軟件定義網(wǎng)絡(luò)中的DDoS安全

（中國(guó)石油集團(tuán)安全環(huán)保技術(shù)研究院，北京 102206）

0 引言

DDoS是分布式拒絕服務(wù)攻擊的簡(jiǎn)稱，這種攻擊與其他攻擊相比具有較大的影響范圍，可以使多臺(tái)計(jì)算機(jī)在同一時(shí)間內(nèi)遭到破壞，進(jìn)而影響設(shè)備的具體應(yīng)用。分布式拒絕攻擊的出現(xiàn)對(duì)大型網(wǎng)站的安全運(yùn)行造成了嚴(yán)重影響，在軟件定義網(wǎng)絡(luò)中有效保障DDoS安全可在維護(hù)用戶正常使用狀態(tài)的前提下，保障系統(tǒng)安全，避免由于信息遺失和系統(tǒng)癱瘓產(chǎn)生經(jīng)濟(jì)損失。

1 軟件定義網(wǎng)絡(luò)中的DDoS安全保證價(jià)值

公開(kāi)資料顯示，2019年，全球在通信服務(wù)、IT服務(wù)、設(shè)備、企業(yè)軟件、數(shù)據(jù)中心系統(tǒng)中的支出分別為14 390.0億美元、10 790.0億美元、6 890.0億美元、4 660.0億美元、2 020.0億美元，預(yù)計(jì)2020年，全球IT支出將達(dá)到38 750.0億美元。目前，全球信息安全市場(chǎng)主要以服務(wù)為主，切實(shí)保證軟件定義網(wǎng)絡(luò)中的DDoS安全，可有效優(yōu)化全球信息安全市場(chǎng)結(jié)構(gòu)。公開(kāi)資料顯示，2014—2018年，我國(guó)網(wǎng)絡(luò)信息安全行業(yè)的市場(chǎng)規(guī)模分別為191.0億元、227.0億元、336.2億元、409.0億元和495.2億元，預(yù)計(jì)2021年，我國(guó)網(wǎng)絡(luò)信息安全行業(yè)市場(chǎng)規(guī)模將達(dá)到926.8億元。由此可知，我國(guó)對(duì)有效保障信息安全具有較高的重視程度，全面保證軟件定義網(wǎng)絡(luò)中的DDoS安全將有效提高我國(guó)在信息安全中的投入，擴(kuò)大信息安全行業(yè)的產(chǎn)業(yè)規(guī)模。信息安全行業(yè)的上游產(chǎn)業(yè)主要包括硬件設(shè)備和基礎(chǔ)軟件，其中硬件設(shè)備又可覆蓋基礎(chǔ)元器件、芯片、內(nèi)存，基礎(chǔ)軟件可包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等，面對(duì)信息安全事件頻發(fā)以及網(wǎng)絡(luò)安全事件出現(xiàn)對(duì)我國(guó)信息安全產(chǎn)生的嚴(yán)重不良影響，形成多元化的DDoS安全防御系統(tǒng)，并有效應(yīng)用相關(guān)現(xiàn)代化安全漏洞修復(fù)方式和攻擊檢測(cè)、攻擊屏蔽技術(shù)能夠有效保證信息安全，形成健全的信息防護(hù)體系，繼而全面落實(shí)工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》，形成制度化和系統(tǒng)化的信息安全維護(hù)體系。

2 軟件定義網(wǎng)絡(luò)中的DDoS攻擊檢測(cè)

目前，我國(guó)正處于全面推進(jìn)現(xiàn)代化建設(shè)的關(guān)鍵時(shí)期，信息安全是現(xiàn)代化建設(shè)的基礎(chǔ)，直接影響著現(xiàn)代化建設(shè)進(jìn)程，要想構(gòu)建完善的信息安全保障體系，提高軟件定義網(wǎng)絡(luò)中的DDoS安全防御針對(duì)性，應(yīng)進(jìn)行DDoS攻擊檢測(cè)，以下對(duì)檢測(cè)方法進(jìn)行介紹。

按照攻擊目標(biāo)，DDoS攻擊可分為節(jié)點(diǎn)型攻擊、鏈路型攻擊、邏輯型攻擊和反射攻擊，可對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行狀態(tài)造成不良影響。目前，常見(jiàn)的DDoS攻擊主要包括SYNFlood攻擊、UDPFlood攻擊以及ICMPflood攻擊，在攻擊檢測(cè)時(shí)，應(yīng)進(jìn)行數(shù)據(jù)收集和特征提取，OpenFlow系統(tǒng)具有較高的數(shù)據(jù)整合能力，可對(duì)流量數(shù)據(jù)進(jìn)行清洗，并針對(duì)攻擊特征進(jìn)行選擇，基于OpenFlow協(xié)議的DDoS檢測(cè)技術(shù)主要包括異常檢測(cè)和誤用檢測(cè)，在分類算法的支撐下，能夠有效利用OpenFlow特征，進(jìn)行流表處理和特征選擇，繼而開(kāi)展分類檢測(cè)。值得一提的是，針對(duì)傳統(tǒng)網(wǎng)絡(luò)中的DDoS攻擊以及SDN中的DDoS攻擊，在DDoS攻擊的異常檢測(cè)中還可有效應(yīng)用基于統(tǒng)計(jì)分析的DDoS攻擊異常檢測(cè)算法以及基于機(jī)器學(xué)習(xí)的DDoS攻擊異常檢測(cè)算法，提高攻擊檢測(cè)的效率和攻擊溯源的精準(zhǔn)。

