基于SDN的网络攻击防御平台研究
SDN中的DDoS攻击防御方法研究
控制层为应用层提供了大量的可编程接口,由于 SDN 网络的开放性,控制层对上层的应用程序开发相对更加开放, 北向接口在控制器与应用层之间所建立的信赖关系也更加脆 弱,为 DDoS 攻击带来了可能。
Guard 策略,通过触发器实时记录来自攻击源的威胁数据包, 当其个数超过警戒阈值时控制 AVANT-GUARD 交换机丢弃 数据包,或重定向到流量清洗设备。文献 [4] 提出了一种可在 威胁识别的基础上实现异常流量迁移的 FortNox 增强内核。 文献 [5] 提出了防御机制 Flood Guard,当检测到 DDoS 攻击 行为时,Flood Guard 机制中的数据包迁移策略将威胁数据包 进行重定向,转移至数据层的临时缓存中,从而有效抵御控 制层和数据平面之间的 DDoS 攻击。
2.2.1 针对控制器的安全威胁
控制器是 SDN 技术的核心,可以集中管理所有的网络 资源。DDoS 攻击是最为常见的针对 SDN 控制器的一种攻击 方式,控制器一旦被攻击者控制,将会影响控制器所控制的 整个网络。
2.2.2 OpenFow 协议的安全隐患
OpenFlow 协议提出了一种基于 TLS 协议的认证机制, 但这一安全机制是可选的,因此,缺乏 TLS 协议保护的 SDN 网络非常容易遭到 OpenFlow 通道的攻击。另外,OpenFlow 协议自身的安全设计比较薄弱,易被攻击者所利用。
Abstract: SDN separates the control plane from the data plane, accordingly allocates network resources flexibly, but it brings new security problems. The author analyzes the architecture principle and the security threats of SDN, summarizes the characteristics of the DDoS attacks in the control plane and the data plane, and the existing methods of detecting and defending DDoS attacks in the SDN network.
SDN饱和攻击检测与防御方法
SDN饱和攻击检测与防御方法摘要:SDN最大的特点是实现了数据转发层和控制层的解耦。
分布式拒绝服务攻击发起简单且危害性强。
因为SDN网络架构的特点,攻击者向目标主机发动DDoS攻击时,大量和流表不匹配的数据包发向控制器,并下发许多无用的流表项到交换机。
本文主要对SDN网络中的DDoS攻击防御遇到的问题进行分析,并对提出的SDN中的DDoS攻击检测方法和主动防御方法分别进行了分析解答。
关键词:软件定义网络;神经网络;移动目标防御1. 研究背景随着大数据、虚拟化和云计算等新技术的发展,许多数据中心需要为百万乃至千万级别的用户提供所需服务。
这时传统网络出现了一些自身不可克服的局限性问题。
传统网络中的路由器交换机等网络发送设备需要支持大量协议,传统网络难以扩展以及相关配置复杂程度高,极大增加网络运营商生产设备及进行网络改良的难度,这些缺点使传统网络运营成本越来越高,维护难度也越来越复杂。
传统网络的不足明显不能满足当前的网络规模和新技术的发展速度,以及用户的需求。
在这样的背景下,为了让网络的运行更加简单,高效利于管理和扩展,一种新型网络架构--软件定义网络SDN随之诞生。
SDN中的DDoS攻击不仅会对被攻击目标产生影响,交换机和控制器也同时都会受到很大程度的危害,进一步影响到整个网络,严重的导致整个网络瘫痪。
与传统网络相比,DDoS攻击对于SDN网络的攻击影响范围更广,持续时间更长,危害更大。
2. SDN 相关概念当前移动终端设备的普及和大数据,云计算的出现,给传统网络带来了很大的挑战。
