基于OpenFlow交換機端口混淆的移動目標防御機制

張昭俊，韓 俐

(天津理工大學 計算機科學與工程學院，天津 300384)

0 引 言

近年來，新型網絡威脅呈現出全球蔓延態勢，新型攻擊更隱蔽、手段更先進、持續性更強，要求網絡安防系統的響應時間更短。傳統防護手段，如防火墻、安全網關、安全軟件等靜態被動式防御手段，具有對威脅感知天然的滯后性和局限性，只有當網絡攻擊已經或正在發生才能采取防范行動，難以應對大規模有組織、有意圖的突發性攻擊。當前網絡環境中，安全防御所需的花費與攻擊者攻破網絡的努力嚴重不對等。防御者需要花費大量的資源為系統添加各種安全防御手段，而攻擊者只需找到系統中存在的某一個漏洞，就能發動有效的攻擊，使得防御者始終處于不利地位。為應對傳統網絡安全防護的被動局面，移動目標防御(moving target defense，MTD)[1]作為一種顛覆性的安全防御理念，嘗試改變游戲規則的主動防御機制被提出。MTD的思想是通過動態改變基礎設施屬性，持續地改變攻擊面，使網絡配置具備隨機性和動態性。MTD包含多種實現方式，其中包括對軟件多樣性的實現[2]、底層指令的變化[3]和網絡層的移動目標防御[4]等，能自動地改變一個或多個系統屬性，從而使系統攻擊面對攻擊者是不可預測的。攻擊者必須調用大量的資源，分析、探測不斷變化的攻擊面來獲取有用信息，且探測和分析難度隨著時間的推移而增大。這無疑增加了攻擊者對網絡信息獲取的復雜度，增加攻擊者的攻擊難度和代價，打破了現有攻防雙方信息的不對稱性，使攻防天平向防御方傾斜，讓攻擊者和防御者處于同等地位，有效提升網絡空間安全性。

軟件定義網絡(software defined network，SDN)[5]是斯坦福大學Clean slate實驗室提出的一種新型的基于軟件定義的網絡架構及技術。SDN的設計理念是將網絡的控制平面和數據轉發平面進行分離，邏輯上的集中控制層面具備網絡全局視角，進行資源的全局調配和優化，提升網絡控制的便捷性。SDN重構傳統網絡架構及安全體系，可以實現高效網絡管控和資源調度，其控制與轉發平面分離、集中控制、開放可編程、流表轉發等特性，有利于提升安全防護靈活性、智能性和協同性，推動網絡能力便捷調用，支持網絡業務創新，給網絡安全領域的發展帶來了新機遇。

SDN架構雖然有很多優點，但其所面臨的安全性問題成為限制SDN廣泛應用的關鍵因素，數據平面的網絡設備只是簡單的轉發元素，容易引發諸多安全問題[6-7]。在OpenFlow協議[8]中，轉發設備需要在控制平面下發流規則前進行數據緩存，因此容易受到存儲器飽和攻擊。在遭受DoS攻擊時，流表存儲空間迅速耗盡，后續數據流被丟棄，導致拒絕服務。對OpenFlow交換機的竊聽和篡改攻擊，非法篡改控制器下發的流規則，導致流規則不一致，喪失可靠性，使網絡不穩定。偽交換機長期存在網絡中，可以竊聽用戶通信數據，截獲用戶口令，錯誤或拒絕執數據流處理規則，造成拒絕服務攻擊。

端口跳變是一種典型的移動目標防御技術[9]，傳統的端口跳變技術往往是通過算法不斷地改變用戶數據報協議(user datagram protocol，UDP)/傳輸控制協議(transmission control protocol，TCP)的端口號，通信雙方不斷地通過新端口建立連接，使攻擊者無法探測到網絡通信雙方實時有效的通信端口，導致攻擊失效。但是這種防御方式只能應對針對終端主機的攻擊，對交換機的攻擊(如非法交換機的接入)不具備任何防御能力。

