李賽飛　邢煥來　閆連山

摘要：針對如何在軟件定義網(wǎng)絡(luò)（SDN）體系架構(gòu)下設(shè)計管理靈活、復(fù)雜性可控的網(wǎng)絡(luò)以及如何保障網(wǎng)絡(luò)安全等問題，提出了一種面向業(yè)務(wù)、安全增強、軟件定義（3S）的網(wǎng)絡(luò)體系架構(gòu)?；?S架構(gòu)，設(shè)計實現(xiàn)了一種針對中國鐵路通信信號系統(tǒng)網(wǎng)絡(luò)的統(tǒng)一安全管控方案，并借助3S特性及神經(jīng)網(wǎng)絡(luò)算法，設(shè)計實現(xiàn)了一種有效的分布式拒絕服務(wù)攻擊（DDoS）檢測方法。

關(guān)鍵詞： 軟件定義網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；分布式拒絕服務(wù)攻擊；中國列車運行控制系統(tǒng)

Abstract： We proposes a service-oriented， security-enhanced and software-defined （3S） network （SDN） architecture which is flexible. And in this architecture， the network complexity can be reduced and security has been enhanced. Based on the 3S architecture， we design a unified security management scheme to guarantee network security. To tackle distrubted denial of service attack （DDoS） attacks， we designed a DDoS detection mechanism comprising attack trigger， attack detection， attack traceback， and attack mitigation.

Key words： SDN； network security； distributed denial of service； Chinese train control system

近年來，軟件定義網(wǎng)絡(luò)（SDN）技術(shù)迅速發(fā)展[1-4]。與傳統(tǒng)網(wǎng)絡(luò)相比，SDN給網(wǎng)絡(luò)設(shè)計和管理帶來了極大的靈活性和開放性，促進了網(wǎng)絡(luò)技術(shù)的創(chuàng)新和發(fā)展。傳統(tǒng)網(wǎng)絡(luò)中涉及很多類型和不同廠商的設(shè)備，運行各自封閉的操作系統(tǒng)，使用各不相同的配置命令，這使得網(wǎng)絡(luò)的設(shè)計、維護和管理十分復(fù)雜，更改設(shè)備配置及升級軟件耗時費力，容易出現(xiàn)錯誤甚至導(dǎo)致網(wǎng)絡(luò)安全問題。此外，路由器、交換機等網(wǎng)絡(luò)設(shè)備基于復(fù)雜的分布式控制協(xié)議，這些協(xié)議的研究和部署需要有多年的標準化推動及互聯(lián)互通測試作為支持。在大型、真實的網(wǎng)絡(luò)中驗證新協(xié)議、新技術(shù)非常困難，嚴重抑制了網(wǎng)絡(luò)領(lǐng)域的創(chuàng)新。

軟件定義網(wǎng)絡(luò)的核心思想是網(wǎng)絡(luò)的控制平面和數(shù)據(jù)平面分離[5]，通過邏輯上集中的方式來控制數(shù)據(jù)平面的各種操作。研究者可根據(jù)自己的需要編寫軟件程序，從而靈活地控制網(wǎng)絡(luò)運行，實踐新的網(wǎng)絡(luò)應(yīng)用。雖然SDN技術(shù)的發(fā)展確實令人興奮，但也應(yīng)該意識到，SDN技術(shù)及思想提供給我們的是一個控制和管理網(wǎng)絡(luò)的平臺，一個創(chuàng)新的工具，它既未明確地指出網(wǎng)絡(luò)如何控制，也未解決任何具體網(wǎng)絡(luò)問題。因此，如何利用SDN這個有力的武器攻克網(wǎng)絡(luò)中的難題，如何在SDN網(wǎng)絡(luò)架構(gòu)平臺上，系統(tǒng)地組織和搭建靈活、高效網(wǎng)絡(luò)成為SDN技術(shù)成功和發(fā)展的關(guān)鍵[6]。

