系統設計; 安全態勢感知; 威脅等級評估; 性能測試

Abstract： In allusion to the poor defense countermeasure effect caused by the low assessment accuracy of the data threat level of the original? SDN （software?defined network） topology pollution attack defense system， a SDN topology pollution attack defense system based on security situation awareness is designed， in which some hardware of the original system is retained， and the embedded chip is used for the design of SDN controller and detection network architecture. In the software part， the design is performed only for the threat level assessment part. The security situation awareness technology is used to complete the data acquisition and analysis of the threat credibility assessment. The knowledge base of attack is set up to improve the ability of analyzing the attack data， and lay down the framework of corresponding defense countermeasures. The threat to the analyzed and processed threat information is quantized by means of the normalized processing. The quantified information and the programming system are used to assess the threat level of the attack source， and the corresponding defense countermeasures are taken according to the evaluation results. Thus， the design of SDN topology pollution attack defense system based on security situational awareness is completed. The system performance testing environment was built to accomplish the performance test. In comparison with the original defense system， the threat level assessment accuracy of this system is higher and closer to the sample. Therefore， it has better performance.

Keywords： SDN architecture; attack defense; system design; security situational awareness; threat level assessment; performance test

0? 引? 言

傳統的網絡構架越來越難以滿足人們對網絡功能日益增加的需求，為解決這一問題，通過不斷地研究與開發，設計出軟件定義網絡，即SDN。SDN擁有較強的控制能力，其轉發分離、集中控制以及可編程能力都優于傳統的網絡結構[1?2]。與傳統網絡結構相比，其靈活性更強，成為未來網絡的演進方向。與此同時，SDN也存在相應的風險。在SDN網絡構架中，由于控制層與數據層的分離會出現網絡漏洞，很容易被攻擊者利用，形成網絡拓撲污染攻擊。因而，在SDN網絡架構上構建一個具有入侵檢測、自動響應、對入侵對象靈活防御的系統至關重要。

增加安全態勢感知部分可有效解決上述問題。安全態勢感知以安全大數據為基礎，從整體網絡架構出發，完成對網絡架構安全威脅的識別、解析、相應處理[3]。使用這一技術，可以有效解決原有防御系統無法解決的問題。鑒于上述優點，設計基于安全態勢感知SDN網絡拓撲污染攻擊防御系統。使用此系統可以針對污染等級排序完成對其防御工作。不再僅僅是簡單的防御工作，使污染防御更加具有針對性，實現防御的科學化與完整性。

1? SDN網絡拓撲污染攻擊防御系統硬件設計

在SDN 網絡構架中，控制器是網絡構架的核心，網絡工作人員通過控制器接口實現網絡的控制。考慮到污染攻擊對控制器的影響較大，設計新型中央控制器，完成防御工作[4?5]。原有防御系統對所有的攻擊均采用同樣的防御策略，時常出現誤警問題。增加檢測網絡框架是必不可少的一個部分。通過上述分析，將防御系統的硬件構建共分為三層，層層遞進完成防御工作。具體構架如圖1所示。

沿用原有防御系統中部分硬件結合本文設計硬件部分，基于上述構架，分項設計系統硬件。

1.1? SDN控制器設計

過往SDN控制器設計中，共有分層式、集中式及水平式[6]3種分布形式。此次采用分層式結構。

為實現SND控制器的性能，選用1 000 Mb/s網卡為控制器載體，PCI?X作為控制器總線。在總線中，安裝千兆以太網配置器，提升網絡帶寬。在控制器中安裝多種接口。其中包含雙絞線、光纖、BNC、AUI、HomePNA接口等。設定1個Console管理接口，8個業務接口，包括6個1000BASE接口，2個1000BASE?X Combo接口。在控制器中含有開關電源1個，不可擴展。網絡控制器由上述微小硬件設備組成。

1.2? 檢測網絡框架設計

設計檢測網絡框架，在檢測網絡中放置3臺SDN 交換機及對應傳感器，安裝在原有系統硬件主機部分中，通過檢測探針完成對網絡中信息的提取與檢測。傳感器中設計雙CPU嵌入式網卡兩枚，一枚用于處理待檢測數據包，不設IP;另一枚將檢測后的報警數據輸出，設定對應IP，作為檢測網絡管理接口。傳感器中的一張網卡連接至交換機的鏡像端口。