該文將MTD和SDN技術優勢有機結合，提出基于OpenFlow交換機端口動態混淆的移動目標防御機制，增強網絡設備配置參數的隨機性和動態性，實現數據在SDN網絡架構下的通信安全，增加攻擊者的實施難度，降低攻擊成功率。

1 相關工作

針對計算機網絡信息面臨巨大的安全威脅，端口跳變技術應運而生。Jajodia等[10]定義了移動目標防御中攻擊面的相關概念，并提出了空間隨機化、指令集隨機化、數據隨機化等多種攻擊面移動方法。Hong等[11]總結了3種移動目標防御策略，包括混亂化、多樣化和冗余化。Kampanakis等[12]提出了SDN架構下針對網絡映射和偵察的解決方法。該方法通過對惡意數據報文進行檢測，并對這些惡意數據報文進行隨機化處理操作。但是該方法建立在有效識別出惡意數據報文的基礎之上，如果沒有識別出攻擊者的惡意數據報文，那么該方法將不會產生任何有效的防御效果。G.Badishi等[13]為緩解DoS攻擊，提出了隨機端口跳變(RPH)算法，其主要思想是通信雙方之間存在兩條通信鏈路，一條用于雙方的數據通信，另一條用于傳遞通知進行端口跳變的ACK消息，此方法中用于跳變同步的ACK消息暴露在通信鏈路中，容易被攻擊者截獲和篡改，導致跳變不同步，造成通信中斷。Kousaburou Hari[14]通過分析ACK消息丟失或被截獲等不同情況，提出了改進的RHP算法，在通信雙方部署兩套隨機端口跳變策略，其中一套策略遭受攻擊后，通信雙方仍能通過備用端口進行通信。范曉詩等[15]提出了可變時隙端口跳變算法，通過在正常傳輸條件下延長端口傳輸時隙，減少端口跳變造成的通信開銷，當發現可疑入侵行為時則加快跳變的頻率，達到抵抗攻擊的效果。Lee等[9]為了緩解DoS/DDoS攻擊所帶來的危害，提出了一種端口跳變技術，其主要思想是服務器和交換機之間共享一個秘密，保證合法數據流的服務質量水平在可接受范圍內的前提下，服務器通信所使用的TCP/UDP端口號隨時間和共享秘密的變化而變化。唐秀存等[16]將移動目標防御中的端口跳變技術應用到SDN網絡中的DoS攻擊防御中，將服務端的端口跳變模塊前移到SDN控制器，SDN控制器作為DoS攻擊的過濾網關，檢查網絡連接是否符合當前時隙開放端口，控制數據流進入網絡，抵御DoS攻擊。胡毅勛等[17]提出了基于OpenFlow的網絡層移動目標防御方案，其主要思想是域內通信的網絡流量在所經鏈路上的每一跳交換機都進行源和目的IP地址的改變，實現網絡地址的邏輯移動。域間通信流量使用端口跳變，實現跨域通信節點的隱藏。

基于上述事實，SDN與MTD相結合能夠有效地防御外部攻擊者對網絡的攻擊和破壞，但是對于SDN內部數據轉發層的核心設備——OpenFlow交換機的安全防御卻相對較少，SDN內部OpenFlow交換機的安全問題日益突出。該文提出的基于OpenFlow交換機端口混淆的移動目標防御機制，能有效防范偽交換機接入網絡造成的破壞。

2 端口混淆防御機制

2.1 機制設計

控制器與OpenFlow交換機初次連接時進行端口變換值和端口變換值生存時間的初始化。控制器和交換機建立連接時，雙方在握手過程中通過系統預設的值對端口變換值及端口變換值生存時間進行初始化，同時將真實端口號和變換后的端口號及其生存時間存儲在端口變換表中，端口變換表結構如表1所示，以保證控制器和交換機進行端口混淆的同步性和數據轉發端口的一致性。

