譚晶磊，張紅旗，雷程，劉小虎，王碩

?

面向SDN的移動(dòng)目標(biāo)防御技術(shù)研究進(jìn)展

譚晶磊1,2，張紅旗1,2，雷程1,2，劉小虎1，王碩1

（1. 信息工程大學(xué)密碼工程學(xué)院，河南 鄭州 450001； 2. 河南省信息安全重點(diǎn)實(shí)驗(yàn)室，河南 鄭州 450001）

軟件定義網(wǎng)絡(luò)是基于開放標(biāo)準(zhǔn)的靈活架構(gòu)，通過控制層管理網(wǎng)絡(luò)功能和服務(wù)，具有控轉(zhuǎn)分離、集中控制的特性；移動(dòng)目標(biāo)防御技術(shù)致力于構(gòu)建一個(gè)不斷變換的環(huán)境以提高網(wǎng)絡(luò)系統(tǒng)的視在不確定性，需要靈活可定制、集中可控制的網(wǎng)絡(luò)架構(gòu)加以實(shí)施，因此將移動(dòng)目標(biāo)防御與軟件定義網(wǎng)絡(luò)相結(jié)合已成為更具應(yīng)用價(jià)值研究熱點(diǎn)。首先，分別介紹了軟件定義網(wǎng)絡(luò)和移動(dòng)目標(biāo)防御的基本概念，概括了軟件定義網(wǎng)絡(luò)所面臨的安全威脅，闡述了面向SDN的移動(dòng)目標(biāo)防御的實(shí)現(xiàn)模型；其次，分別從SDN數(shù)據(jù)層、控制層和應(yīng)用層歸納了移動(dòng)目標(biāo)防御的技術(shù)方法；最后，總結(jié)了現(xiàn)有SDN動(dòng)態(tài)防御面臨的挑戰(zhàn)，對(duì)面向SDN的移動(dòng)目標(biāo)防御技術(shù)發(fā)展方向進(jìn)行了展望。

軟件定義網(wǎng)絡(luò)；移動(dòng)目標(biāo)防御；動(dòng)態(tài)化；多樣性；隨機(jī)性

1 引言

當(dāng)前網(wǎng)絡(luò)空間面臨的威脅日益突出，安全狀況不容樂觀，各類網(wǎng)絡(luò)安全事故層出不窮，第四屆世界互聯(lián)網(wǎng)大會(huì)發(fā)布的《世界互聯(lián)網(wǎng)發(fā)展報(bào)告2017》藍(lán)皮書中指出，截至2017年6月，我國(guó)網(wǎng)民數(shù)量已經(jīng)達(dá)到7.51億，位于全球首位，而勒索病毒、僵尸網(wǎng)絡(luò)等網(wǎng)絡(luò)安全問題也日漸突出。與此同時(shí)，開放網(wǎng)絡(luò)基金會(huì)（ONF）所提出的軟件定義網(wǎng)絡(luò)[1]（SDN, software defined network）的體系結(jié)構(gòu)已經(jīng)得到普遍認(rèn)可，被認(rèn)為是下一代互聯(lián)網(wǎng)的核心技術(shù)之一，基于OpenFlow協(xié)議的SDN體系結(jié)構(gòu)框架如圖1所示，它由數(shù)據(jù)層、控制層、應(yīng)用層以及南北向2個(gè)接口構(gòu)成[2]，創(chuàng)造性地提出了數(shù)據(jù)層和控制層分離以及可編程的思想，在各種場(chǎng)景（如企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)等）和各種骨干網(wǎng)絡(luò)[3]中的優(yōu)點(diǎn)已經(jīng)日益凸顯，但全面實(shí)施SDN的運(yùn)營(yíng)商網(wǎng)絡(luò)[4]仍存在挑戰(zhàn)，其中一個(gè)最重要的挑戰(zhàn)是SDN本身的安全性。從SDN框架的角度考慮SDN安全[5]的具體問題，應(yīng)用層、控制層、數(shù)據(jù)層以及南北向接口均面臨一系列的安全威脅，因此，必須探索克服SDN安全威脅的技術(shù)、方法和策略，以實(shí)現(xiàn)強(qiáng)大和可靠的廣域SDN部署[6]。

圖1 SDN體系結(jié)構(gòu)框架

針對(duì)當(dāng)前網(wǎng)絡(luò)固有的攻防不對(duì)稱特性，為了平衡現(xiàn)有網(wǎng)絡(luò)的攻防環(huán)境，美國(guó)網(wǎng)絡(luò)安全與信息保障研發(fā)計(jì)劃提出了應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊的新概念——移動(dòng)目標(biāo)防御技術(shù)[7]（MTD，moving target defense），作為一項(xiàng)革命性技術(shù)，它的核心思想是利用攻擊面[8]的變化使網(wǎng)絡(luò)系統(tǒng)動(dòng)態(tài)化，通過“化靜為動(dòng)”“反客為主”的機(jī)制策略，提供動(dòng)態(tài)主動(dòng)的網(wǎng)絡(luò)防御，使系統(tǒng)具有更少的確定性、靜態(tài)性、同構(gòu)性，利用隨機(jī)化和多樣化減少攻擊者攻擊成功的可能性，以此限制攻擊者的攻擊，大大縮短攻擊者的攻擊周期，使攻擊者難以完成攻擊任務(wù)[9]。