其对网络设备的运维和的管理越来越复杂,传统网络的不足明显不能满足当前的网络规模和新技术的发展速度以及用户的需求。
软件定义网络这种新型的网络架构的出现,使传统网络发生了巨大的变化。
SDN概念于2009年斯坦福大学的NickMckeown教授正式提出。
它的核心思想是将转发与控制功能相分离,将控制平面与数据平面解耦。
控制平面的控制器是SDN架构的核心,是掌控全局网络的大脑,方便管理人员管理全局网络,配置新协议。
基于SDN和NFV的链路洪泛攻击检测与防御
基于SDN和NFV的链路洪泛攻击检测与防御DDoS攻击对企业网络造成非常严重的破坏,虽然业界提出了许多的防御方法,但是攻击者不断的改变攻击策略绕过防御系统。
近来,学术界提出了一种新型的DDoS攻击——链路洪泛攻击,并且已经有攻击者利用链路洪泛攻击的原理攻击了网络的关键链路,导致用户无法访问受攻击的服务器。
与DDoS攻击不同,现有的防御机制很难检测到链路洪泛攻击,因为它们经常利用大规模合法的低速流量来攻击目标链路,而且还会不断的改变攻击的目标链路。
我们设计并实现了检测和防御链路洪泛攻击的防御系统LFADefender。
该系统利用了软件定义网络具有全网视图以及可以对网络流进行追溯的功能,和网络功能虚拟化技术的弹性部署特性,以有效地检测和缓解LFA攻击。
在LFADefender中,我们提出了一种链路洪泛攻击中目标链路检测方法和一种用于链路拥塞检测的虚拟监控功能。
此外,我们在LFADefender 中引入了链路洪泛攻击缓解机制,该机制基于重路由和流溯源等技术来缓解链路洪泛攻击。
实验评估表明,LFADefender.可以准确检测链路洪泛攻击并快速响应,同时LFADefender在网络控制和数据平面间的通信引入了较小的开销。
基于SDN和DDPG的DDoS攻击智能缓解方法研究
浙江大学硕士学位论文目录目录摘要 (I)Abstract (II)目录 (III)图目录 (V)表目录 (VI)第1章绪论 (1)1.1课题背景 (1)1.2国内外研究现状 (2)1.2.1传统网络的DDoS攻击防御方法 (2)1.2.2基于SDN的网络安全研究 (3)1.2.3机器学习用于DDoS攻击防御 (4)1.3本文研究内容 (5)1.4本文组织架构 (6)第2章相关技术及原理 (8)2.1SDN技术 (8)2.1.1软件定义网络 (8)2.1.2OpenFlow协议 (10)2.1.3OpenFlow交换机 (10)2.1.4SDN控制器 (10)2.2DDoS攻击的常用手段 (11)2.2.1DDoS攻击原理 (12)2.2.2应用层攻击 (12)2.2.3协议层攻击 (14)2.2.4体积攻击 (15)2.3强化学习 (15)2.4本章小结 (17)第3章DDoS攻击流量缓解系统设计 (18)浙江大学硕士学位论文目录3.1DDoS攻击防御方法概述 (18)3.2网络模型假设 (19)3.3基于深度强化学习的缓解方法 (19)3.3.1状态空间特征选取 (21)3.3.2动作空间 (23)3.3.3奖赏函数 (24)3.4DDoS攻击缓解流程 (24)3.5本章小结 (24)第4章DDoS攻击缓解方法实现 (26)4.1DDoS攻击流量缓解系统设计概述 (26)4.1.1预配置模块 (27)4.1.2数据采集与处理模块 (29)4.1.3攻击流量缓解模块 (31)4.1.4缓解动作下发模块 (33)4.2本章小结 (35)第5章实验测试与评估 (36)5.1实验环境 (36)5.2DDoS攻击缓解训练效果 (39)5.3DDoS攻击缓解测试效果 (41)5.4本章小结 (44)第6章总结与展望 (45)参考文献 (47)致谢 (49)浙江大学硕士学位论文图目录图目录图 2.1SDN三层架构 (9)图 2.2OpenFlow交换机架构 (11)图 2.3OSI七层参考模型[22] (13)图 2.4应用层攻击示意图[22] (13)图 2.5协议层攻击示意图[22] (14)图 2.6体积攻击示意图[22] (15)图 2.7典型的强化学习场景 (17)图 3.1ofp_flow_stats_request消息回复 (22)图 3.2ofp_port_stats_request消息回复 (22)图 3.3DDoS攻击流量缓解系统流程图 (25)图 4.1DDoS攻击流量缓解系统架构图 (27)图 4.2预配置模块流程图 (28)图 4.3数据采集与处理模块流程图 (30)图 4.4DDoS攻击流量缓解模块流程图 (32)图 4.5动作下发模块流程图 (34)图 5.1网络拓扑图 (37)图 5.2Hping3发送速率图 (38)图 5.3攻击流量通过比例 (40)图 5.4正常流量通过的比例 (40)图 5.5三种不同的DDoS攻击模式 (41)图 5.6对采用三种不同协议的DDoS泛洪攻击缓解效果对比 (43)浙江大学硕士学位论文表目录表目录表 5.1三种方法的测试结果对比 (42)浙江大学硕士学位论文第1章绪论第1章绪论1.1课题背景分布式拒绝服务(Distributed Denial of Service,DDoS)攻击在过去几年中不管在频率还是规模上都呈上升趋势。
一种基于SDN架构的海量DDOS攻击解决方案研究
一种基于SDN架构的海量DDOS攻击解决方案研究
王琴
【期刊名称】《现代信息科技》
【年(卷),期】2017(001)005
【摘要】本文介绍了一种基于SDN架构的低成本、高性能的海量DDOS攻击解决方案,目前DDOS攻击呈现愈演愈烈的趋势,尤其是IDC内的部分SP频繁遭受天文数字般的DDOS攻击,本方案采用SDN+BGP FLOWSPEC技术,提供一种经济、有效的海量DDOS攻击防护解决方案,对异常攻击流量进行精确控制和丢弃,保护正常流量不受影响.本方案基于开源的Open Day Light SDN架构实施自主开发,构建了一个集中式的异常流量处置控制平台,平台中的SDN控制器一方面解读分析由现网异常流量监测设备所提供的DDOS攻击信息,另一方面通过BGP FLOWSPEC协议,向全网路由设备下发相应的路由策略,实现对DDOS攻击流量的抑制和过滤.【总页数】3页(P89-91)
【作者】王琴
【作者单位】中国电信股份有限公司福建分公司,福建福州 350004
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.一种基于SDN和NFV技术的未来网络架构研究 [J], 李杨;朱兴国
2.SDN中一种基于熵值检测DDoS攻击的方法 [J], 韩子铮
3.华润苏果基于SDN架构的混合云解决方案 [J], 卢凌;刘亦晨;郑腾飞
4.一种基于SDN技术的多区域安全云计算架构研究 [J], 王刚
5.一种基于SDN架构的海量DDOS攻击解决方案研究 [J], 王琴;
因版权原因,仅展示原文概要,查看原文内容请购买。
基于SDN的网络环境下的安全与隐私保护技术研究
基于SDN的网络环境下的安全与隐私保护技术研究随着信息技术的迅猛发展和互联网的广泛普及,网络安全问题愈发突出。
恶意软件、黑客攻击、身份盗窃等安全威胁层出不穷,给用户带来了严重的安全隐患和损失。
同时,由于网络上用户信息的价值越来越高,数据隐私保护也成为了许多人关注的热点话题。
这时,基于软件定义网络(SDN)技术的网络安全与隐私保护技术应运而生。
SDN技术的出现,颠覆了传统网络的架构和管理方式,将控制平面与数据平面分离,使网络管理员能够更加灵活地配置网络流量和安全策略。
同时,SDN技术提供了丰富的编程接口,使得安全应用和隐私保护技术更加易于实现和集成。
一、SDN技术在网络安全中的应用SDN技术提供了新的网络安全框架和工具,如下:1.流量监控SDN网络通过控制平面与数据平面的分离,使得网络管理员可以更加灵活地控制网络流量。
这使得监控网络流量变得更加容易。
管理员可以利用SDN控制器API接口来创建流表规则,实现对网络流量的精细控制和监控。
SDN技术还可以构建高性能、高可靠、高灵活的流量监控系统,实现流量实时采集、动态调整和流量分析。
2.攻击检测与防御SDN技术为网络安全提供了新的攻击检测和防御方法。
通过在网络交换机上运行安全应用程序,可以实现实时监视网络流量,检测攻击行为。