端口變換表主要包含4部分：交換機ID(dpid)、真實端口號(port)、端口變換值(tport)和端口變換值生存時間(pst)。交換機真實端口號是交換機創建時系統默認端口號，端口變換值是通過端口混淆算法生成的混淆端口值，用于在流表項中顯示的output端口號。端口變換值生存時間是當前生成的端口變換值的存在時間，決定是否對當前端口變換值進行新一輪混淆。

控制器每次處理Packet_in消息進行規則生成時，根據正確的數據轉發端口在端口變換表中查找對應的端口變換值，隨后生成相應的流規則，下發到交換機。同時，相應端口號的生存時間衰減。OpenFlow交換機端接收到控制器下發的流規則后，根據流規則中的變換端口號在端口變換表查找到對應的數據轉發端口，并執行流規則進行數據轉發處理，同時將端口的生存時間衰減。當控制器和交換機端口的生存時間為零，則依據剛處理的數據報文中的相應信息，調用端口混淆算法生成新的端口變換值并存儲在端口變換表中，端口變換值的生存時間也一并更新。隨后對端口混淆前相應流規則進行刪除，確保數據流能根據混淆后的端口信息進行正確轉發，保證網絡通信正常。控制器端和交換機端處理流程如下所示。

控制器端處理流程：

(1)接收到Packet_in消息。

(2)查找端口變換表，根據正確轉發端口確定變換端口。

(3)端口生存時間衰減，判斷其是否為零，不為零跳轉到步驟(7)。

(4)提取數據流信息，流規則生成并設置超時時間，通過flow_mod消息下發到交換機。

(5)調用2.3節端口混淆算法生成新的端口變換值。

(6)更新端口變換表，跳轉到步驟(8)。

(7)流規則生成并通過flow_mod消息下發到交換機。

(8)結束。

交換機端處理流程：

(1)接收到控制器下發的flow_mod消息。

(2)端口變換表中查找相應的端口號。

(3)根據查找到的端口號執行相應的流規則，端口生存時間衰減。

(4)判斷端口生存時間是否為零，不為零則跳轉到步驟(9)。

(5)提取數據流緩存信息，調用2.3節端口混淆算法生成新的端口變換值。

(6)更新端口變換表。

(7)刪除過期流表項。

(8)流規則超時刪除對應流表項。

(9)結束。

2.2 基于flow_mod消息的同步方式

端口混淆對控制器和交換機之間混淆同步性要求較高，控制器和交換機之間必須使用相同的混淆算法和混淆規律，以及在進行混淆時使用的種子信息，從而保證網絡通信正常。否則很容易造成控制器下發的流規則失效，網絡通信中斷。

傳統的端口跳變技術中主要有嚴格的時間同步機制[9]、ACK報文同步機制[12]和使用基于時間戳的同步方式[18]。嚴格的時間同步機制在網絡擁塞狀態和高時延狀態下將失去作用，導致跳變不同步，網絡通信異常。ACK報文同步機制將同步信息封裝在ACK報文中，ACK報文易丟失或被攻擊者截獲。Zhang等[19]提出了基于端口跳變的SDN環境中DoS緩解機制(PHS-DM)，利用時間戳反饋機制實現端口的同步跳變，但此方法部署難度大，實現復雜。

該文提出的端口混淆機制中控制器和交換機之間的同步既沒有使用嚴格的時間同步機制，也沒使用ACK報文同步機制，而是采用控制器下發給交換機的流規則消息flow_mod消息的數量實現同步問題。

在控制器與交換機在建立連接過程時，雙方通過系統內置的默認值對相應的端口變換值生存時間進行初始化。控制器進行流規則生成時，根據數據轉發時交換機的真實端口號查詢端口變換表中的變換端口號，隨后將此端口變換值生存時間減一，并檢查是否為零，如果為零，提取數據包中相關信息，將生成的含有變換端口號的流規則通過flow_mod消息下發到對應的交換機，調用端口混淆算法，生成新的端口變換值，更新端口變換表中的端口變換值及其生存時間。交換機接收到控制器下發的包含流規則的flow_mod消息后，根據流規則中的端口號查找端口變換表，得到真實的端口號，并根據端口號進行數據轉發，隨后將端口的生存時間減一，判斷是否為零，如果為零則根據交換機內緩存的數據流信息提取端口混淆算法中的種子信息，進行端口混淆，更新端口變換表中的端口變換值和生存時間。