近年來，國(guó)家、企業(yè)和服務(wù)提供商已經(jīng)將注意力集中在計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)部署移動(dòng)目標(biāo)防御技術(shù)來提供更安全的服務(wù)，SDN是基于開放標(biāo)準(zhǔn)的靈活架構(gòu)，具有一系列新的安全威脅與挑戰(zhàn)，而移動(dòng)目標(biāo)防御技術(shù)致力于構(gòu)建一個(gè)不斷變換的環(huán)境來防御攻擊，一方面SDN可以利用移動(dòng)目標(biāo)防御技術(shù)保證自身網(wǎng)絡(luò)的安全性，與此同時(shí)，SDN集中控制、靈活定制的獨(dú)特優(yōu)勢(shì)可以更好地發(fā)揮移動(dòng)目標(biāo)防御技術(shù)的防御效能，因此將移動(dòng)目標(biāo)防御的動(dòng)態(tài)變換與軟件定義網(wǎng)絡(luò)的靈活編排相結(jié)合已成為更具應(yīng)用價(jià)值的研究熱點(diǎn)。

2 安全威脅

在SDN場(chǎng)景下，根據(jù)SDN的邏輯架構(gòu)，其面臨的安全威脅分為以下3大類，如圖2所示。

圖2 SDN各層面臨的安全威脅

（1）數(shù)據(jù)層面臨的安全威脅

軟件定義網(wǎng)絡(luò)中數(shù)據(jù)層[10-11]主要是由OpenFlow交換機(jī)、路由器、中間盒、服務(wù)器、虛擬機(jī)等設(shè)備組成，其中，OpenFlow交換機(jī)是數(shù)據(jù)層最重要的設(shè)備之一，負(fù)責(zé)流表的轉(zhuǎn)發(fā)功能，但現(xiàn)有的基于SDN的OpenFlow交換機(jī)基本使用軟件可編程的網(wǎng)絡(luò)處理器進(jìn)行數(shù)據(jù)分組傳輸，因此，SDN數(shù)據(jù)平面容易受到利用轉(zhuǎn)發(fā)設(shè)備中的軟件漏洞發(fā)起未經(jīng)請(qǐng)求的攻擊[12]。與傳統(tǒng)網(wǎng)絡(luò)中面臨的安全威脅相似，數(shù)據(jù)層面臨的主要安全威脅包括：DDoS/DoS攻擊[13]、隱身掃描、蠕蟲傳播、緩沖區(qū)溢出攻擊等安全威脅，其中，網(wǎng)絡(luò)掃描攻擊是該層面臨最大的安全威脅；數(shù)據(jù)層的DDoS攻擊通過僵尸網(wǎng)絡(luò)對(duì)交換設(shè)備之間的通信進(jìn)行干擾，通過受干擾的交換機(jī)可以向其他交換機(jī)發(fā)送大量無效消息，很容易造成局部網(wǎng)絡(luò)癱瘓，甚至將影響擴(kuò)散到全局網(wǎng)絡(luò)。

（2）控制層面臨的安全威脅

SDN控制器大都屬于集中式SDN控制器，一方面負(fù)責(zé)將請(qǐng)求從SDN應(yīng)用層轉(zhuǎn)發(fā)到SDN數(shù)據(jù)路徑，另一方面負(fù)責(zé)向SDN應(yīng)用提供網(wǎng)絡(luò)的抽象視圖。對(duì)于集中式模型控制器而言，單點(diǎn)故障是一個(gè)非常普遍的安全威脅[14]，SDN控制器容易受到DDoS攻擊和盲DDoS攻擊，其中，控制層的DDoS攻擊危害影響更為突出，與數(shù)據(jù)層面臨的DDoS攻擊不同，攻擊者利用控制器與數(shù)據(jù)層交換設(shè)備的交互發(fā)起攻擊，通過向控制器發(fā)送大量虛假請(qǐng)求而增加控制器的工作負(fù)載，從而導(dǎo)致控制器無法提供正常服務(wù)功能。此外，解析與編碼語(yǔ)言的錯(cuò)誤也會(huì)增加SDN控制器的額外漏洞，由于SDN控制器和SDN交換機(jī)之間缺少加密通信，攻擊者同樣可以針對(duì)控制層發(fā)起竊聽攻擊和欺騙攻擊。

（3）應(yīng)用層面臨的安全威脅

SDN應(yīng)用層可用可編程的方式直接向SDN控制器發(fā)送網(wǎng)絡(luò)請(qǐng)求，它包括一個(gè)SDN應(yīng)用邏輯和一個(gè)或多個(gè)NBI驅(qū)動(dòng)器，由于應(yīng)用層的應(yīng)用程序采用分布式布局，未經(jīng)身份驗(yàn)證的應(yīng)用程序與SDN控制器之間缺乏信任機(jī)制[15]，很容易發(fā)生欺騙攻擊；此外，不適當(dāng)?shù)氖跈?quán)可能導(dǎo)致應(yīng)用程序遭受到攻擊者的惡意訪問，攻擊者通過脆弱的API接口獲得對(duì)整個(gè)SDN網(wǎng)絡(luò)控制權(quán)，傳統(tǒng)網(wǎng)絡(luò)所面臨的安全威脅在應(yīng)用層可能會(huì)被放大。

表1中列出了SDN面臨的安全威脅的分類，將可能面臨的安全威脅與可能受影響的SDN 3層之間建立對(duì)應(yīng)關(guān)系。

表1 SDN網(wǎng)絡(luò)面臨的安全威脅

3 實(shí)現(xiàn)架構(gòu)

移動(dòng)目標(biāo)防御體系結(jié)構(gòu)的理論支持是由Zhuang[16]首次提出的，圖3給出了MTD的理論模型，將物理網(wǎng)絡(luò)映射到邏輯任務(wù)模型，由調(diào)整引擎獲取邏輯任務(wù)模型的當(dāng)前狀態(tài)，并由配置管理調(diào)整產(chǎn)生新狀態(tài)進(jìn)行適應(yīng)，此外分析引擎會(huì)獲取物理網(wǎng)絡(luò)的實(shí)時(shí)事件，利用傳統(tǒng)防御中入侵檢測(cè)、防火墻等檢測(cè)機(jī)制進(jìn)行脆弱性分析，由邏輯安全模型產(chǎn)生邏輯安全狀態(tài)發(fā)送給調(diào)整引擎，形成一個(gè)閉合自反饋的動(dòng)態(tài)調(diào)整系統(tǒng)。