3 軟件定義網(wǎng)絡(luò)中的DDoS安全防御

3.1 基于SDSNM邏輯架構(gòu)的防御體系

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，保證信息安全和數(shù)據(jù)安全已成為我國(guó)相關(guān)部門的首要工作任務(wù)，公開(kāi)資料顯示，2019年1月—2019年12月，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心接受網(wǎng)絡(luò)安全事件報(bào)告數(shù)量分別為8 516.0個(gè)、6 995.0個(gè)、8 936.0個(gè)、8 722.0個(gè)、8 252.0個(gè)、7 765.0個(gè)、9 910.0個(gè)、9 405.0個(gè)、9 709.0個(gè)、13 840.0個(gè)、9 470.0個(gè)以及9 112.0個(gè)，由此可知，網(wǎng)絡(luò)信息安全態(tài)勢(shì)仍舊不容樂(lè)觀。針對(duì)軟件定義網(wǎng)絡(luò)中的DDoS安全防御，可有效應(yīng)用基于SDSNM邏輯架構(gòu)的防御體系。

該防御體系具有基于Renyi熵的DDoS檢測(cè)系統(tǒng)，該檢測(cè)系統(tǒng)中的異常檢測(cè)算法可基于特征度量值和異常度量值進(jìn)行普通網(wǎng)絡(luò)流量建模，完成數(shù)據(jù)流和模型的區(qū)別對(duì)比，同時(shí)，基于Renyi熵的DDoS檢測(cè)算法則可實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)的異常情況，判斷系統(tǒng)是否遭遇攻擊。以此為前提，基于SDSNM邏輯架構(gòu)的防御體系，可通過(guò)參數(shù)選擇、具體檢測(cè)、短時(shí)檢測(cè)，有效判斷網(wǎng)絡(luò)系統(tǒng)的安全環(huán)境。由此可知，基于SDSNM邏輯架構(gòu)的防御體系具有較為完善的DDoS攻擊檢測(cè)系統(tǒng)，而基于SDSNM的邏輯架構(gòu)則可使網(wǎng)絡(luò)系統(tǒng)具備DDoS攻擊防范能力?；赟DSNM邏輯架構(gòu)的防御體系主要包括邊緣網(wǎng)絡(luò)和核心網(wǎng)絡(luò)，可有效覆蓋數(shù)據(jù)平面、控制平面和應(yīng)用平面。其中，應(yīng)用平面主要包括云平臺(tái)、端系統(tǒng)以及相關(guān)SDN應(yīng)用，可有效提高系統(tǒng)對(duì)DDoS攻擊的反應(yīng)效率，精準(zhǔn)保障信息安全。

3.2 基于OpenFlow的攻擊緩解方法

基于OpenFlow的攻擊緩解方法主要是利用Ope-Low協(xié)議和DDoS檢測(cè)技術(shù)進(jìn)行的系統(tǒng)架構(gòu)，利用OpenFlow流量特征可構(gòu)建基于特征選擇的攻擊檢測(cè)方法，該方法主要通過(guò)對(duì)整合的流表信息進(jìn)行數(shù)據(jù)預(yù)處理，繼而完成特征選擇，在評(píng)價(jià)準(zhǔn)則的支持下進(jìn)行特征排序，構(gòu)建特征子集，繼而完成訓(xùn)練、分類，進(jìn)行攻擊的檢測(cè)分析和精準(zhǔn)處理。以此為前提，基于OpenFlow的攻擊緩解主要體現(xiàn)在ACL管控和流量管理上，ACL管控主要是指訪問(wèn)控制列表，通過(guò)對(duì)位于路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備上用來(lái)控制端口進(jìn)出數(shù)據(jù)包的指令列表進(jìn)行識(shí)別，對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源的行為進(jìn)行管理和控制，同時(shí)，還可根據(jù)信息的匹配性完成列表指令信息的調(diào)用。該防御體系能夠?qū)Τ鋈刖W(wǎng)環(huán)境進(jìn)行改良，通過(guò)優(yōu)化訪問(wèn)路徑，協(xié)調(diào)訪問(wèn)能力，進(jìn)一步保證網(wǎng)絡(luò)信息的安全和網(wǎng)絡(luò)環(huán)境的穩(wěn)定性。值得一提的是，ACL管控技術(shù)能夠與Ope-Low協(xié)議進(jìn)行協(xié)同配合，完成攻擊檢測(cè)結(jié)果的響應(yīng)，繼而通過(guò)網(wǎng)絡(luò)控制器進(jìn)行通信管理，從而實(shí)現(xiàn)DDoS攻擊的緩解。流量管理主要是通過(guò)限速、分流來(lái)實(shí)現(xiàn)單點(diǎn)故障屏蔽和攻擊緩解。另外，在基于OpenFlow的攻擊緩解方法應(yīng)用中，還可進(jìn)行系統(tǒng)架構(gòu)設(shè)計(jì)和功能描述，以攻擊檢測(cè)結(jié)果為前提，DDoS攻擊緩解機(jī)制可進(jìn)行結(jié)果的狀態(tài)檢測(cè)，并利用ACL管控將某些訪問(wèn)行為放置于黑名單或白名單內(nèi)，通過(guò)主機(jī)選舉和流量管理，導(dǎo)出緩解決策，與OpenFlow協(xié)議協(xié)同配合，精準(zhǔn)發(fā)布控制命令，提高網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性，降低癱瘓風(fēng)險(xiǎn)[1]。