選擇Am186/88型號嵌入式芯片。在芯片內部設有ROM/EPROM總線、看門狗、I/O接口、A/D接口等多種接口，保障多種信息高速傳播。

通過上述設計完成系統硬件設計，此次設計僅針對于防御系統中威脅等級評估模塊，其余硬件沿用原有系統設置。

2? SDN網絡拓撲污染攻擊防御系統軟件設計

以上述硬件為基礎，設計網絡拓撲污染攻擊防御系統軟件，主要針對威脅等級評估不準確問題優化，設計新型評估模型，如圖2所示。

本文模型為層次化威脅評估模型，設定為4個層次。使用量化方式評估攻擊威脅程度與概率，從而了解網絡整體的安全狀態。采用上述層次化威脅評估模型，根據網絡特征完成威脅評估方案。

2.1? 威脅可信度評估

防御模型中，引用威脅可信度評估環節，將攻擊成功所需條件與攻擊目標狀態、漏洞信息整合并對比，初步過濾入侵檢測錯誤報警概率。在可信度評估中，引用安全態勢感知技術獲取網絡構架中的威脅數據，并分析其攻擊性能。尋找威脅時間的發生原因與影響機制。在受到攻擊時，根據流量日記與報警記錄評估威脅可信度 [7?8]。為直觀判斷可信度評估，構建對應攻擊知識庫，具體內容如表1所示。

所構建的知識庫共分成兩部分。使用攻擊依賴庫對產生攻擊時警報加以分析，可以得出該攻擊針對的操作系統類型與服務漏洞，分析其是否攻擊。使用主機漏洞庫分析漏洞成因，獲取防御對策。制定完備的攻擊知識庫，可以判斷出絕大部分的錯誤警報，剔除不必要的報警。根據攻擊知識庫中的信息完成防御對策框架的構建，系統中的防御對策將以其為基礎完成設計過程。

2.2? 威脅量化

根據上述的攻擊知識庫，得出相應的報警信息，將其關聯處理。設定新報警組為[aQ]，其他處于活躍狀態的報警組集合為[aQ1，aQ2，…，aQn]，其對應的關聯評估集合為[WaQ，aQ1，WaQ，aQ2，…，WaQ，aQn]，使用上述設定完成報警組的量化過程。

首先，采用Snort部分體現攻擊類型的報警反映威脅程度[9]。結合priority字段實現報警的緊要度。考慮到這一次層因素，對每一字段值的報警組攻擊性能量化處理，則有：

式中：[R]表示字段的種類;[a]表示威脅值。采用此公式結合報警信息中統計到的其他字段，得出每一字段的單獨威脅量化。基于協同攻擊的危害性，對其綜合量化[10]。利用關聯評估值集合，得出以下公式：

式中：[J]為單一評估值;[K]表示繪制綜合評估系數;[i]表示字段序號。將其歸一化處理后得出報警組的威脅值為：

式中，[vthreshold]為定值，當[v（aQ）]超過其就處于危險環境了，這一定值需要根據網絡實際情況設定。通過上述步驟完成量化處理。

2.3? 攻擊源與攻擊目標評估

通過上述量化結果完成對攻擊源與攻擊目標的評估工作。在攻擊源對網絡節點攻擊的過程中，其可以偽造源地址，但作為攻擊目標時，內部信息是準確的。因而，需要評估攻擊源與攻擊目標的威脅程度。在評估的過程中，以上述歸一化處理后的威脅等級為基礎。采用Snort技術結合if語句完成編程處理。根據Scan local network：DISABLED//威脅信息評估攻擊源，并制定相應的計算過程。完成對評估等級的計算，最終生成評估向量。采用此評估向量作為安全應用防御決策輸出，保證防御對策的有效性。

威脅等級評估結果采取相應的防御對策，實現的網絡拓撲污染攻擊防御功能。在制定防御對策的過程中，以威脅等級為依據，結合對應的知識庫內容，充分考慮網絡構架，完成指定工作。采用上述設計可有效提升系統防御能力。