Kampanakis等[17]基于Zhuang的MTD理論提出了一個(gè)SDN安全模型，如圖4所示，根據(jù)SDN控制器上運(yùn)行的MTD安全模型進(jìn)行適應(yīng)性調(diào)整?？刂破鲗?duì)當(dāng)前的網(wǎng)絡(luò)狀態(tài)進(jìn)行抽象，適應(yīng)性引擎定期執(zhí)行隨機(jī)網(wǎng)絡(luò)適應(yīng)策略，分析引擎從網(wǎng)絡(luò)元素和當(dāng)前配置導(dǎo)出實(shí)時(shí)數(shù)據(jù)事件，以評(píng)估SDN網(wǎng)絡(luò)對(duì)威脅和攻擊的暴露程度，MTD模塊主要由MTD網(wǎng)絡(luò)模型、分析引擎、適應(yīng)引擎、計(jì)算引擎、配置管理以及可編程等插件構(gòu)成，但絕對(duì)不僅僅局限于在控制層部署，可以通過在應(yīng)用層開發(fā)相應(yīng)的應(yīng)用程序?qū)崿F(xiàn)相應(yīng)的功能。

圖3 MTD理論模型

圖4 面向SDN的移動(dòng)目標(biāo)防御安全模型

隨著云計(jì)算技術(shù)的逐漸興起，針對(duì)SDN多租戶數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全問題，Chun等[18]基于提出了安全彈性網(wǎng)絡(luò)服務(wù)架構(gòu)——SeReNe （secure and resilient networking），根據(jù)網(wǎng)絡(luò)安全輿情制定相應(yīng)的防御策略，一方面，在網(wǎng)絡(luò)和軟件層面建立MTD框架；另一方面，根據(jù)網(wǎng)絡(luò)帶寬分配的有效性，最大限度地減少對(duì)應(yīng)用的干擾和部署成本，選擇最佳策略，建立可編程網(wǎng)絡(luò)MTD、軟件漏洞緩解MTD以及安全性流量工程模型。針對(duì)SDN控制器與交換機(jī)的安全問題，Zhou等[19]基于生物啟發(fā)提出了一種演進(jìn)式防御架構(gòu)（EDM），它由4個(gè)可獨(dú)立演變的模塊組成：安全信息檢測(cè)、變化策略選取、變換策略庫(kù)以及配置生成器，協(xié)調(diào)一致地根據(jù)系統(tǒng)、用戶或者當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)，選擇一種高效的網(wǎng)絡(luò)配置變化策略來應(yīng)對(duì)相應(yīng)的安全威脅。結(jié)合SDN的實(shí)施，EDM從新的角度解決了安全問題，并且能夠促進(jìn)新的網(wǎng)絡(luò)安全技術(shù)發(fā)展。更進(jìn)一步地，針對(duì)盲目采用MTD策略造成的網(wǎng)絡(luò)關(guān)鍵服務(wù)不可用問題，Wang等[20]則提出了CHAOS架構(gòu)，它可以在網(wǎng)絡(luò)中區(qū)分并混淆具有不同安全級(jí)別的主機(jī)，將主機(jī)作為移動(dòng)目標(biāo)來混淆攻擊者，引入了混沌塔清洗（CTO）方法，該方法使用混沌塔結(jié)構(gòu)（CTS）描繪網(wǎng)絡(luò)中所有主機(jī)的層次結(jié)構(gòu)，并提供更加不可預(yù)測(cè)和靈活的混淆方法，通過快速的CTO算法最大化網(wǎng)絡(luò)的不可預(yù)測(cè)性，實(shí)驗(yàn)證明，CHAOS能夠有效降低信息暴露比例，保證流量正常流動(dòng)，在保證關(guān)鍵業(yè)務(wù)可用性的同時(shí)大大降低性能和成本。

4 技術(shù)分類

4.1 數(shù)據(jù)層移動(dòng)目標(biāo)防御技術(shù)

在攻擊者對(duì)OpenFlow交換機(jī)發(fā)起攻擊之前，需要獲得攻擊目標(biāo)確切的IP地址、端口號(hào)或轉(zhuǎn)發(fā)路徑，因此移動(dòng)數(shù)據(jù)層的這些參數(shù)會(huì)減輕有針對(duì)性的偵察攻擊的損害范圍[21]。針對(duì)數(shù)據(jù)層的一系列攻擊，當(dāng)前面向SDN的移動(dòng)目標(biāo)防御技術(shù)主要分類以下3種技術(shù)：1) 地址跳變；2) 路由跳變；3) 端口跳變。

4.1.1 數(shù)據(jù)層地址跳變

當(dāng)前網(wǎng)絡(luò)IP地址的靜態(tài)配置，使攻擊者可以通過遠(yuǎn)程掃描準(zhǔn)確快速地識(shí)別目標(biāo)，給現(xiàn)有網(wǎng)絡(luò)帶來了極大的安全隱患。

