基于網(wǎng)絡資源管理技術的SDN DoS攻擊動態(tài)防御機制

王 濤 陳鴻昶 程國振

(國家數(shù)字交換系統(tǒng)工程技術研究中心 鄭州 450002) (wangtaogenuine@163.com)

2017-06-02；

2017-07-28

國家自然科學基金創(chuàng)新群體項目(61521003)；國家重點研發(fā)計劃項目(2016YFB0800101)；國家自然科學基金青年科學基金項目(61602509)；河南省科技攻關計劃項目(172102210615)；信息工程大學新興方向培育基金項目(2016610708) This work was supported by the National Natural Science Foundation of China for Creative Research Groups (61521003), the National Key Research and Development Program of China (2016YFB0800101), the National Natural Science Foundation for Young Scientists (61602509), the Science and Technology Project of Henan Province (172102210615), and the Emerging Direction Fostering Fund of Information Engineering University (2016610708).

基于網(wǎng)絡資源管理技術的SDNDoS攻擊動態(tài)防御機制

王 濤 陳鴻昶 程國振

(國家數(shù)字交換系統(tǒng)工程技術研究中心 鄭州 450002) (wangtaogenuine@163.com)

軟件定義網(wǎng)絡(software defined networking, SDN)已經(jīng)迅速成為一種新的網(wǎng)絡通信管理模式，極大地改變了傳統(tǒng)網(wǎng)絡架構.SDN可以通過將控制層與數(shù)據(jù)層分離來實現(xiàn)更細粒度的網(wǎng)絡控制與管理.但是，轉控分離的SDN架構也使得控制器極易成為DoS攻擊的目標.為解決這一問題，現(xiàn)對SDN中的DoS攻擊進行全面的研究，并提出一種輕量有效的MinDoS防御機制，該機制主要由簡化的DoS攻擊探測模塊和優(yōu)先級管理模塊這2個核心模塊實現(xiàn).該機制可以根據(jù)用戶信任值將流請求分類并將其劃分到具有不同優(yōu)先級的多個緩沖隊列，然后使用SDN控制器以雙輪詢機制來調度處理這些流請求，從而在DoS攻擊下更好地保護控制器.另外，MinDoS還結合了多控制器動態(tài)調度策略來降低全局響應時間，提高用戶服務質量.最后，分別在SDN單控制器和多控制器實驗環(huán)境中對MinDoS防御性能進行綜合評估，實驗結果表明：MinDoS防御效果良好，系統(tǒng)設計滿足預期目標.

軟件定義網(wǎng)絡；拒絕服務攻擊；優(yōu)先級隊列；控制器雙輪詢機制；服務質量

隨著網(wǎng)絡信息時代到來，網(wǎng)絡群體規(guī)模不斷擴大，用戶需求及網(wǎng)絡流量急劇增加，傳統(tǒng)網(wǎng)絡體系架構逐漸不能適應云計算、大數(shù)據(jù)、虛擬化等新型網(wǎng)絡技術發(fā)展需求[1].在此背景下，軟件定義網(wǎng)絡架構(software defined networking, SDN)由美國斯坦福大學Clean Slate研究組設計研發(fā)，其核心思想是將傳統(tǒng)網(wǎng)絡中的控制平面與數(shù)據(jù)平面分離，提高網(wǎng)絡可編程性和靈活性，便于實現(xiàn)細粒度網(wǎng)絡控制管理.因此，SDN作為一種新型網(wǎng)絡體系架構近年來得到極大發(fā)展.當然，隨著SDN在云數(shù)據(jù)中心等實際應用場景中廣泛部署，相應安全問題[2]也逐漸顯現(xiàn)，SDN安全也成為近年來研究熱點問題.其中，針對SDN邏輯中心化控制器的拒絕服務攻擊[3](denial of service, DoS)因攻擊影響大、解決難度高而廣受關注.

針對SDN控制器的DoS攻擊是傳統(tǒng)DoS攻擊的一種衍生攻擊技術.在傳統(tǒng)DoS攻擊中，攻擊者定向發(fā)送大量無效數(shù)據(jù)請求到指定目標，造成目標服務過載，從而達到攻擊目的.同樣，在SDN中，由于控制器作為SDN網(wǎng)絡的“大腦”承擔著網(wǎng)絡請求策略制定等核心功能，因此攻擊者也可以通過類似攻擊方式大量消耗控制器計算資源，影響正常數(shù)據(jù)請求處理，從而使整個SDN網(wǎng)絡“癱瘓”.隨著SDN技術廣泛應用，針對控制器的DoS攻擊態(tài)勢逐年上升，造成的損失也逐漸增加，因此，提出一種專門針對SDN控制器的DoS攻擊防御方案[4]迫在眉睫.

本文基于多優(yōu)先級隊列與控制器雙輪詢處理機制設計了一種針對SDN控制器DoS攻擊的動態(tài)防御機制.該機制能夠有效保證控制器免受大量無效惡意數(shù)據(jù)包影響，為網(wǎng)絡內所有用戶合理分配資源，動態(tài)實現(xiàn)網(wǎng)絡服務質量(quality of service, QoS)最優(yōu)化.本文的主要貢獻有5個方面:

1) 建立針對SDN控制器的DoS攻擊威脅模型；

2) 梳理現(xiàn)有防御機制發(fā)展趨勢及脈絡，并總結各解決方案優(yōu)劣性；

3) 在控制器端設計了一種基于多優(yōu)先級隊列與控制器雙輪詢機制的SDN DoS攻擊動態(tài)防御機制，在保證QoS的同時有效防止控制器過載，而且動態(tài)防御機制能夠根據(jù)網(wǎng)絡流量實際情況，動態(tài)調整網(wǎng)絡部署，實現(xiàn)全局網(wǎng)絡QoS最優(yōu)化；

4) 在開源SDN控制器Floodlight上實現(xiàn)相應防御機制并在實際SDN環(huán)境下測試以驗證防御效果；

5) 從控制器端設計并開發(fā)防御機制符合SDN安全發(fā)展的主流趨勢，減少對數(shù)據(jù)平面更改，有利于該防御機制廣泛部署，便于SDN標準化.

1 SDN網(wǎng)絡架構及DoS攻擊安全威脅模型

SDN網(wǎng)絡架構將控制平面與數(shù)據(jù)平面分離，提高了網(wǎng)絡可編程性和靈活性，降低了網(wǎng)絡運維成本，加速相關網(wǎng)絡產(chǎn)業(yè)及技術的發(fā)展.

SDN的典型架構主要由“三層兩接口”組成：三層按照架構由上至下(由南至北)的邏輯順序分別為應用層、控制層和數(shù)據(jù)層；兩接口分別為應用層與控制層之間的北向接口(northbound interface, NBI)和控制層與數(shù)據(jù)層之間的南向接口(southbound interface, SBI).其中，應用層包括各類SDN應用，主要負責拓撲發(fā)現(xiàn)、路由、負載均衡等網(wǎng)絡策略制定；控制層主要通過控制器執(zhí)行編排數(shù)據(jù)層資源、維護全局網(wǎng)絡拓撲和狀態(tài)信息等細粒度控制操作；數(shù)據(jù)層包括SDN交換機等基礎網(wǎng)絡設施，主要負責數(shù)據(jù)處理、轉發(fā)和狀態(tài)收集等.