該文提出的利用交換機和控制器之間的flow_mod消息實現雙方端口混淆同步方法，省卻了雙方的同步開銷。通信信道內只有控制器與交換機間的控制消息，沒有其他的數據流干擾，有效降低了flow_mod消息的丟失率。此外，部署與實施更加方便靈活。

2.3 端口混淆算法

控制器和交換機根據進入數據流信息生成端口變換值Portupdate。Portupdate=f(IPseed,Portold,Portseed)，其中f是偽隨機數生成算法。Portseed為以數據報文中源、目的端口號等信息所生成的端口種子，IPseed為從數據報文中提取出的源、目的IP地址等信息所生成的地址種子。其流程圖如圖1所示。

圖1 端口混淆算法流程

對于數據報文中源IP地址為IPsrc=192.168.1.X，目的IP地址為IPdst=192.168.2.Y的端口變換過程如下：

(1)計算端口種子Portseed，如式(1)所示，其中Portold為上一次端口變換后的通信端口，Portsrc為此次端口變換的數據報文中的源端口號，Portdst為此次端口變換的數據報文中的目的端口號。

Portseed=Portold(Portsrc+Portdst)mod65536

(1)

傳統的端口跳變技術中65 536個可能端口中有1 024個標準端口被占用[20]，而交換機端口混淆中不存在這種現象，在端口混淆中的可用端口個數為65 536個。

(2)計算IP地址種子IPseed，如式(2)所示。

IPseed=(X+Y)(Portsrc+Portdst)mod256

(2)

(3)根據以上計算的端口種子Portseed和IP種子IPseed計算得出端口變換值Portupdate，如式(3)所示。

Portupdate=(IPseed×Portold+Portseed)mod65536

(3)

(4)端口變換值的檢測。檢測新生成的端口變換值是否已經被其他策略使用，如已被使用，則將此端口號作為Portold，重新調用端口混淆算法進行新的端口號的生成，直到不再重復為止。

端口混淆算法充分利用網絡中通信雙方的數據報文中源、目的IP地址和端口號等信息作為端口混淆的種子信息，交換機每次進行端口混淆時種子信息是不確定的，混淆后端口是隨機的，網絡配置信息動態化、隨機化變化。

2.4 防御能力分析

偽交換機非法接入網絡，控制器向交換機下發流表項時，流表項中包含的動作端口號是經過混淆算法計算出來的，偽交換機中不存在端口變換表和端口混淆算法，無法解析出正確的端口進行數據轉發，攻擊者必須在端口生存時間內計算出正確的端口號并進行轉發才能長期潛伏在網絡中造成更大的破壞。假設攻擊者的計算能力為Sc，n為端口混淆時所有可用端口數量，端口生存時間為t，待處理數據流數為m，攻擊者計算出真實端口的成功率R，則:

(4)

從式(4)中可以看出，端口的生存時間越短，當前網絡中待處理的數據流越多，攻擊者計算出真實端口號的成功率越低。

假設攻擊者分析第i個端口時的計算開銷為Scali，單個端口的計算開銷為Scal，如果端口混淆算法計算所生成的端口號與交換機的真實端口號對應是順序遞增的，則攻擊者的計算開銷最小為：

(5)

如果通過端口混淆算法生成的端口號對應的交換機的真實端口號是逆序的，則此時攻擊者的計算開銷最大為：

(6)