2012年，Jafarian等[22]提出了一種數(shù)據(jù)層地址跳變機(jī)制，稱為OF-RHM（OpenFlow隨機(jī)主機(jī)跳變），通過OpenFlow交換機(jī)實(shí)現(xiàn)虛擬地址（vIP，virtual IP）到真實(shí)地址（rIP，real IP）的透明跳變，以最小化的操作開銷保證配置完整性，基于虛擬IP地址的通信流程如圖5所示。實(shí)驗(yàn)結(jié)果表明，OF-RHM可有效防御隱身掃描、蠕蟲傳播和其他基于掃描的攻擊，但對(duì)于分布式攻擊等其他攻擊模型很難達(dá)到預(yù)期的效果。更進(jìn)一步地，Corbett等[23]采用OpenFlow組件完成了OF-RHM的硬件測(cè)試，與此同時(shí)，為了解決同步問題，基于信息調(diào)整機(jī)制構(gòu)建協(xié)議轉(zhuǎn)換框架，并針對(duì)智能干擾攻擊對(duì)OF-RHM系統(tǒng)的防御效果進(jìn)行了評(píng)估，實(shí)驗(yàn)結(jié)果表明，OF-RHM系統(tǒng)可以成功抵御智能干擾攻擊。

圖5 基于虛擬IP地址的通信流程

為了進(jìn)一步防御攻擊者的復(fù)雜威脅，2014年，Jafarian等[24]又提出了時(shí)空地址跳變技術(shù)（STAM），使每個(gè)主機(jī)的IP綁定根據(jù)主機(jī)源標(biāo)識(shí)（空間隨機(jī)化）和時(shí)間參數(shù)（時(shí)間隨機(jī)化）在網(wǎng)絡(luò)中隨機(jī)變化，將每個(gè)真實(shí)IP地址（rIP）映射到一個(gè)根據(jù)源標(biāo)識(shí)和時(shí)間參數(shù)確定的瞬時(shí)IP地址（eIP），2015年，Jafarian等[25]又提出了一種新型主動(dòng)自適應(yīng)防御機(jī)制，自適應(yīng)地將網(wǎng)絡(luò)主機(jī)地址重新配置，一方面通過快速準(zhǔn)確的非一致性和非重復(fù)性假設(shè)檢驗(yàn)表征攻擊行為，另一方面通過終端主機(jī)和網(wǎng)絡(luò)設(shè)備管理實(shí)現(xiàn)IP隨機(jī)化跳變，這種對(duì)抗性偵察的自適應(yīng)跳變可以有效緩解攻擊并提高可檢測(cè)性，但增加了實(shí)際部署的復(fù)雜度，在實(shí)際應(yīng)用中可能無法達(dá)到預(yù)期的實(shí)驗(yàn)效果。隨后Jafarian等[26]在綜合上述研究成果之后提出了隨機(jī)主機(jī)地址跳變機(jī)制，通過快速高效且不可預(yù)測(cè)的地址隨機(jī)化實(shí)現(xiàn)最大化的防御效果，同時(shí)盡可能降低操作和配置開銷。將地址跳變建模為多級(jí)可滿足性問題，通過對(duì)抗偵察快速表征適應(yīng)性跳變方案，保證網(wǎng)絡(luò)的完整性和可管理性。同樣，Chavez等[27]在進(jìn)行IP地址跳變的同時(shí)，利用SDN控制器學(xué)習(xí)拓?fù)洳榱髁糠峙潆S機(jī)流量，使SDN更具確定性。

但是這些工作存在以下2個(gè)問題：一是沒有在實(shí)際網(wǎng)絡(luò)中提出相應(yīng)的框架，二是沒有考慮SDN交換機(jī)的不可信因素。為了檢測(cè)攻擊類型，針對(duì)DoS攻擊以及蠕蟲病毒，Smith等[28]提出了數(shù)據(jù)驅(qū)動(dòng)的機(jī)制，通過增強(qiáng)拓?fù)渌惴ǎ∟EAT）識(shí)別稀疏神經(jīng)網(wǎng)絡(luò)拓?fù)溥M(jìn)行輕量級(jí)檢測(cè)，利用SDN啟動(dòng)移動(dòng)目標(biāo)防御策略，可以有效地干擾惡意用戶的攻擊行為。而對(duì)于SDN數(shù)據(jù)層元素的不可信問題，Nojoumian等[29]提出了一種博弈論解決方案以防止共謀攻擊（collusion attack），基于SDN的平臺(tái)進(jìn)行網(wǎng)絡(luò)欺騙和共謀攻擊建模。

Macfarland等[30]基于SDN提出了一種新的可擴(kuò)展的移動(dòng)目標(biāo)防御機(jī)制，為未修改的客戶端提供服務(wù)，同時(shí)將可信客戶與不可信客戶區(qū)分開來，利用傳統(tǒng)網(wǎng)絡(luò)中的DNS和NAT流程，允許防御者使用預(yù)共享密鑰、加密MAC或?qū)⒚艽a嵌入標(biāo)準(zhǔn)主機(jī)名中，以便為傳統(tǒng)客戶端提供訪問控制，從而區(qū)分可信和不可信的客戶端。實(shí)驗(yàn)結(jié)果表明，該方法對(duì)網(wǎng)絡(luò)原有性能造成的延遲不會(huì)影響用戶的正常操作。Chavez等[31]提出了基于SDN的IP地址隨機(jī)化機(jī)制，編寫了一個(gè)IP地址隨機(jī)化應(yīng)用程序，其核心組件由以下3個(gè)部分組成：網(wǎng)絡(luò)隨機(jī)化算法、OpenFlow接口（NWR）隨機(jī)IP地址生成器（GEN）、網(wǎng)絡(luò)映射數(shù)據(jù)庫(kù)模塊（NETMAP）。NWR組件負(fù)責(zé)讀取流表信息并構(gòu)建后端數(shù)據(jù)庫(kù)；GEN組件用于跟蹤隨機(jī)化IP地址和真實(shí)IP地址；NETMAP用于存儲(chǔ)網(wǎng)絡(luò)映射數(shù)據(jù)庫(kù)，為NWR算法提供必要的函數(shù)支持。針對(duì)當(dāng)前地址跳變局限于某一子網(wǎng)變化空間不充分的問題，為了進(jìn)一步增加不確定性，Wang等[32]提出了一種動(dòng)態(tài)地址解決方案，將可供跳變的地址空間從特定的子網(wǎng)擴(kuò)展到整個(gè)網(wǎng)絡(luò)地址，并提出一種基于交換機(jī)自學(xué)習(xí)算法的新算法部署在SDN控制器，可以在很大限度上提高地址跳變的不確定性和不可預(yù)測(cè)性。