OpenFlow[5]協(xié)議作為SDN網(wǎng)絡架構事實上統(tǒng)一的協(xié)議標準較好地實現(xiàn)了SDN原型設計思想.OpenFlow協(xié)議分為主動模式和被動模式2種工作模式.在主動工作模式下，控制器會在網(wǎng)絡運行前將相應網(wǎng)絡策略分解為流規(guī)則形式提前下發(fā)至指定交換機，交換機在運行過程中根據(jù)已有流表規(guī)則轉發(fā)相應數(shù)據(jù)包.主動工作模式下，由于流表項需要根據(jù)預置網(wǎng)絡策略提前下發(fā)，且在運行過程中不能動態(tài)調整轉發(fā)策略，因此，主動模式下的SDN網(wǎng)絡具有明顯靜態(tài)性，局限性較高，不適宜實際網(wǎng)絡部署.在被動工作模式下，控制器會根據(jù)交換機發(fā)送的數(shù)據(jù)包請求，結合網(wǎng)絡全局狀態(tài)視圖動態(tài)計算轉發(fā)策略，并下發(fā)流規(guī)則到指定交換機，從而完成數(shù)據(jù)包轉發(fā).被動工作模式更能體現(xiàn)SDN靈活的網(wǎng)絡管理方式，因此在實際部署中應用更為廣泛.當然，被動工作模式的特有屬性使得SDN控制器直接面臨DoS攻擊風險.

為了更好地分析SDN DoS攻擊安全威脅，我們基于OpenFlow被動模式下的工作流程詳細說明SDN DoS攻擊原理及過程.如圖1所示，當正常用戶與服務器通信時，發(fā)送者首先發(fā)送帶有源地址及目的地址的數(shù)據(jù)包請求到所連接的交換機(Step1)；當交換機接收到用戶請求時對數(shù)據(jù)包包頭域進行解析，并在自身流表中查詢該數(shù)據(jù)包有無匹配流規(guī)則(Step2)，如果匹配成功則轉發(fā)到指定端口，否則將觸發(fā)交換機產(chǎn)生Packet-in事件，并發(fā)送Packet-in數(shù)據(jù)包到控制器以請求下發(fā)流規(guī)則(Step3)；控制器根據(jù)全局網(wǎng)絡狀態(tài)計算轉發(fā)策略，并下發(fā)流規(guī)則到指定交換機(Step4)；交換機根據(jù)流規(guī)則轉發(fā)數(shù)據(jù)包到服務器(Step5).

Fig. 1 SDN work processes and SDN DoS attacks圖1 SDN工作流程及SDN DoS攻擊原理

在上述過程中，如果攻擊者在短時間內大量發(fā)送無效虛假數(shù)據(jù)包(數(shù)據(jù)包頭域以隨機值填充)到交換機，交換機同樣將不斷被觸發(fā)Packet-in事件并發(fā)送至控制器請求下發(fā)流規(guī)則.以上攻擊過程將會造成4方面嚴重后果：

1) 控制器計算資源短時間內被大量無效虛假數(shù)據(jù)包請求消耗，正常用戶數(shù)據(jù)包由于控制器過載而無法得到正常服務，造成網(wǎng)絡服務中斷(Attack 1)；

2) 上層應用由于攻擊請求數(shù)量過大而過載，同樣會造成網(wǎng)絡服務中斷(Attack 2)；

3) 控制器與交換機之間的通路因惡意攻擊請求在短時間內觸發(fā)大量Pakcet-in事件(Step3)而阻塞，正常數(shù)據(jù)包觸發(fā)的Packet-in無法發(fā)送到控制器，從而產(chǎn)生拒絕服務攻擊(Attack 3)；

4) 交換機自身流表存儲空間被大量相應攻擊請求的無效流規(guī)則擠占，針對正常數(shù)據(jù)包的流規(guī)則無法安裝到交換機，使正常網(wǎng)絡用戶服務中斷(Attack 4).

從上述安全威脅分析中可知，針對控制器計算資源的拒絕服務攻擊危害性最大.尤其對于目前廣泛部署的SDN多控制器模型影響最為明顯.隨著SDN網(wǎng)絡部署規(guī)模擴大，需要采用多控制器模型實現(xiàn)高性能和高可擴展性，然而多控制器模型更放大了此類DoS攻擊的影響，極易造成多控制器間的連鎖失敗[6].

Fig. 2 A cascading failure in SDN multi-controller network圖2 SDN多控制器間的連鎖失敗

如圖2所示，實心圓代表控制器，其處理能力為C；空心圓代表交換機.當C控制器因DoS攻擊而過載時，則將其負載遷移至A,D控制器(狀態(tài)1箭頭).遷移后，A,D控制器也因遷入流量而過載，因此又將負載遷移至B控制器(狀態(tài)2).此次遷移后，B控制器負載大大超過其處理能力(狀態(tài)3)，最終導致全部網(wǎng)絡崩潰(狀態(tài)4).由此看出，DoS攻擊給SDN網(wǎng)絡帶來毀滅性災難，解決該安全威脅刻不容緩.

2 相關工作

隨著SDN技術的發(fā)展，業(yè)界對SDN安全的關注度逐漸增加.針對上述攻擊場景，相關研究人員從多種角度設計防御機制，推動了SDN安全技術發(fā)展.

DoS攻擊在傳統(tǒng)網(wǎng)絡領域亦是熱點及難點問題.其中一些方法也比較成熟，如異常流量檢測機制[7]，其一般流程包括信息收集、特征提取和分類識別，如果將該技術不經(jīng)改變直接用于SDN，則會產(chǎn)生一定局限性，如信息收集代價大且不靈活、需要重新定義特征向量等.客戶端難題機制[8-9](client puzzle)通過難題分發(fā)、應答及驗證機制，篩選出合法用戶繼續(xù)提供服務.此機制雖然需要消耗一定資源代價，但在傳統(tǒng)網(wǎng)絡中仍可有效防御DoS攻擊.當然，此機制并不適用于SDN網(wǎng)絡，客戶端難題機制的分發(fā)、應答及驗證過程，會產(chǎn)生更多Packet-in數(shù)據(jù)包消耗更多控制器資源，更容易造成控制器過載.因此，傳統(tǒng)DoS解決方案因其局限性不能直接用于SDN環(huán)境下.