管理员可以通过SDN控制器API接口下发流表规则,阻止攻击数据包的进入和传输。
同时,SDN 网络还能够进行快速的网络重构,避免攻击破坏网络的整体性和可用性。
3.访问控制与认证SDN技术可以通过集中控制的方式实现访问控制与认证。
通过SDN控制器API接口,管理员可以实时对网络访问控制规则进行调整和更新。
此外,利用SDN的特性,还能够实现基于控制器的单点登录认证,并提供更高级别的安全策略。
二、SDN技术在隐私保护中的应用SDN技术可以有效协助隐私保护,提供有力的支持和保障。
如下:1.流量隐私保护SDN技术的流量监控和控制能力,可以有效协助用户保护流量隐私。
基于sdn的网络安全研究
第24期2019年12月No.24December,2019传统的网络安全系统实现中,一般在防火墙之后,为了防止应用层出现的攻击,往往会部署VPN 设备、入侵检测系统、DDOS 检测处理功能实体,对网络边缘进行安全检查。
另外,专用的网络安全设备也部署在网络边界的节点上,用防火墙实现基于包的过滤和状态监控。
一方面降低了网络业务的灵活性,另一方面增加了网络部署的难度,不利于现存业务的调配和迁移。
1 传统网络安全的不足(1)传统网络安全多采用大量安全设备的多种模式接入网络边缘。
一般的防火墙采用3层旁路的方式实现冗余引流,从而对流量进行过滤,或者采用第二层透明模式桥接在第三层的链路中。
上网行为管理设备,一般采用代理的方式对内部员工的流量实现HTTP/HTTPS 重定向和代理。
或采用第二层透明模式对Web 报文进行过滤。
IPS/IDS 等设备则采用流量镜像模式,把冗余旁路部署在网络边缘链路。
多种类型的安全设备不易部署和配置,其管理也需要专业人员,这些操作都增加了网络的复杂性。
(2)对于网络的冗余性和稳定性,在进行安全设备部署时也需要慎重考虑。
网络安全设备种类繁多,功能各异,对可靠性提出了极高的要求。
例如防火墙串联设备的硬件ByPass 、主从设备冗余切换等,依靠协议的鲁棒性来保障功能的实现。
但厂家的不同导致此类设备实现安全功能时,采用各自的私有协议,增加了网络本身的复杂性以及后期运维的难度。
2 SDN架构介绍2.1 SDN 网络设备(Network Devices )软件定义网络(Software Defined Network ,SDN )设备可以被抽象成转发面(Forwarding Plane ),其可以用虚拟交换机来实现,没必要一定使用硬件交换机。
为了配置位于交换机内的转发表项,网络设备通过南向接口Southbound Interface 接收Controller 发过来的指令。
同时通过南向接口将事件传送给Controller 。
可以对网络进行编程防御DoS攻击的SDN应用
DefenseFlow:可以对网络进行编程防御DoS攻击的SDN应用Radware DefenseFlow™是一款SDN应用,允许网络运营商对网络进行编程,以网络原生服务的形式提供DDoS攻击防护。
DefenseFlow拥有自适应基于行为分析的DoS攻击检测引擎,支持通过软件定义网络的可编程特性进行流量牵引,实现对攻击数据流的清洗。
作为Radware SDN应用框架的一部分,DefenseFlow可以在任何支持SDN的网络基础架构中运行。
软件定义网络(SDN)中的网络应用软件定义网络(SDN)是一种网络控制与转发分离的网络架构,可以直接进行编程。
通常集成在网络设备中的控制层被迁移出来,成为一个基于软件的中央实体,实现对网络构架的抽象化,将网络作为一个逻辑实体进行对待,以便于应用和网络服务的开展。
如图1所示:DefenseFlow作为SDN应用,通过SDN控制器北接口对网络进行编程,提供本地DDoS防护服务。
图1:DefenseFlow是部署在SDN应用层的网络DDoS攻击检测及流量转发应用DefenseFlow秉承了Radware的SDN战略,通过SDN控制平面收集信息并对数据层进行控制,能够将基于设备的DDoS 防护转化为全网范围的服务。
DefenseFlow采用独特的基于行为分析的技术对网络攻击进行实时探测,以最低成本实现整体网络智能水平的提升。
