徐麗 劉暢 李思照

摘要：軟件定義網(wǎng)絡(luò)（SDN）是一種新型的網(wǎng)絡(luò)架構(gòu)，其利用OpenFlow協(xié)議實(shí)現(xiàn)了控制層與數(shù)據(jù)層的高度離散化，提高了網(wǎng)絡(luò)流量控制的靈敏性，為互聯(lián)網(wǎng)變革提供了新的研究方向。然而，隨著SDN的廣泛應(yīng)用，其安全問(wèn)題逐漸制約著SDN技術(shù)的發(fā)展。旨在介紹SDN架構(gòu)的發(fā)展背景及現(xiàn)狀，并簡(jiǎn)要分析其內(nèi)部結(jié)構(gòu)及工作原理；對(duì)SDN基于傳統(tǒng)網(wǎng)絡(luò)的安全優(yōu)勢(shì)進(jìn)行簡(jiǎn)要闡述；根據(jù)其各層特點(diǎn)詳細(xì)分析可能存在的安全問(wèn)題，并對(duì)未來(lái)網(wǎng)絡(luò)的安全研究方向做出展望。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；網(wǎng)絡(luò)虛擬化；OpenFlow；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2022）10-54-6

第一代互聯(lián)網(wǎng)起源于1969年的軍用網(wǎng)絡(luò)ARPANET（The Advanced Research Projects Agency Network），發(fā)展到現(xiàn)在融入到尋常百姓家的民用網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)規(guī)模的與時(shí)俱進(jìn)，用戶對(duì)于網(wǎng)絡(luò)的需求也水漲船高，傳統(tǒng)網(wǎng)絡(luò)因其不可擴(kuò)展與管理的局限性而愈加無(wú)法滿足用戶需求[1]。

因此，在國(guó)內(nèi)外研究人員大力推進(jìn)關(guān)于未來(lái)互聯(lián)網(wǎng)的應(yīng)用發(fā)展時(shí)，軟件定義網(wǎng)絡(luò)（SDN）架構(gòu)的概念應(yīng)時(shí)而生。它是一種嶄新的網(wǎng)絡(luò)體系架構(gòu)，體現(xiàn)了網(wǎng)絡(luò)虛擬化的特點(diǎn)[2]。此架構(gòu)設(shè)計(jì)的核心理念在于通過(guò)轉(zhuǎn)發(fā)、控制相分離的技術(shù)方式，提高網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度以及增強(qiáng)網(wǎng)絡(luò)的可擴(kuò)展性、可靠性等關(guān)鍵指標(biāo)。引入控制層后，從交換機(jī)中提取出一些復(fù)雜的控制邏輯能力（如網(wǎng)絡(luò)報(bào)文轉(zhuǎn)發(fā)等）的同時(shí)，有效保障了網(wǎng)絡(luò)報(bào)文轉(zhuǎn)發(fā)及控制處理的可編程性，從而加強(qiáng)網(wǎng)絡(luò)功能的可延伸性并且優(yōu)化了架構(gòu)的可靠性。

在控制層與轉(zhuǎn)發(fā)層之間，SDN將OpenFlow協(xié)議引入架構(gòu)中。在控制層中，控制器會(huì)借此協(xié)議將每一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則轉(zhuǎn)變?yōu)榱鞅恚掳l(fā)至各個(gè)交換設(shè)備[3]，使其控制器與交換設(shè)備上的功能分離。

1.1 SDN概念及架構(gòu)

SDN是理論創(chuàng)新型的網(wǎng)絡(luò)體系框架，由美國(guó)斯坦福大學(xué)clean-slate探討組首先提出，旨在實(shí)現(xiàn)Ethane[5]項(xiàng)目中的集中安全控制，由Mckeown于2009年正式提出與發(fā)展[4]，并廣泛應(yīng)用在許多網(wǎng)絡(luò)研究項(xiàng)目中，進(jìn)而逐步形成了SDN與OpenFlow的核心理念：利用轉(zhuǎn)發(fā)層與控制層兩層面之間的規(guī)范化來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用功能的開(kāi)放化與可編程化[6]，使得其網(wǎng)絡(luò)內(nèi)的應(yīng)用具有可擴(kuò)展且高效率的特性，激發(fā)了網(wǎng)絡(luò)技術(shù)與應(yīng)用的創(chuàng)新性發(fā)展動(dòng)力。