AVANT-GUARD[10]對OpenFlow數(shù)據(jù)平面進行擴展，引入了連接遷移模塊和執(zhí)行觸發(fā)器模塊.連接遷移模塊可以代理TCP握手階段，阻塞TCP SYN Flood攻擊對控制器的影響.執(zhí)行觸發(fā)器模塊可在數(shù)據(jù)平面統(tǒng)計數(shù)據(jù)滿足一定條件時下觸發(fā)插入預置的安全流規(guī)則，從而改善對動態(tài)變化流的快速處理能力.但是，AVANT-GUARD未加強控制層安全防御機制，僅從數(shù)據(jù)平面擴展防御機制不符合SDN安全發(fā)展趨勢.此外，該防御機制僅針對TCP型的DoS攻擊有效，具有一定局限性.

FloodGuard[11]以增強控制平面安全機制為切入點，增加主動流規(guī)則分析模塊和數(shù)據(jù)包遷移模塊.主動流規(guī)則分析模塊可以在發(fā)生DoS攻擊時保證基本網(wǎng)絡策略執(zhí)行.數(shù)據(jù)包遷移模塊可以及時緩存數(shù)據(jù)包并利用循環(huán)調度算法避免控制器過載.FloodGuard相比于AVANT-GUARD能夠防御各類DoS攻擊，而且未涉及數(shù)據(jù)平面改動，有利于架構的現(xiàn)實部署.然而，由于FloodGuard控制平面安全機制對控制器負載需求增加，而其并沒有擴展優(yōu)化控制器處理能力，從一定程度上影響其防御效果.

文獻[12-13]采用自組織圖分類算法對所提取的網(wǎng)絡流量特征分類，在識別正常流量與攻擊流量后，采取相應的防御措施.雖然這些文獻對流量特征及分類算法進行了優(yōu)化，也取得了較高的準確率，但是此類方法性能開銷較大，不能滿足實時性檢測要求.Yan等人[14]基于模糊綜合評價模型設計了攻擊檢測算法，雖然基于模糊的防御方案具有輕量級優(yōu)勢，但是檢測準確率有待進一步增加.

通過梳理現(xiàn)有相關工作不難發(fā)現(xiàn)，針對SDN控制器的DoS攻擊，目前尚沒有一種防御機制能夠在符合SDN安全發(fā)展趨勢的同時滿足輕量、高效、準確等特點，因此，本文基于多優(yōu)先級隊列與控制器雙輪詢處理機制設計了一種針對SDN控制器DoS攻擊的動態(tài)防御機制，以推動該領域進展.

3 動態(tài)防御機制設計

為了突出整體防御架構設計思想，本文以圖3為例詳細介紹防御架構各部分功能作用.在如圖3所示的SDN網(wǎng)絡中由控制器、SDN交換機、合法用戶、攻擊者和服務器5部分組成.為了便于敘述，3個SDN交換機以線性拓撲方式連接.其中，交換機1(S1)下連接3個攻擊者和3個合法用戶，交換機2(S2)下連接3個合法用戶，交換機3(S3)下連接3個合法用戶及1臺服務器.當攻擊者發(fā)動DoS攻擊時，發(fā)送大量虛假無效數(shù)據(jù)包至S1，S1產(chǎn)生大量Packet-in以消耗控制器計算資源.與此同時，3臺交換機下的合法用戶均請求與服務器建立TCP連接.當然，由于在攻擊中控制器過載可能會導致正常合法用戶連接請求被丟棄.在以上攻擊情景中，我們設計一種基于網(wǎng)絡資源管理技術的SDN DoS攻擊動態(tài)防御機制(下面簡稱為MinDoS).

如圖3所示，MinDoS主要包括簡化版DoS攻擊檢測模塊(simplified DoS detection module)和優(yōu)先級管理模塊(priority manager)兩部分.MinDoS主要利用上述功能模塊實現(xiàn)多邏輯隊列劃分、優(yōu)先級管理和控制器雙輪詢處理機制，從而達到基本防御效果.MinDoS工作流程如下：

Step1. 控制器劃分多交換機邏輯隊列;

Step2. 控制器執(zhí)行基于時間切片策略的多交換機邏輯隊列輪詢機制(控制器第1階段輪詢機制);

Step3. 網(wǎng)絡用戶優(yōu)先級管理及針對每一交換機邏輯隊列下多優(yōu)先級邏輯隊列劃分;

Step4. 控制器針對每一交換機邏輯隊列下的多優(yōu)先級隊列執(zhí)行基于權重策略的輪詢機制(控制器第2階段輪詢機制).

3.1控制器劃分多交換機邏輯隊列

傳統(tǒng)SDN控制器在接收到SDN交換機請求消息后會將所接收的請求數(shù)據(jù)包存儲在單物理隊列[15](single-Q)中，并且按照“先進先出”(first come first service, FCFS)的處理原則對數(shù)據(jù)包請求回應，從而完成整個后續(xù)轉發(fā)過程.當然，此類機制具有明顯漏洞，給DoS攻擊者帶來可乘之機.

傳統(tǒng)的single-Q機制將網(wǎng)絡內所有SDN交換機請求存儲到一個單隊列中，控制器再以FCFS機制對該隊列請求處理.在此過程中，如果SDN網(wǎng)絡內任意一個交換機遭受DoS攻擊后產(chǎn)生大量惡意Packet-in到該單隊列，則控制器計算資源將會被此類惡意請求大量消耗，造成整體網(wǎng)絡性能明顯降低.同時，由于single-Q缺少對不同交換機請求的隔離機制，使得SDN網(wǎng)絡內其余正常交換機產(chǎn)生的正常請求與大量攻擊請求混雜在同一隊列中，使得控制器無法及時篩選并處理這些正常請求，加劇拒絕服務攻擊效果.

為了增加不同交換機請求的隔離性，降低DoS攻擊效果，本文改變傳統(tǒng)SDN控制器單隊列(single-Q)機制，將傳統(tǒng)單隊列劃分為多邏輯隊列(multi-Q)，其中，每一個邏輯隊列對應一個SDN交換機.通過multi-Q機制，不同交換機的請求排隊到相應交換機的邏輯隊列后，控制器根據(jù)一定策略對這些邏輯隊列輪詢處理(控制器第1階段輪詢機制在3.2節(jié)中詳細介紹).通過此方法，控制器可以避免因FCFS機制一直處理大量處理惡意請求而過載，同時，也可以將其他正常交換機的請求與被攻擊交換機的攻擊請求隔離，避免其他交換機受到被攻擊交換機的影響，進一步提升防御效果.

3.2基于時間切片策略的交換機隊列輪詢機制

控制器對于多交換機邏輯隊列輪詢機制需要保證全局資源分配的合理性，如果設計不當，可能會影響全局網(wǎng)絡服務質量.因此，本文提出一種基于時間切片策略的輪詢機制，通過對全局網(wǎng)絡進行恰當評估后進行合理資源分配，同時提升防御效果.