從網(wǎng)絡(luò)系統(tǒng)安全的角度來看，網(wǎng)絡(luò)及其管理越復(fù)雜，則安全性越脆弱。網(wǎng)絡(luò)系統(tǒng)安全是一個動態(tài)的過程，而通常情況下一個網(wǎng)絡(luò)系統(tǒng)隨著組織的變化或發(fā)展，會變得越來越復(fù)雜，越來越不可控，使攻擊者有機可乘。對于網(wǎng)絡(luò)安全攻防的雙方，安全防護一直處于被動地位，由于“短板效應(yīng)”，安全防護必須面面俱到，相反，一個嚴密防護的系統(tǒng)被攻破，可能僅僅是由于一個小小的疏忽。所以，如何設(shè)計一個安全的SDN網(wǎng)絡(luò)架構(gòu)是一個極具挑戰(zhàn)性的難題[7]。

1 3S網(wǎng)絡(luò)架構(gòu)

SDN網(wǎng)絡(luò)架構(gòu)的安全性，是決定SDN技術(shù)發(fā)展和廣泛部署的關(guān)鍵問題之一，包含兩方面內(nèi)容；一個是SDN本身的安全問題（例如：SDN控制器安全、應(yīng)用部署安全等），另一個是如何充分發(fā)揮SDN優(yōu)勢，設(shè)計一個比傳統(tǒng)網(wǎng)絡(luò)架構(gòu)更加安全的網(wǎng)絡(luò)系統(tǒng)。本文以“軟件定義”思想為基礎(chǔ)，提出面向業(yè)務(wù)、安全增強、軟件定義（3S）的網(wǎng)絡(luò)架構(gòu)：

（1）面向業(yè)務(wù)

網(wǎng)絡(luò)系統(tǒng)應(yīng)面向其所承載的業(yè)務(wù)，以網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)和應(yīng)用為中心，自頂向下驅(qū)動網(wǎng)絡(luò)“流控”。傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)與其所承載的業(yè)務(wù)耦合不緊密，網(wǎng)絡(luò)管理員通常不直接管理網(wǎng)絡(luò)中主機，對網(wǎng)絡(luò)中所存在的業(yè)務(wù)并不十分了解。因此可能導(dǎo)致安全隱患。例如，在基于以太網(wǎng)的點到點協(xié)議（PPPoE）撥號認證上網(wǎng)的校園網(wǎng)環(huán)境中，攻擊者同樣架設(shè)一臺PPPoE服務(wù)器，則可以劫持用戶PPPoE撥號上網(wǎng)的認證信息，甚至可以發(fā)起PPPoE會話的中間人攻擊。在傳統(tǒng)網(wǎng)絡(luò)中很難對這類攻擊進行防護。在SDN網(wǎng)路架構(gòu)下，對網(wǎng)絡(luò)中主機所開放的業(yè)務(wù)進行注冊和認證，非認證的服務(wù)將無法使用網(wǎng)絡(luò)，這樣可以使得網(wǎng)絡(luò)更加清晰可控，增加網(wǎng)絡(luò)的安全性。

（2）安全增強

強調(diào)安全性為網(wǎng)絡(luò)系統(tǒng)的一個基本屬性。安全問題的本質(zhì)是信任問題，傳統(tǒng)網(wǎng)絡(luò)安全通常將安全設(shè)備部署在內(nèi)外網(wǎng)絡(luò)的邊界，重點是防止外部威脅，難以適應(yīng)日益復(fù)雜的網(wǎng)絡(luò)攻擊。SDN的流控技術(shù)可以對網(wǎng)絡(luò)的邊界進行擴展，流控策略可以下發(fā)到每一個終端設(shè)備接入的交換機上，從設(shè)備接入網(wǎng)絡(luò)的邊緣處，根據(jù)策略嚴格控制進入網(wǎng)絡(luò)的流量，而控制策略則是根據(jù)網(wǎng)絡(luò)系統(tǒng)所承載的業(yè)務(wù)需求，把網(wǎng)絡(luò)變成一個白盒。在網(wǎng)絡(luò)匯聚和核心位置的網(wǎng)絡(luò)設(shè)備則專注于流量轉(zhuǎn)發(fā)。對于不符合業(yè)務(wù)或策略的流量還可以做到準確識別，及時發(fā)現(xiàn)異常，采取正確的措施。

