馮文靜

摘? 要： 針對(duì)原有SND網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)數(shù)據(jù)威脅等級(jí)評(píng)估精度低造成的防御對(duì)策效果較差的問(wèn)題，設(shè)計(jì)基于安全態(tài)勢(shì)感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)。沿用原有系統(tǒng)中部分硬件，選用嵌入式芯片設(shè)計(jì)SND控制器與檢測(cè)網(wǎng)絡(luò)構(gòu)架。軟件部分僅針對(duì)威脅等級(jí)評(píng)估部分設(shè)計(jì)。采用安全態(tài)勢(shì)感知技術(shù)完成威脅可信度評(píng)估中數(shù)據(jù)獲取與分析工作，設(shè)定攻擊知識(shí)庫(kù)提升對(duì)攻擊數(shù)據(jù)的分析能力并制定相應(yīng)防御對(duì)策框架;將分析處理后的威脅信息通過(guò)歸一化處理完成威脅量化;采用量化后的信息運(yùn)用編程系統(tǒng)評(píng)估其攻擊源威脅等級(jí)并根據(jù)評(píng)估結(jié)果，采取對(duì)應(yīng)的防御對(duì)策。至此，基于安全態(tài)勢(shì)感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)設(shè)計(jì)完成。構(gòu)建系統(tǒng)性能測(cè)試環(huán)境完成性能測(cè)試，與原有防御系統(tǒng)相比，此系統(tǒng)威脅等級(jí)評(píng)估精度更高，與樣本更加接近。因而，此防御系統(tǒng)性能更佳。

關(guān)鍵詞： SDN網(wǎng)絡(luò)架構(gòu); 攻擊防御; 系統(tǒng)設(shè)計(jì); 安全態(tài)勢(shì)感知; 威脅等級(jí)評(píng)估; 性能測(cè)試

Abstract： In allusion to the poor defense countermeasure effect caused by the low assessment accuracy of the data threat level of the original? SDN （software?defined network） topology pollution attack defense system， a SDN topology pollution attack defense system based on security situation awareness is designed， in which some hardware of the original system is retained， and the embedded chip is used for the design of SDN controller and detection network architecture. In the software part， the design is performed only for the threat level assessment part. The security situation awareness technology is used to complete the data acquisition and analysis of the threat credibility assessment. The knowledge base of attack is set up to improve the ability of analyzing the attack data， and lay down the framework of corresponding defense countermeasures. The threat to the analyzed and processed threat information is quantized by means of the normalized processing. The quantified information and the programming system are used to assess the threat level of the attack source， and the corresponding defense countermeasures are taken according to the evaluation results. Thus， the design of SDN topology pollution attack defense system based on security situational awareness is completed. The system performance testing environment was built to accomplish the performance test. In comparison with the original defense system， the threat level assessment accuracy of this system is higher and closer to the sample. Therefore， it has better performance.

Keywords： SDN architecture; attack defense; system design; security situational awareness; threat level assessment; performance test

0? 引? 言

傳統(tǒng)的網(wǎng)絡(luò)構(gòu)架越來(lái)越難以滿足人們對(duì)網(wǎng)絡(luò)功能日益增加的需求，為解決這一問(wèn)題，通過(guò)不斷地研究與開發(fā)，設(shè)計(jì)出軟件定義網(wǎng)絡(luò)，即SDN。SDN擁有較強(qiáng)的控制能力，其轉(zhuǎn)發(fā)分離、集中控制以及可編程能力都優(yōu)于傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)[1?2]。與傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)相比，其靈活性更強(qiáng)，成為未來(lái)網(wǎng)絡(luò)的演進(jìn)方向。與此同時(shí)，SDN也存在相應(yīng)的風(fēng)險(xiǎn)。在SDN網(wǎng)絡(luò)構(gòu)架中，由于控制層與數(shù)據(jù)層的分離會(huì)出現(xiàn)網(wǎng)絡(luò)漏洞，很容易被攻擊者利用，形成網(wǎng)絡(luò)拓?fù)湮廴竟?。因而，在SDN網(wǎng)絡(luò)架構(gòu)上構(gòu)建一個(gè)具有入侵檢測(cè)、自動(dòng)響應(yīng)、對(duì)入侵對(duì)象靈活防御的系統(tǒng)至關(guān)重要。

