軟件定義網(wǎng)絡(luò)中的DDoS安全

（中國石油集團安全環(huán)保技術(shù)研究院，北京 102206）

0 引言

DDoS是分布式拒絕服務(wù)攻擊的簡稱，這種攻擊與其他攻擊相比具有較大的影響范圍，可以使多臺計算機在同一時間內(nèi)遭到破壞，進而影響設(shè)備的具體應(yīng)用。分布式拒絕攻擊的出現(xiàn)對大型網(wǎng)站的安全運行造成了嚴重影響，在軟件定義網(wǎng)絡(luò)中有效保障DDoS安全可在維護用戶正常使用狀態(tài)的前提下，保障系統(tǒng)安全，避免由于信息遺失和系統(tǒng)癱瘓產(chǎn)生經(jīng)濟損失。

1 軟件定義網(wǎng)絡(luò)中的DDoS安全保證價值

公開資料顯示，2019年，全球在通信服務(wù)、IT服務(wù)、設(shè)備、企業(yè)軟件、數(shù)據(jù)中心系統(tǒng)中的支出分別為14 390.0億美元、10 790.0億美元、6 890.0億美元、4 660.0億美元、2 020.0億美元，預(yù)計2020年，全球IT支出將達到38 750.0億美元。目前，全球信息安全市場主要以服務(wù)為主，切實保證軟件定義網(wǎng)絡(luò)中的DDoS安全，可有效優(yōu)化全球信息安全市場結(jié)構(gòu)。公開資料顯示，2014—2018年，我國網(wǎng)絡(luò)信息安全行業(yè)的市場規(guī)模分別為191.0億元、227.0億元、336.2億元、409.0億元和495.2億元，預(yù)計2021年，我國網(wǎng)絡(luò)信息安全行業(yè)市場規(guī)模將達到926.8億元。由此可知，我國對有效保障信息安全具有較高的重視程度，全面保證軟件定義網(wǎng)絡(luò)中的DDoS安全將有效提高我國在信息安全中的投入，擴大信息安全行業(yè)的產(chǎn)業(yè)規(guī)模。信息安全行業(yè)的上游產(chǎn)業(yè)主要包括硬件設(shè)備和基礎(chǔ)軟件，其中硬件設(shè)備又可覆蓋基礎(chǔ)元器件、芯片、內(nèi)存，基礎(chǔ)軟件可包括操作系統(tǒng)、數(shù)據(jù)庫、中間件等，面對信息安全事件頻發(fā)以及網(wǎng)絡(luò)安全事件出現(xiàn)對我國信息安全產(chǎn)生的嚴重不良影響，形成多元化的DDoS安全防御系統(tǒng)，并有效應(yīng)用相關(guān)現(xiàn)代化安全漏洞修復(fù)方式和攻擊檢測、攻擊屏蔽技術(shù)能夠有效保證信息安全，形成健全的信息防護體系，繼而全面落實工信部發(fā)布的《關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》，形成制度化和系統(tǒng)化的信息安全維護體系。

2 軟件定義網(wǎng)絡(luò)中的DDoS攻擊檢測

目前，我國正處于全面推進現(xiàn)代化建設(shè)的關(guān)鍵時期，信息安全是現(xiàn)代化建設(shè)的基礎(chǔ)，直接影響著現(xiàn)代化建設(shè)進程，要想構(gòu)建完善的信息安全保障體系，提高軟件定義網(wǎng)絡(luò)中的DDoS安全防御針對性，應(yīng)進行DDoS攻擊檢測，以下對檢測方法進行介紹。

按照攻擊目標，DDoS攻擊可分為節(jié)點型攻擊、鏈路型攻擊、邏輯型攻擊和反射攻擊，可對網(wǎng)絡(luò)系統(tǒng)運行狀態(tài)造成不良影響。目前，常見的DDoS攻擊主要包括SYNFlood攻擊、UDPFlood攻擊以及ICMPflood攻擊，在攻擊檢測時，應(yīng)進行數(shù)據(jù)收集和特征提取，OpenFlow系統(tǒng)具有較高的數(shù)據(jù)整合能力，可對流量數(shù)據(jù)進行清洗，并針對攻擊特征進行選擇，基于OpenFlow協(xié)議的DDoS檢測技術(shù)主要包括異常檢測和誤用檢測，在分類算法的支撐下，能夠有效利用OpenFlow特征，進行流表處理和特征選擇，繼而開展分類檢測。值得一提的是，針對傳統(tǒng)網(wǎng)絡(luò)中的DDoS攻擊以及SDN中的DDoS攻擊，在DDoS攻擊的異常檢測中還可有效應(yīng)用基于統(tǒng)計分析的DDoS攻擊異常檢測算法以及基于機器學(xué)習(xí)的DDoS攻擊異常檢測算法，提高攻擊檢測的效率和攻擊溯源的精準。