4.1.2 數(shù)據(jù)層路由跳變

面對(duì)數(shù)據(jù)層不同的攻擊行為，Aydeger等[33]針對(duì)DDoS攻擊中的新型交火攻擊，提出了路由跳變的MTD防御機(jī)制，設(shè)計(jì)和部署了ICMP監(jiān)測(cè)模塊、跟蹤路由分析模塊、路由跳變模塊和擁塞鏈路監(jiān)測(cè)模塊。評(píng)估結(jié)果表明，該防御機(jī)制可有效降低鏈路泛洪機(jī)會(huì)，從而減少目標(biāo)鏈路擁塞，且不會(huì)對(duì)網(wǎng)絡(luò)服務(wù)造成任何重路由大的干擾。針對(duì)鏈路洪泛攻擊[34]（LFA, link-flooding attack），Wang等[35]提出了一種稱為L(zhǎng)inkbait的主動(dòng)LFA緩解機(jī)制，它是由鏈路篩選、鏈路混淆和僵尸網(wǎng)絡(luò)檢測(cè)3部分組成，通過為攻擊者提供虛假鏈路圖有效地緩解LFA，創(chuàng)造性地提出了鏈路混淆算法和僵尸網(wǎng)絡(luò)檢測(cè)算法，Linkbait能以非常低的網(wǎng)絡(luò)延遲有效緩解LFA。而對(duì)于網(wǎng)絡(luò)竊聽攻擊，Aseeri等[36]提出了一種反竊聽雙向多路由機(jī)制，利用Dijsktra算法[37]找到發(fā)送方和接收方之間的最短路由以及下一個(gè)最短路由。結(jié)果表明，反竊聽雙向多路由方法可以完全避免數(shù)據(jù)被捕獲，并且與之前已有的多路由方法相比，可以大大減少數(shù)據(jù)暴露的可能性。針對(duì)網(wǎng)絡(luò)竊聽攻擊，Liu等[38]提出了一種隨機(jī)路由跳變機(jī)制RRMF，如圖6所示，它由網(wǎng)絡(luò)信息采集、跳變路由觸發(fā)、跳變路由生成以及跳變路由更新4個(gè)階段構(gòu)成，通過攻擊者破獲節(jié)點(diǎn)數(shù)、不同網(wǎng)絡(luò)節(jié)點(diǎn)規(guī)模、抗DoS攻擊性能以及轉(zhuǎn)發(fā)性能等實(shí)驗(yàn)驗(yàn)證，在增加網(wǎng)絡(luò)竊聽難度的同時(shí)，有效降低了正常數(shù)據(jù)轉(zhuǎn)發(fā)的時(shí)延問題。

圖6 基于OpenFlow協(xié)議的隨機(jī)路由跳變架構(gòu)

在理論求解方面，Duan等[39]使用可滿足性模理論（SMT）將路由跳變建模為約束補(bǔ)償問題，并提出一種新的覆蓋布局技術(shù)以最大化路由跳變的有效性，最后在不同攻擊模型以及參數(shù)選擇下進(jìn)行了驗(yàn)證評(píng)估，更進(jìn)一步地，Lei等[40]通過可滿足性模理論形式化規(guī)約路徑跳變所需滿足的約束，以防止路徑跳變引起的瞬態(tài)問題，提出了基于最優(yōu)路徑跳變的網(wǎng)絡(luò)移動(dòng)目標(biāo)防御技術(shù)。Jafarian等[41]將博弈論和約束補(bǔ)償問題的優(yōu)化相結(jié)合，將隨機(jī)路由防御和DoS攻擊之間的交互作為一種博弈過程進(jìn)行建模，并利用SMT進(jìn)行形式化和模型優(yōu)化，實(shí)施表明該方案可以高效部署在網(wǎng)絡(luò)上，而不會(huì)對(duì)流量造成任何干擾。與前人工作不同，Rauf等[42]將路由跳變形式化為高效和有彈性的端到端（E2E）可達(dá)性問題，設(shè)計(jì)并實(shí)施了分散式端點(diǎn)路由跳變（EPRM）協(xié)議，最后，基于PlanetLab驗(yàn)證所提方案的正確性、有效性和可擴(kuò)展性。

Haack等[43]提出了基于Ant的網(wǎng)絡(luò)防御機(jī)制（ABCD, ant-based cyber defense）[44]，其系統(tǒng)架構(gòu)如圖7所示。它使用多代理系統(tǒng)和MTD，根據(jù)代理的密度來檢測(cè)攻擊，將具有不同參數(shù)的傳感器螞蟻與監(jiān)控主機(jī)的軟件相結(jié)合，當(dāng)發(fā)生攻擊時(shí)，傳感器螞蟻聚集在受害主機(jī)周圍來確定攻擊情況，但它采用的是完整的分布式系統(tǒng)，很難檢測(cè)到對(duì)每個(gè)主機(jī)流量影響不大的攻擊，因此，Miyazaki等[45]在ABCD系統(tǒng)的基礎(chǔ)上，基于SDN設(shè)計(jì)了一個(gè)采用多代理系統(tǒng)的分布式防御算法，通過螞蟻代理啟發(fā)式的控制算法，感知檢測(cè)攻擊威脅并由SDN控制器確定數(shù)據(jù)分組的下一跳地址，以此通過路徑的動(dòng)態(tài)遷移完成對(duì)攻擊的最大化防御。接下來需要進(jìn)一步驗(yàn)證更大網(wǎng)絡(luò)規(guī)模下以及其他網(wǎng)絡(luò)拓?fù)淠Ｐ拖碌姆烙Ч?/p>

