SDN網絡抗DDoS動態(tài)縱深防御體系設計

０引言軟件定義網絡是一種數(shù)據(jù)面和控制平面分離的網絡模式，在此網絡架構下的應用中，決定整個網絡轉發(fā)行為的控制器自然成為攻擊者的目標，攻擊者只要控制了控制器就可以控制整個網絡。目前網絡控制器面臨的DDoS攻擊是一種較難防御的網絡攻擊，它會呈現(xiàn)出基于時間、空間、強度等多維度、多層次攻擊隨機分布的特點，本文提出一種安全防御體系的設計，針對DDoS特征構建相應多維度多層次的動態(tài)縱深防護體系，將內生可信、擬態(tài)異構等作為內生安全防護基礎，從攻擊者發(fā)起的攻擊生命周期角度，建立一個縱深檢測、態(tài)勢感知、決策處置的閉環(huán)反饋體系，全面覆蓋攻擊者攻擊的主要路徑和環(huán)節(jié)，同時引入大數(shù)據(jù)威脅分析，機器學習等技術，從而實現(xiàn)智能防御能力的持續(xù)提升，縮短網絡空間安全對抗的不對稱性。１SDN網絡控制面臨的DDoS威脅軟件定義網絡SDN（SoftDefinedNetwork）是一種新的數(shù)據(jù)面和控制平面分離的網絡模式。在SDN中，控制器決定了整個網絡的行為。這種邏輯集中在一個軟件模塊的方式提供了多個好處。首先,通過軟件來修改網絡策略比經由低級別的設備配置更簡單和更不容易出錯。第二，控制程序可以自動地響應在網絡狀態(tài)變化，以保持高級別策略。第三,簡化了網絡功能發(fā)展，使得原本復雜的網絡設備可以簡單化和通用化。由于具有上述優(yōu)點，SDN網絡技術具有較好的應用前景。但是，SDN的網絡可編程性和集中式控制平面也給網絡帶來了一些新的安全威脅。集中的控制平面很自然成為攻擊者的目標，攻擊者只要控制了控制器就可以控制整個網絡。同時，網絡可編程性產生的副作用是打開了之前不存在的新威脅的大門。例如，攻擊可能利用一組特定的可編程設備的一個奇特的脆弱性損害了部分網絡。因此，安全性問題應在SDN的設計中首先予以考慮。DDoS攻擊根據(jù)攻擊方式大致劃分為3類：泛洪攻擊、畸形報文攻擊、掃描探測類攻擊，從網絡層次的劃分見表1所示。表1DDoS攻擊種類列表如下圖1所示為SDN網絡控制平面所面臨的多種威脅，包括應用層面、控制層面、數(shù)據(jù)平面等面臨的安全威脅，攻擊可以來自北向、東西向、南向等多種攻擊實體。圖1SDN控制器面臨的安全威脅示意圖1.1北向接口威脅北向通道指SDN網絡控制器向第三方開放的API接口，用戶可以通過這些開放接口開發(fā)應用，并在SDN網絡上部署，體現(xiàn)了SDN技術的開放性和可編程性。從傳統(tǒng)的API設計來看，設計者們注重的是保證API執(zhí)行過程無差錯，而忽視了API的安全性和魯棒性。近年來，盡管設計者們在盡力設計安全的API,但各種缺陷仍然出現(xiàn)在很多已部署的API中。有研究者提出，如果不能完全消除API中的安全缺陷，可以考慮開發(fā)一種新的設計標準來減少API使用帶來的負面影響。北向通道向上層提供接口時需要設置數(shù)據(jù)保護措施，防止第三方訪問核心數(shù)據(jù)。由于應用程序種類繁多且不斷更新，目前北向接口對應用程序的認證方法和認證力度尚沒有統(tǒng)一的規(guī)定。此外，相對于控制層和基礎設施層之間的南向接口，北向接口在控制器和應用程序之間所建立的信賴關系更加脆弱，攻擊者可利用北向接口的開放性和可編程性，對控制器中的某些重要資源進行訪問。因此，對攻擊者而言，攻擊北向接口的門檻更低。目前，北向接口面臨的安全問題主要包括非法訪問、數(shù)據(jù)泄露、消息篡改、身份假冒、應用程序自身的漏洞以及不同應用程序在合作時引入的新漏洞等。