本文提出的時間切片策略需要結合簡化版DoS攻擊檢測模塊進行實現(xiàn).簡化版DoS攻擊檢測模塊是在現(xiàn)有DoS檢測算法的基礎上進行改進實現(xiàn)的.通過第2節(jié)相關工作中可知，SGuard通過設計全新的六元特征組向量對攻擊流量進行特征提取后從而判斷網(wǎng)絡攻擊狀態(tài)，此方法雖然準確率較高，但負載仍不能滿足我們對防御架構輕量級的要求；Yan等人基于模糊綜合評價模型設計了攻擊檢測算法，雖然基于模糊的防御方案具有輕量級優(yōu)勢，但是檢測準確率有待進一步增加.受到以上工作啟發(fā)，我們結合SGuard[12]和模糊綜合評價模型[14]的優(yōu)勢，將六元特征組作為模糊綜合評價的特征集，得出相應綜合評價因子，從而實現(xiàn)能夠同時滿足輕量級及準確率方面要求的簡化版DoS攻擊檢測模塊.該模塊可針對SDN網(wǎng)絡內所有交換機進行攻擊評估，并對每一交換機計算出綜合評價因子.綜合評價因子的值介于0～1之間，0表示該交換機未受到攻擊者的DoS攻擊，1則表示該交換受到最為嚴重的DoS攻擊.通過每個交換機的攻擊綜合評價因子，我們采取不同的時間切片分配策略，該策略表示為

(1)

其中，μ表示控制器數(shù)據(jù)包請求處理能力，Degk表示交換機k的攻擊綜合評價因子，F(xiàn)Pk表示控制器為交換機邏輯隊列k分配的計算資源.通過式(1)可以看出，當交換機k的攻擊綜合評價因子越小時，即交換機受到DoS攻擊程度越低，控制器為該交換機邏輯隊列分配的資源越大；反之，控制器為該交換機邏輯隊列分配的資源越少.通過此策略，正常交換機下的用戶QoS要高于被攻擊交換機下的用戶QoS，基本達到了阻塞攻擊者、保護合法用戶的防御效果.當然，控制器第1階段輪詢機制在處理與攻擊者連接同一交換機合法用戶的請求時存在明顯不對稱性，需要進一步引入相應機制優(yōu)化防御方案.

3.3網(wǎng)絡用戶優(yōu)先級及交換機邏輯隊列管理機制

由于攻擊者會造成所連接的交換機攻擊綜合評價因子升高，進而減少控制器對該交換機邏輯隊列資源分配量，所以與攻擊者連接同一交換機的合法用戶所獲得控制器的輪詢處理能力也隨之降低[15].為了解決這一矛盾，本文引入優(yōu)先級管理機制，針對每一交換機邏輯隊列內的請求進行優(yōu)先級管理，從而進一步提升與攻擊者連接同一交換機的合法用戶的QoS.Priority Manager模塊在此階段進行網(wǎng)絡用戶信任評級后，根據(jù)用戶請求數(shù)據(jù)包優(yōu)先級標簽將不同數(shù)據(jù)包劃分至多優(yōu)先級隊列，從而為控制器輪詢處理多優(yōu)先級隊列奠定基礎.

3.3.1 優(yōu)先級管理

為了解決控制器執(zhí)行多交換機邏輯隊列輪詢機制時所產(chǎn)生的矛盾，本文需要引入優(yōu)先級機制對同一交換機下的攻擊者和正常用戶提供差別服務.控制器通過動態(tài)調整用戶信任值來區(qū)分不同用戶優(yōu)先級.優(yōu)先級機制具體流程如算法1所示.

算法1. 用戶優(yōu)先級(信任值)管理算法.

輸入：用戶IP;

輸出：用戶優(yōu)先級(信任值)列表tli.

① in每一時間間隔t

② for每一交換機ido

③ for用戶s(ip)的請求rdo

④ if用戶s(ip)不在信任列表tlithen

⑤ 為用戶s在信任列表tli中新建表項

⑥ 關聯(lián)ip與表項id，并初始化tv(id)=1；

⑦ else

⑧id←indexof(ip,tli)；

⑨ end if

⑩ if用戶s(ip)總請求數(shù)>Tithen

Priority Manager為每個交換機k維護一個信任值列表trustlistk，列表中存儲著該交換機下的所有用戶(包括攻擊者)的信任值信息.當用戶s首次連接到SDN網(wǎng)絡后，Priority Manager將用戶s的IP插入到相應交換機的優(yōu)先級列表中，該列表主要包括表項ID、所對應的用戶IP和用戶信任值TrustValue組成.首次接入到網(wǎng)絡的用戶(IP)將于信任列表中唯一的ID綁定，并且初始信任值設置為1(行①～⑨).隨著網(wǎng)絡運行，信任列表中的用戶信任值動態(tài)調整.當用戶發(fā)送請求速率超過網(wǎng)絡預置閾值時，意味著該用戶可能成為潛在的攻擊者，所以優(yōu)先級管理模塊對其信任值相應調整；相反，如果用戶發(fā)送請求速率在網(wǎng)絡合理范圍區(qū)間內,意味著用戶趨向為正常合法用戶(行⑩～).當然，閾值的設置具體可以根據(jù)控制器處理性能、網(wǎng)絡拓撲大小及網(wǎng)絡內用戶需求進行綜合衡量，其中文獻[16]已經(jīng)對該問題進行詳細敘述，在此我們不再贅述.另外，該信任評級動態(tài)調整算法與普通限速算法有著本質區(qū)別：限速算法在用戶請求速率超過閾值后直接迅速采取懲罰措施，這樣會使得大量正常請求被限速，誤報率較高；而信任評級動態(tài)調整算法以信任值連續(xù)調整的方式調整優(yōu)先級，避免不必要的懲罰，更具合理性.考慮到DoS攻擊特性，如果用戶IP一定時間內無任何請求，其優(yōu)先級同樣以一定衰減系數(shù)減低(行～).

3.3.2 交換機邏輯隊列下多優(yōu)先級隊列劃分機制

在優(yōu)先級管理模塊對用戶優(yōu)先級進行評定后，該用戶發(fā)送的數(shù)據(jù)包均帶有相應優(yōu)先級標簽，優(yōu)先級管理模塊根據(jù)發(fā)送用戶的信任值標簽將數(shù)據(jù)包劃分至不同優(yōu)先級的隊列中，以便控制器第2階段輪詢處理.多優(yōu)先級隊列劃分流程如算法2所示.

算法2. 多優(yōu)先級隊列管理算法.

輸入：優(yōu)先級列表tli、優(yōu)先級隊列長度L;

輸出：請求劃分至相應優(yōu)先級隊列.

① in每一時間間隔t

② for每一交換機ido

③ for用戶s(ip)的請求rdo

④id←indexof(ip,tli)；

⑤ 請求r對應的優(yōu)先級隊列索引Nr：

⑦ 將請求r劃分至第Nr個優(yōu)先級隊列；

⑧ else

⑨ 丟棄最低優(yōu)先級索引非空隊列中的請求；

⑩ 將請求r劃分至第Nr個優(yōu)先級隊列；

優(yōu)先級管理模塊可將每一個交換機邏輯隊列繼續(xù)劃分為Nq個優(yōu)先級隊列，當帶有優(yōu)先級標簽的數(shù)據(jù)包到達時，計算該數(shù)據(jù)包所對應的優(yōu)先級隊列索引.其索引表達式為

其中，Nr表示該數(shù)據(jù)包所對應的優(yōu)先級隊列索引，tv(id)為該數(shù)據(jù)包所對應的用戶信任值，min {tvintli}表示在交換機i所對應優(yōu)先級列表中用戶信任值的最小值，max {tvintli}表示在交換機i所對應優(yōu)先級列表中用戶信任值的最大值.從式(2)不難看出，用戶信任值越高，對應的優(yōu)先級索引越大(行③～⑤)，當控制器進行第2階段輪詢時，相應索引對應的隊列資源分配量越大.