圖7 ABCD系統(tǒng)架構(gòu)

4.1.3 數(shù)據(jù)層端口跳變

SDN數(shù)據(jù)層端口跳變的核心思想是將服務(wù)端口動(dòng)態(tài)隨機(jī)映射到未使用的端口，使攻擊者無法準(zhǔn)確找到網(wǎng)路服務(wù)所使用的開放端口，以此達(dá)到混淆攻擊者攻擊行為的目的。

Kampanakis等[17]利用思科One PK實(shí)施了基于SDN的MTD應(yīng)用程序，在真實(shí)的SDN環(huán)境中進(jìn)行部署和實(shí)驗(yàn)，針對(duì)網(wǎng)絡(luò)映射攻擊，提出了基于MTD的反網(wǎng)絡(luò)偵察算法，以便響應(yīng)TCP端口掃描來執(zhí)行MTD模糊處理。每個(gè)數(shù)據(jù)分組的操作都保存在緩沖區(qū)中以確保一致的行為。作為這種算法的結(jié)果，隨機(jī)端口將作為開放端口出現(xiàn)在掃描階段。攻擊者需要更多資源深入挖掘以識(shí)別運(yùn)行在這些虛假開放端口上的服務(wù)。接著又提出針對(duì)操作系統(tǒng)指紋的MTD算法，確保服務(wù)版本和操作系統(tǒng)不被攻擊者正確識(shí)別。通過對(duì)攻擊者的時(shí)間和流量成本的評(píng)估，實(shí)驗(yàn)結(jié)果表明，該方法可以顯著增加攻擊者的攻擊開銷，但沒有考慮SDN應(yīng)用程序本身的成本和安全性，仍然存在安全隱患。Lei等[46]提出了一種自適應(yīng)變換的移動(dòng)目標(biāo)防御機(jī)制，采用基于策略感知的跳變觸發(fā)方法，通過Sibson熵感知掃描攻擊策略并選取跳變策略，以提高跳變防御的針對(duì)性，更進(jìn)一步地，為了擴(kuò)大跳變空間，提出了一種基于協(xié)同跳變的移動(dòng)目標(biāo)防御技術(shù)，將端信息和轉(zhuǎn)發(fā)路徑協(xié)同變換，極大地提高了跳變的不確定性。

針對(duì)端口跳變，最大的難點(diǎn)就是同步問題，當(dāng)前端口跳變的同步方法有嚴(yán)格的時(shí)間同步[48]，基于ACK（確認(rèn)）的同步[49]和基于時(shí)間戳的同步[50]，Luo等[51]為了解決端口跳變后可能帶來的傳輸時(shí)延、流量阻塞、分組丟失重傳等問題，提出了基于密鑰散列的自同步方案（KHSS），所提出的方法基于散列MAC生成消息認(rèn)證碼，并將其作用于端口地址編碼和解碼的同步信息，該方案為端口跳變通信系統(tǒng)提供了一包一跳和不可見消息認(rèn)證的功能，利用SDN獨(dú)有的流表通信機(jī)制使客戶端和服務(wù)器能夠不斷改變其身份，并在不可靠的通信介質(zhì)上執(zhí)行消息認(rèn)證，而無需同步和認(rèn)證信息傳輸，最后在傳統(tǒng)網(wǎng)絡(luò)中進(jìn)行了KHSS同步性能的驗(yàn)證，實(shí)驗(yàn)結(jié)果表明，該方案在安全性和跳變效率這2方面明顯優(yōu)于現(xiàn)有的方案，但是該方案并沒有利用SDN集中控制的優(yōu)勢(shì)進(jìn)行部署搭建，只是在理論分析了SDN流表轉(zhuǎn)發(fā)的跳變優(yōu)勢(shì)。

與此同時(shí)，Zhang等[52]也對(duì)這一問題進(jìn)行了研究，提出了基于透明同步的SDN端口跳變機(jī)制，將源、目節(jié)點(diǎn)獨(dú)立以實(shí)現(xiàn)通信雙方的透明同步傳輸，一方面不需要嚴(yán)格的時(shí)間同步，另一方面也不需要發(fā)送額外的同步數(shù)據(jù)分組，它的理論分析和實(shí)驗(yàn)結(jié)果表明，該方案能夠在保證網(wǎng)絡(luò)低開銷的基礎(chǔ)上有效抵抗各種攻擊。針對(duì)DoS攻擊，Zhang等[53]又提出了基于端口跳變的SDN DoS緩解機(jī)制（PHS-DM），它的結(jié)構(gòu)框架如圖8所示，利用時(shí)間戳反饋實(shí)現(xiàn)端口的同步跳變，在降低網(wǎng)絡(luò)通信成本開銷的基礎(chǔ)上，有效抵御端口掃描和內(nèi)部攻擊，下一步需要將錯(cuò)誤反饋引入到端口跳變中，通過給攻擊者提供虛假的端口跳變信息使防御更有主動(dòng)性。

圖8 PHS-DM結(jié)構(gòu)框架

4.2 控制層移動(dòng)目標(biāo)防御技術(shù)

SDN控制器是SDN最為核心的部件，也是整個(gè)SDN系統(tǒng)安全鏈中最脆弱和最薄弱的環(huán)節(jié)，它決定整個(gè)SDN的工作狀態(tài)，當(dāng)控制器因受到攻擊而無法正常工作時(shí)，整個(gè)SDN將陷入癱瘓，因此SDN控制層的安全問題尤為重要，針對(duì)SDN控制層的攻擊也日漸常態(tài)化、多樣化，越來越多的研究學(xué)者將控制層的移動(dòng)目標(biāo)防御技術(shù)作為研究重點(diǎn)進(jìn)行開展。

