基于安全态势感知SDN网络拓扑污染攻击防御系统设计
来源:用户上传
作者:
摘 要: 针对原有SND网络拓扑污染攻击防御系统数据威胁等级评估精度低造成的防御对策效果较差的问题,设计基于安全态势感知SDN网络拓扑污染攻击防御系统。沿用原有系统中部分硬件,选用嵌入式芯片设计SND控制器与检测网络构架。软件部分仅针对威胁等级评估部分设计。采用安全态势感知技术完成威胁可信度评估中数据获取与分析工作,设定攻击知识库提升对攻击数据的分析能力并制定相应防御对策框架;将分析处理后的威胁信息通过归一化处理完成威胁量化;采用量化后的信息运用编程系统评估其攻击源威胁等级并根据评估结果,采取对应的防御对策。至此,基于安全态势感知SDN网络拓扑污染攻击防御系统设计完成。构建系统性能测试环境完成性能测试,与原有防御系统相比,此系统威胁等级评估精度更高,与样本更加接近。因而,此防御系统性能更佳。
关键词: SDN网络架构; 攻击防御; 系统设计; 安全态势感知; 威胁等级评估; 性能测试
Abstract: In allusion to the poor defense countermeasure effect caused by the low assessment accuracy of the data threat level of the original SDN (software?defined network) topology pollution attack defense system, a SDN topology pollution attack defense system based on security situation awareness is designed, in which some hardware of the original system is retained, and the embedded chip is used for the design of SDN controller and detection network architecture. In the software part, the design is performed only for the threat level assessment part. The security situation awareness technology is used to complete the data acquisition and analysis of the threat credibility assessment. The knowledge base of attack is set up to improve the ability of analyzing the attack data, and lay down the framework of corresponding defense countermeasures. The threat to the analyzed and processed threat information is quantized by means of the normalized processing. The quantified information and the programming system are used to assess the threat level of the attack source, and the corresponding defense countermeasures are taken according to the evaluation results. Thus, the design of SDN topology pollution attack defense system based on security situational awareness is completed. The system performance testing environment was built to accomplish the performance test. In comparison with the original defense system, the threat level assessment accuracy of this system is higher and closer to the sample. Therefore, it has better performance.
Keywords: SDN architecture; attack defense; system design; security situational awareness; threat level assessment; performance test