SDN架構(gòu)示意[7]如圖1所示，自底向上：數(shù)據(jù)層中含有若干網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備，它們會(huì)依照上層控制器提供的流規(guī)則來(lái)執(zhí)行相應(yīng)指令操作。“南向接口”位于控制器與網(wǎng)絡(luò)設(shè)備之間，主要負(fù)責(zé)轉(zhuǎn)發(fā)控制層與數(shù)據(jù)層之間的通信數(shù)據(jù)流；而在控制層中，控制器常用于應(yīng)用軟件進(jìn)行底層網(wǎng)絡(luò)設(shè)備的聚合，并籠統(tǒng)出一個(gè)整體網(wǎng)絡(luò)視圖，其具有邏輯集中性；“北向接口”是介于控制器與業(yè)務(wù)應(yīng)用的接口界面，控制器會(huì)根據(jù)整體視圖，通過(guò)接口將資源分配給上層應(yīng)用[8]；在應(yīng)用層，業(yè)務(wù)應(yīng)用加載由下層控制器調(diào)用的資源得以運(yùn)行，從而達(dá)到SDN控制器對(duì)于資源的整體控制。

1.2 OpenFlow

OpenFlow是SDN整體框架中廣泛使用的接口協(xié)議，其作為基于OpenFlow的交換機(jī)與SDN控制器的通信媒介，具有優(yōu)良的靈活性、規(guī)范性，因此目前基于OpenFlow的安全系統(tǒng)研究數(shù)不勝數(shù)，OpenFlow早已與主流通信協(xié)議不分伯仲，并成為了現(xiàn)今互聯(lián)網(wǎng)的通信標(biāo)準(zhǔn)[9]。

OpenFlow協(xié)議與控制器Controller通信交互如圖2所示。傳統(tǒng)網(wǎng)絡(luò)中報(bào)文轉(zhuǎn)發(fā)功能僅由交換機(jī)或路由器一方完成，現(xiàn)由雙方共同完成。其秉承簡(jiǎn)便性、可擴(kuò)展性、高效性的基本設(shè)計(jì)理念，并對(duì)一些基本操作進(jìn)行了高能更新，實(shí)現(xiàn)了控制層對(duì)底層網(wǎng)絡(luò)設(shè)備的精準(zhǔn)把控。

SDN的控制層可通過(guò)OpenFlow協(xié)議建立與底層網(wǎng)絡(luò)設(shè)備的通信與控制，以此對(duì)不同類型的流量分類處理，實(shí)現(xiàn)了交換機(jī)與控制器之間的數(shù)據(jù)互聯(lián)。在二者連通過(guò)程中，OpenFlow限制了每個(gè)底層設(shè)備的流量報(bào)文需通過(guò)一個(gè)流表來(lái)處理，因此需要維系這個(gè)流表來(lái)形成一條流水線，實(shí)現(xiàn)網(wǎng)絡(luò)報(bào)文的匹配與轉(zhuǎn)發(fā)[10]，而控制器可完美實(shí)現(xiàn)下發(fā)規(guī)則與流表的生成及維護(hù)[11]。

一個(gè)流表包含了若干個(gè)流表項(xiàng)，其中每一項(xiàng)囊括了優(yōu)先級(jí)、匹配域和處理指令等基本信息，當(dāng)報(bào)文與表中的流表項(xiàng)相匹配時(shí)，流表會(huì)執(zhí)行與表項(xiàng)相關(guān)的處理指令?；厩闆r下的處理指令為入隊(duì)、出隊(duì)、轉(zhuǎn)發(fā)、舍棄、添加/刪除標(biāo)簽等[12]，而在特殊情況下的處理指令包括網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、封裝安全負(fù)載（ESP）協(xié)議加密等。而流表項(xiàng)并不是一成不變的，控制器會(huì)添加未在表中的流表項(xiàng)，也會(huì)適當(dāng)對(duì)其進(jìn)行刪除或修改，從而實(shí)現(xiàn)靈活控制網(wǎng)絡(luò)流的目的。