增加安全態(tài)勢(shì)感知部分可有效解決上述問(wèn)題。安全態(tài)勢(shì)感知以安全大數(shù)據(jù)為基礎(chǔ)，從整體網(wǎng)絡(luò)架構(gòu)出發(fā)，完成對(duì)網(wǎng)絡(luò)架構(gòu)安全威脅的識(shí)別、解析、相應(yīng)處理[3]。使用這一技術(shù)，可以有效解決原有防御系統(tǒng)無(wú)法解決的問(wèn)題。鑒于上述優(yōu)點(diǎn)，設(shè)計(jì)基于安全態(tài)勢(shì)感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)。使用此系統(tǒng)可以針對(duì)污染等級(jí)排序完成對(duì)其防御工作。不再僅僅是簡(jiǎn)單的防御工作，使污染防御更加具有針對(duì)性，實(shí)現(xiàn)防御的科學(xué)化與完整性。

1? SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)硬件設(shè)計(jì)

在SDN 網(wǎng)絡(luò)構(gòu)架中，控制器是網(wǎng)絡(luò)構(gòu)架的核心，網(wǎng)絡(luò)工作人員通過(guò)控制器接口實(shí)現(xiàn)網(wǎng)絡(luò)的控制?？紤]到污染攻擊對(duì)控制器的影響較大，設(shè)計(jì)新型中央控制器，完成防御工作[4?5]。原有防御系統(tǒng)對(duì)所有的攻擊均采用同樣的防御策略，時(shí)常出現(xiàn)誤警問(wèn)題。增加檢測(cè)網(wǎng)絡(luò)框架是必不可少的一個(gè)部分。通過(guò)上述分析，將防御系統(tǒng)的硬件構(gòu)建共分為三層，層層遞進(jìn)完成防御工作。具體構(gòu)架如圖1所示。

沿用原有防御系統(tǒng)中部分硬件結(jié)合本文設(shè)計(jì)硬件部分，基于上述構(gòu)架，分項(xiàng)設(shè)計(jì)系統(tǒng)硬件。

1.1? SDN控制器設(shè)計(jì)

過(guò)往SDN控制器設(shè)計(jì)中，共有分層式、集中式及水平式[6]3種分布形式。此次采用分層式結(jié)構(gòu)。

為實(shí)現(xiàn)SND控制器的性能，選用1 000 Mb/s網(wǎng)卡為控制器載體，PCI?X作為控制器總線。在總線中，安裝千兆以太網(wǎng)配置器，提升網(wǎng)絡(luò)帶寬。在控制器中安裝多種接口。其中包含雙絞線、光纖、BNC、AUI、HomePNA接口等。設(shè)定1個(gè)Console管理接口，8個(gè)業(yè)務(wù)接口，包括6個(gè)1000BASE接口，2個(gè)1000BASE?X Combo接口。在控制器中含有開關(guān)電源1個(gè)，不可擴(kuò)展。網(wǎng)絡(luò)控制器由上述微小硬件設(shè)備組成。

1.2? 檢測(cè)網(wǎng)絡(luò)框架設(shè)計(jì)

設(shè)計(jì)檢測(cè)網(wǎng)絡(luò)框架，在檢測(cè)網(wǎng)絡(luò)中放置3臺(tái)SDN 交換機(jī)及對(duì)應(yīng)傳感器，安裝在原有系統(tǒng)硬件主機(jī)部分中，通過(guò)檢測(cè)探針完成對(duì)網(wǎng)絡(luò)中信息的提取與檢測(cè)。傳感器中設(shè)計(jì)雙CPU嵌入式網(wǎng)卡兩枚，一枚用于處理待檢測(cè)數(shù)據(jù)包，不設(shè)IP;另一枚將檢測(cè)后的報(bào)警數(shù)據(jù)輸出，設(shè)定對(duì)應(yīng)IP，作為檢測(cè)網(wǎng)絡(luò)管理接口。傳感器中的一張網(wǎng)卡連接至交換機(jī)的鏡像端口。

選擇Am186/88型號(hào)嵌入式芯片。在芯片內(nèi)部設(shè)有ROM/EPROM總線、看門狗、I/O接口、A/D接口等多種接口，保障多種信息高速傳播。

