软件定义网络安全机制研究

2017-03-11胡光武张超钦

网络安全技术与应用 2017年5期

关键词：数据包架构控制器

◆胡光武张超钦

（1.深圳信息职业技术学院计算机学院广东 518172；2.郑州轻工业学院计算机学院河南 415700）

软件定义网络安全机制研究

◆胡光武1张超钦2

（1.深圳信息职业技术学院计算机学院广东 518172；2.郑州轻工业学院计算机学院河南 415700）

软件定义网络（Software-Defined Networking，SDN）是一种可编程的集中管控的新型网络架构，利用以上特点，已有文献对传统网络中存在的问题，特别是网络安全问题提出了解决方案。本文从SDN安全应用以及SDN自身安全两个方面对已有SDN安全文献进行调研，并予以分类综述，最后研究工作进行了总结。

软件定义网络；安全机制；控制器；网络操作系统

0 引言

软件定义网络（Software-Defined Networking，SDN）是一种将传统路由转发设备的控制平面与数据转发层面分离，从而实现网络集中管控的新型网络架构。因其具有全局网络视图、集中管控、动态响应，统一编程等特点，近年来得到学术界和工业界在大力研究。本文利用以上特点，已有文献对传统网络中存在的问题，特别是网络安全问题提出了解决方案。这些基于 SDN架构的网络安全问题研究主要分为两大类：一是研究利用 SDN架构解决传统网络中存在安全问题，如网络攻击检测、DoS攻击检测与抑制，认证授权等；二是研究SDN架构自身存在的安全问题，如非授权访问，恶意程序检测、配置安全性等。在对以上文献进行全面分析整理的基础上，本文将从以上两方面对 SDN安全机制研究予以综述。

1 SDN安全应用研究

基于SDN的安全应用主要通过SDN的反馈控制机制实现，即应用首先搜集各 SDN转发设备上数据流的统计信息，然后根据以上数据进行异常或入侵检测，最后向 SDN转发设备下发控制规则实现网络保护。

1.1 网络异常检测及阻止

SnortFlow是一种通过搜集Snort节点数据，并对数据进行评估而实现的。基于SDN的入侵检测系统（IDS）克服了传统IDS系统在时延、准确率及灵活性等方面存在的问题；进一步地，SDNIPS实现了一种基于SDN的入侵阻止系统（IPS）方案，其拥有比传统IPS系统更高的检测率；同时，为解决SDN网络规模及流量管控的可扩展问题，ScalableIDS方案提出一种基于SDN的IDS架构，其通过实时调整采样率的方式实现了入侵检测及网络可扩展的目标；此外，Mehdi等人利用SDN架构及NOX控制器实现了网络异常检测，Ramachandran等人则提出了阻止恶意软件/病毒传播以及数据泄露的Pedigree方案。

1.2 DoS/DDoS攻击检测及保护

拒绝服务攻击（DoS）是一种在短时间内向目标主机发送大量数据，致使目标主机瘫痪从而使其无法正常工作的攻击手段。为了掩盖攻击者身份，同时放大攻击效果，攻击者往往操纵大量受控设备同时向目标主机发送数据包，从而形成分布式拒绝攻击（DDoS），如SYN-Flood，ICMP-Flood 等。传统解决方案一般利用防火墙进行规则部署实现DDoS攻击检测和阻止，但准确率及效果并不理想。

为解决该问题，Braga等人根据转发设备中OpenFlow流表对数据流的统计特征，如平均数据包数量、平均字节数、单个流的增长率等，并利用神经网络实现了一种轻量级DDoS攻击检测方案，并具有较高的检测率及较低的错误警告率；类似地，Chu等人通过分析请求流量的频率实现了 DDoS攻击检测及抑制；Lim等人则根据数据流统计分析实现了阻止僵尸网络攻击方案；此外，CONA方案通过在用户主机及服务器之间建立中间节点，并搜集客户主机对服务器的数据包请求，根据请求频率并建立分析模型实现了DDoS攻击检测。