隨著SDN在現(xiàn)實(shí)中的應(yīng)用與推廣，傳統(tǒng)網(wǎng)絡(luò)在給人們帶來(lái)便利的同時(shí)，其擴(kuò)展性弱、靈活性差的局限性成為了自身發(fā)展的掣肘[13]，很難滿足當(dāng)今用戶的網(wǎng)絡(luò)需求。SDN架構(gòu)的優(yōu)勢(shì)顯而易見(jiàn)，正因如此，SDN的發(fā)展愈發(fā)迅速，使得SDN技術(shù)在網(wǎng)絡(luò)領(lǐng)域內(nèi)產(chǎn)生的影響史無(wú)前例[14]。與傳統(tǒng)網(wǎng)絡(luò)相比具有很多功能優(yōu)勢(shì)，但其作為新型網(wǎng)絡(luò)架構(gòu)，安全問(wèn)題不可忽視，這已然成為SDN發(fā)展中急需解決的技術(shù)與應(yīng)用問(wèn)題。結(jié)合SDN各層的結(jié)構(gòu)特點(diǎn)，本節(jié)介紹其各層存在的安全隱患。

2.1應(yīng)用層

應(yīng)用層主要包含了各種SDN網(wǎng)絡(luò)應(yīng)用，相關(guān)運(yùn)維人員可進(jìn)行架構(gòu)安全程序編程或利用其他程序設(shè)計(jì)基于應(yīng)用層的網(wǎng)絡(luò)安全策略[15]，它最終決定網(wǎng)絡(luò)架構(gòu)的正常運(yùn)行，不可或缺。在業(yè)務(wù)應(yīng)用與下層控制器進(jìn)行交互時(shí)，可按制定好的策略將其解析為流規(guī)則，并傳送到底層網(wǎng)絡(luò)設(shè)備執(zhí)行對(duì)應(yīng)操作來(lái)保障架構(gòu)的正常運(yùn)行。應(yīng)用層惡意攻擊威脅如圖3所示。盡管OpenFlow協(xié)議具備一些對(duì)于流規(guī)則的安全檢測(cè)算法[16]，由圖3可知，在此架構(gòu)中，當(dāng)北向接口未被破壞或軟件自身未受到惡意攻擊時(shí)，這類算法會(huì)對(duì)架構(gòu)進(jìn)行一定的保護(hù)，卻無(wú)法防御DDoS攻擊，因此導(dǎo)致上述部分遭到攻擊與破壞，將會(huì)產(chǎn)生不可逆轉(zhuǎn)的嚴(yán)重后果。

由于底層設(shè)備無(wú)條件執(zhí)行本層或上層制定的策略與流規(guī)則，所以網(wǎng)絡(luò)設(shè)備可能會(huì)無(wú)條件地執(zhí)行因配置不當(dāng)或受到惡意攻擊而產(chǎn)生的錯(cuò)誤策略，對(duì)整個(gè)網(wǎng)絡(luò)架構(gòu)帶來(lái)不可逆轉(zhuǎn)的傷害。而且，應(yīng)用層本身尚不具有完善的安全性保護(hù)機(jī)制。SDN應(yīng)用層與控制層之間的數(shù)據(jù)交互需利用應(yīng)用軟件中的應(yīng)用服務(wù)作為溝通的橋梁，而應(yīng)用層中的網(wǎng)絡(luò)資源可被應(yīng)用服務(wù)隨意調(diào)用，不受任何限制。迄今為止，軟件自身并不具備安全策略，也沒(méi)有建立有效的安全機(jī)制[17]，嚴(yán)重威脅到應(yīng)用層與控制層的安全。因此，如何設(shè)計(jì)高效可用的安全策略與機(jī)制亟待研究。

綜上，對(duì)于應(yīng)用層，以下安全威脅需注意：SDN架構(gòu)中的應(yīng)用程序漏洞[18]、身份識(shí)別與權(quán)限異常威脅、惡意攻擊與軟件配置不健全等安全威脅[19]。

