劉川，婁征，黃輝，鄧輝

（1.國(guó)網(wǎng)智能電網(wǎng)研究院，江蘇 南京210003；2.國(guó)網(wǎng)南京供電公司，江蘇 南京210000）

1 引言

以互聯(lián)網(wǎng)為代表的信息網(wǎng)絡(luò)在經(jīng)濟(jì)和社會(huì)發(fā)展中起到了越來(lái)越重要的作用。在信息網(wǎng)絡(luò)不斷發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題日益成為人們關(guān)注的焦點(diǎn)。非法訪問(wèn)、惡意攻擊等都容易影響網(wǎng)絡(luò)的正常運(yùn)行。目前，DoS（denial of service，拒絕服務(wù)）攻擊已經(jīng)成為現(xiàn)有信息網(wǎng)絡(luò)的一個(gè)主要威脅，攻擊者常采用IP地址欺騙的方式，很難定位攻擊者[1]。對(duì)于DoS攻擊的防御主要難點(diǎn)在于區(qū)分異常流量和正常流量。同時(shí)，傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)下，網(wǎng)絡(luò)設(shè)備很難通過(guò)協(xié)作方式應(yīng)對(duì)來(lái)自不同地點(diǎn)的DDoS（distributed denial of service，分布式拒絕服務(wù)）攻擊流量。

SDN（software defined networking，軟件定義網(wǎng)絡(luò)）提出了一種新型的網(wǎng)絡(luò)管理模式[2]。SDN的核心是控制與數(shù)據(jù)相分離，控制器具有全局的拓?fù)湟曇埃梢酝ㄟ^(guò)下發(fā)流表對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行精細(xì)化處理，交換機(jī)根據(jù)流表對(duì)經(jīng)過(guò)的數(shù)據(jù)流進(jìn)行指定的操作?？刂茖优c數(shù)據(jù)層之間采用開(kāi)放的統(tǒng)一接口（如OpenFlow等）進(jìn)行交互[3,4]。運(yùn)營(yíng)商和科研人員可通過(guò)控制器掌握全局網(wǎng)絡(luò)信息，便于管理配置網(wǎng)絡(luò)和部署新協(xié)議[5]。網(wǎng)絡(luò)流量監(jiān)控通過(guò)實(shí)時(shí)收集和監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)分組的流量信息，檢查是否有違反安全策略的行為和網(wǎng)絡(luò)工作異常的跡象，網(wǎng)絡(luò)流量監(jiān)控是一種分析網(wǎng)絡(luò)狀況的有效方法。由于SDN具有可軟件定義的特性和控制與轉(zhuǎn)發(fā)相分離的特點(diǎn)，SDN環(huán)境下的網(wǎng)絡(luò)流量測(cè)控與傳統(tǒng)的IP網(wǎng)絡(luò)具有很大的不同。

基于SDN的網(wǎng)絡(luò)流量監(jiān)控可以先通過(guò)SDN控制器獲取交換機(jī)端的數(shù)據(jù)分組，然后利用控制器上的應(yīng)用模塊進(jìn)行分析處理。參考文獻(xiàn)[6]通過(guò)對(duì)SDN控制器收到的請(qǐng)求分組進(jìn)行熵值計(jì)算，檢測(cè)網(wǎng)絡(luò)中的異常行為。參考文獻(xiàn)[6]的研究是利用SDN控制器本身對(duì)數(shù)據(jù)平面流量進(jìn)行收集和處理，不能完整地對(duì)流經(jīng)SDN的流量進(jìn)行監(jiān)控，并且在一定程度上增加了控制器的開(kāi)銷(xiāo)。

本文提出了一種基于sFlow技術(shù)的SDN流量監(jiān)測(cè)與控制系統(tǒng)。借助sFlow數(shù)據(jù)監(jiān)測(cè)的功能，把數(shù)據(jù)監(jiān)測(cè)的過(guò)程從SDN控制平面分離出來(lái)，從而緩解SDN控制器處理數(shù)據(jù)分組的壓力。sFlow實(shí)時(shí)地向SDN控制器通告交換設(shè)備各端口的流量情況，SDN控制器根據(jù)通告修改流表規(guī)則并下發(fā)新的流表，從而對(duì)攻擊行為進(jìn)行管控。通過(guò)構(gòu)建OpenDaylight控制器與Mininet交換模擬器相結(jié)合的實(shí)驗(yàn)環(huán)境，研究了SDN環(huán)境下網(wǎng)絡(luò)交換機(jī)的轉(zhuǎn)發(fā)特性，并通過(guò)模擬拒絕服務(wù)攻擊驗(yàn)證了流量監(jiān)控系統(tǒng)的有效性。