1.2南向接口威脅OpenFlow是SDN網絡中一種常用的南向標準協(xié)議，其協(xié)議本身存在漏洞。例如，OpenFlow協(xié)議要求在建立連接過程中，連接雙方必須先發(fā)送OFPT_HELLO消息給對方，若連接失敗，則會發(fā)送OFPT_ERROR消息，那么攻擊者可以通過中途攔截OFPT_HELLO消息或者偽造OFPT_ERROR消息來阻止連接正常建立。另外，攻擊者可能惡意增加decrementTTL行為使數(shù)據(jù)包在網絡中因TTL耗盡而被丟棄。同時，如果OpenFlow連接在中途中斷，交換機會嘗試與其余備用控制器建立連接，如果也無法建立連接，則交換機會進入緊急模式，正常流表項從流表中刪除，所有數(shù)據(jù)包將按照緊急模式流表項轉發(fā)，正常的數(shù)據(jù)轉發(fā)完全失效，導致底層網絡癱瘓。有研究者提出了一種策略，通過基于可靠性感知的控制器部署以及流量控制路由，提高OpenFlow連接的可靠性，并盡可能實現(xiàn)連接失效后快速恢復。其次，Openflow處于SDN網絡數(shù)據(jù)轉發(fā)層與SDN網絡控制層之間，這個單一的接口面臨擴展性問題。OpenFlow接口的擴展性問題導致攻擊者能夠通過發(fā)送特定的大量的流請求數(shù)據(jù)包，使得這個缺乏擴展性的接口遭受拒絕服務攻擊。造成擴展性問題以及由此發(fā)展而來的拒絕服務攻擊隱患的根本原因在于OpenFlow接口分隔網絡控制層與網絡轉發(fā)層，使得網絡控制層集中化以方便對網絡數(shù)據(jù)流進行細粒度控制的工作方式。當OpenFlow轉發(fā)層設備接收到一個新的數(shù)據(jù)包，轉發(fā)層設備查詢自己的流表項，發(fā)現(xiàn)沒有與新數(shù)據(jù)包對應的網絡流匹配的流表規(guī)則時，轉發(fā)層設備會將該數(shù)據(jù)包發(fā)送給控制器?？刂破鹘邮盏皆摂?shù)據(jù)包后，通過計算生成流表規(guī)則，將此流表項通過OpenFlow接口下發(fā)給轉發(fā)層設備，以此規(guī)定轉發(fā)層設備如何處理該數(shù)據(jù)包對應的網絡流。但是，由于控制器是網絡的集中智能處理點，用于處理這些網絡流轉發(fā)需求的計算，因此，集中處理很快就體現(xiàn)出了擴展性問題，尤其是在網絡面對如拒絕服務攻擊等突發(fā)數(shù)據(jù)流時。更為嚴重的是，由于轉發(fā)層設備接收到的數(shù)據(jù)包能夠驅動轉發(fā)層設備與控制層設備的直接通信聯(lián)系，當一個控制大量僵尸主機的攻擊者產生一系列大量的獨立的新網絡流通信請求的時候，由于每個新網絡流通信請求都產生一個新的不能夠被轉發(fā)層設備當前流表規(guī)則應對的數(shù)據(jù)包，因此，每一個這樣的新數(shù)據(jù)包都會驅動轉發(fā)層設備與控制層設備之間的通信聯(lián)系。而這些通信聯(lián)系全部都要經過OpenFlow接口，所以，OpenFlow接口在面對這類大量的新網絡通信流請求時，很容易達到飽和狀態(tài)，而無法應對其它通信需求。1.3東西向接口威脅網絡控制器東西向接口主要完成主從節(jié)點的選舉，數(shù)據(jù)信息的同步，面臨的威脅如下包括會話劫持、飽和流拒絕服務攻擊等。會話劫持由于SDN控制器之間采用軟件接口的方式連接，攻擊者假冒SDN控制器集群節(jié)點，采用重放攻擊等攻擊方式就可能對控制器的東西向會話進行劫持，能達到對網絡控制器設備狀態(tài)同步等數(shù)據(jù)進行惡意篡改、數(shù)據(jù)竊取等目的。