軟件定義網絡中流量安全問題的仿真研究

郭曉丹，段雨梅

（四川大學錦城學院 計算機與軟件學院，四川 成都 611731）

自斯坦福大學提出了軟件定義網絡(Software Defined Network，SDN)的概念之后[1]，引起了學術界廣泛關注，其中我國的863 項目“未來網絡體系架構和創新環境”中也對SDN 技術進行了研究。近年來，在網絡通信領域的頂級會議SIGCOMM 上發表了大量關于SDN 的研究論文。SDN 是一種控制與轉發分離且可直接編程的新型網絡架構，其出現源于當前網絡環境的變化。隨著網絡應用越來越廣泛，網速也從2G 快速發展到4G、5G，網民人數也是暴增，網絡應用和網絡需求呈現快速變化和種類多樣化趨勢，傳統網絡比較固定的需求設計已經不能夠滿足這種動態的網絡需求，所以當對網絡虛擬化（NFV）進行了一定程度研究后，SDN 也就更快地被大家所接受。

1.SDN 的體系架構

SDN 當前被廣泛應用，研究者也從學術界傳遞到業界，針對SDN 的標準化研究也一直沒有停止，因為標準化是促進一種技術快速發展和普及的重要工作，當前就有多個國際組織參與了SDN 的標準化研究。其中包括了開放網絡基金會（ONF）、因特網工程任務組（IETF）、國際電信聯盟電信標準分局（ITU-T），以及網絡功能虛擬化標準工作組（NFVISG）。這些組織都有自己的主攻方向，也有各自的研究成果，而當前比較成熟的，被大家廣泛接受并常常作為SDN 基本知識普及的體系架構則是由ONF 提出的三層架構，分別是應用層、控制層和基礎設施層。以SDN 控制器為中心，分別向北對接應用層，向南對接基礎設施層，這樣的結構與傳統的七層架構和TCP/IP的五層架構對比明顯，同時也將SDN 的核心思想展示出來。然而，這類架構仍然否存在網絡安全問題。只是這種新架構引發的網絡問題與傳統網絡有所不同，所以需要根據現有情況進行新的分析與探索研究。

2.SDN 網絡中的網絡安全分析

SDN 作為新型的網絡架構，應用初期面臨了比較大的安全挑戰。其中SDN 的控制器作為整個網絡的核心，關系到整個網絡的轉發效率和轉發策略，也極易受到攻擊。在SDN 網絡中，數據面收到的第一條流會被上傳給控制器，由控制器識別并且下發流表給交換機，交換機就會根據流表進行網絡數據轉發。后續流都會依照流表進行轉發[2]。SDN 網絡具有可編程特性，這既是它的優勢，也是它的弱點?？删幊桃馕吨脩艨梢栽诮粨Q機上運行代碼，其中有一種方法就是通過報文中攜帶可以運行的代碼，實現應用的動態變化，滿足用戶的動態需求，同時，這也預示著風險的存在，如果攻擊者利用這個規則，修改了交換機上的流表，那么SDN 網絡中的數據流量就會被全部被攻擊者所引導[3]。

在SDN 中的流表一般都在包頭域中選擇一定的選項來做匹配，而包頭域一般包含12 種類型的數據，比如源目的IP 地址、源端口號目的端口號、源MAC 目的MAC 等等。在實際的流量轉發過程中，不需要所有域全匹配，在數據中最長匹配即可，因此，數據流量的轉發在一定程度上也存在安全風險。如何進行有效防控，便成為SDN 網絡安全的重要研究問題。

SDN 當前的網絡安全問題研究聚焦于兩個方面：一方面，SDN 本身的問題，比如它的新架構和新思想帶來的問題，包括IP 地址欺騙、DDos 攻擊[4]、網絡監聽等等，這些問題的存在也導致了商用化SDN 的進程有一定的影響。另一方面，傳統網絡的安全問題如何通過SDN 的優勢來解決和規避，這主要是依賴于SDN 網絡的集中控制特點，可以快速下發策略，并且可以統籌管理整個網絡的安全策略，同時SDN 控制器具有全網視圖便于流量的監測和訪問控制的設置。這些優勢也為當前研究者提供了新的思路去解決傳統網絡的安全問題，并且推動SDN 的商業化發展。