通過(guò)上述設(shè)計(jì)完成系統(tǒng)硬件設(shè)計(jì)，此次設(shè)計(jì)僅針對(duì)于防御系統(tǒng)中威脅等級(jí)評(píng)估模塊，其余硬件沿用原有系統(tǒng)設(shè)置。

2? SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)軟件設(shè)計(jì)

以上述硬件為基礎(chǔ)，設(shè)計(jì)網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)軟件，主要針對(duì)威脅等級(jí)評(píng)估不準(zhǔn)確問(wèn)題優(yōu)化，設(shè)計(jì)新型評(píng)估模型，如圖2所示。

本文模型為層次化威脅評(píng)估模型，設(shè)定為4個(gè)層次。使用量化方式評(píng)估攻擊威脅程度與概率，從而了解網(wǎng)絡(luò)整體的安全狀態(tài)。采用上述層次化威脅評(píng)估模型，根據(jù)網(wǎng)絡(luò)特征完成威脅評(píng)估方案。

2.1? 威脅可信度評(píng)估

防御模型中，引用威脅可信度評(píng)估環(huán)節(jié)，將攻擊成功所需條件與攻擊目標(biāo)狀態(tài)、漏洞信息整合并對(duì)比，初步過(guò)濾入侵檢測(cè)錯(cuò)誤報(bào)警概率。在可信度評(píng)估中，引用安全態(tài)勢(shì)感知技術(shù)獲取網(wǎng)絡(luò)構(gòu)架中的威脅數(shù)據(jù)，并分析其攻擊性能。尋找威脅時(shí)間的發(fā)生原因與影響機(jī)制。在受到攻擊時(shí)，根據(jù)流量日記與報(bào)警記錄評(píng)估威脅可信度 [7?8]。為直觀判斷可信度評(píng)估，構(gòu)建對(duì)應(yīng)攻擊知識(shí)庫(kù)，具體內(nèi)容如表1所示。

所構(gòu)建的知識(shí)庫(kù)共分成兩部分。使用攻擊依賴庫(kù)對(duì)產(chǎn)生攻擊時(shí)警報(bào)加以分析，可以得出該攻擊針對(duì)的操作系統(tǒng)類型與服務(wù)漏洞，分析其是否攻擊。使用主機(jī)漏洞庫(kù)分析漏洞成因，獲取防御對(duì)策。制定完備的攻擊知識(shí)庫(kù)，可以判斷出絕大部分的錯(cuò)誤警報(bào)，剔除不必要的報(bào)警。根據(jù)攻擊知識(shí)庫(kù)中的信息完成防御對(duì)策框架的構(gòu)建，系統(tǒng)中的防御對(duì)策將以其為基礎(chǔ)完成設(shè)計(jì)過(guò)程。

2.2? 威脅量化

根據(jù)上述的攻擊知識(shí)庫(kù)，得出相應(yīng)的報(bào)警信息，將其關(guān)聯(lián)處理。設(shè)定新報(bào)警組為[aQ]，其他處于活躍狀態(tài)的報(bào)警組集合為[aQ1，aQ2，…，aQn]，其對(duì)應(yīng)的關(guān)聯(lián)評(píng)估集合為[WaQ，aQ1，WaQ，aQ2，…，WaQ，aQn]，使用上述設(shè)定完成報(bào)警組的量化過(guò)程。

首先，采用Snort部分體現(xiàn)攻擊類型的報(bào)警反映威脅程度[9]。結(jié)合priority字段實(shí)現(xiàn)報(bào)警的緊要度?？紤]到這一次層因素，對(duì)每一字段值的報(bào)警組攻擊性能量化處理，則有：

式中：[R]表示字段的種類;[a]表示威脅值。采用此公式結(jié)合報(bào)警信息中統(tǒng)計(jì)到的其他字段，得出每一字段的單獨(dú)威脅量化?；趨f(xié)同攻擊的危害性，對(duì)其綜合量化[10]。利用關(guān)聯(lián)評(píng)估值集合，得出以下公式：

式中：[J]為單一評(píng)估值;[K]表示繪制綜合評(píng)估系數(shù);[i]表示字段序號(hào)。將其歸一化處理后得出報(bào)警組的威脅值為：

