@wuzhimang
2016-06-29T02:32:19.000000Z
字数 2164
阅读 2113
SDN security 安全
SDN相关安全的研究方向可以分为两大类,一类是SDN提升安全,这主要是指SDN给传统网络安全研究带来的新思路、新的解决方式等,即通过SDN来提高安全;另一类是SDN自身安全,即对SDN体系架构本身所存在的安全问题进行研究,包括SDN特有的和非特有的。
SDN提升安全
| 类别 | 说明 | 相关研究 |
|---|---|---|
| 使用SDN进行安全配置或监控 | 集中式的控制平面;灵活的策略下发;监控网络状态 | SANE[30], Ethane[31], Resonance[33],PROCERA[17]` |
| Middle-box | 网络安全设备--1. 软件实现Middle-box;2. service-chaining,即设备放置问题;2. 将传统的Middle-boxes整合到SDN中 | CloudWatcher[27], FlowTags[43], FLOWGUARD[46](防火墙) Slick,SIMPLE-fying |
| 安全攻击检测 | 检测网络攻击 | SPHINX[44] |
| DDoS攻击 | 如, 1. 传统DDoS攻击;2.link-flooding attacks;3. Short-circuiting Traffic Surges | Bohatei[42], SPIFFY[41](借助SDN的提高针对使用traffic pattern的攻击进行防御),3. NetFuse(借助OpenFlowcontrol) |
| 提供匿名服务 | 匿名服务 | Openflow Random Host Mutation[30] |
| SDN应用于其他场景 | smartphone、tablets | PBS(Programmable BYOD Security)[29];Enterprise-centric Offloading System(ECOS) |
| 同其他网路的结合混合网 |
SDN自身的安全
| 类别 | 主要形式 |
|---|---|
| 应用层安全 | 恶意应用程序,非法访问,恶意流规则下发、配置缺陷等 |
| 北向接口安全 | 标准化问题,如非法访问,数据泄露等等 |
| 控制层安全 | DDoS/DoS攻击,单点故障,恶意/虚假流规则的注入,非法访问,配置缺陷等 |
| 南向接口安全 | SSL/TLS协议本身的不安全性,OpenFlow 1.3.0后将TLS设置为可选项 |
| 数据层安全 | DDoS/DoS攻击,恶意/虚假流规则的注入,非法访问、配置缺陷等 |
注:各相关层和接口之间的影响是相互的
| 类别 | 说明 | 相关研究 |
|---|---|---|
| 安全控制器的重新设计 | 对控制器进行重新的设计和开发,将安全性作为控制器的核心之一 | RoseMary控制器[11]、PANE控制器[12] |
| 安全模块、框架的设计开发 | 在已开源的控制器之上,改进或加入相应的安全服务,或提供整体的安全模块的开发框架 | FortNOX[22],SE-Floodlight[25]、FRESCO[24]、OFX[48] |
| 流规则合法性和一致性检测 | 流规则冲突检测方法,按解决方法可以分为3类:1. 基于角色和优先级的;2. 基于形式化方法的,即借助数学模型或工具; 3. 其他。按解决目标可以分为transient和longterm的 | 对应的研究有:1. ForNOX[22], SE-Floodlight[25]; 2.FlowChecker[13](二元决策图,binary decision diagrams), FLOVER[18](可满足性模块理论,Yices SMT), VeriFlow[16](多维前缀树 trie, 等价类划分,解决transient&longterm); 3. [14](数据包的一致性和数据流的一致性,transient),PGA[47] |
| 安全攻击检测 | SPHINX[44] |
|
| DDoS/Dos攻击防御 | 按解决思路主要可以分为3类:1. 基于流量特征变化的检测;2. 基于连接迁移机制;3. 基于威胁建模分析;4. 主机IP变换: | 对应的研究有轻量级DDoS洪泛攻击检测方法(SOM)[6],TopoGuard[7](检测模型); 2. AVANT-GUARD[8]; 3. STRIDE[9]; 4. Openflow Random Host Mutation[32] |
| 拓扑中毒攻击(Topology Poisoning Attack) | 该攻击会导致主机劫持, Dos攻击, 中间人攻击 | TopoGuard[7] |
| scaning攻击 | TCP连接扫描,UDP扫描等 | AVANT-GUARD[8](但只针对TCP连接) |
| 北向接口安全 | 包含权限管理、访问控制、可恢复性等,上述安全模块、安全控制器的开发都涉及到 | 同上,RoseMary控制器[11]提供了可恢复性, 其他的研究有PermOF、OperationCheckpoint |
| 应用程序检测 | 检测应用程序本身存在的漏洞 | NICE[26] |
其他:网络虚拟层-->Flowvisor[28]; 流量监控-->Compling Path Queries[34]
[19]的划分,有如下6类:| 类别 | 举例 |
|---|---|
| 未经授权的访问 | 未经授权的控制器访问;未经身份认证的应用程序 |
| 数据泄露 | 流规则发现(侧信道攻击);转发策略发现(包处理时序分析) |
| 数据修改 | 修改数据包的流规则修改机制; |
| 恶意应用程序 | 虚拟规则注入;控制器劫持 |
| 拒绝服务攻击 | 控制器交换机之间通信的洪泛攻击;交换机流表洪泛攻击; |
| 配置问题 | 缺少TLS协议或其他认证协议,策略生成问题 |