一旦SDN控制器被攻擊者非法接入，攻擊者可能竊取網絡拓撲、配置相關的數(shù)據(jù)庫信息，或者對數(shù)據(jù)與控制器程序進行篡改，并以此為基礎實施其他攻擊與破壞。飽和流拒絕服務攻擊也是一種針對SDN控制器的拒絕服務攻擊，類似傳統(tǒng)網絡中的DDoS攻擊，主要針對控制器東西向的通信接口發(fā)起大量的連接請求，消耗服務器系統(tǒng)資源為目的，它不但能夠嚴重破壞控制器正常工作，還能夠導致交換機無法進行數(shù)據(jù)轉發(fā)。２抗DDoS縱深防御體系架構設計SDN控制面是網絡的控制中心，其必然成為攻擊的首要對象。分布式拒絕服務攻擊是一種耗盡型攻擊，其主要特點在于攻擊的流量強度大，攻擊時間不可預測，攻擊種類也不可預測，攻擊來源分布于網絡的許多地方，因此這類攻擊的防御難度較大。為了應對上述DDoS攻擊，設計了基于多層次的縱深防御體系。SDN網絡管理面，搜集網絡控制面、數(shù)據(jù)面上報的DDoS安全事件進行綜合分析，通過威脅分析和智能決策完成安全防護策略的下發(fā)，最終通過響應處置中心完成處置響應策略的下發(fā)，在控制面、數(shù)據(jù)面協(xié)同阻斷已發(fā)現(xiàn)的DDoS攻擊，其架構如下圖2所示。圖2

SDN控制面抗DDoS架構威脅阻斷主要體現(xiàn)在兩個方面開展。首先是網絡控制面，基于動態(tài)編排的虛擬化安全防護資源及調度的主機防護開展。其次是網絡數(shù)據(jù)面，基于軟件定義的全網分布式多級縱深安全協(xié)同防御體系開展。SDN網絡控制面按需編排調度相應的安全防護資源，可以實時監(jiān)測攻擊的發(fā)起，從而啟動相應內部或外部的流量清洗資源開展防御?？紤]網絡的健壯性與安全性，主要體現(xiàn)在被攻擊的情況下，如何保證服務鏈的功能能夠正常地運行而不被影響。DDoS一般呈現(xiàn)出隨機性的特征，其強度、種類、時間都不可預測，因此在編排安全功能服務鏈的映射過程中可以采用同一網元功能映射出多臺同一功能的虛機或容器，這些虛機與容器可以位于不同的物理實體服務器平臺上，同一服務鏈的業(yè)務由不同的相同功能虛機或容器共同分擔完成，一旦某臺服務器發(fā)生硬件或者軟件上的故障，可以快速地將該服務器上虛機或容器所承載的業(yè)務流量導流到其他物理機上對應功能的虛機或容器，實現(xiàn)網絡功能的快速無縫切換，最大程度提升網絡的魯棒性。除了考慮上述優(yōu)化的目標之外，在服務鏈的映射過程中應該考慮到一個重要的問題是，服務鏈的映射不應該僅僅是靜態(tài)的服務映射，在整個系統(tǒng)運行的過程中，用戶的需求會存在不斷變化的情況，流量的到達會隨著網絡用戶行為的不同而有所變化，導致單條服務鏈所需的計算、存儲、網絡資源是動態(tài)變化的；此外，服務鏈本身的數(shù)量也是在不斷變化，部分網絡業(yè)務需要臨時啟動，部分業(yè)務在完成了業(yè)務服務之后需要關閉，這些動態(tài)的過程對服務鏈的映射提出了新的挑戰(zhàn)，這要求在服務鏈的映射過程中，充分考慮當前網絡的現(xiàn)狀，同時預測未來網絡業(yè)務的變化趨勢，基于這些信息進行網絡的業(yè)務服務鏈的映射，以便于進一步的服務擴容與節(jié)能安排。此外，SDN網絡為了抗擊大規(guī)模的DDoS攻擊，需要利用分級分域的流量清洗中心完成。為了遵循盡量從源頭抑制攻擊的原則，SDN控制面需要掌握全局的網絡拓撲以及安全清洗資源的分布，通過優(yōu)化計算可以牽引來自不同入口的威脅流量就近完成清洗。３基于虛擬化安全資源動態(tài)編排的主機防護設計SDN網絡控制器軟件通常運行在高性能服務器的環(huán)境中，因此服務器的主機安全防護能力是整個SDN控制器軟件穩(wěn)定可靠運行的基礎，需要構建一個基于可信安全的主機防護架構。