3? 系統性能測試

搭建實驗網絡環境將本文設計系統與原有防御系統對比，檢驗其威脅等級評估準確度。

3.1? 構建測試環境

在此次性能測試中，使用VMware Workstation軟件安裝Ubuntu虛擬機實現實驗網絡。在實驗網絡中包含Floodlight控制器、OVS交換機以及5臺主機。設定主機節點如表2所示。

按照此節點數據完成虛擬機的安裝并得出相應的網絡拓撲信息。將威脅信息Dos分為3等，攻擊原有系統與本文設計系統網絡。其中，Ⅰ級信息15條，Ⅱ級信息30條，Ⅲ級信息50條。利用威脅信息等級評估模塊評估其威脅等級并采用相應的防御對策。通過此方法檢驗原有系統與本系統的威脅信息等級評估能力。

3.2? 測試結果分析

應用SND實驗網絡，完成系統性能測試。測試結果如圖3所示。

由圖3結果可知，原有防御系統對威脅數據等級評估水平較差，對所有威脅數據均采用同種防御措施，針對性較差。采用本文設計系統對威脅數據等級評估準確度較高，且本文設計系統與測試樣本等級分布相同。可見，其評估精度較高。本文設計系統對不同等級威脅防御對策也不相同，因而，防御效果較好。綜上所述，本文設計的基于安全態勢感知SDN網絡拓撲污染攻擊防御系統性能更佳。

4? 結? 語

在此次測試中，利用SDN 網絡構架控制器對網絡集中控制以及其可編程的特點，設計基于安全態勢感知SDN網絡拓撲污染攻擊防御系統。系統設計采用Snort 計算優化入侵防御檢測方法。在原有防御報警分析技術的基礎上，設計威脅評估方案，此方案可以實現攻擊威脅的量化處理，完成攻擊源與攻擊目標的精準評估，以此制定防御對策，實現防御系統的靈活決策。測試結果表明，所提系統可以有效提高網絡防御能力，保證網絡安全。

參考文獻

[1] 廉哲，殷肖川，譚韌，等.面向網絡攻擊態勢的SDN虛擬蜜網[J].空軍工程大學學報（自然科學版），2017，18（3）：79?84.

[2] 陳興蜀，曾雪梅，王文賢，等.基于大數據的網絡安全與情報分析[J].四川大學學報（工程科學版），2017，49（3）：1?12.

[3] 鄭正，徐明偉，李琦，等.SDN網絡拓撲污染攻擊防御機制研究[J].計算機研究與發展，2018，55（1）：207?215.

[4] 李方偉，李俊瑤，聶益芳，等.基于多代理系統的動態信任態勢感知機制[J].系統工程與電子技術，2017（5）：1148?1153.

[5] 劉猛，管碧強.面向服務架構的虛擬蜜網防御系統設計與實現[J].沈陽理工大學學報，2017，36（1）：56?60.

[6] 劉世文，馬多耀，雷程，等.基于網絡安全態勢感知的主動防御技術研究[J].計算機工程與科學，2018（6）：102?109.

[7] 陳興蜀，楊露，羅永剛.大數據安全保護技術[J].工程科學與技術，2017（5）：1?12.

[8] 趙國生，邵子豪，王健，等.基于生存簇識別和預測的生存態勢感知模型[J].電子科技大學學報，2018，47（4）：558?565.

[9] 龔儉，臧小東，蘇琪，等.網絡安全態勢感知綜述[J].軟件學報，2017，28（4）：1010?1026.

[10] 章學妙，傅翀，盧嘉.基于網絡安全態勢感知的網絡系統自防御體系[J].計算機應用與軟件，2017，34（9）：159?165.

[11] 季新生，徐水靈，劉文彥，等.一種面向安全的虛擬網絡功能動態異構調度方法[J].電子與信息學報，2019（10）：2435?2441.

[12] 謝連科，張永，馬新剛，等.基于無線傳感器網絡的智能變電站環境遠程監測[J].計算機與數字工程，2019（9）：2375?2380.

[13] 宋楊.基于混合加密算法的網絡安全體系構造[J].網絡安全技術與應用，2019（9）：14?15.