另外，當新數(shù)據(jù)包插入優(yōu)先級隊列之前，需要先判斷該交換機邏輯隊列(Lmax)長度是否滿足要求，如果該交換機邏輯隊列長度不足，則先刪除最低優(yōu)先級索引隊列中的數(shù)據(jù)包再添加新數(shù)據(jù)包請求；如果滿足長度要求，直接將請求添加到指定優(yōu)先級索引隊列(行⑥～⑩).通過優(yōu)先級機制，正常合法用戶的數(shù)據(jù)包優(yōu)先級索引將會遠大于攻擊數(shù)據(jù)包優(yōu)先級索引，因此，正常用戶服務質量將會顯著提升.

3.4控制器基于權重策略的多優(yōu)先級隊列輪詢機制

當優(yōu)先級管理模塊將每一交換機邏輯隊列繼續(xù)劃分為多優(yōu)先級隊列后，控制器需要繼續(xù)對多優(yōu)先級隊列中的請求進行輪詢處理.為了提高控制器在單位時間切片內對高優(yōu)先級隊列處理量(控制器對優(yōu)先級隊列的資源分配量)，改善與攻擊者在同一交換機的正常合法用戶的服務質量，本文設計了控制器基于權重策略的多優(yōu)先級隊列輪詢機制(控制器第2階段輪詢機制).其工作流程如算法3所示.

算法3. 基于權重策略的多優(yōu)先級隊列輪詢算法.

輸入：第1輪控制器資源分配量FPi、邏輯隊列;

輸出：優(yōu)先級隊列處理權重及相應資源分配量.

① in每一時間間隔t

② for每一交換機ido

③ forn=1 toNqdo

④ 計算每一優(yōu)先級隊列權重：

⑤ end for

⑥ 控制器每一輪在nth隊列的處理請求數(shù)目：

⑦ end for

從算法3可知，為減少正常合法用戶受到來自同一交換機下的攻擊者的攻擊影響，提高正常用戶服務質量，減緩或者忽略攻擊者攻擊請求，控制器每輪對不同優(yōu)先級隊列的處理量與優(yōu)先級隊列權重成正比(行⑥).不同優(yōu)先級隊列的權重由優(yōu)先級索引與隊列長度共同決定：

(3)

其中,ωn為優(yōu)先級索引為n的優(yōu)先級隊列權重，Ln為優(yōu)先級索引為n的優(yōu)先級隊列長度，Lmax為該交換機邏輯隊列總長度，δ為權重比例因子.從式(3)可以看出，優(yōu)先級索引數(shù)越大，該優(yōu)先級隊列權重越大；優(yōu)先級隊列長度越大，該優(yōu)先級隊列權重越大.優(yōu)先級索引是隊列權重首要決定性因素(指數(shù)級影響因素)，當然，優(yōu)先級隊列長度也對權重起一定作用.通過此種權重策略設計，可以兼顧優(yōu)先級索引及優(yōu)先級排隊長度的影響，有助于提高用戶服務質量.

4 控制器動態(tài)調度策略設計

隨著云數(shù)據(jù)中心[17]等SDN網(wǎng)絡部署規(guī)模不斷擴大，業(yè)界普遍采用SDN多控制器模型[18-19]實現(xiàn)高性能及高可擴展性.但是，SDN多控制模型對于針對控制器的DoS攻擊具有明顯脆弱性(見第1節(jié))，因此更需要部署相關SDN DoS防御機制增強其可用性.本文第3節(jié)所設計的防御機制完全適合部署于該SDN多控制器模型，可以有效防御針對控制器的DoS攻擊，避免控制器單點故障[20]問題.當然，該防御機制由于引入了優(yōu)先級管理等安全機制，會相對增加控制器負載，另外，考慮到DoS攻擊具有一定隨機性(可以在隨機時間、隨機地點以隨機攻擊速率對隨機控制器發(fā)動攻擊)，因此可能會造成多控制器間負載不均衡問題，影響全局網(wǎng)絡平均響應時間，降低全局用戶服務質量.為進一步優(yōu)化本文所提出的防御機制應用于SDN多控制器模型下的防御效果，本節(jié)同時提出一種控制器動態(tài)調度策略來保證全局網(wǎng)絡狀態(tài)最優(yōu)化，提高攻擊防御效率.

4.1控制器動態(tài)調度模型建立

我們假設SDN網(wǎng)絡內由M個控制器和N個交換機構成，控制器集合和交換機集合分別以集合C={c1,c2,…,cm}和S={s1,s2,…,sn}表示，其中cm和sn分別表示第m個控制器和第n個交換機.y(t)i j表示第i個交換機與第j個控制器是否連接(1表示連接，0表示未連接)，di j則表示第i個交換機與第j個控制器距離(跳數(shù)).控制器集合C中各控制器處理能力為μ={μ1,μ2,…,μm}.另外，為增加控制器可靠性及彈性，本文設置各控制器處理能力衰減系數(shù)γ={γ1,γ2,…,γm}，其中γ∈(0,1).

4.1.1 全局控制器平均處理時間

對于i∈(1,N),若第i個交換機在時刻t以速率υ(t)i向控制器發(fā)送請求時，控制器j在時刻t平均負載可表示為

(4)

結合式(4)，同時考慮到網(wǎng)絡拓撲規(guī)模對控制器平均處理時間的影響，控制器j的平均請求處理時間為

(5)

其中,V表示網(wǎng)絡拓撲規(guī)模(即網(wǎng)絡規(guī)模節(jié)點數(shù)).

根據(jù)式(4)、(5)可得全局控制器請求平均處理時間為

(6)

4.1.2 控制器動態(tài)調度模型

控制器動態(tài)調度模型的目的是在給定多控制器模型下，根據(jù)交換機請求負載變化情況，動態(tài)調整所連接的控制器，從而降低全局控制器平均處理時間，最優(yōu)化全局用戶服務質量.該模型可以抽象為控制器動態(tài)調度分配問題：

Minimizeξ(t)

(7)

目標式(7)保證全局控制器平均處理時間最優(yōu)；不等式(8)約束所有控制器均不過載；約束條件式(9)保證每個交換機必須連接且只連接一個控制器，確保有效性和唯一性.

4.2控制器動態(tài)調度模型求解

由于控制器動態(tài)調度模型面向SDN多控制器模型，因此對于該模型求解需滿足高效性以確保在網(wǎng)絡在動態(tài)環(huán)境中迅速收斂，獲得全局最優(yōu)控制器-交換機映射關系，使得多控制器間負載相對平衡，提高網(wǎng)絡性能及防御機制防御效果.