當然，SDN網(wǎng)絡(luò)技術(shù)不可能是所有問題的答案，網(wǎng)絡(luò)系統(tǒng)安全包括諸多方面，例如網(wǎng)絡(luò)系統(tǒng)中終端的安全。值得明確的是，我們所謂的“網(wǎng)絡(luò)”究竟在網(wǎng)絡(luò)系統(tǒng)安全中起到什么樣的作用，SDN網(wǎng)絡(luò)技術(shù)到底擅長解決哪一類問題？筆者認為，網(wǎng)絡(luò)設(shè)備的本質(zhì)作用是“連通”，那么對于“網(wǎng)絡(luò)”安全而言，則是對“連通”的控制，即網(wǎng)絡(luò)“流控”。可以說基于OpenFlow[5]的SDN技術(shù)很大程度上擴展了流控技術(shù)，使得流控可以在每個網(wǎng)絡(luò)設(shè)備上進行（而且實現(xiàn)簡單），不僅僅在防火墻等專用安全設(shè)備上。當然，基于SDN設(shè)備的“流控”也有其局限性，由于控制器的可擴展性和OpenFlow交換機處理性能等問題，它目前只適用于“無狀態(tài)”的流控。對于有狀態(tài)的流控則交由專門的安全設(shè)備，值得關(guān)注的是網(wǎng)絡(luò)功能虛擬化技術(shù)[8]（NFV），從不同的角度出發(fā)，減小網(wǎng)絡(luò)的復(fù)雜性和靈活性，可以與SDN技術(shù)配合，對于網(wǎng)絡(luò)安全而言，SDN負責“無狀態(tài)”的流控，NFV則完成復(fù)雜的網(wǎng)絡(luò)安全功能。

（3）軟件定義

工欲善其事必先利其器。“軟件定義”是一個強大工具，可以降低網(wǎng)絡(luò)復(fù)雜性，增加網(wǎng)絡(luò)的開放性和靈活性，降低網(wǎng)絡(luò)管理和部署的成本，促進網(wǎng)絡(luò)的創(chuàng)新，是未來網(wǎng)絡(luò)發(fā)展的重要方向。軟件定義的最大特點是網(wǎng)絡(luò)可編程，眾多網(wǎng)絡(luò)設(shè)備通過邏輯上集中的程序進行控制，相對于傳統(tǒng)網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)而言，軟件程序可以應(yīng)付大量復(fù)雜的網(wǎng)絡(luò)事件，可以更方便的利用大數(shù)據(jù)分析等智能化手段，大大增強對網(wǎng)絡(luò)的控制力度。

本文提出基于3S網(wǎng)絡(luò)架構(gòu)的兩個應(yīng)用場景：鐵路通信信號系統(tǒng)網(wǎng)絡(luò)安全統(tǒng)一管控，通過對鐵路信號業(yè)務(wù)的詳細分析，設(shè)計實現(xiàn)了面向鐵路業(yè)務(wù)的軟件定義鐵路信號系統(tǒng)網(wǎng)絡(luò)；另一個是分布式拒絕服務(wù)攻擊（DDoS）攻擊防御和檢測，通過利用SDN技術(shù)，實現(xiàn)智能地檢測DDoS攻擊。

2 3S網(wǎng)絡(luò)架構(gòu)應(yīng)用案例：

2.1 軟件定義鐵路通信信號系統(tǒng)網(wǎng)絡(luò)