式中，[vthreshold]為定值，當(dāng)[v（aQ）]超過(guò)其就處于危險(xiǎn)環(huán)境了，這一定值需要根據(jù)網(wǎng)絡(luò)實(shí)際情況設(shè)定。通過(guò)上述步驟完成量化處理。

2.3? 攻擊源與攻擊目標(biāo)評(píng)估

通過(guò)上述量化結(jié)果完成對(duì)攻擊源與攻擊目標(biāo)的評(píng)估工作。在攻擊源對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)攻擊的過(guò)程中，其可以偽造源地址，但作為攻擊目標(biāo)時(shí)，內(nèi)部信息是準(zhǔn)確的。因而，需要評(píng)估攻擊源與攻擊目標(biāo)的威脅程度。在評(píng)估的過(guò)程中，以上述歸一化處理后的威脅等級(jí)為基礎(chǔ)。采用Snort技術(shù)結(jié)合if語(yǔ)句完成編程處理。根據(jù)Scan local network：DISABLED//威脅信息評(píng)估攻擊源，并制定相應(yīng)的計(jì)算過(guò)程。完成對(duì)評(píng)估等級(jí)的計(jì)算，最終生成評(píng)估向量。采用此評(píng)估向量作為安全應(yīng)用防御決策輸出，保證防御對(duì)策的有效性。

威脅等級(jí)評(píng)估結(jié)果采取相應(yīng)的防御對(duì)策，實(shí)現(xiàn)的網(wǎng)絡(luò)拓?fù)湮廴竟舴烙δ?。在制定防御?duì)策的過(guò)程中，以威脅等級(jí)為依據(jù)，結(jié)合對(duì)應(yīng)的知識(shí)庫(kù)內(nèi)容，充分考慮網(wǎng)絡(luò)構(gòu)架，完成指定工作。采用上述設(shè)計(jì)可有效提升系統(tǒng)防御能力。

3? 系統(tǒng)性能測(cè)試

搭建實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境將本文設(shè)計(jì)系統(tǒng)與原有防御系統(tǒng)對(duì)比，檢驗(yàn)其威脅等級(jí)評(píng)估準(zhǔn)確度。

3.1? 構(gòu)建測(cè)試環(huán)境

在此次性能測(cè)試中，使用VMware Workstation軟件安裝Ubuntu虛擬機(jī)實(shí)現(xiàn)實(shí)驗(yàn)網(wǎng)絡(luò)。在實(shí)驗(yàn)網(wǎng)絡(luò)中包含F(xiàn)loodlight控制器、OVS交換機(jī)以及5臺(tái)主機(jī)。設(shè)定主機(jī)節(jié)點(diǎn)如表2所示。

按照此節(jié)點(diǎn)數(shù)據(jù)完成虛擬機(jī)的安裝并得出相應(yīng)的網(wǎng)絡(luò)拓?fù)湫畔?。將威脅信息Dos分為3等，攻擊原有系統(tǒng)與本文設(shè)計(jì)系統(tǒng)網(wǎng)絡(luò)。其中，Ⅰ級(jí)信息15條，Ⅱ級(jí)信息30條，Ⅲ級(jí)信息50條。利用威脅信息等級(jí)評(píng)估模塊評(píng)估其威脅等級(jí)并采用相應(yīng)的防御對(duì)策。通過(guò)此方法檢驗(yàn)原有系統(tǒng)與本系統(tǒng)的威脅信息等級(jí)評(píng)估能力。

3.2? 測(cè)試結(jié)果分析

應(yīng)用SND實(shí)驗(yàn)網(wǎng)絡(luò)，完成系統(tǒng)性能測(cè)試。測(cè)試結(jié)果如圖3所示。

由圖3結(jié)果可知，原有防御系統(tǒng)對(duì)威脅數(shù)據(jù)等級(jí)評(píng)估水平較差，對(duì)所有威脅數(shù)據(jù)均采用同種防御措施，針對(duì)性較差。采用本文設(shè)計(jì)系統(tǒng)對(duì)威脅數(shù)據(jù)等級(jí)評(píng)估準(zhǔn)確度較高，且本文設(shè)計(jì)系統(tǒng)與測(cè)試樣本等級(jí)分布相同?？梢?，其評(píng)估精度較高。本文設(shè)計(jì)系統(tǒng)對(duì)不同等級(jí)威脅防御對(duì)策也不相同，因而，防御效果較好。綜上所述，本文設(shè)計(jì)的基于安全態(tài)勢(shì)感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)性能更佳。

