軟件定義網絡中的DDoS安全

（中國石油集團安全環保技術研究院，北京 102206）

0 引言

DDoS是分布式拒絕服務攻擊的簡稱，這種攻擊與其他攻擊相比具有較大的影響范圍，可以使多臺計算機在同一時間內遭到破壞，進而影響設備的具體應用。分布式拒絕攻擊的出現對大型網站的安全運行造成了嚴重影響，在軟件定義網絡中有效保障DDoS安全可在維護用戶正常使用狀態的前提下，保障系統安全，避免由于信息遺失和系統癱瘓產生經濟損失。

1 軟件定義網絡中的DDoS安全保證價值

公開資料顯示，2019年，全球在通信服務、IT服務、設備、企業軟件、數據中心系統中的支出分別為14 390.0億美元、10 790.0億美元、6 890.0億美元、4 660.0億美元、2 020.0億美元，預計2020年，全球IT支出將達到38 750.0億美元。目前，全球信息安全市場主要以服務為主，切實保證軟件定義網絡中的DDoS安全，可有效優化全球信息安全市場結構。公開資料顯示，2014—2018年，我國網絡信息安全行業的市場規模分別為191.0億元、227.0億元、336.2億元、409.0億元和495.2億元，預計2021年，我國網絡信息安全行業市場規模將達到926.8億元。由此可知，我國對有效保障信息安全具有較高的重視程度，全面保證軟件定義網絡中的DDoS安全將有效提高我國在信息安全中的投入，擴大信息安全行業的產業規模。信息安全行業的上游產業主要包括硬件設備和基礎軟件，其中硬件設備又可覆蓋基礎元器件、芯片、內存，基礎軟件可包括操作系統、數據庫、中間件等，面對信息安全事件頻發以及網絡安全事件出現對我國信息安全產生的嚴重不良影響，形成多元化的DDoS安全防御系統，并有效應用相關現代化安全漏洞修復方式和攻擊檢測、攻擊屏蔽技術能夠有效保證信息安全，形成健全的信息防護體系，繼而全面落實工信部發布的《關于促進網絡安全產業發展的指導意見》，形成制度化和系統化的信息安全維護體系。

2 軟件定義網絡中的DDoS攻擊檢測

目前，我國正處于全面推進現代化建設的關鍵時期，信息安全是現代化建設的基礎，直接影響著現代化建設進程，要想構建完善的信息安全保障體系，提高軟件定義網絡中的DDoS安全防御針對性，應進行DDoS攻擊檢測，以下對檢測方法進行介紹。

按照攻擊目標，DDoS攻擊可分為節點型攻擊、鏈路型攻擊、邏輯型攻擊和反射攻擊，可對網絡系統運行狀態造成不良影響。目前，常見的DDoS攻擊主要包括SYNFlood攻擊、UDPFlood攻擊以及ICMPflood攻擊，在攻擊檢測時，應進行數據收集和特征提取，OpenFlow系統具有較高的數據整合能力，可對流量數據進行清洗，并針對攻擊特征進行選擇，基于OpenFlow協議的DDoS檢測技術主要包括異常檢測和誤用檢測，在分類算法的支撐下，能夠有效利用OpenFlow特征，進行流表處理和特征選擇，繼而開展分類檢測。值得一提的是，針對傳統網絡中的DDoS攻擊以及SDN中的DDoS攻擊，在DDoS攻擊的異常檢測中還可有效應用基于統計分析的DDoS攻擊異常檢測算法以及基于機器學習的DDoS攻擊異常檢測算法，提高攻擊檢測的效率和攻擊溯源的精準。

3 軟件定義網絡中的DDoS安全防御

3.1 基于SDSNM邏輯架構的防御體系

隨著網絡技術的迅速發展，保證信息安全和數據安全已成為我國相關部門的首要工作任務，公開資料顯示，2019年1月—2019年12月，國家互聯網應急中心接受網絡安全事件報告數量分別為8 516.0個、6 995.0個、8 936.0個、8 722.0個、8 252.0個、7 765.0個、9 910.0個、9 405.0個、9 709.0個、13 840.0個、9 470.0個以及9 112.0個，由此可知，網絡信息安全態勢仍舊不容樂觀。針對軟件定義網絡中的DDoS安全防御，可有效應用基于SDSNM邏輯架構的防御體系。

該防御體系具有基于Renyi熵的DDoS檢測系統，該檢測系統中的異常檢測算法可基于特征度量值和異常度量值進行普通網絡流量建模，完成數據流和模型的區別對比，同時，基于Renyi熵的DDoS檢測算法則可實時檢測網絡的異常情況，判斷系統是否遭遇攻擊。以此為前提，基于SDSNM邏輯架構的防御體系，可通過參數選擇、具體檢測、短時檢測，有效判斷網絡系統的安全環境。由此可知，基于SDSNM邏輯架構的防御體系具有較為完善的DDoS攻擊檢測系統，而基于SDSNM的邏輯架構則可使網絡系統具備DDoS攻擊防范能力。基于SDSNM邏輯架構的防御體系主要包括邊緣網絡和核心網絡，可有效覆蓋數據平面、控制平面和應用平面。其中，應用平面主要包括云平臺、端系統以及相關SDN應用，可有效提高系統對DDoS攻擊的反應效率，精準保障信息安全。