2 SDN下網(wǎng)絡(luò)流量監(jiān)測(cè)與控制系統(tǒng)設(shè)計(jì)

本系統(tǒng)基于SDN架構(gòu)，系統(tǒng)的流量監(jiān)測(cè)與控制功能可以有效攔截DoS攻擊流量。sFlow是一種以設(shè)備端口為基本單元的流量監(jiān)控技術(shù)，能夠在整個(gè)網(wǎng)絡(luò)中以連續(xù)實(shí)時(shí)的方式完全監(jiān)視每一個(gè)端口。sFlow組件向SDN控制器通告實(shí)時(shí)的流量情況，當(dāng)有攻擊行為發(fā)生時(shí)，將產(chǎn)生異常流量通告。SDN控制器根據(jù)通告內(nèi)容修改流表規(guī)則，并下發(fā)新的流表，從而對(duì)SDN的流量進(jìn)行管控。

2.1 系統(tǒng)結(jié)構(gòu)

SDN環(huán)境下網(wǎng)絡(luò)流量監(jiān)測(cè)與控制系統(tǒng)由流量監(jiān)控模塊、數(shù)據(jù)轉(zhuǎn)發(fā)層和控制層組成。系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 SDN環(huán)境下網(wǎng)絡(luò)流量監(jiān)測(cè)與控制系統(tǒng)結(jié)構(gòu)

控制器是整個(gè)網(wǎng)絡(luò)的核心部件，主要管理數(shù)據(jù)層的轉(zhuǎn)發(fā)?？刂破髋cOpenFlow交換機(jī)經(jīng)由控制數(shù)據(jù)面接口（南向接口）交互?？刂破髋c應(yīng)用層的各種應(yīng)用軟件經(jīng)由開(kāi)放API（北向接口）交互?？刂破魍ㄟ^(guò)OpenFlow標(biāo)準(zhǔn)協(xié)議更新OpenFlow交換機(jī)中的流表，從而實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)流量的集中管控。

數(shù)據(jù)轉(zhuǎn)發(fā)層由支持OpenFlow技術(shù)的交換機(jī)組成。OpenFlow交換機(jī)接收到數(shù)據(jù)報(bào)文后，首先查找流表，找到轉(zhuǎn)發(fā)報(bào)文的匹配表項(xiàng)，并執(zhí)行相關(guān)動(dòng)作。若找不到匹配表項(xiàng)，則把報(bào)文轉(zhuǎn)發(fā)給控制層，由控制器決定轉(zhuǎn)發(fā)行為。

流量監(jiān)控模塊由流量采集、流量分析和流量通告3部分構(gòu)成。首先通過(guò)運(yùn)行流量監(jiān)控腳本進(jìn)行流量采集，然后通過(guò)流量分析工具進(jìn)行流量分析，當(dāng)發(fā)現(xiàn)交換機(jī)某個(gè)端口的流量超過(guò)已定義的閾值時(shí)，則通過(guò)腳本形成一個(gè)異常流量通告，并通過(guò)OpenFlow協(xié)議向控制器提交流量通告。假如控制器收到異常流量通告，則將產(chǎn)生并下發(fā)新流表，要求有異常流量的端口丟棄異常流量，從而防御DoS攻擊。