DefenseFlow:对网络进行编程并实现防御DoS攻击的SDN应用 1DefenseFlow :对网络进行编程并实现防御DoS 攻击的SDN 应用2主动进行DDoS 防护的SDN 应用 DefenseFlow 软件产品利用SDN 供DoS & DDoS 攻击防御服务。
利用SDN 技术的可编程性,DefenseFlow 息的分析并对基础架构层进行控制,主动地对DoS & D DoS 网络泛洪攻击 解服务的自动部署。
采集机制:基于OpenFlow 的全网统计数据 通过SDN 控制器的北向 API ,DefenseFlow 可以对网络进行编程,从可编程基础 OpenFlow 的物理及虚拟交换机、路由器和NIC)中采集所需的 被发送给DefenseFlow 应用。
SDN网络安全技术研究与防御策略实践
SDN网络安全技术研究与防御策略实践SDN(软件定义网络)是一种新一代的网络架构,它通过将网络控制平面和数据转发平面分离,实现了网络的灵活性和可编程性。
然而,与传统网络相比,SDN网络面临着更多的安全挑战。
在这篇文章中,我们将探讨SDN网络的安全技术研究和防御策略实践,以保护SDN网络免受各种恶意攻击。
首先,我们将介绍SDN网络的安全威胁和弱点。
由于SDN网络的灵活性和可编程性,它容易受到各种恶意攻击,如拒绝服务(DoS)攻击、入侵检测系统(IDS)逃避攻击、数据包混乱攻击等。
此外,SDN网络的集中控制和网络虚拟化技术也为攻击者提供了更多的攻击入口。
因此,我们需要针对这些安全威胁和弱点开展深入的研究,以制定有效的防御策略。
一项关键的技术研究是SDN网络的安全检测与监控。
通过实时监测网络流量和各种网络事件,我们可以及时发现潜在的安全问题,如异常流量、未经授权的访问等。
同时,使用入侵检测系统(IDS)和入侵防御系统(IPS)等安全设备可以增强对网络的实时监控和威胁检测能力。
此外,我们还可以使用机器学习和人工智能等技术来识别和预测网络攻击行为,提高网络安全的响应能力。
另一个重要的研究领域是SDN网络的身份验证和访问控制。
为了防止未经授权的访问和攻击,我们需要对网络用户进行身份验证,并采用合适的访问控制策略。
一种常见的方法是使用基于角色的访问控制(RBAC),它可以根据用户的角色和权限控制其对网络资源的访问。
此外,我们还可以考虑使用双因素认证和多因素认证等更加安全的身份验证方式,以提供更高的网络安全性。
此外,对SDN网络的数据安全进行研究也是非常重要的。
由于SDN网络的数据流量可以通过网络控制器进行分析和处理,攻击者可以利用这一特性来窃取敏感数据或进行伪造攻击。
因此,我们需要采取有效的加密和认证机制来保护数据的机密性和完整性。
密钥管理和访问控制也是保护数据安全的重要部分。
在实际应用中,我们还需要制定有效的SDN网络安全策略。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本栏目责任编辑:代影网络通讯及安全ComputerKnowledgeandTechnology电脑知识
与技术
第12卷第26期(2016年9月)
基于SDN的网络攻击防御平台研究米明(岳阳职业技术学院,湖南岳阳414000)摘要:传统以防火墙为中心的网络攻击防御系统有其盲点,SDN交换机通过协同作业刚好可以弥补这个盲点,该研究通过实验了解SDN协同防御机制,在内网可以通过0.6秒的反应时间达到98.5%的scanpacket阻拦率,有效地把防御阵线由防火墙直接拉到贴近使用者的交换机,SDN交换机将来在网络安全领域十分值得期待。
关键词:SDN;OpenFlow;网络攻击防御中图分类号:TP393文献标识码:A文章编号:1009-3044(2016)26-0050-02
1简介传统上在讨论网络攻击防御的时候,基本架构是以防火墙、UTM为主,入侵监测系统为辅,这架构在当大部分的威胁都来自外网的时候是有用的,但是当时代慢慢改变,BYOD与APT等攻击慢慢把Malware渗透进内网的时候,LAN-to-LAN