整個安全可信SDN控制器防護體系架構，如下圖3所示。圖3安全可信SDN控制器主機防護體系其中，安全可信計算運行環(huán)境，采用可信根為引導，完成整個運行環(huán)境不受外界木馬植入的威脅,實現(xiàn)運行環(huán)境的受控運行。通過可信運行控制，完成上層應用程序基于白名單的安全運行控制，以防止惡意程序或未知病毒的運行。主機入侵防護軟件,安裝運行在SDN控制器程序的同一虛擬機內，主要完成主機的安全防護功能，對各類已知、未知攻擊和惡意代碼進行檢測分析，主要包括可執(zhí)行文件掃描、進程行為監(jiān)控、惡意代碼分析、流量攻擊監(jiān)測等，為計算環(huán)境抵御攻擊提供支撐。安全防護虛擬機，提供L2?L7安全防護功能，能夠與虛擬交換機、虛擬機管理系統(tǒng)之間實現(xiàn)無縫結合。根據(jù)攻擊強度，可動態(tài)編排分配此虛擬機資源性能及數(shù)量，實施防護能力按需擴展，可與網絡控制器1：N配置（NN1）。其安全防護功能采用精細化多層過濾防御技術，通過報文合法性檢查、

特征過濾、虛假源認證、應用層認證、會話分析、行為分析、智能限速等技術手段，阻斷針對協(xié)議棧的威脅攻擊、具有特征的DDoS攻擊、傳輸協(xié)議層威脅攻擊、應用協(xié)議層攻擊、異常連接威脅、慢速攻擊、突發(fā)流量攻擊等。安全綜合管理虛擬機，作為一個獨立的虛擬機存在，實現(xiàn)安全監(jiān)測預警和綜合決策管理功能。安全監(jiān)測預警模塊通過運行在其他虛擬機上的探針上報各類安全事件和日志信息，實現(xiàn)對網絡數(shù)據(jù)的實時監(jiān)測分析，及時發(fā)現(xiàn)各類網絡威脅攻擊，實時監(jiān)測各類主機安全運行狀態(tài)，產生并展現(xiàn)網絡控制器的安全態(tài)勢，為安全綜合決策處置提供重要支撐。安全綜合決策管理模塊，通過安全監(jiān)測預警模塊提供的安全態(tài)勢信息，通過綜合智能決策（應急預案庫、知識庫、機器學習）完成安全應急處置任務的創(chuàng)建與下發(fā)。４全網分布式多級安全協(xié)同防御設計由于常見的DDoS攻擊呈現(xiàn)分布式特征，其強度、時間、攻擊類型都存在不確定性，因此為了適應高強度的攻擊主機防護能力是不夠的，需要全網構建多級檢測及清洗防御架構，防御級別、資源數(shù)量和力度均隨著攻擊強度進行自適應和調整，此外為了應對分布式攻擊，需要建立分布式的區(qū)域檢測和清洗中心的模式進行聯(lián)動響應，將流量盡可能的在源頭被抑制。DDoS主要是耗盡型攻擊，其特征呈現(xiàn)為大流量，因此需要監(jiān)測、清洗、評估閉環(huán)控制。其中流量監(jiān)測的主要工作是分類統(tǒng)計流量，和預先配置的檢測閾值進行比較來判斷是否啟動清洗，閾值的合理設置涉及到周期性的網絡流量統(tǒng)計和機器學習等動態(tài)流量基線技術，在檢測中也涉及到針對精細化的逐包檢測以及抽樣方式的逐流檢測等不同類型，以及基于大數(shù)據(jù)的信譽體系構建，使得系統(tǒng)的檢測和處理更加高效。其次，清洗技術涉及到報文攻擊特征的識別與過濾，釆用預置攻擊特征的靜態(tài)指紋與自動學習的動態(tài)指紋相結合，其中可以引入人工智能機器學習等新技術實現(xiàn)自動提取指紋特征。如下圖4所示為一個全網分布式多級縱深安全協(xié)同防御的體系架構，隨著攻擊強度的增加，一旦超過流量閾值門限，SDN控制器集群會上報安全事件給全網監(jiān)測預警中心，由監(jiān)測預警中心通過事件分析與智能決策，按照就近引流原則牽引全網攻擊流量至多個分布式部署的區(qū)域清洗中心，完成DDoS攻擊流量