4? 結(jié)? 語(yǔ)

在此次測(cè)試中，利用SDN 網(wǎng)絡(luò)構(gòu)架控制器對(duì)網(wǎng)絡(luò)集中控制以及其可編程的特點(diǎn)，設(shè)計(jì)基于安全態(tài)勢(shì)感知SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙到y(tǒng)。系統(tǒng)設(shè)計(jì)采用Snort 計(jì)算優(yōu)化入侵防御檢測(cè)方法。在原有防御報(bào)警分析技術(shù)的基礎(chǔ)上，設(shè)計(jì)威脅評(píng)估方案，此方案可以實(shí)現(xiàn)攻擊威脅的量化處理，完成攻擊源與攻擊目標(biāo)的精準(zhǔn)評(píng)估，以此制定防御對(duì)策，實(shí)現(xiàn)防御系統(tǒng)的靈活決策。測(cè)試結(jié)果表明，所提系統(tǒng)可以有效提高網(wǎng)絡(luò)防御能力，保證網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1] 廉哲，殷肖川，譚韌，等.面向網(wǎng)絡(luò)攻擊態(tài)勢(shì)的SDN虛擬蜜網(wǎng)[J].空軍工程大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，18（3）：79?84.

[2] 陳興蜀，曾雪梅，王文賢，等.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全與情報(bào)分析[J].四川大學(xué)學(xué)報(bào)（工程科學(xué)版），2017，49（3）：1?12.

[3] 鄭正，徐明偉，李琦，等.SDN網(wǎng)絡(luò)拓?fù)湮廴竟舴烙鶛C(jī)制研究[J].計(jì)算機(jī)研究與發(fā)展，2018，55（1）：207?215.

[4] 李方偉，李俊瑤，聶益芳，等.基于多代理系統(tǒng)的動(dòng)態(tài)信任態(tài)勢(shì)感知機(jī)制[J].系統(tǒng)工程與電子技術(shù)，2017（5）：1148?1153.

[5] 劉猛，管碧強(qiáng).面向服務(wù)架構(gòu)的虛擬蜜網(wǎng)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].沈陽(yáng)理工大學(xué)學(xué)報(bào)，2017，36（1）：56?60.

[6] 劉世文，馬多耀，雷程，等.基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御技術(shù)研究[J].計(jì)算機(jī)工程與科學(xué)，2018（6）：102?109.

[7] 陳興蜀，楊露，羅永剛.大數(shù)據(jù)安全保護(hù)技術(shù)[J].工程科學(xué)與技術(shù)，2017（5）：1?12.

[8] 趙國(guó)生，邵子豪，王健，等.基于生存簇識(shí)別和預(yù)測(cè)的生存態(tài)勢(shì)感知模型[J].電子科技大學(xué)學(xué)報(bào)，2018，47（4）：558?565.

[9] 龔儉，臧小東，蘇琪，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J].軟件學(xué)報(bào)，2017，28（4）：1010?1026.

[10] 章學(xué)妙，傅翀，盧嘉.基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的網(wǎng)絡(luò)系統(tǒng)自防御體系[J].計(jì)算機(jī)應(yīng)用與軟件，2017，34（9）：159?165.

[11] 季新生，徐水靈，劉文彥，等.一種面向安全的虛擬網(wǎng)絡(luò)功能動(dòng)態(tài)異構(gòu)調(diào)度方法[J].電子與信息學(xué)報(bào)，2019（10）：2435?2441.

[12] 謝連科，張永，馬新剛，等.基于無(wú)線傳感器網(wǎng)絡(luò)的智能變電站環(huán)境遠(yuǎn)程監(jiān)測(cè)[J].計(jì)算機(jī)與數(shù)字工程，2019（9）：2375?2380.

[13] 宋楊.基于混合加密算法的網(wǎng)絡(luò)安全體系構(gòu)造[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（9）：14?15.