2.2控制層

在SDN的控制層中，為上層業(yè)務(wù)分配網(wǎng)絡(luò)資源，對(duì)下層網(wǎng)絡(luò)設(shè)備的集中管理控制，都需要控制器的參與[20]?？刂破骶哂幸韵鹿δ埽壕W(wǎng)絡(luò)資源處理，網(wǎng)絡(luò)拓?fù)渑c狀態(tài)信息的查看與維護(hù)等。因此，SDN的功能需要控制器的把控，在整個(gè)架構(gòu)中具有承前啟后的作用。而在網(wǎng)絡(luò)應(yīng)用認(rèn)證方面，控制層只是對(duì)確認(rèn)安全的應(yīng)用授予對(duì)應(yīng)的訪問(wèn)權(quán)限與資源[21-22]，卻無(wú)法對(duì)其分配資源進(jìn)行分類與限制，因此控制層中存在與應(yīng)用配置相關(guān)的具體網(wǎng)絡(luò)威脅如圖4所示，若控制器出現(xiàn)故障，會(huì)導(dǎo)致無(wú)法使用網(wǎng)絡(luò)中的基本功能（策略制定、流表項(xiàng)分配等），致使全局架構(gòu)無(wú)法正常運(yùn)轉(zhuǎn)，會(huì)引發(fā)更加嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題（例如DoS/DDoS攻擊等）。

因此，控制層中可能存在的安全問(wèn)題歸結(jié)為：控制器配置相關(guān)的網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)體系不健全[23]、易受DoS/DDoS網(wǎng)絡(luò)攻擊等。

2.3數(shù)據(jù)層

SDN架構(gòu)中，數(shù)據(jù)層與控制層之間的安全密不可分。文獻(xiàn)[24]指出，數(shù)據(jù)層類似于SDN的“肢體”，當(dāng)控制層受到惡意攻擊時(shí)，數(shù)據(jù)層內(nèi)部也隨之出現(xiàn)異常，從而使數(shù)據(jù)層與控制層無(wú)法正常連接，數(shù)據(jù)層會(huì)體現(xiàn)為離線狀態(tài)[25]。具體異常體現(xiàn)為：控制層故障或者交換機(jī)不能收到來(lái)自控制器的轉(zhuǎn)發(fā)信息。攻擊者通常掃描2層之間連接中存在的安全漏洞和薄弱節(jié)點(diǎn)，因此交換機(jī)與相連主機(jī)往往被視為脆弱目標(biāo)對(duì)其進(jìn)行惡意攻擊。

另外，攻擊者會(huì)攻擊特定的服務(wù)協(xié)議進(jìn)行數(shù)據(jù)攔截，并將攻擊者所屬的有害數(shù)據(jù)流作為原流量傳輸至目標(biāo)機(jī)，從而妨礙最初的流量傳輸，實(shí)現(xiàn)對(duì)于目標(biāo)機(jī)的量欺騙，效果如圖5所示。原始的OpenFlow通過(guò)引入TLS協(xié)議建立認(rèn)證加密機(jī)制保障傳輸層安全[26]和數(shù)據(jù)層安全[27]，以此確?？刂茖雍吐酚善髦g的通信安全。但TLS協(xié)議交錯(cuò)復(fù)雜，易受攻擊，因此攻擊者可攻擊此協(xié)議對(duì)相關(guān)服務(wù)形成威脅。文獻(xiàn)[28]證明了與傳統(tǒng)網(wǎng)絡(luò)相比，基于OpenFlow協(xié)議的連接易遭受中間人攻擊。因此，控制層和數(shù)據(jù)層之間的連接常被作為攻擊目標(biāo)。數(shù)據(jù)層中存在DoS、數(shù)據(jù)泄露、脆弱節(jié)點(diǎn)易受攻擊等安全隱患。

從整體架構(gòu)來(lái)看，存在的安全風(fēng)險(xiǎn)可總結(jié)為：應(yīng)用授權(quán)與認(rèn)證、架構(gòu)中存在脆弱節(jié)點(diǎn)、數(shù)據(jù)異常、SDN配置缺陷與自身故障等[29]。

本節(jié)對(duì)SDN架構(gòu)在各個(gè)層面的特點(diǎn)與每層存在的安全問(wèn)題進(jìn)行了綜合與探討，并提出相應(yīng)的解決方案。

3.1應(yīng)用層方案

基于SDN的應(yīng)用授權(quán)認(rèn)證安全問(wèn)題，制定一套高效的授權(quán)認(rèn)證機(jī)制可大大避免此類安全問(wèn)題的出現(xiàn)。例如，在部署架構(gòu)安全的過(guò)程中，建立一套完整的拒絕非法主機(jī)連接的授權(quán)認(rèn)證機(jī)制；也可以在SDN的應(yīng)用層與控制層之間配置安全模塊來(lái)進(jìn)行授權(quán)與認(rèn)證，完善下層控制器的安全功能，進(jìn)而提高架構(gòu)整體的安全防御。