4.2.1 基于多控制器遷移機(jī)制MTD技術(shù)

為了抵御針對(duì)SDN控制器的盲DDoS攻擊，Ma等[54]將SDN定義為一個(gè)半開放半封閉式的混合系統(tǒng)，利用SDN的多控制器架構(gòu)進(jìn)行模型設(shè)計(jì)，提出了基于多控制器遷移的移動(dòng)目標(biāo)防御機(jī)制，采用多控制器池解決飽和問題，并根據(jù)洪流密度動(dòng)態(tài)地將控制器連接到交換機(jī)上。該機(jī)制將受保護(hù)的SDN系統(tǒng)分為多個(gè)控制器組成的控制器池、MTD策略管理器，基于路由映射規(guī)則的洪泛過濾設(shè)備和SDN交換機(jī)。其中，MTD策略管理器負(fù)責(zé)監(jiān)控在線控制器的帶寬和負(fù)載，當(dāng)網(wǎng)絡(luò)受到盲DDoS攻擊時(shí)，MTD策略管理器將多個(gè)離線控制器切換到在線狀態(tài)，為其分配合適的IP地址。通過隨機(jī)延遲掃描報(bào)文和路由映射過濾泛洪，該技術(shù)可以有效抵御盲DDoS攻擊，保護(hù)SDN的可用性和可靠性。但是，該方法仍存在以下局限性：一方面，采用隨機(jī)數(shù)據(jù)分組傳輸延遲的方法會(huì)影響正常的數(shù)據(jù)傳輸性能；另一方面，路由表過期可能產(chǎn)生誤報(bào)影響系統(tǒng)正常運(yùn)行。

4.2.2 基于CP動(dòng)態(tài)防御機(jī)制的MTD技術(shù)

針對(duì)使用DPID身份偽造對(duì)SDN控制器發(fā)起的DoS攻擊，Wu等[55]研究了基于OpenFlow的SDN控制器上的數(shù)據(jù)路徑識(shí)別（DPID）偽造攻擊，提出了一種基于CP（client-puzzle）的動(dòng)態(tài)防御機(jī)制，當(dāng)客戶端請(qǐng)求連接時(shí)，服務(wù)器產(chǎn)生一個(gè)問題發(fā)送給客戶端解決；客戶端在解決該問題后將答案發(fā)送回服務(wù)器進(jìn)行驗(yàn)證。如果答案被成功驗(yàn)證，完成后續(xù)交互；否則不會(huì)有任何后續(xù)的交互，通過生成多級(jí)困難問題實(shí)現(xiàn)對(duì)轉(zhuǎn)發(fā)設(shè)備請(qǐng)求的動(dòng)態(tài)管理，從而提高攻擊者的難度。該方法可以減少網(wǎng)絡(luò)負(fù)載以及網(wǎng)絡(luò)攻擊流量，并過濾掉合法流量，增加攻擊者的攻擊開銷和攻擊難度。實(shí)驗(yàn)結(jié)果表明，當(dāng)控制器和轉(zhuǎn)發(fā)設(shè)備的成本增加2%~5%時(shí)，攻擊者CPU的成本增加近90%，這大大增加了攻擊者的攻擊難度。下一步的工作是研究如何將MTD與SDN的動(dòng)態(tài)可編程性結(jié)合起來，并將其應(yīng)用于SDN控制器北向接口的防御工作。

4.2.3 基于博弈獎(jiǎng)懲機(jī)制的MTD技術(shù)

面對(duì)威脅日益嚴(yán)重的DDoS攻擊，Chowdhary等[56]在前人工作基礎(chǔ)上構(gòu)建攻防過程中基于獎(jiǎng)懲機(jī)制的博弈論機(jī)制，將DDoS攻擊建模為攻擊者和管理員之間的動(dòng)態(tài)博弈，對(duì)實(shí)施DDoS流量的攻擊者進(jìn)行懲罰，同時(shí)對(duì)合作的玩家進(jìn)行獎(jiǎng)勵(lì)，從而有效地為網(wǎng)絡(luò)管理員實(shí)施期望的結(jié)果，實(shí)現(xiàn)動(dòng)態(tài)防御的目的，體系架構(gòu)如圖9所示，為解決網(wǎng)絡(luò)帶寬的速率問題，提出貪心算法進(jìn)行動(dòng)態(tài)網(wǎng)絡(luò)博弈中的懲罰機(jī)制，通過研究DDoS攻擊的3種典型攻擊：SYN Flood攻擊、UDP Flood攻擊以及ICMP Flood攻擊，根據(jù)從SDN控制器收到的警報(bào)處理所有這些攻擊，以減輕對(duì)SDN控制器的大規(guī)模流量攻擊，并在不同的網(wǎng)絡(luò)拓?fù)渲羞M(jìn)行應(yīng)用，具有很好的可擴(kuò)展性。下一步工作是基于OpenStack的云框架進(jìn)行更大規(guī)模的網(wǎng)絡(luò)動(dòng)態(tài)防御，使用基于人工智能（AI）的算法識(shí)別攻擊，并使用異常檢測(cè)以及基于簽名的檢測(cè)機(jī)制構(gòu)建一個(gè)全面的攻擊緩解解決方案。

圖9 基于獎(jiǎng)懲機(jī)制的體系架構(gòu)

4.3 應(yīng)用層移動(dòng)目標(biāo)防御技術(shù)