attack并不容易让防火墙察觉,因此,在攻击趋势慢慢挪向内网
的今天,防火墙与内网使用者的距离似乎就显得有点远了。近年来Software-DefinedNetworking这概念提供大家另外一种思考的面向,监测是否可以分割交换机的controlplane与dataplane,并且封装其操作dataplane的复杂度,让各家厂牌的
交换机只要遵循一种统一的API就可以被管控。如此一来,监测便有机会把防御阵线再更贴近使用者一些,使得本来很难监测的LAN-to-LANattack可以轻易地被发现。以下本文会说明SDN的原理与概念,并说明以防火墙为中心的网络防御盲点,以及监测如何利用SDN协做来克服,并通过实际的测试验证系统的适用性。
2Software-DefinedNetworking一般的网络交换机可以分成controlplane和dataplane两个部分,controlplane主要负责对dataplane下控制命令以及撷取相关统计资料,而dataplane主要是负责封包出路的查找与转送。传统的网络交换机通常会把controlplane和dataplane都做在交换机里面,因为各家的dataplane都不尽相同,所以相对应的管控与操作方式也不太一样,所以做在一起似乎是理所当然,但是这样会导致多样化的管控界面,而多样化的交换机管控界面对于资安维护是不方便的。软件定义网络(Software-DefinedNetworking,以下简称SDN)是最近新兴的一种网络概念,它最主要的想法是把网络交
换机的controlplane和dataplane分开,使得controlplane不再只是内嵌于交换机内部不易修改的firmware(韧体),而是可以成为独立于交换机之外的controller。通过独立出来的control⁃ler,监测可以通过软件的方式实时地管控交换机的dataplane,
进行必要的网络流量调控,如图1[1]所示。然而为了要让con⁃trolplane能独立于外,监测便需要在controlplane和dataplane
中间加一层通用的interface,使得controlplane可以藉由这层通
用的interface来避免面对不同dataplane的复杂度。目前大家接受度比较高的通用interface是ONF组织所定义的Open⁃FlowSwitchSpecification[2],通过OpenFlow的API监测可以实
时地控制dataplane进行网络流量阻断或是转送,而不用担心该交换机是那一种厂牌、需要用那一种管理方式。因此监测可以说SDN所带来的是一种新的网络概念与界面。
图1SDNSwitch示意图[1]3以SDN为基础的网络攻击防御平台设计SDN最初的应用环境是大型的校园网路,之后慢慢地延伸到datacenters与cloudenvironments,基本上是藉助于SDN交换机方便的实时流量管控能力以进行流量工程,在本文中监测主要分享如何通过SDN交换机进行网络攻击的防御,尤其是在防火墙保护不到的内网。图2是一般的网络防御示意图,通常监测以防火墙(Fire⁃wall,FW)为界分为内网(LAN)与外网(WAN)。监测通常会把入
侵监测系统(IDS)放在外网,希望能够了解谁在打监测或是企图攻击监测的servers,也会把Botnet监测系统(BotnetIDS)放在内网,当内网的bot企图要对外连线时,监测可以知道它在内网的IP为何,但是,这样的防御机制有个缺憾,就是LAN交换机(SW)对网络攻击没有分辨能力,如果BotHost去攻击一个正常
的NormalHost,攻击封包只会通过LANSW转送,但是因为LANSW无识别能力,所以不会发alerts,因为该流量也不会经
过BotnetIDS,所以BotnetIDS也不会知道,FW也不会知道,很有可能只有当NormalHost也沦陷开始进行对外的C&C连线
收稿日期:2016-08-17作者简介:米明(1974—),男,湖南岳阳人,岳阳职业技术学院护理学院,计算机专业讲师,主要研究方向为计算机网络。