鑒于數(shù)據(jù)安全異常，除了完善SDN架構(gòu)的授權(quán)認(rèn)證安全功能之外，可制定出較為完備的安全防護(hù)方案。例如，Parros等[30]在Floodlight控制器的技術(shù)基礎(chǔ)上增加了一套授權(quán)管理與安全審計(jì)系統(tǒng)，并且對(duì)之加以改造后形成了SE-Floodlight控制器，不僅提高了SDN南向接口的交互安全水平，而且降低了北向接口中流量數(shù)據(jù)篡改與泄露的風(fēng)險(xiǎn)。

3.2控制層方案

要確保控制層的安全，可以根據(jù)程序的功能對(duì)其進(jìn)行權(quán)限分配，以實(shí)現(xiàn)對(duì)惡意程序的控制?；诳刂茖又写嬖诘陌踩{，一種預(yù)防應(yīng)用程序?qū)刂茖拥墓魡?wèn)題出現(xiàn)的控制器隨之出現(xiàn)———SE-Floodlight控制器，它是在Floodlight控制器的基礎(chǔ)之上[31]，添加了一個(gè)可編程的北向API安全中間件來(lái)分配功能權(quán)限；并且設(shè)計(jì)了一種基于OpenFlow協(xié)議的驗(yàn)證機(jī)制與一套審計(jì)子系統(tǒng)。前者應(yīng)用在程序運(yùn)行過(guò)程中對(duì)生成的流規(guī)則驗(yàn)證其完整性，后者可檢索并追溯所有已發(fā)生的安全事件。為了解決授權(quán)角色的應(yīng)用權(quán)限沖突，SE-Floodlight通過(guò)比較出現(xiàn)此類問(wèn)題角色的權(quán)重，來(lái)賦予權(quán)重較大的授權(quán)角色的應(yīng)用權(quán)限。

對(duì)于控制層中存在的拒絕服務(wù)攻擊（DoS/DDoS攻擊），針對(duì)數(shù)據(jù)流行為和OpenFlow交換機(jī)中的流量統(tǒng)計(jì)進(jìn)行信息分析，可有效避免此類攻擊，并且與其他控制器相比，流量統(tǒng)計(jì)信息易于獲取，成本低。此外，文獻(xiàn)[32]提到了一種基于自組織映射（SOM）的DDoS攻擊檢測(cè)方法，其利用了一個(gè)既定的人工神經(jīng)網(wǎng)絡(luò)的多維數(shù)據(jù)，將其映射成一幅二維圖，之后利用此二維圖對(duì)數(shù)據(jù)流使用拓?fù)渑判?，將統(tǒng)計(jì)特征相似的流數(shù)據(jù)進(jìn)行采集[35]。通過(guò)進(jìn)一步訓(xùn)練、分析，可精準(zhǔn)分析流量是否具有攻擊性。

3.3數(shù)據(jù)層方案

如今的惡意軟件及程序在互聯(lián)網(wǎng)上層出不窮，會(huì)篡改數(shù)據(jù)傳輸路線上的流規(guī)則，因此對(duì)于本層來(lái)說(shuō)，安全措施的設(shè)計(jì)涉及應(yīng)用軟件安裝過(guò)程是否安全，尤其要嚴(yán)謹(jǐn)對(duì)待可能發(fā)生數(shù)據(jù)流規(guī)則改變的應(yīng)用程序的授權(quán)與身份認(rèn)證行為。因此，基于OpenFlow控制器的FortNox平臺(tái)，對(duì)每一條流規(guī)則都會(huì)進(jìn)行檢查，并可以在流規(guī)則發(fā)生改變前對(duì)OpenFlow應(yīng)用程序進(jìn)行授權(quán)與身份驗(yàn)證，既保證了實(shí)時(shí)性又具備高效性，從而完善數(shù)據(jù)層安全機(jī)制。