3 軟件定義網(wǎng)絡(luò)中的DDoS安全防御

3.1 基于SDSNM邏輯架構(gòu)的防御體系

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，保證信息安全和數(shù)據(jù)安全已成為我國相關(guān)部門的首要工作任務(wù)，公開資料顯示，2019年1月—2019年12月，國家互聯(lián)網(wǎng)應(yīng)急中心接受網(wǎng)絡(luò)安全事件報告數(shù)量分別為8 516.0個、6 995.0個、8 936.0個、8 722.0個、8 252.0個、7 765.0個、9 910.0個、9 405.0個、9 709.0個、13 840.0個、9 470.0個以及9 112.0個，由此可知，網(wǎng)絡(luò)信息安全態(tài)勢仍舊不容樂觀。針對軟件定義網(wǎng)絡(luò)中的DDoS安全防御，可有效應(yīng)用基于SDSNM邏輯架構(gòu)的防御體系。

該防御體系具有基于Renyi熵的DDoS檢測系統(tǒng)，該檢測系統(tǒng)中的異常檢測算法可基于特征度量值和異常度量值進行普通網(wǎng)絡(luò)流量建模，完成數(shù)據(jù)流和模型的區(qū)別對比，同時，基于Renyi熵的DDoS檢測算法則可實時檢測網(wǎng)絡(luò)的異常情況，判斷系統(tǒng)是否遭遇攻擊。以此為前提，基于SDSNM邏輯架構(gòu)的防御體系，可通過參數(shù)選擇、具體檢測、短時檢測，有效判斷網(wǎng)絡(luò)系統(tǒng)的安全環(huán)境。由此可知，基于SDSNM邏輯架構(gòu)的防御體系具有較為完善的DDoS攻擊檢測系統(tǒng)，而基于SDSNM的邏輯架構(gòu)則可使網(wǎng)絡(luò)系統(tǒng)具備DDoS攻擊防范能力。基于SDSNM邏輯架構(gòu)的防御體系主要包括邊緣網(wǎng)絡(luò)和核心網(wǎng)絡(luò)，可有效覆蓋數(shù)據(jù)平面、控制平面和應(yīng)用平面。其中，應(yīng)用平面主要包括云平臺、端系統(tǒng)以及相關(guān)SDN應(yīng)用，可有效提高系統(tǒng)對DDoS攻擊的反應(yīng)效率，精準保障信息安全。

3.2 基于OpenFlow的攻擊緩解方法

基于OpenFlow的攻擊緩解方法主要是利用Ope-Low協(xié)議和DDoS檢測技術(shù)進行的系統(tǒng)架構(gòu)，利用OpenFlow流量特征可構(gòu)建基于特征選擇的攻擊檢測方法，該方法主要通過對整合的流表信息進行數(shù)據(jù)預(yù)處理，繼而完成特征選擇，在評價準則的支持下進行特征排序，構(gòu)建特征子集，繼而完成訓(xùn)練、分類，進行攻擊的檢測分析和精準處理。以此為前提，基于OpenFlow的攻擊緩解主要體現(xiàn)在ACL管控和流量管理上，ACL管控主要是指訪問控制列表，通過對位于路由器和交換機等網(wǎng)絡(luò)設(shè)備上用來控制端口進出數(shù)據(jù)包的指令列表進行識別，對用戶訪問網(wǎng)絡(luò)資源的行為進行管理和控制，同時，還可根據(jù)信息的匹配性完成列表指令信息的調(diào)用。該防御體系能夠?qū)Τ鋈刖W(wǎng)環(huán)境進行改良，通過優(yōu)化訪問路徑，協(xié)調(diào)訪問能力，進一步保證網(wǎng)絡(luò)信息的安全和網(wǎng)絡(luò)環(huán)境的穩(wěn)定性。值得一提的是，ACL管控技術(shù)能夠與Ope-Low協(xié)議進行協(xié)同配合，完成攻擊檢測結(jié)果的響應(yīng)，繼而通過網(wǎng)絡(luò)控制器進行通信管理，從而實現(xiàn)DDoS攻擊的緩解。流量管理主要是通過限速、分流來實現(xiàn)單點故障屏蔽和攻擊緩解。另外，在基于OpenFlow的攻擊緩解方法應(yīng)用中，還可進行系統(tǒng)架構(gòu)設(shè)計和功能描述，以攻擊檢測結(jié)果為前提，DDoS攻擊緩解機制可進行結(jié)果的狀態(tài)檢測，并利用ACL管控將某些訪問行為放置于黑名單或白名單內(nèi)，通過主機選舉和流量管理，導(dǎo)出緩解決策，與OpenFlow協(xié)議協(xié)同配合，精準發(fā)布控制命令，提高網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性，降低癱瘓風(fēng)險[1]。