E-mail:jslt@dnzs.net.cnhttp://www.dnzs.net.cnTel:+86-551-6569096365690964
ISSN1009-3044
ComputerKnowledgeandTechnology电脑知识
与技术
Vol.12,No.26,September2016
50DOI:10.14004/j.cnki.ckt.2016.3410网络通讯及安全本栏目责任编辑:代影
ComputerKnowledgeandTechnology电脑知识
与技术
第12卷第26期(2016年9月)
时BotnetIDS才会察觉,但是为时已晚。图2一般的网络防御示意图SDN交换机的问世给了监测一个机会来弥补这个防御上的缺憾,由于目前OpenFlow的规格所限,监测依然无法直接使用SDN交换机来监测网络攻击,所以依然需要额外仰赖一台传感器,例如PortscanHoneypot、SnortIDS等,来发送alerts给controller。图3是协同防御的示意图。当bot主机要进行内网感染的时候(step1),它必定要先试探内网是否有主机有可攻击的弱点,所以通常会有portscan,因为是portscan,所以监测的传感器(portscanhoneypot)就有可能接收到并且发alerts给SDN⁃controller(step2),controller收到后再下命令对bothost进行阻拦(step3),当SDN交换机成功封锁bothost后攻击停止(step4)。这样的设计可以有效弥补内网攻击的防御缺口,如果该SDN交换机可以进行大量的trafficmirror而不减其效能,监测也可以直接把传感器换成SnortIDS,并且直接把trafficmirror给SnortIDS,这样就可以组成一个switch-basedIDS,可以有更广泛的监测范围。图3SDN交换机协同内网防御攻击示意图4相关实验结果依照图3的网络架构,在内网布建了十台虚拟机(VM),并且统计当内网发生portscan时,扫它们的scanpackets被阻拦的比率,依照监测实验结果,scanpackets的阻拦率大约有98.5%。(如图4)
图4TheScanBlockingRate[3]图5TheResponseTime[3]计算每个VM收到最后一个scanpacket与收到第一个scanpacket的时间差,当成图3中step1到step4的整体反应
时间,发现最坏的状况大约是0.6秒,如图5所示。5结论网络上的攻击与防御,就如同矛与盾一般,随着时间此消彼长,很难有一方可以长久取得优势,而监测总是期望能随着时代的进步,协同新的工艺去处理过去难以处理的问题。SDN交换机把防御的阵线从防火墙直接拉到最靠近使用者的交换机,或者监测可以说是到了最后一米(Thelastmeter),把过去一些无法监测的死角,变成了可能,依照监测的实验0.6秒的系统反应时间与98.5%的阻拦率,这表示SDN对提升LAN或是SmartHome的安全是有帮助的。
监测也期望未来OpenFlow的规格可以更提升,让SDN交换机可以拥有L7matching或是DeepPacketInspection的能力,到时SDN就会更大有可为。
参考文献:[1]OpenFlowSW[EB/OL].http://bradhedlund.s3.amazonaws.com/2011/openflowscale/openflow-switch.png[2]ONF.Openflowswitchspecificationversion1.4.0[EB/OL].http://www.opennetworking.org/images/stories/downloads/sdnresourc⁃es/onf-specifications/openflow/openflow-spec-v1,2013.[3]WangC.Anopenflow-basedcollaborativeintrusionpreventionsystemforcloudnetworking[D].NationalTsingHuaUniversity,2014.
51