1.3 源地址验证

源地址欺骗问题是互联网长期存在但未获得完全解决的一项安全问题，许多互联网攻击手段与之直接相关联。为解决该问题，VAVE方案建立一个保护区域，所有从外部进入该区域的数据包若无法直接匹配规则，则须经过控制器的源地址合法性验证后才能继续转发，否则将会被丢弃；O-CPF方案则利用控制器对所有数据包的（源地址、目标地址）对的转发路径进行计算，从而实现将转发路径节点上出现的非法数据包丢弃；而本文作者也提出了SAVSH方案，实现了SDN设备部署代价与部署效果的最大折中。

1.4 认证授权及审计

网络的授权访问及行为审计可有效防止非法用户访问以及事后追踪，这对于大型企业网络安全性十分重要。AuthFlow便是最早利用SDN架构进行细粒度服务访问控制的方案之一；之后，Dangovas等人结合RADIUS方案，进一步提出了基于SDN架构的认证、授权和审计（AAA）综合方案；此外，C-BAS方案为SDN实验网络设施提了一种基于认证的AAA解决方案，并结合分布式系统、安全和容错机制大大提高了系统的可靠性。

2 SDN自身安全研究

除了SDN安全应用之外，SDN架构本身也存在着安全问题，如DoS攻击可造成控制平面瘫痪，恶意应用可造成全局拓扑视图污染，数据与控制通道攻击可造成设备配置错误等。为此，许多研究对SDN自身的安全性及可靠性进行了研究。

2.1 非授权访问

无论是非授权的控制器还是非授权的SDN应用，都会给SDN网络配置造成破坏，进而影响整体网络的安全性。为解决该问题，Othman等人通过对控制器所下发的控制规则进行签名，从而实现了一种基于认证的分布式控制模型；同时，为限制 SDN应用不必要的权限，PermOF提出了应用最小权限管理系统；此外，OperationCheckpoint方案通过在应用层与控制层之间设置权限检查点，实现了 SDN应用对控制权限的超范围使用；最后，SE-Floodlight方案对应用层、控制层及以数据层之间的通讯进行了基于角色的授权，实现了安全约束检查。

2.2 恶意程序检测

为避免恶意SDN应用任意，一些应用提出在控制器/应用与SDN转发设备建立通讯连接之前，应通过身份识别从而建立连接信任通道，从而阻止这些应用可能造成的网络破坏。为此，FortNOX通过建立安全策略执行核心，对流控规则进行优先级排序，实现了规则的冲突检测和处理；同时，为了增强控制器的鲁棒性，并防止恶意应用对控制器控制平面的破坏，Rosemary首先提出了鲁捧性好、安全性高及高性能的控制器操作系统，并通过采用沙箱模型将应用进行分隔，从而实现了恶意应用的识别及阻止；此外，LegoSDN还提出了一种控制器层级架构方案，实现了系统容错以及网络事务管理的功能。

2.3 DoS攻击检测及阻止

DoS攻击不仅对网络造成影响，若对SDN控制器及其控制平面的进行攻击，就有可能造使控制器或者重要设备变为故障瓶颈点。为此，AVANT-GUARD利用控制平面的连接请求迁移工具，对非触发流控规则下发的交互请求进行转移，从而实现了控制器控制平面的DoS攻击检测，并增强了控制平面对正常请求的动态响应性；此外，CPRecovery方案则通过建立无缝的主从控制器备份方案，使得控制器即使受到DoS攻击的情况下，仍能使用备用控制器履行职责。

2.4 配置安全

控制器对转发设备所下发的流控规则是 SDN网络正常运行的关键。为防止规则错误或规则冲突，FlowChecker利用二元决策图对交换机内部规则进行测试，实现了规则的冲突检测及消除；VeriFlow方案则通过划分SDN网络区域，实现了网络异常的实时检测；而FlowGuard方案则实现了防火墙策略的冲突与检测；此外，还有方案通过形式化的验证方法对规则的一致性进行了检测，如Splendid Isolation， Verificare ，VeriCon方案等。