SDN中的DDoS攻击防御方法研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.2.3 网络安全隐患
控制层为应用层提供了大量的可编程接口,由于 SDN 网络的开放性,控制层对上层的应用程序开发相对更加开放, 北向接口在控制器与应用层之间所建立的信赖关系也更加脆 弱,为 DDoS 攻击带来了可能。
Guard 策略,通过触发器实时记录来自攻击源的威胁数据包, 当其个数超过警戒阈值时控制 AVANT-GUARD 交换机丢弃 数据包,或重定向到流量清洗设备。文献 [4] 提出了一种可在 威胁识别的基础上实现异常流量迁移的 FortNox 增强内核。 文献 [5] 提出了防御机制 Flood Guard,当检测到 DDoS 攻击 行为时,Flood Guard 机制中的数据包迁移策略将威胁数据包 进行重定向,转移至数据层的临时缓存中,从而有效抵御控 制层和数据平面之间的 DDoS 攻击。
2.2.1 针对控制器的安全威胁
控制器是 SDN 技术的核心,可以集中管理所有的网络 资源。DDoS 攻击是最为常见的针对 SDN 控制器的一种攻击 方式,控制器一旦被攻击者控制,将会影响控制器所控制的 整个网络。
2.2.2 OpenFow 协议的安全隐患
OpenFlow 协议提出了一种基于 TLS 协议的认证机制, 但这一安全机制是可选的,因此,缺乏 TLS 协议保护的 SDN 网络非常容易遭到 OpenFlow 通道的攻击。另外,OpenFlow 协议自身的安全设计比较薄弱,易被攻击者所利用。
Abstract: SDN separates the control plane from the data plane, accordingly allocates network resources flexibly, but it brings new security problems. The author analyzes the architecture principle and the security threats of SDN, summarizes the characteristics of the DDoS attacks in the control plane and the data plane, and the existing methods of detecting and defending DDoS attacks in the SDN network.
基金项目:南京晓庄学院科研项目“软件定义网络安全策略研究”(项目编号:2015NXY77)。 作者简介:陈飞(1981-),女,安徽南陵人,硕士研究生,讲师。研究方向:软件定义网络。
— 216 —
2018 年第 12 期
信息与电脑 China Computer&Communication
信息安全与管理
4.2 基于流量特征的 DDoS 攻击防御方法
因为 OpenFlow 技术主要是基于流进行转发的,所以目 前有大量的 DDoS 攻击检测方法是基于流量特征变化的。 Braga[6] 等设计了一种 DDoS 攻击检测方法,控制器从网络 流量中提取 DDoS 特征,如信息流的平均字节数、信息流 的平均持续时间等信息,将提取到的特征输入 SOM 中,利 用 SOM 人工神经网络算法进行攻击检测。文献 [7] 提出了基 于目的 IP 地址熵值的变化的检测方法来检测 SDN 网络中的 DDoS 攻击。文献 [8] 选取 SDN 网络中的 5 个关键流量特征, 采用优化的 KNN 算法对选取的流量特征进行流量异常检测, 具有较高的识别率和较低的误报率。
Key words: SDN; DDoS; network security
1 引言
DDoS(Distributed Denial of Service,分布式拒绝服务) 攻击是现有互联网所面临的最主要安全威胁之一。近年来, SDN 技术得到了广泛的应用,其具备灵活的编程能力、集中 控制等优点,能够针对网络中的异常流量提供准确的监控及 防御功能。本文首先介绍了 SDN 体系架构的基本原理及特点, 并分析了其在网络安全方面所面临的问题,然后介绍了 SDN 网络中 DDoS 攻击的种类,并对现有的 SDN 网络中的 DDoS 攻击防御方法作简要介绍。
信息安全与管理
信息与电脑 China Computer&Communication
SDN 中的 DDoS 攻击防御方法研究
2018 年第 12 期
陈 飞 (南京晓庄学院 信息工程学院,江苏 南京 211171)
摘 要:软件定义网络(Software Defined Networking,SDN)将网络的控制平面与数据转发平面分离,可以灵活 高效地分配及调度网络资源,但同时也带来了新的安全问题。笔者首先分析了 SDN 的架构原理及其所面临的安全威胁, 然后分析并归纳了在 SDN 网络中控制平面及数据平面所面临的 DDoS 攻击的特点及现有的 oS 攻击检测及防御方法。
OpenFlow 协议)来获取底层网络设备的信息,同时,通过 北向接口为应用层提供控制网络资源的能力。
数据转发层由支持 OpenFlow 协议的网络转发设备构成, 负责转发、处理和收集数据。
2.2 SDN 的安全挑战
SDN 数据转发层与控制层分离的方式实现了网络的全局 管理,可以在一定程度上增强网络的安全性,但也带来了新 的安全问题。
关键词:SDN;网络安全;DDoS 中图分类号:TP393.08 文献标识码:A 文章编号:1003-9767(2018)12-216-02
Research on DDoS Defending Methods in SDN
Chen Fei
(School of Information Engineering, Nanjing Xiaozhuang University, Nanjing Jiangsu 211171, China)
2 SDN 的概念及特点
2.1 SDN 架构原理
SDN 是一种新型的网络架构,其将传统的网络架构拆分 成应用层、控制层和数据转发层 [1],如图 1 所示。
应用层通过控制层提供的北向编程接口对底层的设备进 行编程,根据用户的需求开发各种业务应用,使网络管理更 加灵活可控。
图 1 SDN 架构图
控 制 层 主 要 包 括 控 制 器 和 网 络 操 作 系 统, 控 制 器 管 理 网 络 中 的 所 有 设 备。 对 数 据 转 发 层, 通 过 标 准 协 议( 如