3.2 基于OpenFlow的攻擊緩解方法

基于OpenFlow的攻擊緩解方法主要是利用Ope-Low協議和DDoS檢測技術進行的系統架構，利用OpenFlow流量特征可構建基于特征選擇的攻擊檢測方法，該方法主要通過對整合的流表信息進行數據預處理，繼而完成特征選擇，在評價準則的支持下進行特征排序，構建特征子集，繼而完成訓練、分類，進行攻擊的檢測分析和精準處理。以此為前提，基于OpenFlow的攻擊緩解主要體現在ACL管控和流量管理上，ACL管控主要是指訪問控制列表，通過對位于路由器和交換機等網絡設備上用來控制端口進出數據包的指令列表進行識別，對用戶訪問網絡資源的行為進行管理和控制，同時，還可根據信息的匹配性完成列表指令信息的調用。該防御體系能夠對出入網環境進行改良，通過優化訪問路徑，協調訪問能力，進一步保證網絡信息的安全和網絡環境的穩定性。值得一提的是，ACL管控技術能夠與Ope-Low協議進行協同配合，完成攻擊檢測結果的響應，繼而通過網絡控制器進行通信管理，從而實現DDoS攻擊的緩解。流量管理主要是通過限速、分流來實現單點故障屏蔽和攻擊緩解。另外，在基于OpenFlow的攻擊緩解方法應用中，還可進行系統架構設計和功能描述，以攻擊檢測結果為前提，DDoS攻擊緩解機制可進行結果的狀態檢測，并利用ACL管控將某些訪問行為放置于黑名單或白名單內，通過主機選舉和流量管理，導出緩解決策，與OpenFlow協議協同配合，精準發布控制命令，提高網絡系統的穩定性，降低癱瘓風險[1]。

3.3 基于強化學習的攻擊防御體系

隨著信息技術的迅速發展，特別是云計算、大數據、物聯網和人工智能等新一代信息技術的飛速發展，網絡與信息安全風險全面泛化，種類和復雜度均顯著增加，信息安全產品與服務種類也不斷得到充實與細化[2]。在軟件定義網絡中的DDoS安全保障中，可有效利用基于強化學習的攻擊防御體系。

目前，DDoS攻擊技術主要包括資源帶寬消耗型的攻擊技術以及系統資源消耗型的攻擊技術，基于強化學習的攻擊防御體系主要利用了基于限速的DDoS緩解方法、馬爾可夫決策過程以及基于策略的強化學習，基于近端策略優化算法的DDoS防御方法設計主要進行了狀態空間設計、動作空間規劃和獎勵函數設計，并利用基于分配的限流方法和考慮效率的獎賞系數，搭建強化學習框架，主要包括數據分析模塊、強化學習模塊、動作下發模塊以及完善的DDoS攻擊防御流程，能夠根據數據收集和評價標準以及機械和參數設計進行DDoS攻擊的針對性防御[3]。

3.4 基于DPDK的攻擊防御系統

目前，DDoS攻擊的防御渠道主要包括防火墻及入侵檢測防護系統、流量限速、黑洞路由、訪問限制以及流量清洗，DPDK是數據平面開發套件的簡稱，主要基于Linux系統運行，用于快速數據包處理的函數庫與驅動集合，可以極大地提高數據處理性能和吞吐量，提高數據平面應用程序的工作效率。基于DPDK可架構DDoS防御系統，利用DPDK數據包處理的加速原理，完成巡邏模式驅動和用戶態驅動。在基于DPDK的DDoS攻擊防御系統設計時，需進行系統需求分析，主要包括功能性需求分析和非功能性需求分析，繼而針對性完成攻擊防御系統的功能模塊架構。該系統的功能模塊主要包括數據包檢測模塊、管理中心模塊以及流量清洗模塊，數據包檢測模塊和流量清洗模塊可將日志上報至管理中心，由管理中心進行日志收集和策略下發，對DDoS攻擊進行針對性防御。

4 結語

總而言之，嚴峻的網絡信息安全態勢要求軟件定義網絡具有完善的DDoS安全防御系統，切實保障信息安全和網絡環境安全。基于軟件定義網絡中的DDoS安全保障價值，應利用相關現代化技術對軟件定義網絡中的DDoS攻擊進行全面檢測，并利用基于SDSNM邏輯架構的防御體系、OpenFlowow的攻擊緩解方法、強化學習的攻擊防御體系以及基于DPDK的攻擊防御系統保障信息安全。