中國高速鐵路信號系統(tǒng)（如圖1所示），包括列控系統(tǒng)、行車指揮系統(tǒng)、聯(lián)鎖系統(tǒng)和信號集中監(jiān)測系統(tǒng)[9]。列控系統(tǒng)主要由列控中心（TCC）、車載設(shè)備、應(yīng)答器、無線閉塞中心（RBC）、臨時限速服務(wù)器和傳輸網(wǎng)絡(luò)組成；行車指揮系統(tǒng)由分散自律調(diào)度集中（CTC）中心、自律分機、傳輸網(wǎng)絡(luò)、服務(wù)器系統(tǒng)、行調(diào)臺、輔助臺和電源系統(tǒng)組成；聯(lián)鎖系統(tǒng)由聯(lián)鎖設(shè)備、軌道電路、道岔轉(zhuǎn)換、信號機和電源系統(tǒng)組成。信號集中監(jiān)測通過標準接口與聯(lián)鎖系統(tǒng)、列車控制中心、TDCS/CTC、智能電源屏、ZPW-2000軌道電路系統(tǒng)、有源應(yīng)答器等信號設(shè)備連接，監(jiān)測設(shè)備狀態(tài)。CTC分散自律調(diào)度集中通信網(wǎng)絡(luò)[10]、信號安全通信數(shù)據(jù)網(wǎng)[11]和集中監(jiān)測網(wǎng)絡(luò)[12]安全等級不同，獨立成網(wǎng)，采用物理手段隔離，但邏輯上依然相連。

根據(jù)3S網(wǎng)絡(luò)架構(gòu)，設(shè)計面向鐵路業(yè)務(wù)的軟件定義鐵路通信信號系統(tǒng)網(wǎng)絡(luò)，系統(tǒng)架構(gòu)如圖2所示。自頂向下分別為業(yè)務(wù)應(yīng)用層，把鐵路信號系統(tǒng)的業(yè)務(wù)編譯為網(wǎng)絡(luò)可以執(zhí)行的流控策略；鐵路信號系統(tǒng)網(wǎng)絡(luò)虛擬化層，把原來物理隔離的信號系統(tǒng)網(wǎng)絡(luò)，用軟件定義的方式進行隔離，在架構(gòu)中表現(xiàn)為不同的虛擬網(wǎng)絡(luò)；網(wǎng)絡(luò)操作系統(tǒng)層，向上層網(wǎng)絡(luò)提供網(wǎng)絡(luò)系統(tǒng)功能函數(shù)，例如，信號系統(tǒng)網(wǎng)絡(luò)的環(huán)網(wǎng)保護功能等。網(wǎng)絡(luò)驅(qū)動層來驅(qū)動支持軟件定義的網(wǎng)絡(luò)的硬件設(shè)備。

2.2 信號系統(tǒng)網(wǎng)絡(luò)安全統(tǒng)一管控

鐵路通信信號系統(tǒng)網(wǎng)絡(luò)復(fù)雜，安全等級不同，接口眾多，通過軟件定義的方式對系統(tǒng)進行統(tǒng)一管控，降低管理的復(fù)雜度，提高網(wǎng)絡(luò)的安全性。文章通過研究使用軟件定義網(wǎng)絡(luò)架構(gòu)，重新設(shè)計鐵路通信信號系統(tǒng)網(wǎng)絡(luò)，把原來復(fù)雜的需要物理隔離的不同安全等級的網(wǎng)絡(luò)，在統(tǒng)一的硬件平臺上，通過軟件定義的方式進行隔離和管控，從而降低網(wǎng)絡(luò)管理的復(fù)雜性，提高網(wǎng)絡(luò)的靈活性和安全性[13-15]。

（1）通信信號系統(tǒng)設(shè)備資產(chǎn)、服務(wù)、用戶注冊與認證

鐵路通信信號系統(tǒng)跨域地域廣闊，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，設(shè)備眾多，用戶復(fù)雜，安全管理的難度較大。本文通過對應(yīng)用業(yè)務(wù)平面的統(tǒng)一安全管控，在平臺上對通信信號設(shè)備資產(chǎn)、服務(wù)與用戶進行注冊，實現(xiàn)對整個系統(tǒng)網(wǎng)絡(luò)環(huán)境的認證。