綜合式(5)、式(6)可知，攻擊者的總體開銷Ssum為O(n)≤Ssum≤O(n2)。

從系統安全性考慮，可以適當減小端口變換值的生存時間，加快端口變換速率，增強系統防御能力。此外，交換機動態進行端口混淆，在不同的時間內其轉發端口也是不同的，攻擊者很難確定下次數據轉發的端口號，攻擊者需要不停地計算轉發端口，消耗大量資源，降低了攻擊成功率。

3 仿真實驗

3.1 算法性能測試

使用MATLAB Performance Test測試框架對2.3節提出的端口混淆算法運行時間性能進行測試，解析基于類的測試得到的原始數據，對每一次算法運行時間繪制折線圖，如圖2所示。

圖2 算法運行時間測試

MATLAB通過測量數據集是否達到統計目標決定運行次數，從圖2的結果中可以看出，一共對算法進行了8次性能測試。其中前4次測試結果是預備代碼[21]，后4次測試結果是對代碼的正式測試。對測試結果進行3階擬合，可以明顯看出正式測試與預備代碼在運行時間上有著不同的分布，預備代碼測試時間明顯高于正式測試，隨著預備代碼，算法運行時間變短，正式測試代碼運行時間趨于平緩。為避免代碼在運行過程中的編譯和優化對代碼測試性能造成影響，剔除預備代碼測試結果，對正式測試結果求均值得到統計意義上的結果，如圖3所示。可以看出代碼運行時間極短，端口混淆不會增加過多的數據處理時延，能有效滿足當前數據傳輸的需要。

圖3 算法運行平均時間

3.2 防御機制有效性測試

為了測試端口混淆主動防御機制的有效性，該文使用Mininet網絡模擬器[22]模擬并搭建簡易SDN網絡測試網絡環境，采用Ryu[23]作為SDN控制器。網絡拓撲為兩臺主機h1、h2連接到同一臺OpenFlow交換機，主機h1和h2進行通信。通過Mininet模擬器模擬實驗網絡環境，交換機初始化時默認使用的端口號為1和2，主機h1與h2通信，主機間能正常通信，查看交換機中流表，其結果如圖4所示。

圖4 交換機流表項

從圖4中可以看出交換機s1中存在3條流表項，最后一條流表項為漏表項，用于將沒有匹配到流表項的數據報文通過Packet_in消息上傳到控制器，由控制器決定轉發策略。前兩條流表項為處理主機h1與h2通信的流規則，從中可以看出兩條流表項中動作output的端口號均不是1或2，而是交換機中并不存在的端口號，兩條流表項均正確匹配并轉發數據報文，兩主機正常通信。

偽交換機加入網絡后，主機h1和h2通過偽交換機進行通信，圖5顯示的是偽交換機中的流表項。偽交換機中只有兩條流表項，第二條為漏表項，第一條是針對主機h2發往主機h1的應答包的流處理規則，偽交換機不能正確解析出actions中的端口號，不能進行正確的轉發，從而防止偽交換機對網絡的破壞。

圖5 偽交換機流表項

從以上實驗結果可以看出，沒有端口混淆防御機制的偽交換機不能正確解析出控制器下發的含有混淆端口號的流規則，無法根據流表項中的端口號獲取網絡拓撲，即使攻擊者構造出流表項將所有通過偽交換機的流量發往某特定一鏈路或主機進行DOS攻擊，由于無法獲取網絡拓撲相關信息不能進行有效的網絡攻擊。而部署端口混淆防御機制的交換機能正確解析出流表項中的端口號進行數據轉發，網絡通信正常。

4 結束語

針對軟件定義網絡中所面臨的偽交換機安全問題，提出了通過動態混淆交換機端口號的方法實現移動目標防御的機制，該機制充分利用數據報文內IP地址和端口號信息作為端口混淆種子信息，使交換機進行端口混淆時具有充分的隨機性。交換機和控制器間通過流規則下發次數實現端口混淆同步，不需要嚴格的時間同步，也不需要發送額外的同步報文，進一步增強了防御機制的安全性，增加了攻擊者獲取網絡信息的難度，能有效地防范非法交換機對網絡的攻擊。