2.2 系統(tǒng)工作流程

系統(tǒng)的工作可分為流量監(jiān)測(cè)與流量控制兩部分。其中，流量監(jiān)測(cè)工作從SDN的控制層面分離出來(lái)，通過(guò)sFlow流量監(jiān)測(cè)設(shè)備實(shí)現(xiàn)，但流量控制工作的主體仍然是SDN控制層面?；趕Flow技術(shù)的流量監(jiān)測(cè)設(shè)備分為兩類(lèi)：一類(lèi)是sFlow代理，負(fù)責(zé)采集交換設(shè)備上每個(gè)端口的流量并形成sFlow數(shù)據(jù)分組；另一類(lèi)是sFlow采集器，負(fù)責(zé)接收sFlow數(shù)據(jù)分組。實(shí)際應(yīng)用中，sFlow代理可以嵌入網(wǎng)絡(luò)路由和交換設(shè)備ASIC中，不需要購(gòu)買(mǎi)額外的探針和旁路器就能全面監(jiān)視整個(gè)網(wǎng)絡(luò)。

流量監(jiān)測(cè)是指通過(guò)sFlow代理和sFlow采集器的協(xié)作來(lái)監(jiān)測(cè)各端口流量，從而及時(shí)發(fā)現(xiàn)異常流量。流量監(jiān)測(cè)的工作流程如圖2所示。sFlow代理采集交換設(shè)備上每個(gè)端口的流量并形成sFlow數(shù)據(jù)分組，sFlow采集器通過(guò)對(duì)sFlow數(shù)據(jù)分組進(jìn)行分析，獲知交換設(shè)備上每個(gè)端口的實(shí)時(shí)流量，判斷端口流量是否超過(guò)閾值，并向控制器發(fā)送相應(yīng)的流量通告。

圖2 SDN環(huán)境下網(wǎng)絡(luò)流量監(jiān)測(cè)工作流程

流量控制是指SDN控制器根據(jù)流量監(jiān)測(cè)的結(jié)果調(diào)整流表項(xiàng)，并下發(fā)流表，從而實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)流量的管控。流量控制部分的工作流程如圖3所示。SDN控制器收到來(lái)自sFlow采集器的流量通告后，根據(jù)通告內(nèi)容設(shè)置相應(yīng)動(dòng)作，生成相應(yīng)流表項(xiàng)，向OpenFlow交換機(jī)下發(fā)流表。

3 實(shí)驗(yàn)驗(yàn)證

3.1 網(wǎng)絡(luò)拓?fù)?/h3>

實(shí)驗(yàn)在兩臺(tái)安裝ubuntu 14.04系統(tǒng)的虛擬機(jī)下運(yùn)行，使用OpenDaylight作為控制器。網(wǎng)絡(luò)拓?fù)浠贛ininet平臺(tái)搭建，通過(guò)Python在網(wǎng)絡(luò)拓?fù)渲卸x兩臺(tái)OpenFlow交換機(jī)和4臺(tái)主機(jī)。網(wǎng)絡(luò)拓?fù)淙鐖D4所示。Mininet中的網(wǎng)絡(luò)流量通過(guò)sFlow代理傳給sFlow收集器，sFlow收集器通過(guò)數(shù)據(jù)分析，將交換機(jī)各個(gè)端口的流量圖形化顯示，并且向控制器發(fā)送各端口的流量通告。

圖3 SDN環(huán)境下網(wǎng)絡(luò)流量控制工作流程

圖4 網(wǎng)絡(luò)拓?fù)涫疽?/p>

3.2 關(guān)鍵步驟及結(jié)果

（1）部署sFlow采集器

下載sFlow代碼到一臺(tái)虛擬機(jī)，安裝并啟動(dòng)sFlow采集器。sFlow采集器默認(rèn)監(jiān)聽(tīng)端口為6343，可以通過(guò)虛擬機(jī)內(nèi)置的瀏覽器打開(kāi)監(jiān)控頁(yè)面。

（2）部署sFlow代理

在OVS（open vSwitch，開(kāi)源虛擬交換機(jī)）上配置sFlow代理，配置后可以看到已配置的代理信息，如圖5所示。

（3）執(zhí)行流量監(jiān)控腳本

流量監(jiān)控腳本的作用：首先，在sFlow采集器設(shè)定端口流量的閾值（這里設(shè)為1 500 KB/s）。然后，通過(guò)sFlow代理獲取Mininet拓?fù)淅锼薪粨Q機(jī)端口的每秒流量，若端口每秒流量超過(guò)閾值，就認(rèn)為是異常流量。最后，利用腳本生成向OpenDaylight控制器的流量通告。

