SDN架构下的DDoS防御机制设计与应用研究

2022-09-11

互联网快速发展的同时也面临分布式拒绝服务攻击的严重威胁, 它伺机搜寻目标网络的漏洞并对其进行主机控制和资源损耗, 致使目标网络难以为合法用户提供需求性服务。如:TCPSYNFlood攻击;借助于UDP的分布式反射拒绝服务攻击等, 并逐渐由对网络的攻击延伸到智能设备领域。为此, 必须探讨和研究新的网络架构和网络协议, 要基于新兴的SDN软件定义网络架构, 设计和应用DDoS防御机制, 通过SDN架构中的应用层、控制层和数据层, 实现对网络数据的监控和统计, 保障网络安全和有序。

一、软件定义网络及分布式拒绝服务攻击的相关概述

软件定义网络SDN是新兴的网络架构, 体现出集中控制和开放性的特点, 它通过对现有网络架构的解耦合, 实现应用层、控制层和数据层的不同层级设计, 并以控制层为网络核心, 实现控制层和数据层的分离, 进行网络数据的转发操作和控制, 利用对外开放的可编程接口实现软件的自由开发。

分布式拒绝服务攻击是一种网络攻击方式, 基于一定的经济利益或政治目的对目标网络伺机发送攻击请求并控制主机, 损耗大量的内存、CPU等网络系统资源, 难以实现对合法用户的网络服务, 体现出日益频繁和多样化的攻击特点。

二、控制器分布式部署方案的设计与优化

(一) 问题提出

由于网络的服务资源是有限的, 因而要注重对网络性能的整体提升, 基于SDN架构实现对网络信息的获取、集中控制和分析, 同时由于SDN网络中的控制器与交换机发生逻辑关系, 其位置部署体现出极其关键的重要地位和作用。原有的网络时延难以实时反映网络流量的动态变化, 因而无法作为控制器部署的依据, 因而本文以恒定不变的网络路由跳数或链路的物理距离为依据, 计算和确定控制器的部署位置。

(二) 解决方案

可以将路由跳数作为衡量网络节点距离远近的依据, 引入介数中心性, 描述通过某个节点最短路径的数量, 有效衡量网络节点的连通性。通过计算确定控制器到交换机的最大跳数, 获悉控制器最终的部署数量。同时, 执行优化的k-means网络划分算法, 确保各个控制器与交换机之间的域内连通[1]。

三、基于SDN的DDoS攻击流量过滤分析

(一) 问题提出

SDN架构下的DDoS防御机制可以实现对DDoS攻击信息的全面、集中控制, 并动态更新网络转发逻辑。当网络遭受DDo S攻击时, 会承受难以负载的超网络流量, 导致网络IP数量分布异常、数据信息失控, 因而可以通过对网络流量的统计、对比、分类等方式, 过滤掉DDoS攻击流量, 抵御DDoS的攻击, 然而这种方式的缺陷在于分析面较为狭窄, 局限于对数据包的源IP的分析, 而对DDoS攻击的变化性难以预估和控制。而如果通过修改交换机逻辑的方式, 由控制器实现网络流量的分析, 则存在与SDN架构的原则相悖离的问题。因此应当引入s Flow协议实现对网络流量数据的采集和分析, 减轻控制器的安全分析负担。

(二) 方案设计

基于SDN架构下的DDoS系统由交换机、控制器和安全模块组成, 其中:交换机在s Flow协议的条件下传送数据至安全模块;安全模块接收交换机传送的数据并加以分析和处理;控制器可以通过改变交换机的流量表防御DDoS攻击。由此可见, 在新方案下控制器并未增添新的功能, 在原有的控制器和交换机的实现逻辑条件下, 即可实现对DDoS攻击的防御。

(三) 方案实现

基于SDN架构下的DDoS系统中的交换机支持s Flow采样协议, 依据一定的采样速率, 实现对数据的采集、封装、发送、解析和处理, 处理过程分为两个阶段:检测到DDo S攻击前进行网络流量特征的提取和聚类分析;检测到DDoS攻击后进行网络流量特征的提取和归类。在这两个阶段之中, 对网络流量进行特征分析的对象包括有源IP地址、端口号、包大小、协议类型、TTL、TCP标志位, 通过选取适宜的描述攻击特征进行网络流量过滤, 并设置评分机制以评价网络流量的好坏[2]。

四、SDN架构下的系统动态负载均衡分析

基于SDN架构的DDoS防御系统要利用sflow监控网络, 实现对网络流量的预估和计算, 获取链路剩余带宽所需的路径集合, 再将网络流量依照一定比例划分到不同链路之中。