基于數(shù)據(jù)層中可能出現(xiàn)的SDN拒絕服務(wù)（DoS）安全問(wèn)題，可在底層應(yīng)用中配置連接轉(zhuǎn)移模塊，在網(wǎng)絡(luò)操作的過(guò)程中保存有效連接，摒棄無(wú)效連接，并將其傳入控制層，從而保證了網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)監(jiān)測(cè)。文獻(xiàn)[33]指出，一個(gè)網(wǎng)絡(luò)規(guī)劃合理且充分，既會(huì)帶動(dòng)OpenFlow交換機(jī)與控制器之間的連通性，又能強(qiáng)化交換機(jī)自身的延展性。而文獻(xiàn)[34]驗(yàn)證了二者之間的路徑越長(zhǎng)，連接時(shí)產(chǎn)生的丟包損耗也會(huì)增加。因此，在設(shè)置網(wǎng)絡(luò)時(shí)，要縮短控制器和交換機(jī)之間的間隔，這不僅可以減小連接時(shí)產(chǎn)生的損耗，而且能提高極端條件下的系統(tǒng)性能，從而提高了安全分析效率。對(duì)于架構(gòu)自身的配置缺陷，可訴諸于動(dòng)態(tài)檢查應(yīng)用安全策略、建立身份驗(yàn)證機(jī)制等方法，提升SDN的安全防御能力。

雖然SDN作為新型網(wǎng)絡(luò)架構(gòu)，許多存在的安全隱患需要處理，但其具有的可編程性與全局性可以應(yīng)用在傳統(tǒng)網(wǎng)絡(luò)的安全模塊中，有利于解決存在其中的安全問(wèn)題，例如在入侵檢測(cè)系統(tǒng)（IDS）[35]和入侵防御系統(tǒng)（IPS）[36]中，二者兼?zhèn)涞牧髁糠治鰴z測(cè)模塊就是利用SDN的可編程性對(duì)傳統(tǒng)網(wǎng)絡(luò)中的惡意攻擊加以阻止，learning-IDS[37]則是利用SDN架構(gòu)結(jié)合自身功能優(yōu)勢(shì)來(lái)防御網(wǎng)絡(luò)攻擊；文獻(xiàn)[38]體現(xiàn)了利用SDN增強(qiáng)入侵檢測(cè)的優(yōu)勢(shì)。而SDN架構(gòu)亦可利用自身獨(dú)有的可編程性，將傳統(tǒng)網(wǎng)絡(luò)中的模塊并入其中。例如屬于SDN的Slick架構(gòu)[39]將傳統(tǒng)網(wǎng)絡(luò)中的中間盒模塊并入其中，控制器可通過(guò)下層應(yīng)用程序?yàn)槠渑渲弥虚g盒，實(shí)現(xiàn)流量的重定向分析來(lái)維護(hù)架構(gòu)中的網(wǎng)絡(luò)安全。

歸根結(jié)底，解決SDN架構(gòu)中可能出現(xiàn)的安全問(wèn)題，關(guān)鍵在于增強(qiáng)SDN控制器的魯棒性。通過(guò)應(yīng)用軟件提高控制器對(duì)可疑流量的監(jiān)控、定位與識(shí)別，修補(bǔ)架構(gòu)中的易受攻擊點(diǎn)，從而提高架構(gòu)魯棒性。例如提取、比對(duì)流量的特征值，鎖定特征值異于預(yù)設(shè)的流量，從而防御來(lái)自網(wǎng)絡(luò)外部的拒絕服務(wù)攻擊的NOX控制器[31]；OpenSAFE[40]通過(guò)雙向認(rèn)證機(jī)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)流量的監(jiān)控；當(dāng)OpenFlow控制器使用虛擬IP地址池為拓?fù)渲械乃性O(shè)備分配虛擬IP地址時(shí)，對(duì)外部屏蔽真實(shí)IP地址，有效避免了自身脆弱節(jié)點(diǎn)遭受來(lái)自外部的掃描攻擊。

綜上所述，根據(jù)系統(tǒng)安全管理思想和入侵檢測(cè)等相關(guān)安全知識(shí)，確立基于網(wǎng)絡(luò)安全強(qiáng)化機(jī)制的SDN控制器的研究方向勢(shì)在必行。

由于SDN技術(shù)有效填補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)在可擴(kuò)展性、靈活性弱等方面的技術(shù)空白，在云計(jì)算、云智能等新興網(wǎng)絡(luò)應(yīng)用中的地位水漲船高。但在SDN技術(shù)發(fā)展初期，因高度重視其性能發(fā)揮，而缺乏安全方面的維護(hù)，使SDN產(chǎn)生了較多安全隱患。本文重點(diǎn)分析了SDN架構(gòu)各層次特點(diǎn)及相較于傳統(tǒng)網(wǎng)絡(luò)的發(fā)展優(yōu)勢(shì)，并借此分析各層中可能存在的安全問(wèn)題，提出了相應(yīng)的安全解決方案。最后對(duì)SDN的未來(lái)安全研究方向做出了展望。

[1] MCKEOWN N，ANDERSON T，BALAKRISHNAN H，et al. OpenFlow： Enabling Innovation in Campus Networks[J]. ACM SIGGOMM Computer Communication Review， 2008，38（2）：69-74.