為求解最優(yōu)控制器動態(tài)調度模型，本文首先令控制器與交換機進行“雙向選擇”形成初始映射關系，然后再利用迭代算法動態(tài)調整控制器-交換機映射關系實現(xiàn)全局網(wǎng)絡性能最優(yōu)化.下面本節(jié)將以上求解算法進行詳細介紹.

4.2.1 控制器與交換機“雙向選擇”機制

本文采用“雙向選擇”機制來構建控制器與交換機初始映射關系.具體來說，控制器和交換機各自維護一個偏好[21]列表，在滿足全局約束條件的情況下，以各自偏好列表構建初始映射關系.

從交換機角度分析可知，交換機優(yōu)先選擇控制器處理能力高、處理時間短的控制器(如式(5))，但是該因素與其他交換機連接情況耦合性較大，不便于實際選取，因此本文以控制器最長處理時間為指標構建每一交換機偏好列表，第j個控制器最長處理時間為

(11)

根據(jù)式(11)，在第i個交換機的偏好列表Γ(si)中所有控制器以其最長處理時間大小按照升序排列，在該偏好列表中索引越小，表明交換機i對該控制器偏好程度越高，相應的控制器最長處理時間也越短.即：

(12)

從控制器角度分析可知，控制器優(yōu)先選擇請求速率小且距離其跳數(shù)小的交換機，因此在第j個控制器的偏好列表中所有交換機以請求速率和距離第j個控制器跳數(shù)的乘積為指標按照升序排列，在該控制器偏好列表中，交換機所對應的索引值越小，其被控制器j所選中的優(yōu)先級越高.即：

(13)

當然，在上述情況中，如果控制器j想將第i*個交換機列入初始映射中，則控制器j需要滿足在列入第i*個交換機后不能超過控制器負載，即：

?si*,θ(t)j+υ(t)i*≤γjμj.

(14)

綜上所述，控制器與交換機“雙向選擇”機制算法流程如算法4所示.

算法4. 控制器-交換機初始映射機制算法.

輸入：?i,υ(t)i，?j,μj,γj;

輸出：?i,j,y(t)i j.

① functionMutualChoice(υ(t)i,μj,γj)

② 每一交換機和控制器分別建立Γ(si),Γ(cj);

③ while交換機存在任意提議do

④ if所有提議不違反約束條件8 then

⑤ 控制器接受交換機所有提議；

⑥ else

⑦ 控制器僅接受Γ(si)優(yōu)先級最高的提議；

⑧ 控制器拒絕其他交換機提議；

⑨ end if

⑩ end while

4.2.2 最優(yōu)化映射算法

通過上述控制器與交換機“雙向選擇”機制可以得到控制器與交換機的初始映射關系Θ，該初始映射關系并不能滿足最優(yōu)化效果，因此，本節(jié)通過確定交換機遷移規(guī)則并利用迭代算法得到控制器與交換機最優(yōu)化映射關系.

遷移規(guī)則：假設交換機s在初始映射關系Θ中與控制器a對應，在滿足一定遷移規(guī)則后，交換機s在更新后的映射關系Θ中對應控制器b.上述過程以transfer(s,a,b)表示.在遷移前，控制器a所映射的交換機包括s；遷移后，在控制器a所映射的交換機中刪除s，同時在控制器b所映射的交換機集合中添加s.遷移規(guī)則根據(jù)全局控制器處理時間最優(yōu)化目標確定.若根據(jù)遷移后的控制器與交換機映射關系，全局控制器處理時間降低，則滿足遷移規(guī)則，同時更新控制器與交換機映射關系.上述遷移過程數(shù)學表達為

遷移前：transfer(s,a,b)

Sa=Θ(a)，Sb=Θ(b)；

(15)

遷移后：transfer(s,a,b)

(16)

遷移規(guī)則：

TR(s,a,b)=?(t)a*+?(t)b*-[?(t)a+?(t)b]<0.

(17)

根據(jù)以上遷移規(guī)則，我們設計算法5動態(tài)調整控制器與交換機映射關系[22]，在基于控制器-交換機初始映射關系及相關初始狀態(tài)參數(shù)上求解出具有最小遷移規(guī)則值的遷移對(transfer pair)后，更新映射關系，實現(xiàn)全局控制器響應時間最優(yōu)效果.

算法5. 控制器-交換機映射動態(tài)調整機制算法.

輸入：?j,μj,γj、初始映射Θ;

輸出：?i,j,y(t)i j.

① functiontransfer(Θ,μj,γj)

② for控制器,?j,cjdo

③ for交換機si∈Θ(cj) do

④ for控制器cm∈C{cj} do

⑤ 找到具有最小TR(si,cj,cm)值的遷移對(si,cj,cm)；

⑥ end for

⑦ ifTR(si,cj,cm)<0 then

⑧ update：Θ←transfer(si,cj,cm)

⑨ end if

⑩ end for

5 實驗驗證與分析

Fig. 4 Performance comparison between MinDoS and existing defense mechanisms under different DoS attack intensities圖4 不同攻擊速率下MinDoS與現(xiàn)有機制的防御性能比較

為驗證上述機制有效性，本文分別在SDN單控制器的模擬環(huán)境和基于SDN多控制器模型的實際數(shù)據(jù)中心下進行實驗驗證與分析.本節(jié)將詳細介紹2種實驗環(huán)境下實驗設計思路并進行實驗結果分析.

5.1SDN單控制器環(huán)境下實驗及結果分析

在單控制器環(huán)境中，我們基于開源的Floodlight控制器部署本文所提出的安全機制.實驗拓撲如圖3所示，3個SDN交換機以線性拓撲方式連接.其中，交換機1(S1)下連接3個攻擊者和3個合法用戶，交換機2(S2)下連接3個合法用戶，交換機3(S3)連接3個合法用戶及1臺服務器.交換機S1～S3下所連接的用戶分別部署到3臺服務器上，每臺服務器均配置Intel?Xeon?CPU x5690 3.47 GHz和48 GB RAM，運行Ubuntu 16.04 server版系統(tǒng)，交換機采用pica8 SDN交換機.表1列出了其余主要實驗參數(shù)設置.

