基于軟件定義網絡的安全態勢感知方式分析

周揚

(無錫太湖學院，江蘇無錫，214064)

1 軟件定義網絡的概述

1.1 軟件定義網絡的定義

軟件定義網絡簡單來說，就是一種可以進行編程的網絡，它可以把網絡設備的控制平面單獨的拿出來并入到軟件里面，可以由軟件控制器管理的一種網絡架構，其被開發出來后，被網絡工程師們認為它是現代網絡的一種新變革，其影響可以給整個互聯網的運行體系的變革帶來了新的研究方法，為互聯網的發展帶來了新的機遇。

軟件定義網絡利用的原理，就是把控制與轉發技術分別隔開，將控制互聯網設備的程序都植入到同一個機器上，這為綜合提高互聯網的處理能力創造了條件和可能。軟件定義網絡的發展，在一定程度上打破了傳統的網絡技術所遇到的問題，創新性的把網絡控制技術與轉發技術成功的分離開。這種分離的做法，可以使網絡開發人員更加全面的獲取網絡信息，進一步的優化網絡管理的性能，既減弱了轉發面的性質，又減少了網絡設備所配置的硬件數量，從而使網絡技術的成本也大大降低。

1.2 軟件定義網絡的內容

其中，軟件定義網絡可以分為三個部分，有基礎設施層、控制層和應用層。如圖1所示。

圖1 軟件定義網絡的基本架構

從圖中可以清楚地看出，基礎設施層是軟件定義網絡最基礎的部分，它的工作任務就是收集、整理數據，向控制層發送處理好的數據。另外，基礎設施層的網絡設備，是沒有權限要求的，每位用戶都可以直接使用的。控制層是軟件定義網絡的關鍵技術，里面內置了一個控制軟件，專門為用戶提供網絡服務，它的工作任務就是制定軟件定義網絡的內部信息規則，保障設備正常運行。更加形象的說，控制層是架設在用戶能正常使用網絡和設備能正常進行運轉之間的一座“橋梁”，是應用層與基礎設施層的中介。而應用層主要是由多個網絡應用組成的，它的工作任務是需要提供各項網絡應用服務，滿足科研人員的需要。還有一點，它與下級控制層的信息交流是從網絡接口處進行傳遞的。

2 態勢感知技術的概述

2.1 安全態勢感知的定義

態勢感知是指在各種網絡設備的運行情況、網絡信息流通情況以及用戶自身的做法等因素的影響下，網絡在各個方面的變化趨勢。在一定程度上，可以看成是一種逐漸清晰的過程。它包括了態勢覺察、態勢理解和態勢預測三個部分，主要表現為：先對態勢的組成進行充分了解，獲得十分豐富且真實的有效數據，然后進行一系列的數據分析，提高自身對態勢的認知理解能力，最終可以獲得對未來短期時間內的態勢預測的能力。

2.2 網絡安全態勢感知的關鍵技術

2.2.1 態勢覺察技術

態勢覺察是通過整理大量的信息數據，從中選擇出可以表示網絡安全態勢的信息內容。因為現在網絡的發展變得越來越復雜，內容也變得越來越深入，所以這給信息數據的整理帶來了巨大的挑戰。另外，網絡安全態勢也可以從其它級別中得到，研究人員可以分別在低級和高級的形式中獲取信息，把得到的信息按照標準進行詳細的篩選，無用的要及時刪除，這樣做的目的，就是為了給后期的分析工作減輕任務量。再把選出來的數據信息進行分類、分析，最終，就可以完成態勢覺察這一部分的工作任務。

2.2.2 態勢理解技術

所謂的態勢理解，具體指的就是在前一級數據信息收集完畢的基礎上，使用相關的信息技術方法，讓研發人員來掌握網絡安全態勢感知的情況，給他們一些可供參考的數據資料。在這一運行過程中，結果可能會因前面得到的數據情況的差異，而會變得有所不同。根據這一情況，研究人員則還需要進行各項安全態勢的評估。

2.2.3 態勢預測技術

態勢預測是這三個部分中最重要的部分，而且研究人員進行的安全態勢感知分析，最終的目地就是可以能夠進行態勢預測。它的具體思路就是，通過查找、收集以往有效的信息數據，對這些信息進行分類處理，然后建立符合實際的數據信息網，利用計算機技術在這里面找出大量類似的事例，統一記錄各項結果，發現其中的關聯信息進行分析總結，從這些信息數據的基礎上，能夠合理的預測出其在這個方向上，以后發展的大致情況。這可以使研究人員有據可依、提前規劃，有更多的時間做好技術方面上的準備工作。