[2]張政.SDN在主機(jī)虛擬化環(huán)境中的應(yīng)用研究[J].科技創(chuàng)新與應(yīng)用，2017（16）：97-98.

[3]李泰新.基于智慧協(xié)同網(wǎng)絡(luò)的空間網(wǎng)絡(luò)建模及資源適配方法研究[D].北京：北京交通大學(xué)， 2018.

[4]王歆平，王茜，劉恩慧，等.基于SDN的按需智能路由系統(tǒng)研究與驗(yàn)證[J].電信科學(xué)， 2014， 30（4）：8-14.

[5] CASADO M， FREEDMAN M J， PETTIT J， et al. Ethane： Taking Control of the Enterprise[J].Computer Communication Review， 2007， 37（4）： 1-12.

[6] DONG S，JAIN R，ABBAS K.A Survey on Distributed Denial of Service （DDoS） Attacks in SDN and Cloud Computing Environments[J].IEEE Access， 2019，7：80813-80828.

[7]王蒙蒙，劉建偉，陳杰，等.軟件定義網(wǎng)絡(luò)：安全模型、機(jī)制及研究進(jìn)展[J].軟件學(xué)報(bào)， 2016， 27（4）：969-992.

[8]邱翔，王宇.基于OpenFlow的SDN架構(gòu)研究與仿真分析[J].電子科技， 2016， 29（12）：85-88.

[9]董風(fēng)雷，秦存強(qiáng).基于OpenFlow與sFlow的DDoS攻擊防御方法[J].無(wú)線電工程， 2019， 49（4）：282-287.

[10]郁峰.軟件定義網(wǎng)絡(luò)架構(gòu)下的安全問(wèn)題綜述[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2014（24）：13-20.

[11]李晶林.OpenFlow網(wǎng)絡(luò)中的流表表項(xiàng)處理方法及設(shè)備：浙江，CN104348727A[P].2013.

[12]宛考，羅雪峰，江勇，等.軟件定義網(wǎng)絡(luò)系統(tǒng)中面向流的調(diào)度算法[J].計(jì)算機(jī)學(xué)報(bào)， 2016， 39（6）：1208-1223.

[13]張朝昆，崔勇，翯翯唐，等.軟件定義網(wǎng)絡(luò)（SDN）研究進(jìn)展[J].軟件學(xué)報(bào)， 2015， 26（1）：62-81.

[14]任高明.軟件定義網(wǎng)絡(luò)研究綜述[J].信息與電腦（理論版）， 2020，32（4）：167-169.

[15]鄭毅，華一強(qiáng)，何曉峰. SDN的特征、發(fā)展現(xiàn)狀及趨勢(shì)[C]//中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2013年年會(huì)論文集.呼和浩特：中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員， 2013：147-148.

[16]王濤，陳鴻昶，程國(guó)振.軟件定義網(wǎng)絡(luò)及安全防御技術(shù)研究[J].通信學(xué)報(bào)，2017，38（11）：133-160.

[17] KREUTZ D ， RAMOS F ， VERISSIMO P . Towards Secure and Dependable Software-defined Networks[C]//Acm Sigcomm Workshop on Hot Topics in Software Defined Networking.New York：ACM， 2013：55-59.

[18] LEE S ， YOON C ， LEE C，et al.DELTA： A Security Assessment Framework for Software-defined Networks[C]//Network and Distributed System Security Symposium. San Diego：NDSS， 2017：3-7.

[19]白保琦.軟件定義網(wǎng)絡(luò)及安全防御技術(shù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2019（7）：26-27.

[20]胡濤.軟件定義網(wǎng)絡(luò)中多控制器負(fù)載均衡技術(shù)研究[D].鄭州：戰(zhàn)略支援部隊(duì)信息工程大學(xué)，2015.