Table 1 Experimental Parameter Settings表1 實驗參數(shù)設置

Flooglight控制器處理能力設置為μ=1 000 pkts·s-1,為使模擬環(huán)境更加接近真實環(huán)境，正常合法用戶在隨機時刻以隨機速率發(fā)送請求數(shù)據(jù)包，其速率范圍設置為μ5～3μ5.我們分別在攻擊者總攻擊速率為1.5μ,2μ,4μ,8μ的情況下，測試不同交換機下正常合法用戶TCP連接失敗率Rf及TCP連接建立的平均時延Ds.為了橫向對比實驗效果，我們分別以先進先出機制(FCFS)、SGuard防御機制、DoS模糊綜合評價防御機制(FSEDM)為對照，測試上述防御機制TCP連接失敗率及平均時延.實驗結果如圖4所示：

從以上實驗結果可以看出，由于FCFS機制完全不具備防御功能，因此隨著攻擊速率不斷增加時，其相應時延不斷增加，TCP連接失敗率在ε=8μ時更是達到80%，網(wǎng)絡性能垂直下降.相比之下，SGuard和FSEDM在連接建立時延及失敗率方面具有一定防御效果，在ε<4μ的攻擊情景下，時延控制在1 s左右，連接失敗率維持在10%以下.但是，SGuard和FSEDM在更高強度的DoS攻擊下，如在ε=8μ時，由于兩者自身防御機制負載原因，時延和失敗率均顯著上升，其中，F(xiàn)SEDM機制連接失敗率甚至接近20%，防御效果降低.MinDoS由于采用優(yōu)先級隊列及控制器雙輪詢機制，整體防御機制較為輕量、高效，因此，在不同攻擊速率下，防御性能可以基本穩(wěn)定，即使在攻擊強度較高的情況下，時延也能控制在1 s以內，失敗率維持在5%以下.另外，在本實驗中，由于交換機1下連接攻擊者，所以在以上機制中，交換機1下的平均時延及連接失敗率比其余交換機略高.綜上所述，MinDoS相較于SGuard，F(xiàn)SEDM和FCFS機制，不管在時延還是失敗率方面具有絕對優(yōu)勢，而且隨著攻擊速率不斷增加，防御性能優(yōu)勢也逐漸明顯.

Fig. 5 Response time comparison between MinDoS and existing defense mechanisms in SDN multi-controller model under different DoS attack intensities圖5 不同攻擊速率下SDN多控制器模型中MinDoS與現(xiàn)有防御機制的響應時間比較

5.2SDN多控制器模型下實驗及結果分析

為檢驗基于多優(yōu)先級隊列與控制器雙輪詢機制的SDN DoS攻擊動態(tài)防御機制在實際SDN環(huán)境中的部署效果，本文將該防御機制實際部署于數(shù)據(jù)中心中測試其防御效果.通過5.1節(jié)單控制器環(huán)境下的實驗結果分析可知，本文所提出的防御機制較其他機制具有明顯優(yōu)勢，但是在單控制器環(huán)境下防御機制相對靜態(tài)，沒有體現(xiàn)出該機制應用于數(shù)據(jù)中心等實際環(huán)境中控制器動態(tài)調度策略對全局網(wǎng)絡性能方面的動態(tài)優(yōu)勢，因此，本節(jié)對該防御機制應用于數(shù)據(jù)中心環(huán)境中的性能進行測試.

本文選擇的數(shù)據(jù)中心拓撲為24-pod fat-tree結構，該拓撲下共有720個交換機和3 456個主機用戶.該數(shù)據(jù)中心內部署了30個Floodlight控制器.各控制器彈性系數(shù)γi隨機設置為0.92～0.96.其余實驗參數(shù)設置如表1所示.攻擊者在該數(shù)據(jù)中心下以總用戶數(shù)5%的比例隨機選取.為了便于對比分析，本文在攻擊者攻擊速率分別為1.5μ,2μ,4μ,8μ的情況下，測試并分析MinDoS,SGuard和FSEDM在該數(shù)據(jù)中心拓撲結構下的全局正常用戶請求處理時間.實驗結果如圖5所示.其中，圖5(a)～(d)分別展示了不同攻擊速率情況下的全局時間.

分析圖5(a)～(d)可知：在發(fā)動不同速率攻擊之前(10 s)，采用MinDoS控制器動態(tài)調度策略的響應時間明顯低于SGuard和FSEDM機制，這是由于本文所提出的控制器動態(tài)調度策略能夠有效均衡數(shù)據(jù)中心各控制器負載，使得全局響應時間最優(yōu)化.在t=10 s以后，當攻擊者開始發(fā)動攻擊時，圖5(a)～(d)在SGuard和FSEDM機制下的響應時間開始逐漸增加，并且該響應時間隨著攻擊速率升高而增加(響應時間增加幅度關系1.5μ<2μ<4μ<8μ).當然，由于SGuard和FSEDM機制具有一定DoS攻擊防御效果，因此，在攻擊速率分別為1.5μ,2μ,4μ,8μ時，其響應時間峰值分別為{(0.7,0.85);(0.9,1.2);(1.16. 1.62);(2,2.6)},該響應時間雖然受到一定性能影響，但仍然控制在合理范圍內.相較于以上2種防御機制，MinDoS在該多控制器模型下具有顯著優(yōu)勢，即使在不同攻擊速率下，MinDoS防御機制下的全局相應時間也基本維持在(0.2,0.6)區(qū)間內，浮動率較低.這是因為MinDoS機制從控制器處理方式角度出發(fā)，與攻擊速率關聯(lián)度較低，而且MinDoS采用控制器動態(tài)調度策略有助于優(yōu)化全局網(wǎng)絡性能.綜上所述，在基于多控制器模型的小型數(shù)據(jù)中心場景中，MinDoS在未發(fā)動攻擊的條件下，其全局響應時間優(yōu)于現(xiàn)有解決方案，證明控制器動態(tài)調度策略能夠顯著降低全局控制器相應時間，滿足預期實驗目標；MinDoS在受到不同程度的DoS攻擊情況下，其全局響應時間仍然優(yōu)于現(xiàn)有解決方案，證明MinDoS在有效防御DoS攻擊的同時能夠顯著提高系統(tǒng)整體性能，更加有力地證明了MinDoS有利于在實際真實環(huán)境中廣泛部署.

6 總結和未來工作

本文為解決針對SDN控制器的DoS攻擊問題，設計了一種基于網(wǎng)絡資源管理技術的SDN DoS攻擊動態(tài)防御機制.1)介紹了SDN基本架構及針對SDN控制器的DoS攻擊原理，然后介紹和分析了現(xiàn)有針對該問題的解決方案及其自身的優(yōu)缺點;2)針對現(xiàn)有解決方案的不足，創(chuàng)新性地提出優(yōu)先級隊列算法和控制器雙輪詢機制，同時，結合多控制器動態(tài)調度策略，進一步提升防御效果和網(wǎng)絡性能；3)本文將該防御機制與現(xiàn)有防御機制分別在SDN單控制器模型和多控制模型下進行防御效果對比分析，實驗結果表明：該防御機制可以有效防御針對SDN控制器的DoS攻擊，并且防御性能優(yōu)于現(xiàn)有解決方案，完全適合部署于實際SDN場景中.在未來的工作中，我們將繼續(xù)將該防御機制部署于大型數(shù)據(jù)中心中，在實際網(wǎng)絡流量環(huán)境中測試其防御效果，發(fā)現(xiàn)并解決可能存在的問題，進一步調整并優(yōu)化相應防御機制.