3.3 基于強化學(xué)習(xí)的攻擊防御體系

隨著信息技術(shù)的迅速發(fā)展，特別是云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能等新一代信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)與信息安全風(fēng)險全面泛化，種類和復(fù)雜度均顯著增加，信息安全產(chǎn)品與服務(wù)種類也不斷得到充實與細化[2]。在軟件定義網(wǎng)絡(luò)中的DDoS安全保障中，可有效利用基于強化學(xué)習(xí)的攻擊防御體系。

目前，DDoS攻擊技術(shù)主要包括資源帶寬消耗型的攻擊技術(shù)以及系統(tǒng)資源消耗型的攻擊技術(shù)，基于強化學(xué)習(xí)的攻擊防御體系主要利用了基于限速的DDoS緩解方法、馬爾可夫決策過程以及基于策略的強化學(xué)習(xí)，基于近端策略優(yōu)化算法的DDoS防御方法設(shè)計主要進行了狀態(tài)空間設(shè)計、動作空間規(guī)劃和獎勵函數(shù)設(shè)計，并利用基于分配的限流方法和考慮效率的獎賞系數(shù)，搭建強化學(xué)習(xí)框架，主要包括數(shù)據(jù)分析模塊、強化學(xué)習(xí)模塊、動作下發(fā)模塊以及完善的DDoS攻擊防御流程，能夠根據(jù)數(shù)據(jù)收集和評價標準以及機械和參數(shù)設(shè)計進行DDoS攻擊的針對性防御[3]。

3.4 基于DPDK的攻擊防御系統(tǒng)

目前，DDoS攻擊的防御渠道主要包括防火墻及入侵檢測防護系統(tǒng)、流量限速、黑洞路由、訪問限制以及流量清洗，DPDK是數(shù)據(jù)平面開發(fā)套件的簡稱，主要基于Linux系統(tǒng)運行，用于快速數(shù)據(jù)包處理的函數(shù)庫與驅(qū)動集合，可以極大地提高數(shù)據(jù)處理性能和吞吐量，提高數(shù)據(jù)平面應(yīng)用程序的工作效率。基于DPDK可架構(gòu)DDoS防御系統(tǒng)，利用DPDK數(shù)據(jù)包處理的加速原理，完成巡邏模式驅(qū)動和用戶態(tài)驅(qū)動。在基于DPDK的DDoS攻擊防御系統(tǒng)設(shè)計時，需進行系統(tǒng)需求分析，主要包括功能性需求分析和非功能性需求分析，繼而針對性完成攻擊防御系統(tǒng)的功能模塊架構(gòu)。該系統(tǒng)的功能模塊主要包括數(shù)據(jù)包檢測模塊、管理中心模塊以及流量清洗模塊，數(shù)據(jù)包檢測模塊和流量清洗模塊可將日志上報至管理中心，由管理中心進行日志收集和策略下發(fā)，對DDoS攻擊進行針對性防御。

4 結(jié)語

總而言之，嚴峻的網(wǎng)絡(luò)信息安全態(tài)勢要求軟件定義網(wǎng)絡(luò)具有完善的DDoS安全防御系統(tǒng)，切實保障信息安全和網(wǎng)絡(luò)環(huán)境安全。基于軟件定義網(wǎng)絡(luò)中的DDoS安全保障價值，應(yīng)利用相關(guān)現(xiàn)代化技術(shù)對軟件定義網(wǎng)絡(luò)中的DDoS攻擊進行全面檢測，并利用基于SDSNM邏輯架構(gòu)的防御體系、OpenFlowow的攻擊緩解方法、強化學(xué)習(xí)的攻擊防御體系以及基于DPDK的攻擊防御系統(tǒng)保障信息安全。