0 引 言
傳统的网络构架越来越难以满足人们对网络功能日益增加的需求,为解决这一问题,通过不断地研究与开发,设计出软件定义网络,即SDN。SDN拥有较强的控制能力,其转发分离、集中控制以及可编程能力都优于传统的网络结构[1?2]。与传统网络结构相比,其灵活性更强,成为未来网络的演进方向。与此同时,SDN也存在相应的风险。在SDN网络构架中,由于控制层与数据层的分离会出现网络漏洞,很容易被攻击者利用,形成网络拓扑污染攻击。因而,在SDN网络架构上构建一个具有入侵检测、自动响应、对入侵对象灵活防御的系统至关重要。
增加安全态势感知部分可有效解决上述问题。安全态势感知以安全大数据为基础,从整体网络架构出发,完成对网络架构安全威胁的识别、解析、相应处理[3]。使用这一技术,可以有效解决原有防御系统无法解决的问题。鉴于上述优点,设计基于安全态势感知SDN网络拓扑污染攻击防御系统。使用此系统可以针对污染等级排序完成对其防御工作。不再仅仅是简单的防御工作,使污染防御更加具有针对性,实现防御的科学化与完整性。 1 SDN网络拓扑污染攻击防御系统硬件设计
在SDN 网络构架中,控制器是网络构架的核心,网络工作人员通过控制器接口实现网络的控制。考虑到污染攻击对控制器的影响较大,设计新型中央控制器,完成防御工作[4?5]。原有防御系统对所有的攻击均采用同样的防御策略,时常出现误警问题。增加检测网络框架是必不可少的一个部分。通过上述分析,将防御系统的硬件构建共分为三层,层层递进完成防御工作。具体构架如图1所示。
沿用原有防御系统中部分硬件结合本文设计硬件部分,基于上述构架,分项设计系统硬件。
1.1 SDN控制器设计
过往SDN控制器设计中,共有分层式、集中式及水平式[6]3种分布形式。此次采用分层式结构。
为实现SND控制器的性能,选用1 000 Mb/s网卡为控制器载体,PCI?X作为控制器总线。在总线中,安装千兆以太网配置器,提升网络带宽。在控制器中安装多种接口。其中包含双绞线、光纤、BNC、AUI、HomePNA接口等。设定1个Console管理接口,8个业务接口,包括6个1000BASE接口,2个1000BASE?X Combo接口。在控制器中含有开关电源1个,不可扩展。网络控制器由上述微小硬件设备组成。
1.2 检测网络框架设计
设计检测网络框架,在检测网络中放置3台SDN 交换机及对应传感器,安装在原有系统硬件主机部分中,通过检测探针完成对网络中信息的提取与检测。传感器中设计双CPU嵌入式网卡两枚,一枚用于处理待检测数据包,不设IP;另一枚将检测后的报警数据输出,设定对应IP,作为检测网络管理接口。传感器中的一张网卡连接至交换机的镜像端口。
选择Am186/88型号嵌入式芯片。在芯片内部设有ROM/EPROM总线、看门狗、I/O接口、A/D接口等多种接口,保障多种信息高速传播。
通过上述设计完成系统硬件设计,此次设计仅针对于防御系统中威胁等级评估模块,其余硬件沿用原有系统设置。
2 SDN网络拓扑污染攻击防御系统软件设计
以上述硬件为基础,设计网络拓扑污染攻击防御系统软件,主要针对威胁等级评估不准确问题优化,设计新型评估模型,如图2所示。
本文模型为层次化威胁评估模型,设定为4个层次。使用量化方式评估攻击威胁程度与概率,从而了解网络整体的安全状态。采用上述层次化威胁评估模型,根据网络特征完成威胁评估方案。
2.1 威脅可信度评估
防御模型中,引用威胁可信度评估环节,将攻击成功所需条件与攻击目标状态、漏洞信息整合并对比,初步过滤入侵检测错误报警概率。在可信度评估中,引用安全态势感知技术获取网络构架中的威胁数据,并分析其攻击性能。寻找威胁时间的发生原因与影响机制。在受到攻击时,根据流量日记与报警记录评估威胁可信度 [7?8]。为直观判断可信度评估,构建对应攻击知识库,具体内容如表1所示。
所构建的知识库共分成两部分。使用攻击依赖库对产生攻击时警报加以分析,可以得出该攻击针对的操作系统类型与服务漏洞,分析其是否攻击。使用主机漏洞库分析漏洞成因,获取防御对策。制定完备的攻击知识库,可以判断出绝大部分的错误警报,剔除不必要的报警。根据攻击知识库中的信息完成防御对策框架的构建,系统中的防御对策将以其为基础完成设计过程。
2.2 威胁量化
根据上述的攻击知识库,得出相应的报警信息,将其关联处理。设定新报警组为[aQ],其他处于活跃状态的报警组集合为[aQ1,aQ2,…,aQn],其对应的关联评估集合为[WaQ,aQ1,WaQ,aQ2,…,WaQ,aQn],使用上述设定完成报警组的量化过程。
首先,采用Snort部分体现攻击类型的报警反映威胁程度[9]。结合priority字段实现报警的紧要度。考虑到这一次层因素,对每一字段值的报警组攻击性能量化处理,则有:
式中:[R]表示字段的种类;[a]表示威胁值。采用此公式结合报警信息中统计到的其他字段,得出每一字段的单独威胁量化。基于协同攻击的危害性,对其综合量化[10]。利用关联评估值集合,得出以下公式:
式中:[J]为单一评估值;[K]表示绘制综合评估系数;[i]表示字段序号。将其归一化处理后得出报警组的威胁值为:
式中,[vthreshold]为定值,当[v(aQ)]超过其就处于危险环境了,这一定值需要根据网络实际情况设定。通过上述步骤完成量化处理。
2.3 攻击源与攻击目标评估
通过上述量化结果完成对攻击源与攻击目标的评估工作。在攻击源对网络节点攻击的过程中,其可以伪造源地址,但作为攻击目标时,内部信息是准确的。因而,需要评估攻击源与攻击目标的威胁程度。在评估的过程中,以上述归一化处理后的威胁等级为基础。采用Snort技术结合if语句完成编程处理。根据Scan local network:DISABLED//威胁信息评估攻击源,并制定相应的计算过程。完成对评估等级的计算,最终生成评估向量。采用此评估向量作为安全应用防御决策输出,保证防御对策的有效性。
威胁等级评估结果采取相应的防御对策,实现的网络拓扑污染攻击防御功能。在制定防御对策的过程中,以威胁等级为依据,结合对应的知识库内容,充分考虑网络构架,完成指定工作。采用上述设计可有效提升系统防御能力。
3 系统性能测试
搭建实验网络环境将本文设计系统与原有防御系统对比,检验其威胁等级评估准确度。
3.1 构建测试环境
在此次性能测试中,使用VMware Workstation软件安装Ubuntu虚拟机实现实验网络。在实验网络中包含Floodlight控制器、OVS交换机以及5台主机。设定主机节点如表2所示。 按照此节点数据完成虚拟机的安装并得出相应的网络拓扑信息。将威胁信息Dos分为3等,攻击原有系统与本文设计系统网络。其中,Ⅰ级信息15条,Ⅱ级信息30条,Ⅲ级信息50条。利用威胁信息等级评估模块评估其威胁等级并采用相应的防御对策。通过此方法检验原有系统与本系统的威胁信息等级评估能力。
3.2 测试结果分析
应用SND实验网络,完成系统性能测试。测试结果如图3所示。
由图3结果可知,原有防御系统对威胁数据等级评估水平较差,对所有威胁数据均采用同种防御措施,针对性较差。采用本文设计系统对威胁数据等级评估准确度较高,且本文设计系统与测试样本等级分布相同。可见,其评估精度较高。本文设计系统对不同等级威胁防御对策也不相同,因而,防御效果较好。综上所述,本文设计的基于安全态势感知SDN网络拓扑污染攻击防御系统性能更佳。
4 结 语
在此次测试中,利用SDN 网络构架控制器对网络集中控制以及其可编程的特点,设计基于安全态势感知SDN网络拓扑污染攻击防御系统。系统设计采用Snort 计算优化入侵防御检测方法。在原有防御报警分析技术的基础上,设计威胁评估方案,此方案可以实现攻击威胁的量化处理,完成攻击源与攻击目标的精准评估,以此制定防御对策,实现防御系统的灵活决策。测试结果表明,所提系统可以有效提高网络防御能力,保证网络安全。
参考文献
[1] 廉哲,殷肖川,谭韧,等.面向网络攻击态势的SDN虛拟蜜网[J].空军工程大学学报(自然科学版),2017,18(3):79?84.
[2] 陈兴蜀,曾雪梅,王文贤,等.基于大数据的网络安全与情报分析[J].四川大学学报(工程科学版),2017,49(3):1?12.
[3] 郑正,徐明伟,李琦,等.SDN网络拓扑污染攻击防御机制研究[J].计算机研究与发展,2018,55(1):207?215.
[4] 李方伟,李俊瑶,聂益芳,等.基于多代理系统的动态信任态势感知机制[J].系统工程与电子技术,2017(5):1148?1153.
[5] 刘猛,管碧强.面向服务架构的虚拟蜜网防御系统设计与实现[J].沈阳理工大学学报,2017,36(1):56?60.
[6] 刘世文,马多耀,雷程,等.基于网络安全态势感知的主动防御技术研究[J].计算机工程与科学,2018(6):102?109.
[7] 陈兴蜀,杨露,罗永刚.大数据安全保护技术[J].工程科学与技术,2017(5):1?12.
[8] 赵国生,邵子豪,王健,等.基于生存簇识别和预测的生存态势感知模型[J].电子科技大学学报,2018,47(4):558?565.
[9] 龚俭,臧小东,苏琪,等.网络安全态势感知综述[J].软件学报,2017,28(4):1010?1026.
[10] 章学妙,傅翀,卢嘉.基于网络安全态势感知的网络系统自防御体系[J].计算机应用与软件,2017,34(9):159?165.
[11] 季新生,徐水灵,刘文彦,等.一种面向安全的虚拟网络功能动态异构调度方法[J].电子与信息学报,2019(10):2435?2441.
[12] 谢连科,张永,马新刚,等.基于无线传感器网络的智能变电站环境远程监测[J].计算机与数字工程,2019(9):2375?2380.
[13] 宋杨.基于混合加密算法的网络安全体系构造[J].网络安全技术与应用,2019(9):14?15.
转载注明来源:https://www.xzbu.com/8/view-15290258.htm