3.3 基于強(qiáng)化學(xué)習(xí)的攻擊防御體系

隨著信息技術(shù)的迅速發(fā)展，特別是云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能等新一代信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)全面泛化，種類和復(fù)雜度均顯著增加，信息安全產(chǎn)品與服務(wù)種類也不斷得到充實(shí)與細(xì)化[2]。在軟件定義網(wǎng)絡(luò)中的DDoS安全保障中，可有效利用基于強(qiáng)化學(xué)習(xí)的攻擊防御體系。

目前，DDoS攻擊技術(shù)主要包括資源帶寬消耗型的攻擊技術(shù)以及系統(tǒng)資源消耗型的攻擊技術(shù)，基于強(qiáng)化學(xué)習(xí)的攻擊防御體系主要利用了基于限速的DDoS緩解方法、馬爾可夫決策過(guò)程以及基于策略的強(qiáng)化學(xué)習(xí)，基于近端策略優(yōu)化算法的DDoS防御方法設(shè)計(jì)主要進(jìn)行了狀態(tài)空間設(shè)計(jì)、動(dòng)作空間規(guī)劃和獎(jiǎng)勵(lì)函數(shù)設(shè)計(jì)，并利用基于分配的限流方法和考慮效率的獎(jiǎng)賞系數(shù)，搭建強(qiáng)化學(xué)習(xí)框架，主要包括數(shù)據(jù)分析模塊、強(qiáng)化學(xué)習(xí)模塊、動(dòng)作下發(fā)模塊以及完善的DDoS攻擊防御流程，能夠根據(jù)數(shù)據(jù)收集和評(píng)價(jià)標(biāo)準(zhǔn)以及機(jī)械和參數(shù)設(shè)計(jì)進(jìn)行DDoS攻擊的針對(duì)性防御[3]。

3.4 基于DPDK的攻擊防御系統(tǒng)

目前，DDoS攻擊的防御渠道主要包括防火墻及入侵檢測(cè)防護(hù)系統(tǒng)、流量限速、黑洞路由、訪問(wèn)限制以及流量清洗，DPDK是數(shù)據(jù)平面開(kāi)發(fā)套件的簡(jiǎn)稱，主要基于Linux系統(tǒng)運(yùn)行，用于快速數(shù)據(jù)包處理的函數(shù)庫(kù)與驅(qū)動(dòng)集合，可以極大地提高數(shù)據(jù)處理性能和吞吐量，提高數(shù)據(jù)平面應(yīng)用程序的工作效率。基于DPDK可架構(gòu)DDoS防御系統(tǒng)，利用DPDK數(shù)據(jù)包處理的加速原理，完成巡邏模式驅(qū)動(dòng)和用戶態(tài)驅(qū)動(dòng)。在基于DPDK的DDoS攻擊防御系統(tǒng)設(shè)計(jì)時(shí)，需進(jìn)行系統(tǒng)需求分析，主要包括功能性需求分析和非功能性需求分析，繼而針對(duì)性完成攻擊防御系統(tǒng)的功能模塊架構(gòu)。該系統(tǒng)的功能模塊主要包括數(shù)據(jù)包檢測(cè)模塊、管理中心模塊以及流量清洗模塊，數(shù)據(jù)包檢測(cè)模塊和流量清洗模塊可將日志上報(bào)至管理中心，由管理中心進(jìn)行日志收集和策略下發(fā)，對(duì)DDoS攻擊進(jìn)行針對(duì)性防御。

4 結(jié)語(yǔ)

總而言之，嚴(yán)峻的網(wǎng)絡(luò)信息安全態(tài)勢(shì)要求軟件定義網(wǎng)絡(luò)具有完善的DDoS安全防御系統(tǒng)，切實(shí)保障信息安全和網(wǎng)絡(luò)環(huán)境安全?；谲浖x網(wǎng)絡(luò)中的DDoS安全保障價(jià)值，應(yīng)利用相關(guān)現(xiàn)代化技術(shù)對(duì)軟件定義網(wǎng)絡(luò)中的DDoS攻擊進(jìn)行全面檢測(cè)，并利用基于SDSNM邏輯架構(gòu)的防御體系、OpenFlowow的攻擊緩解方法、強(qiáng)化學(xué)習(xí)的攻擊防御體系以及基于DPDK的攻擊防御系統(tǒng)保障信息安全。