3 軟件定義網絡的重點技術分析

3.1 各部分的技術分析

對于基礎設施層來說，要用到軟件定義網絡交換機技術才能開展工作，而且還要配合當前先進的流表技術來發送數據信息。以往基礎設施層處理數據，僅僅只能靠自身所帶有的網絡設備，并且還因處理能力不強，使得其整體功能無法達到科研人員的預期。現在的流表技術正好彌補了以前的不足，它是由精密度更高的控制器來進行控制，更加迅速的收集、處理信息。另外，根據流信息的統一標準可知，當前要使用轉發技術，會有主動或者被動方式來實施。就是當數據信息流進入時，若流表能對其進行正常反應，就可以進行下一步驟的操作。相反若沒有反應，則信息就會被動的由流表清除掉，或者是流入到控制器里，在里面繼續進行流轉工作。

對于控制層來說，它在其中所發揮的作用就是，聯系上游的應用層與下游的基礎設施層，使它們能保持互相之間的協調配合，使整體的技術功能得到保障。在此過程中，需要利用最新的網絡控制技術，在符合轉發標準的基礎上，使得控制層有技術上的支持和保證。另外，在程序運行過程中，僅僅只有一兩個控制器的運行，無法保證研究工作的順利進行，甚至還會因效率、功耗不足而導致網絡運行變緩，給軟件定義網絡的控制層的控制能力帶來不利的影響。所以，軟件定義網絡中的控制層會有多個控制器在運行。除此之外，要了解對軟件定義網絡的控制器運行能力、運行過程中的安全問題，這些都是需要運用到技術來解決的實際問題。

對于應用層來說，由于軟件定義網絡在人民群眾的日常生活中應用的越來越廣泛，相應的應用層的類型、個數也會急劇地增加，各應用系統如果想要通過控制器，達到快速使用基礎設施層里面的網絡數據信息的目的的話，就需要在應用層內加設相應的管理系統。另外，應用層之所以能夠發揮其強大的作用，主要就是通過其中的多個網絡接口的作用。網絡接口對內對外進行信息的雙向傳遞，才保證了應用層可以發揮其功能。因此保護好網絡接口的安全運行，這也是一項極其重要的技術要求。還有一點，軟件定義網絡本身就是希望打造成一個多功能的信息應用平臺，所以還需要對其附屬設施的管理要有技術上的要求。

3.2 軟件定義網絡的風險分析

目前，軟件定義網絡的快速發展，一方面把網絡的服務調整的簡便易操作，極大地方便了網絡用戶的使用。另一方面，由于為了方便，工作人員把網絡接口改為公開的方式，這就給軟件定義網絡帶來了安全問題方面的風險。用戶在使用網絡的過程中，設備會有潛在的危險，會很容易遭受到不法黑客的攻擊。嚴重的時候，甚至會導致電腦死機等情況，給用戶的生活和工作方面都帶來不利的影響。因此，軟件定義網絡的安全性問題，需要相關的工作人員在對此研究的過程中，要格外的注意，防止此類事情的發生。

4 網絡安全態勢感知有待解決的問題

網絡安全態勢感知可以說得上是一項重要的網絡項目，這項研究對于國家的網絡安全發展有著深遠的影響，為我國的互聯網技術的進一步發展添磚加瓦，起到了重要的貢獻作用。目前，這個研究課題在全球各個國家，都引起了強烈的反應，并且討論力度也正在不斷加大。例如，在我國的一次互聯網發展與安全研究的討論會上，有一項討論項目就是關于如何更好地進行網絡安全態勢感知的研究。其中也包含了安全態勢感知的應用分類、數學建模和新技術的開發利用等。但是在實際研究中，由于國內在互聯網安全態勢感知方面的研究還良莠不齊，研究人員在這方面的研究沒有達到國外的先進水平，因此還存在著許多技術性上的難關，這也需要各研究人員通過共同的努力，才能去攻克難關。

4.1 數據缺失時的處理能力

顧名思義就是，當數據信息出現缺失、殘缺的情況下，互聯網系統是否可以及時的發現問題，找到問題的源頭所在并及時上報。這需要研究人員在獲取大量的數據資料的基礎上，經過多次的數據運算及研究實驗，改善系統的學習能力，循序漸進地增加系統靈敏度和辨識度，從而可以達到提高系統信息處理能力的目的。

4.2 網絡系統識別能力有待提高

雖然現在的互聯網技術已經很先進，有的甚至可以達到無需人的干涉就能完成的程度。但是有些，例如網絡是否受到攻擊的判斷，大多還是需要人們的干預行為，系統才能進行正常反應、處理。這些方面嚴重阻礙了安全態勢感知的進步、發展，因此，研究人員還要在這方面多下功夫，盡快提高系統的識別能力。