3.問題仿真驗證

本文就針對傳統網絡中常見的流量攻擊問題進行了模擬仿真，并驗證了一種SDN 中的方法可以有效解決這類問題的發生。首先，從當前仿真軟件的使用情況來看，Mininet 成為此次仿真的首選平臺。Mininet 是由斯坦福大學基于Linux Container 架構開發的一個進程虛擬化網絡仿真工具，可以創建一個包含主機、交換機、控制器和鏈路的虛擬網絡，其交換機支持OpenFlow，具備高度靈活的自定義軟件定義網絡。其次，仿真網絡的搭建離不開控制器的選擇，本次選擇的控制器是開源控制器Ryu。它使用Python 語言進行編碼，支持Openflow 協議，能夠與Mininet 互通。對于仿真而言，這款外部的控制器比Mininet 自帶的控制器性能要高很多。再者，創建拓撲。使用Mininet 可視化界面創建一個具有兩個交換機，一臺控制器，四臺主機的網絡環境（見圖3），其中控制器連接的是外部控制器。

圖1 仿真拓撲圖

4.問題模擬

在完成了拓撲圖中的地址配置之后，保證h1、h2、h3 和h4 之間能夠正常通信，然后再在h1 上通過ping 命令模擬攻擊流量，攻擊h3。在s2 上通過wireshark 軟件轉包，對攻擊流量進行分析。流量分析此步驟也可以使用人工確定，也可以使用機器自動鑒別。當研究者確定了攻擊流量的源IP 或者攻擊流量入端口后，就可以根據實際情況進行流量攔截。具體攔截方法就是通過控制器在s2 上安裝防御流量的流表，比如將轉發匹配域的入端口為攻擊流量進入端口的流量所對應的流表項找到，然后通過流表命令將其動作修改為“丟棄”。其次，如果知曉攻擊流量的IP 地址，那么可以選擇更詳細的包頭域匹配規則，找到對應的流表，或者創建新的流表，將對應IP 地址發送的攻擊報文的操作改為“丟棄”。同時這種行為也可以反饋給控制器，由控制器通告全網，這樣既可以防御此交換機或者h3 不被攻擊，同時也可以預防h2 和h4 被攻擊。

最終，攻擊流量完全被攔截，最終實驗仿真成功。

圖2 驗證阻截結果

5.網絡安全解決方法拓展

大數據技術在軟件定義網絡的安全問題中有極大的優勢。從大數據的生命周期來看，大數據采集、大數據預處理、大數據存儲和大數據分析共同組成了大數據生命周期里最核心的技術，而這四種技術恰恰也為網絡安全問題的解決提供了新思路。

網絡中的問題本質是網絡流量的問題，那么通過對SDN網絡流量的數據采集，然后利用大數據預處理技術進行分類，并且將一些重要數據流量進行存儲，同時結合大數據分析技術進行甄別，那么我們就可以追溯網絡流量中的非法數據，可以預測、也可以防控，這樣可以大大降低SDN 網絡中的安全風險。在SDN 網絡中，由于所有流量都可以通過SDN 控制器進行流量管控，這也為大數據技術在SDN 中的應用提供了便利，因為數據收集不再依賴于廣泛的接入層，可以直接在控制層進行，不再需要將大數據技術應用到各個交換機路由器上，而是直接在SDN 控制器上應用，極大地提升了大數據應用的效率。

人工智能作為當前的新技術之一，也給SDN 的網絡安全問題提供了新方法。在傳統網絡中，經常存在網絡流量的識別難、預測難等問題，有了人工智能的各種算法后，有很多安全問題可以使用人工智能的方法進行解決。比如人工智能可以用于漏洞挖掘，也可以使用人工智能的機器學習方法檢測網絡中的非法流量，并且自動添加防御策略，進行流量管控[6]。

無論是大數據還是人工智能，都為SDN 網絡的安全問題提供了新的解決策略，在未來的網絡安全方案中會出現得更廣泛。