基于SDN架構的電網通信惡意攻擊防御控制方法

盧純義

(1.華北電力大學 電氣與電子工程學院，北京 102206；2.國網浙江蘭溪市供電有限公司，浙江 蘭溪 321100)

0 引言

互聯網技術、移動互聯網等新興處理技術的發展對網絡的帶寬、網絡的資源調度以及網絡設備的合理使用提出了更高的要求[1]。隨著互聯網用戶的海量增加，新型的網絡平臺如電商平臺、社交平臺、團購平臺等都對現階段的網絡結構提出了更高更全面的需求。傳統的網絡結構已經無法滿足現階段的發展需求，針對日益復雜的網絡環境，傳統的網絡架構的問題以及局限性已經展現出來，并且已經無法滿足當前互聯網的業務發展需求。近幾年來，SDN的發展以及崛起為未來網絡的發展奠定了堅實基礎。基于SDN的強勁發展勢頭以及解決安全問題的迫切性，詳細分析了SDN技術架構中存在的安全問題，其中最為重要的SDN控制器的安全問題也是重中之重。相關學者對SDN控制器的安全進行了研究。

蔡星浦等[2]提出基于多階段博弈的電力CPS虛假數據注入攻擊防御方法，通過CPS進行電網攻擊風險檢測，利用多階段博弈提取虛假數據注入攻擊，實現電力CPS數據的分階段動態防御，此方法能夠有效提升防御的實效性，但是存在通信誤差。王曉妮等[3]提出基于免疫網絡的ARP攻擊防御方法，根據免疫網絡方法進行App攻擊消除，利用TCP/IP協議進行目的端檢測，此方法能夠有效提升防御檢測。朱亞東[4]提出一種基于粗糙集和SPSO的網絡入侵檢測方案，采用粗糙集進行網絡入侵特征分類，然后簡化粒子群優化進行閾值參數計算，此方法能夠有效提升防御有效性。

針對上述問題，設計并提出基于SDN架構的電網通信惡意攻擊防御控制方法。通過具體的仿真實驗，全面驗證了所提方法的有效性以及優越性。

1 SDN架構

1.1 SDN架構的電網通信參數計算

SDN是從不同的角度對電信通信進行分析，SDN是一種全新的網絡架構，它存在的意義就是增強整個網絡的集中控制[5-7]。SDN網絡的架構圖如圖1所示。

圖1 SDN網絡架構圖

分析圖1可知，SDN控制器與電網通信客戶端進行對接，通過源交換機對目的交換機進行控制，各個目的交換機之間進行信息交換[8-9]。SDN的特點主要體現在以下3方面。

(1)轉控分離；

(2)邏輯控制集中；

(3)網絡能力開放化。

OpenFlow交換機在整個架構的基礎設施層，它的存在就是為了進行數據包的轉發[10]，它主要由3個不同的部分組成，具體如圖2所示。

圖2 OpenFlow交換機具體架構圖

OpenFlow協議中核心部分為流表機制，通過流表機制能夠完成網絡的維護工作。

OpenFlow流表主要由以下幾部分組成。

(1)匹配域；

(2)計數器；

(3)動作；

(4)安全通道。

在實際操作的過程中，需要將SDN架構中的控制層單獨分離出來，控制層是整個架構最為核心的部分，實質上就是對網絡操作系統進行控制。SDN架構具有承上啟下的作用，同時還能對整個架構的最底層進行抽象管理，對整個架構的最上層進行編程接口，方便實現相關模塊的設計。

通過統計分析模型，設定數據包的數量為Ni；正常情況下數據包的平均數為ni，則能夠獲取以下的計算為式(1)。

(1)

在信息論中，信息熵是系統中混亂度的一個度量指標，其中xi代表集合中第i個元素出現的次數，H表示信息在商，以下給出具體的計算為式(2)、式(3)。

(2)

(3)

式中，pi表示通信系數流量矩陣。如果設定α代表階數，則α階的Renyi熵的計算式為式(4)。

(4)

以下給出具體的約束條件為式(5)。

(5)

當α→1時，香農熵和Renyi熵的計算結果是一致的，即式(6)。

(6)

(7)

在上述分析的基礎上，需要判定電信通信網絡節點自身的能量，從而啟動對應的控制模塊，同時獲取能量損耗P(α)ij的計算式為式(8)。

(8)

綜合分析SDN架構的相關理論，將熵檢測算法和閾值計算方法相結合[11-12]，分別計算通信網絡中不同參數的取值，即式(9)。

(9)

其中,N表示自然數集，由此獲得了電網通信參數值，根據這一結果進行以下研究。

1.2 基于SDN架構的電網通信惡意攻擊防御控制方法

結合1.1小節的分析結果，用戶能夠對控制器進行自定義編程，所以能夠利用控制提供的友好API對控制器進行模塊開發，以下給出基于SDN架構的電網通信惡意攻擊防御控制模塊的具體設計過程，如圖3所示。

圖3 控制模塊的具體流程圖

網絡攻擊者對SDN架構發起惡意攻擊時，將整個網絡中全部的數據流發送至SDN架構最底層的交換設備中。分析SDN的相關理論可知，數據流內的數據包能夠精準反映攻擊者的特征。當攻擊數據包到達SDN架構中的通信網絡中，由于原始IP地址被攻擊者偽造，無法完成流表項的匹配工作[13]，所以需要將其對應的處理，同時發送至控制器中。結合上述分析，需要對控制器進行編程，在編程的過程中獲取數據包的相關特征，將這些特征設定為評判參數，為后續的研究提供對應的理論基礎。