（4）模擬DoS攻擊

實(shí)驗(yàn)通過(guò)ping flooding模擬DoS攻擊流量，采取host1向host2泛洪的方式，監(jiān)測(cè)交換機(jī)S3的端口eth1的流量變化。結(jié)果如圖6所示?？梢钥吹剑催\(yùn)行流量監(jiān)控前，host1向host2泛洪的數(shù)據(jù)分組達(dá)到了大約15 000個(gè)/s。

（5）流量監(jiān)控

運(yùn)行腳本，激活流量監(jiān)測(cè)與控制功能。監(jiān)控系統(tǒng)發(fā)現(xiàn)在交換機(jī)S3的eth1端口有流量攻擊，將產(chǎn)生異常流量報(bào)告，如圖7所示。

OpenDaylight控制器將根據(jù)異常流量通告，修改與S3的eth1接口有關(guān)的流表項(xiàng)并下發(fā)流表，丟棄正在被攻擊的端口流量。運(yùn)行流量監(jiān)控后，S3的eth1端口的流量如圖8所示。可以看到，在10∶17時(shí)刻運(yùn)行腳本后，host1向host2泛洪的分組被迅速地丟棄。

圖5 sFlow代理的部署信息

圖6 運(yùn)行流量監(jiān)控前被攻擊交換機(jī)的端口流量

圖7 流量監(jiān)控系統(tǒng)發(fā)現(xiàn)被攻擊交換機(jī)的端口有異常流量

圖8 運(yùn)行流量監(jiān)控后被攻擊交換機(jī)的端口流量

4 結(jié)束語(yǔ)

本文針對(duì)SDN架構(gòu)，提出了一種基于sFlow技術(shù)的流量監(jiān)測(cè)與控制系統(tǒng)。該系統(tǒng)可以對(duì)網(wǎng)絡(luò)中每一個(gè)端口的實(shí)時(shí)流量進(jìn)行監(jiān)測(cè)，并通過(guò)控制器實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的流量管控。通過(guò)構(gòu)建OpenDaylight控制器與Mininet交換模擬器相結(jié)合的實(shí)驗(yàn)環(huán)境，驗(yàn)證了該系統(tǒng)在流量監(jiān)控方面的有效性和準(zhǔn)確性。利用該系統(tǒng)還可以實(shí)現(xiàn)更多的服務(wù)，比如負(fù)載均衡、QoS等。下一步工作是對(duì)流量監(jiān)測(cè)結(jié)果進(jìn)行細(xì)化，對(duì)流入網(wǎng)絡(luò)的流量進(jìn)行模型匹配，準(zhǔn)確地定位攻擊類(lèi)型，使得控制器可以根據(jù)攻擊類(lèi)型生成并下發(fā)相應(yīng)的流表。

[1]孫長(zhǎng)華,劉斌.分布式拒絕服務(wù)攻擊研究新進(jìn)展綜述[J].電子學(xué)報(bào).SUN C H,LIU B.New process review of distributed denial of service attack.[J].Journal of Electron ics,2009,37(7):1562-1570.

[2]Stanford University.Clean slate program[EB/OL].[2015-10-01].http://cleanslate.stanford.edu/.

[3]MCKEOWN N,ANDERSON T,BALAKRISHNAN H,et al.OpenFlow:enabling innovation in campus networks[J].ACM Sigcomm CCR,2008,38(2):69-74.

[4]張朝昆,崔勇,唐翯祎,等.軟件定義網(wǎng)絡(luò)（SDN）研究進(jìn)展[J].軟件學(xué)報(bào),2015,26(1):62-81.ZHANG C K,CUI Y,TANG H Y,et al.Research progress of software defined networking[J].Journal of Software,2015,26(1):62-81.

[5]NUNES B A A,MENDONCA M,NGUYEN X N,et al.A survey of software-defined networking:past,present,and future of programmable networks[J].IEEE Communications Surveys and Tutorials,2014,16(3):1617-1634.

[6]MOUSAVI S M,ST-HILAIRE M.Early detection of DDoS attacks against SDN controllers[C]//2015 International Conference on Computing,Networking and Communications,Feb 16-19,2015,Garden Grove,CA,USA.New Jersey:IEEE Press,2015:77-81.