现在如今网络安全问题一直是大家非常关注的,防御手段也有很多种,今天要说的SDN网络,SDN网络抗DDoS动态纵深防御体系设计是怎样的?一起来了解一下吧。
SDN技术
由于其开放性、转发与控制分离、可编程的集中控制模式等特性,已经成为目 前可见的也是最为可行的网络智能化解决方案,这其中SDN控制器扮演着重要角色,与此同时也 是攻击者的重要目标。
目前网络控制器面临的DDoS攻击是一种较难防御的网络攻击,它会呈现出基于时间、空间、强度等多维度攻击随机分布的特点,本文针对SDN控制面的DDoS攻击提出 一种多维度多层次的动态纵深防护体系,具备纵深检测、态势感知、决策处置的闭环反馈特征。
软件定义网络是一种数据面和控制平面分离的网络模式,在此网络架构下的应用中,决定整个网络转发行为的控制器自然成为攻击者的目标,攻击者只要控制了控制器就可以控制整个网络。
目前网络控制器面临的DDoS攻击是一种较难防御的网络攻击,它会呈现出基于时间、空间、强度等多维度、多层次攻击随机分布的特点,本文提出一种安全防御体系的设计,针对DDoS特征构建相应多维度多层次的动态纵深防护体系,将内生可信、拟态异构等作为内生安全防护基础,从攻击者发起的攻击生命周期角度,建立一个纵深检测、态势感知、决策 处置的闭环反馈体系,全面覆盖攻击者攻击的主要 路径和环节,同时引入大数据威胁分析,机器学习等技术,从而实现智能防御能力的持续提升,缩短网络空间安全对抗的不对称性。
SDN网络控制面临的DDoS威胁
软件定义网络 SDN ( Soft Defined Network )是 一种新的数据面和控制平面分离的网络模式。在 SDN中,控制器决定了整个网络的行为。这种逻辑集中在一个软件模块的方式提供了多个好处。
首先, 通过软件来修改网络策略比经由低级别的设备配置更简单和更不容易出错。
第二,控制程序可以自动 地响应在网络状态变化,以保持高级别策略。
第三, 简化了网络功能发展,使得原本复杂的网络设备可以简单化和通用化。
由于具有上述优点,SDN网络技术具有较好的应用前景。但是,SDN的网络可编程性和集中式控 制平面也给网络带来了一些新的安全威胁。集中的控制平面很自然成为攻击者的目标,攻击者只要控制了控制器就可以控制整个网络。
同时,网络可编 程性产生的副作用是打开了之前不存在的新威胁的大门。例如,攻击可能利用一组特定的可编程设备的一个奇特的脆弱性损害了部分网络。因此,安全性问题应在SDN的设计中首先予以考虑。
DDoS攻击根据攻击方式大致划分为3类:泛 洪攻击、畸形报文攻击、扫描探测类攻击,从网络 层次的划分见表1所示。
DDoS攻击根据攻击方式大致划分为3类
如下图1所示为SDN网络控制平面所面临的 多种威胁,包括应用层面、控制层面、数据平面等 面临的安全威胁,攻击可以来自北向、东西向、南向等多种攻击实体。
SDN控制器