（2）通信信號系統(tǒng)網(wǎng)絡(luò)流控策略與訪問控制

通過對鐵路通信信號系統(tǒng)中資產(chǎn)、服務(wù)與用戶的統(tǒng)一注冊和認證管理，為網(wǎng)絡(luò)的流控和訪問控制打下了基礎(chǔ)，在此基礎(chǔ)上可以實現(xiàn)精細的控制策略與白名單策略。把鐵路通信信號系統(tǒng)中的業(yè)務(wù)流映射為網(wǎng)絡(luò)流進行流控管理。同時，網(wǎng)絡(luò)中可能存在數(shù)量較大的流，所以采用基于Openflow的多級流表進行設(shè)計。

3 基于3S架構(gòu)的智能

DDoS攻擊檢測

DDoS由于其所具有的高危害、易于發(fā)起及排查困難等特性，一直是網(wǎng)絡(luò)面臨的嚴重問題。同時，近年來DDoS呈現(xiàn)越來越快的增長趨勢。2013年，針對國際反垃圾郵件組織SPAMHAUS的DDoS攻擊對全球網(wǎng)絡(luò)造成了嚴重危害。2014年，由著名黑客組織ANONYMOUS發(fā)起的針對索尼公司的DDoS攻擊對其造成了巨大的經(jīng)濟損失。作為一種新興的網(wǎng)絡(luò)體系結(jié)構(gòu)，SDN同樣面臨嚴峻的DDoS問題。因此，對SDN中的DDoS問題的研究對未來網(wǎng)絡(luò)架構(gòu)具有重大意義。

為解決SDN中面臨的DDoS難題，本文提出了一種抗DDoS系統(tǒng)：軟件定義的抗分布式拒絕服務(wù)攻擊系統(tǒng)（SD-Anti-DDoS），如圖3所示。SD-Anti-DDoS由3部分組成：DDoS檢測模塊、DDoS溯源模塊及DDoS抑制模塊。

DDoS檢測模塊實現(xiàn)在線實時檢測DDoS功能，由檢測進程控制及DDoS精細檢測組成。檢測進程控制模塊用于控制檢測模塊的啟動。當該模塊判斷應(yīng)當發(fā)起檢測時，DDoS檢測啟動。與傳統(tǒng)檢測方法相比，SD-Anti-DDoS中的DDoS檢測為一種輕量級的檢測方法。該方法通過BP神經(jīng)網(wǎng)絡(luò)判斷交換機上面的流表是否由攻擊流量產(chǎn)生，進而對網(wǎng)絡(luò)中是否存在DDoS攻擊進行判斷。

當DDoS檢測模塊檢測完成且發(fā)現(xiàn)網(wǎng)絡(luò)中存在DDoS攻擊時，DDoS溯源模塊隨后啟動并追溯攻擊路徑及攻擊源頭。DDoS溯源模塊主要包含攻擊路徑判斷及攻擊源頭判斷。攻擊路徑判斷及攻擊源頭判斷主要依據(jù)SDN控制器對底層網(wǎng)絡(luò)拓撲的實時掌控，由攻擊目的及攻擊路徑上各交換機的特性，結(jié)合已知的網(wǎng)絡(luò)拓撲確定攻擊路徑及源頭。

網(wǎng)絡(luò)中的DDoS攻擊路徑及攻擊源頭確定后，由DDoS抑制模塊負責對DDoS產(chǎn)生的危害進行抑制。首先，SD-Anti-DDoS將在攻擊源頭阻塞攻擊流量，防止DDoS攻擊流量在網(wǎng)絡(luò)中的傳播。其次，SD-Anti-DDoS將清除網(wǎng)絡(luò)中因DDoS產(chǎn)生的無用流表，釋放受影響的交換機上被占用的空間。