控制层为应用层提供了大量的可编程接口,由于 SDN 网络的开放性,控制层对上层的应用程序开发相对更加开放, 北向接口在控制器与应用层之间所建立的信赖关系也更加脆 弱,为 DDoS 攻击带来了可能。
Guard 策略,通过触发器实时记录来自攻击源的威胁数据包, 当其个数超过警戒阈值时控制 AVANT-GUARD 交换机丢弃 数据包,或重定向到流量清洗设备。文献 [4] 提出了一种可在 威胁识别的基础上实现异常流量迁移的 FortNox 增强内核。 文献 [5] 提出了防御机制 Flood Guard,当检测到 DDoS 攻击 行为时,Flood Guard 机制中的数据包迁移策略将威胁数据包 进行重定向,转移至数据层的临时缓存中,从而有效抵御控 制层和数据平面之间的 DDoS 攻击。
2.2.1 针对控制器的安全威胁
控制器是 SDN 技术的核心,可以集中管理所有的网络 资源。DDoS 攻击是最为常见的针对 SDN 控制器的一种攻击 方式,控制器一旦被攻击者控制,将会影响控制器所控制的 整个网络。
2.2.2 OpenFow 协议的安全隐患
OpenFlow 协议提出了一种基于 TLS 协议的认证机制, 但这一安全机制是可选的,因此,缺乏 TLS 协议保护的 SDN 网络非常容易遭到 OpenFlow 通道的攻击。另外,OpenFlow 协议自身的安全设计比较薄弱,易被攻击者所利用。
Abstract: SDN separates the control plane from the data plane, accordingly allocates network resources flexibly, but it brings new security problems. The author analyzes the architecture principle and the security threats of SDN, summarizes the characteristics of the DDoS attacks in the control plane and the data plane, and the existing methods of detecting and defending DDoS attacks in the SDN network.
基金项目:南京晓庄学院科研项目“软件定义网络安全策略研究”(项目编号:2015NXY77)。 作者简介:陈飞(1981-),女,安徽南陵人,硕士研究生,讲师。研究方向:软件定义网络。
— 216 —
2018 年第 12 期
信息与电脑 China Computer&Communication
信息安全与管理
4.2 基于流量特征的 DDoS 攻击防御方法
因为 OpenFlow 技术主要是基于流进行转发的,所以目 前有大量的 DDoS 攻击检测方法是基于流量特征变化的。 Braga[6] 等设计了一种 DDoS 攻击检测方法,控制器从网络 流量中提取 DDoS 特征,如信息流的平均字节数、信息流 的平均持续时间等信息,将提取到的特征输入 SOM 中,利 用 SOM 人工神经网络算法进行攻击检测。文献 [7] 提出了基 于目的 IP 地址熵值的变化的检测方法来检测 SDN 网络中的 DDoS 攻击。文献 [8] 选取 SDN 网络中的 5 个关键流量特征, 采用优化的 KNN 算法对选取的流量特征进行流量异常检测, 具有较高的识别率和较低的误报率。
Key words: SDN; DDoS; network security
1 引言
DDoS(Distributed Denial of Service,分布式拒绝服务) 攻击是现有互联网所面临的最主要安全威胁之一。近年来, SDN 技术得到了广泛的应用,其具备灵活的编程能力、集中 控制等优点,能够针对网络中的异常流量提供准确的监控及 防御功能。本文首先介绍了 SDN 体系架构的基本原理及特点, 并分析了其在网络安全方面所面临的问题,然后介绍了 SDN 网络中 DDoS 攻击的种类,并对现有的 SDN 网络中的 DDoS 攻击防御方法作简要介绍。
信息安全与管理
信息与电脑 China Computer&Communication
SDN 中的 DDoS 攻击防御方法研究
2018 年第 12 期
陈 飞 (南京晓庄学院 信息工程学院,江苏 南京 211171)
摘 要:软件定义网络(Software Defined Networking,SDN)将网络的控制平面与数据转发平面分离,可以灵活 高效地分配及调度网络资源,但同时也带来了新的安全问题。笔者首先分析了 SDN 的架构原理及其所面临的安全威胁, 然后分析并归纳了在 SDN 网络中控制平面及数据平面所面临的 DDoS 攻击的特点及现有的 oS 攻击检测及防御方法。
OpenFlow 协议)来获取底层网络设备的信息,同时,通过 北向接口为应用层提供控制网络资源的能力。
数据转发层由支持 OpenFlow 协议的网络转发设备构成, 负责转发、处理和收集数据。
2.2 SDN 的安全挑战
SDN 数据转发层与控制层分离的方式实现了网络的全局 管理,可以在一定程度上增强网络的安全性,但也带来了新 的安全问题。
关键词:SDN;网络安全;DDoS 中图分类号:TP393.08 文献标识码:A 文章编号:1003-9767(2018)12-216-02
Research on DDoS Defending Methods in SDN
Chen Fei
(School of Information Engineering, Nanjing Xiaozhuang University, Nanjing Jiangsu 211171, China)
2 SDN 的概念及特点
2.1 SDN 架构原理
SDN 是一种新型的网络架构,其将传统的网络架构拆分 成应用层、控制层和数据转发层 [1],如图 1 所示。
应用层通过控制层提供的北向编程接口对底层的设备进 行编程,根据用户的需求开发各种业务应用,使网络管理更 加灵活可控。
图 1 SDN 架构图
控 制 层 主 要 包 括 控 制 器 和 网 络 操 作 系 统, 控 制 器 管 理 网 络 中 的 所 有 设 备。 对 数 据 转 发 层, 通 过 标 准 协 议( 如