[21]于洋，王之梁，畢軍，等.軟件定義網(wǎng)絡(luò)中北向接口語(yǔ)言綜述[J].軟件學(xué)報(bào)， 2016， 27（4）：993-1008.

[22] NADEAU T ， Pan P . Software Driven Networks Problem Statement[J]. Psychological Science ，2014，25（9）：1682-1690.

[23]何占博，王穎，劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（3）：9-14.

[24] Shin S ， Yegneswaran V ， Porras P ， et al. AVANT-GUARD： Scalable and Vigilant Switch Flow Management in Software-defined Networks[C]//ACM SIGSAC Conference on Computer & Communications Security. New York：ACM， 2013：413-424.

[25] TENNENHOUSE D L，SMITH J M，SINCOSKILE W D，et al A Survey of Active Network Research[J].IEEE Communications Magazine，1997，35（1）：80-86.

[26] SCOTT-HAYWARD S，Kane C，Sezer S.Operation Checkpoint：SDN Application Control[C]// 2014 IEEE 22nd International Conference on Network Protocols. Raleigh： IEEE， 2014：618-623.

[27] OKTIAN Y E ， LEE S G ， LEE H J ， et al. Secure your Northbound SDNAPI[C]// Seventh International Conference on Ubiquitous & Future Networks. Sapporo：IEEE， 2015： 919-920.

[28] FERGUSON A D ， GUHA A ， CHEN L， et al.Participatory Networking：An API for Application Control in SDNs [C]// To Appear in ACM SIGCOMM 2013.New York：ACM， 2013：78-81.

[29]劉揚(yáng).關(guān)于構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)體系的研究———基于數(shù)據(jù)價(jià)值視角的大數(shù)據(jù)監(jiān)管系統(tǒng)建設(shè)的思考[J].信息通信技術(shù)與政策，2019（2）：52-56.

[30] XI C ， GUO D ， MA W ， et al. FloodSight： A Visual-Aided Floodlight Controller Ext-ension for SDN Networks[C] // International Symposium on Smart Graphics.Cham：Springer， 2015：711-716.

[31] BRAGA R，MOTA E，PASSITO A.Lightweight DDoS flooding Attack Detection Using NOX/OpenFlow[C]//The 35th Annual IEEE Conference on Local Computer Networks. Denver：IEEE，2010：408-415.

[32] KOHONEN T . The Self-organizing Map.Elsevier[J]. Neurocomputing，1998， 21（1-3）：1-6.

[33]董仕.軟件定義網(wǎng)絡(luò)安全問(wèn)題研究綜述[J].計(jì)算機(jī)科學(xué)， 2021，48（3）：295-306.

[34] YING Z ， BEHESHTI N ， TATIPAMULA M .On Resilience of Split-architecture Networks[C]//Global Communications Conference. Houston： IEEE， 2011：1-6.

[35] Depren O ， Topallar M ， Anarim E ， et al. An Intelligent Intrusion DetectionSystem （IDS） for Anomaly and Misuse Detection in Computer Networks[J].Expert Systems with Applications，2005， 29（4）：713-722.

[36] XING T， HUANG D， XU L， et al. SnortFlow： A OpenFlow-Based Intrusion Prevention System in Cloud Environment[C]//Second GENI Research and Educational Experiment Workshop. New York：IEEE， 2013：89-92.

[37] SKOWYRA R ， BAHARGAM S ， BESTAVROS A. Software-Defined IDS for Securing Embedded Mobile Devices[C]//2013 IEEE High Performance Extreme Computing Conference （HPEC）.Waltham：IEEE， 2013：1-7.

[38] SYED AKBAR MEHDI， JUNAID KHALID， SYED ALI KHAYAM. Revisiting Traffic Anomaly Detection Using Software Defined Networking[C] //Recent Advances in Intrusion Detection：Springer-Verlag， 2011：161-180.

[39] ANWER B ， BENSON T ， FEAMSTER N ， et al. A Slick Control Plane for Network Middleboxes[C]//ACM Sigcomm Workshop on Hot Topics in Software Defined Networking. New York：ACM， 2013：147.

[40] BALLARD J R ， RAE I ， AKELLA A . Extensible and Scalable Network Monitoring Using OpenSAFE[C]//Internet Network Management Conference on Research on Enterprise Networking. San Jose： USENIX Association， 2010：120-127.