SD-Anti-DDoS充分利用SDN的特性，基于SDN中的特點實現(xiàn)了SDN中的DDoS的實時檢測、溯源及抑制，能夠有效防御、抑制SDN中的DDoS造成的危害。

4 結(jié)束語

網(wǎng)絡(luò)的部署是為了實現(xiàn)業(yè)務(wù)的連通，網(wǎng)絡(luò)安全是為了保障網(wǎng)路中業(yè)務(wù)的安全，因此，面向業(yè)務(wù)和安全應(yīng)該是網(wǎng)絡(luò)的兩個基本屬性，而軟件定義可以使得我們更加容易的設(shè)計面向業(yè)務(wù)安全的網(wǎng)絡(luò)，本文提出的3S網(wǎng)絡(luò)正式結(jié)合這3個方面的理念，希望可以對SDN網(wǎng)絡(luò)的設(shè)計提出有益的幫助。

參考文獻

[1] Software-Defined Networking： The New Norm for Networks. Open Network Foundation [EB/OL]. [2015-05-01]. https：//www.opennetworking.org

[2] Open Networking Foundation [EB/OL]. [2015-05-01]. https：//www.opennetworking.org/

[3] BOSSHART P， GIBB G.， KIM H-S， VARGHESE G.， MCKEOWN N， IZZARD M， MUJICA F， HOROWITZ M. Forwarding metamorphosis： fast programmable match-action processing in hardware for SDN [C]//Proceedings of the ACM SIGCOMM. 2013：99-110

[4] GENI. Campus OpenFlow topology [EB/OL]. [2015-05-01]. http：//groups.geni.net/geni/wiki/OpenFlow/ CampusTopology

[5] NICK M， TOM A， HARI B， GURU P， LARRY P， JENNIFER R， SCOTT S， JONATHAN T. OpenFlow： Enabling Innovation in Campus Networks [J]. ACM SIGCOMM Computer Communication Review， 2008， 38（2）： 99-115

[6] NICK F， JENNIFER R， ELLEN Z. The Road to SDN [J]. Queue-Large-Scale Implementations Queue Homepage archive， 2013，12（11）： 138-142

[7] SANDRA S H， GEMMA O， SAKIR S. SDN Security： A Survey [C]//Proceedings of the IEEE SDN for Future Networks and Services （SDN4FNS）， Italy， 2013

[8] Network Functions Virtualisation （NFV）. [EB/OL]. [2015-05-01]. http：//www.etsi.org/technologies-clusters/technologies/nfv

[9] 鐵道部. 科技運[2008]34號. CTCS-3級列控系統(tǒng)總體技術(shù)方案 [S]. 2008

[10] 鐵道部. 科技運[2004]15號. 分散自律調(diào)度集中系統(tǒng)技術(shù)條件 [S]. 2004

[11] 鐵道部. 運基信號[2009]223號. 客運專線信號系統(tǒng)安全數(shù)據(jù)網(wǎng)技術(shù)方案V1.0 [S]. 2009

[12] 鐵道部. 運基信號[2010]709號. 鐵路信號集中監(jiān)測系統(tǒng)技術(shù)條件 [S]. 2010

[13] 李賽飛， 閆連山， 郭偉等. 高速鐵路信號系統(tǒng)網(wǎng)絡(luò)安全分析與統(tǒng)一管控研究 [J]. 西南交通大學(xué)學(xué)報， 2015， 50（3）： 12-18

[14] LI S F， YAN L S. Enhanced Robustness of Control Network for Chinese Train Control System Level 3 （CTCS-3） Facilitated by Software Defined Networking [J]. International Journal of Rail Transportation， 2014， 2（4）： 239-252

[15] CASADO M， FREEDMAN M J， PETTIT J， LUO J， MCKEOWN N， SHENKER S. Ethane： taking control of the enterprise [C]//Proceedings of the ACM SIGCOMM. 2007