根據控制模塊的設計流程，需要提取出一個或者多個流表項特征來完成Renyi熵的熵值計算。

分析相關的先驗知識可知，一般情況下攻擊者會偽造數據包的源IP地址。為了有效防御電網通信惡意攻擊，需要有效防止控制器被流量擊垮。

控制器在接收數據包的過程中，需要設定流量窗口的大小，然后分別對各個數據包的目的IP進行有效提取以及統計分析，最后進行熵值計算。

以下給出具體的電網通信惡意攻擊防御控制方法的具體操作流程。

(1)當數據流發送到交換機時，通過交換機完成相關流表項的匹配。假設其滿足相關的約束條件，則將數據包的字段記為X；反之無法進行匹配的流表項需要通過交換機發送數據包，同時利用控制器對數據包中的目的IP字段進行特征提取；

(2)結合步驟(1)，對X進行判定；假設X不在設定的哈希表中，則將其加入哈希表中，同時將其出現的次數記為mi；假設它已經存在哈希表中，則將它出現的次數記為mi+1；

(3)判斷哈希表中總數據包的個數是否滿足窗口的大小W，如果滿足，則需要通過熵值計算式對窗口內的數據包進行熵值計算；否則，則繼續等待下一個數據包的到達；

(4)如果步驟(3)計算得到的熵值低于閾值，則需要將異常隊列計數器的取值加1；反之則將它的取值清零。假設異常隊列計數器的取值高于或者等于閾值，則說明整個SDN架構的電網通信發生惡意攻擊。

綜合上述分析，將1.1小節的計算結果放置于設定的控制模塊中，根據相關的防護需求，設定對應的SDN架構防護模塊，將其應用于SDN架構中。追溯發生攻擊的源頭，對不同的攻擊強度進行分級量化處理，完成電網通信惡意攻擊防御控制。

2 仿真實驗

為了驗證所提基于SDN架構的電網通信惡意攻擊防御控制方法的綜合有效性，需要進行仿真實驗，實驗環境為英特爾奔騰(R)雙核(2.69 GHz)，內存為2 048 MB。實驗選用CheckPoint 仿真軟件，具體的通信網絡仿真系統拓撲結構如圖4所示。

圖4 通信網絡仿真系統拓撲結構

攻擊測試實驗流程如下。

首先，電網用戶利用仿真軟件構建攻擊測試提交給服務器；然后自動生成對應攻擊測試腳本，進行攻擊數據預處理；之后，進行解析腳本得到通信網絡攻擊數據存儲；啟動實驗進行數據攻擊存儲檢測，通過鏈路連接實現數據節點匹配，最后檢測惡意攻擊下不同方法的能量消耗、運行時間、相對誤差等。

(1)能量消耗/J

以下分別給出3種控制方法在節點數量不斷增加的情況下，各種方法的能量消耗情況，具體的對比結果如表1所示。

表1 所提方法的能量消耗變化情況

綜合分析上述實驗數據可知，隨著節點數量的不斷變化，各種控制方法的能量消耗也會隨之發生變化。當節點數量為20個時，文獻[2]方法能量消耗為50.13J，文獻[3]方法能量消耗為50.01J，所提方法能量消耗為49.81J。當節點數量為100個時，文獻[2]方法能量消耗為47.68J，文獻[3]方法能量消耗為46.87J，所提方法能量消耗為38.72J。相比傳統2種方法的能量消耗情況，所提控制方法的能量消耗在3種控制方法中為最低。

(2)運行時間/min

為了進一步驗證所提方法的優越性，以下分別對比3種方法的運行時間，具體的對比結果如圖5所示。

圖5 不同控制方法的運行時間變化情況

分析圖5可知，在實驗次數不斷增加的情況下，各種控制方法的運行時間也在不斷發生變化。當實驗次數為15次時，文獻[2]方法運行時間為17 s，文獻[3]方法運行時間為25 s，本文方法運行時間僅為5 s。當實驗次數為50次時，文獻[2]方法運行時間為21 s，文獻[3]方法運行時間為28 s，本文方法運行時間僅為5 s。本文方法一直擁有較低運行時間，所提方法效率高。

(3)相對誤差/%

為了更進一步驗證所提控制的有效性，以下分別對比3種方法的相對誤差，具體的對比結果如表2所示。

表2 所提控制方法的相對誤差變化情況

綜合分析上述實驗數據可知，隨著通信半徑長度的不斷增加，各種控制方法的相對誤差也在不斷變化。當通信半徑為80 km時，文獻[2]方法相對誤差為4.7%，文獻[3]方法相對誤差為20.9%，本文方法相對誤差僅為1%，本文方法相對誤差較低。當通信半徑為120 km時，文獻[2]方法相對誤差為25%，文獻[3]方法相對誤差為65%，本文方法相對誤差僅為2%，與其他2種控制方法相比，所提控制方法的控制誤差明顯最低，這說明所提方法具有較高的準確性。

3 總結

針對傳統的通信惡意攻擊防御控制方法存在的一系列問題，設計并提出基于SDN架構的電網通信惡意攻擊防御控制方法。通過實驗得出以下結論。

(1)隨著節點數量的不斷變化，各種控制方法的能量消耗也會隨之發生變化。當節點個數增加到1 000時，本文方法的能量消耗僅為41 J左右，遠遠低于其他2種傳統方法，具有更好的性能。

(2)在實驗次數不斷增加的情況下，各種控制方法的運行時間也在不斷發生變化。當實驗次數為50次時，本文方法運行時間僅為5 s，所提方法效率高。

(3)隨著通信半徑長度的不斷增加，各種控制方法的相對誤差也在不斷變化。當通信半徑為120 km時，本文方法相對誤差僅為2%，所提方法具有較高的準確性。