(一) 问题提出

DDoS攻击时的网络流量迅猛增加, 导致网络堵塞的问题, 为此要引入负载均衡策略, 利用静态、动态负载均衡在剩余链路中分配网络流量。其中:静态负载均衡主要采用轮询法和随机调度的方式, 实现对网络流量的分配;动态负载均衡则要结合网络实际负载情况, 充分适应网络各种突发情况, 进行网络流量的分配。

(二) 方案设计

要在确定DDoS攻击目标地址的条件下, 分析网络流量的变化状态和网络拓扑结构, 避免流量分布不均衡而过分集中于某一条链路的情形。在方案设计之中可以设置交换器、控制器和负载均衡模块三大部分, 其中:交换机在sflow协议的应用条件下测量网络带宽;负载均衡模块则依据网络的实际状态计算转发路径, 改变交换机的流表;控制器则要发送网络拓扑及链路容量信息, 成为负载均衡模块的计算依据。

(三) 方案实现

要采用sflow监控和获取网络的实际带宽使用量, 以此作为负载均衡的依据, 实现负载均衡模块在网络中的部署。同时, 要利用流表实现对网络流量的预估和管理, 考虑到网络流量在遭遇DDoS攻击时会出现骤然的跳变现象, 因而可以采用自回归积分滑动平均模型、指数平滑法、长短期记忆网络等方法, 预测网络流量。负载均衡模块通过路由计算, 将流量分配到不同的路径之中, 避免有些链路流量拥堵而另一些链路流量冗余的问题。

五、SDN架构下的DDoS防御机制设计与应用分析

(一) 需求分析

SDN架构下的DDoS防御机制要满足如下一些功能性需求, 如:用户管理、网络信息监控、针对DDoS攻击条件下的负载均衡、针对DDoS攻击条件下的流量分析和过滤、系统管理、数据持久化存储等。同时, SDN架构下的DDoS防御机制还要满足如下非功能性需求, 如:准确性、实时性、可维护性和可靠性。

(二) 系统模块设计

SDN架构下的DDoS防御机制要进行如下子模块设计: (1) 用户管理子模块。用户管理子模块通过对数据库的读取识别并判断登陆用户是否合法, 在判定其为合法用户之后即赋予用户以相应的权限管理功能。 (2) 网络信息监控子模块。该模块用于监控网络数据信息, 并向控制器查询网络拓扑信息。 (3) 负载均衡子模块。在监控和获悉网络流量信息的前提下, 进行网络流量预估、路由计算和流量转发, 实现网络负载的均衡管理。 (4) DDoS流量过滤子模块。当网络遭受DDoS攻击流量超出链路负载能力的情况下, 负载均衡模块无法为冗余流量提供适宜的转发路径, 为此需要借助于DDoS流量过滤子模块, 实现对网络流量的过滤和分析。 (5) 系统管理子模块。由管理员设定负载均衡和DDoS流量过滤中的阈值, 用户可以通过对流表的手动操作干预流量转发和过滤。 (6) 数据存储子模块。该子模块提供数据存储的功能接口, 实现对网络流量数据的存储[3]。

(三) 数据库设计

SDN架构下的DDoS防御机制以mysql为数据库, 包括以下数据库表:用户表、控制器信息表、流量过滤记录表等, 实现对DDoS攻击的防御。

六、小结

综上所述, SDN架构下的DDoS攻击防御机制重点探讨针对软件定义网络的控制器部署、DDoS攻击流量过滤和SDN中的流量动态负载均衡等问题, 并提出针对性的方案设计和实现方式, 有效实现DDoS防御。

未来还要持续加强对分布式拒绝服务攻击流量的准确识别和过滤, 研究DDo S的攻击变化方式对网络的影响, 并要针对性的完善软件定义网络, 解决软件定义网络中控制器的单点问题, 有效应对针对控制器的网络攻击。

摘要：基于软件定义的网络防御DDo S防御机制是针对传统网络架构中的安全漏洞而设计的, 重点探讨SDN架构下的DDo S防御系统和机制, 增强SDN应对DDo S攻击的自我防御能力, 合理部署SDN控制器, 解决DDo S攻击流量过滤的问题, 并确保SDN在DDo S攻击状态下的动态负载均衡, 在各条链路中有足够的带宽路径得以集合和优化, 充分发挥DDoS防御机制的功能。

关键词：SDN架构,DDoS攻击,防御机制,设计