[1] Jain R. Internet 3.0: Ten problems with current Internet architecture and solutions for the next generation[C] //Proc of MILCOM’06. Piscataway, NJ: IEEE, 2006: 1-9

[2] Sezer S, Scott-Hayward S, Chouhan P K, et al. Are we ready for SDN? Implementation challenges for software-defined networks[J]. IEEE Communications Magazine, 2013, 51(7): 36-43

[3] Kandoi R, Antikainen M. Denial-of-service attacks in OpenFlow SDN networks[C] //Proc of the 14th Int Symp on Integrated Network Management. Piscataway, NJ: IEEE, 2015: 1322-1326

[4] Li Baohui, Xu Kefu, Zhang Peng. pTrace: A counter technology of DDoS attack source for controllable cloud computing[J]. Journal of Computer Research and Development, 2015, 52(10): 2212-2223 (in Chinese)

(李保琿, 徐克付, 張鵬, 等. pTrace: 一種面向可控云計算的DDoS攻擊源控制技術[J]. 計算機研究與發(fā)展, 2015, 52(10): 2212-2223)

[5] Mckeown N, Anderson T, Balakrishnan H, et al. OpenFlow: Enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74

[6] Yao Guang, Bi Jun, Guo Luoyi. On the cascading failures of multi-controllers in software defined networks[C] //Proc of the 22nd IEEE Int Conf on Network Protocols. Piscataway, NJ: IEEE, 2014: 1-2

[7] Kim M S, Kong H J, Hong S C, et al. A flow-based method for abnormal network traffic detection[C] //Proc of NOMS’04. Piscataway, NJ: IEEE, 2004: 599-612

[8] Waters B, Juels A, Halderman J A, et al. New client puzzle outsourcing techniques for DoS resistance[C] //Proc of the 11th ACM Conf on Computer and Communications Security. New York: ACM, 2004: 246-256

[9] Michalas A, Komninos N, Prasad N R, et al. New client puzzle approach for DoS resistance in ad hoc networks[C] //Proc of the 2010 IEEE Int Conf on Information Theory and Information Security. Piscataway, NJ: IEEE, 2010: 568-573

[10] Shin S, Yegneswaran V, Porras P, et al. AVANT-GUARD: Scalable and vigilant switch flow management in software-defined networks[C] //Proc of ACM CCS’13. New York: ACM, 2013: 413-424

[11] Wang Haopei, Xu Lei, Gu Guofei. FloodGuard: A DoS attack prevention extension in software-defined networks[C] //Proc of the 45th Annual IEEE/IFIP Int Conf on Dependable Systems and Networks. Piscataway, NJ: IEEE, 2015: 239-250

[12] Wang Tao, Chen Hongchang. SGuard: A lightweight SDN safe-guard architecture for DoS attacks[J]. China Communications, 2017, 14(6): 113-125

[13] Alsulaiman M M, Alyahya A N, Alkharboush R A, et al. Intrusion detection system using self-organizing maps[C] //Proc of the 3rd Int Conf on Network and System Security. Piscataway, NJ: IEEE, 2009: 397-402

[14] Yan Qiao, Gong Qingxiang, Deng Fangan. Detection of DDoS attacks against wireless SDN controllers based on the fuzzy synthetic evaluation decision-making model[J]. Ad Hoc & Sensor Wireless Networks, 2016, 33(1): 275-299

[15] Zhang Peng, Wang Huanzhao, Hu Chengchen, et al. On denial of service attacks in software defined networks[J]. IEEE Network, 2016, 30(6): 28-33

[16] Floyd S, Jacobson V. Random early detection gateways for congestion avoidance[J]. IEEE/ACM Trans on Networking, 1993, 1(4): 397-413

[17] Roy A, Zeng Hongyi, Bagga J, et al. Inside the social network’s (datacenter) network[C] //Proc of the 2015 ACM Conf on Special Interest Group on Data Communication. New York: ACM, 2015: 123-137

[18] Yu Minlan, Rexford J, Freedman M J, et al. Scalable flow-based networking with DIFANE[C] //Proc of ACM SIGCOMM’10 Conf on Applications, Technologies, Architectures, and Protocols for Computer Communications. New York: ACM, 2010: 351-362

[19] Koponen T, Casado M, Gude N, et al. Onix: A distributed control platform for large-scale production networks[C] //Proc of the 9th USENIX Conf on Operating Systems Design and Implementation. Berkeley, CA: USENIX Association, 2010: 351-364

[20] Tootoonchian A, Gorbunov S, Ganjali Y, et al. On controller performance in software-defined networks[C] //Proc of the 12th USENIX Conf on Hot Topics in Management of Internet, Cloud, and Enterprise Networks and Services. Berkeley, CA: USENIX Association, 2012: 10-10

[21] Liu Fangmin, Guo Jian, Huang Xiaomeng, et al. eBA: Efficient Bandwidth Guarantee Under Traffic Variability in Datacenters[J]. IEEE/ACM Trans on Networking, 2017, 51(1): 506-519

[22] Guo Jian, Liu Fangmin, Zeng Dan, et al. A cooperative game based allocation for sharing data center networks[C] //Proc of the 32nd IEEE Int Conf on Computer Communications. Piscataway, NJ: IEEE, 2013: 2139-2147

ADynamicDefenseMechanismforSDNDoSAttacksBasedonNetworkResourceManagementTechnology

Wang Tao, Chen Hongchang, and Cheng Guozhen

(NationalDigitalSwitchingSystemEngineeringandTechnologicalResearchCenter,Zhengzhou450002)

Software defined networking (SDN) has quickly emerged as a new communication network management paradigm and greatly changed the traditional network architecture. It provides fine-grained network management service by decoupling the control plane from the data plane. However, due to the separation of control plane from data plane, controller is easy to be the attacking target of DoS. To address this problem, we make a comprehensive research on DoS attacks in SDN, and propose MinDoS, a lightweight and effective DoS mitigation method. MinDoS mainly contains two key techniquesmodules: simplified DoS detection module and priority manager. MinDoS can divide flow requests into multiple buffer queues with different priorities according to the users’ trust values. For a better protection towards controller under DoS attacks, this method then uses the SDN controller to schedule processing these flow requests by a dual polling mechanism. In addition, the design of MinDoS is also combined with dynamic controller assignment strategy so as to minimize the average response time of the control plane and improve the quality of service. Finally, we evaluate the performance of MinDoS in the single controller experimental environment and multi-controller experimental environment respectively. The experimental results show that the defense effect of MinDoS works well and the designed system meets the design objective basically.

software defined networking (SDN); denial-of-service (DoS) attacks; multi-priority queues; dual polling mechanism; quality of service (QoS)

TP391

WangTao, born in 1993. MS candidate at National Digital Switching System Engineering and Technological Research Center (NDSC) at Zhengzhou, China. His main research interests include software-defined networking and security.

ChenHongchang, born in 1964. PhD, professor, PhD supervisor. His main research interests include future network communication and future network architecture (chc@mail.ndsc.com.cn).

ChengGuozhen, born in 1986. PhD, assistant professor. His main research interests include network security (chengguozhen1986@163.com)