SDN應(yīng)用層中的漏洞可以給攻擊者提供訪問或修改受限制數(shù)據(jù)的機(jī)會(huì)，這使防御者必須盡可能地保護(hù)應(yīng)用程序免受攻擊者偵察，由于當(dāng)前SDN北向接口的定義尚不明確，對(duì)于應(yīng)用層的研究尚處在初步階段，因而對(duì)于應(yīng)用層網(wǎng)絡(luò)攻擊防御問題研究較少，很難從現(xiàn)有的文獻(xiàn)中進(jìn)行相關(guān)的總結(jié)分析。但是，云計(jì)算體系架構(gòu)以及網(wǎng)絡(luò)功能虛擬化（NFV）的迅速興起，SDN應(yīng)用層的虛擬機(jī)租戶管理已經(jīng)成為下一步的發(fā)展趨勢(shì)，因此，針對(duì)SDN應(yīng)用層虛擬化資源也將面臨巨大的安全隱患。

4.3.1 基于動(dòng)態(tài)訪問控制的MTD技術(shù)

傳統(tǒng)網(wǎng)絡(luò)中的應(yīng)用程序極易受到攻擊者的DDoS攻擊，Jantila等[57]在Devi等[58]的基礎(chǔ)上，針對(duì)SDN應(yīng)用層可能遭受DDoS攻擊這一情況，利用STRIDE威脅模型，通過分析基于客戶訪問行為的信任值以及熵值區(qū)分攻擊者與合法用戶，以確定應(yīng)用層相關(guān)應(yīng)用程序的脆弱性問題，在允許它們?cè)L問服務(wù)器之前授權(quán)每個(gè)客戶端，網(wǎng)絡(luò)元素本身根據(jù)流量信息和實(shí)時(shí)警報(bào)實(shí)施動(dòng)態(tài)訪問控制策略，以此動(dòng)態(tài)智能地保護(hù)網(wǎng)絡(luò)和資源不被篡改數(shù)據(jù)、泄露信息，但并沒有對(duì)該方法的效率和有效性進(jìn)行評(píng)估驗(yàn)證。

4.3.2 基于虛擬機(jī)遷移技術(shù)的MTD技術(shù)

針對(duì)SDN應(yīng)用層的應(yīng)用程序虛擬機(jī)極易受到DoS攻擊這一安全問題，Debroy等[59]提出了一種基于智能MTD的主被動(dòng)結(jié)合的虛擬機(jī)遷移機(jī)制，如圖10所示，基于攻擊概率的頻率最小化和跨異構(gòu)虛擬機(jī)的目標(biāo)移動(dòng)的位置選擇，在保證云資源浪費(fèi)最小化的情況下不影響應(yīng)用性能，大大優(yōu)化了遷移頻率，很好地減少了網(wǎng)絡(luò)資源的浪費(fèi)，同時(shí)限制了攻擊效應(yīng)。此外，該方案還根據(jù)候選虛擬機(jī)容量、可用網(wǎng)絡(luò)帶寬以及攻擊歷史記錄中虛擬機(jī)的信譽(yù)計(jì)算出理想的遷移位置，使用大規(guī)模GENI測(cè)試平臺(tái)評(píng)估了方案的有效性，實(shí)驗(yàn)結(jié)果表明，該方案可以降低攻擊成功率，提高應(yīng)用性能。下一步工作將基于MTD解決方案的云管理考慮成本問題，以便在系統(tǒng)混淆和資源管理之間進(jìn)行權(quán)衡，更好地實(shí)現(xiàn)系統(tǒng)地可用性。

類似地，Gillani等[60]提出在虛擬網(wǎng)絡(luò)（VN）下動(dòng)態(tài)地改變VN來重新分配網(wǎng)絡(luò)資源，并向新資源提供持續(xù)的VN遷移，以此抵御大規(guī)模持續(xù)的DDoS攻擊，整個(gè)防御過程基于SMT的形式化方法，利用非關(guān)鍵資源替代關(guān)鍵資源規(guī)避攻擊的同時(shí)，建立了一種VM遷移機(jī)制，由虛擬化物理網(wǎng)絡(luò)上框架生成的VN遷移策略，最后，利用Mininet工具進(jìn)行實(shí)驗(yàn)仿真，仿真結(jié)果表明該方法可以在保證網(wǎng)絡(luò)可用性的前提下很好地抵御DDoS攻擊。

5 結(jié)束語(yǔ)

隨著SDN、云計(jì)算以及網(wǎng)絡(luò)功能虛擬化的不斷結(jié)合，安全問題日益突出，面向SDN的移動(dòng)目標(biāo)防御技術(shù)還存在很多未解決的挑戰(zhàn)，SDN仍缺乏細(xì)粒度的安全性和可靠性，具有很大的發(fā)展?jié)摿Γ蛟煲粋€(gè)真正安全可靠的軟件定義網(wǎng)絡(luò)還需要付出很多努力。

圖10 基于智能MTD的主被動(dòng)結(jié)合的虛擬機(jī)遷移方案

5.1 優(yōu)化防御體系架構(gòu)

目前，面向SDN的移動(dòng)目標(biāo)防御架構(gòu)尚不成熟，缺乏相關(guān)的理論體系支持，可以考慮利用最新的相關(guān)技術(shù)進(jìn)行SDN安全防御體系架構(gòu)的設(shè)計(jì)與實(shí)施，設(shè)計(jì)更加彈性動(dòng)態(tài)化的SDN動(dòng)態(tài)防御體系架構(gòu)，利用不斷變換的攻擊面暴露攻擊者在偵察SDN信息時(shí)的攻擊意圖，以此實(shí)現(xiàn)更加主動(dòng)的防御策略。

針對(duì)網(wǎng)絡(luò)攻擊中的LM網(wǎng)絡(luò)殺傷鏈模型映射相應(yīng)的網(wǎng)絡(luò)動(dòng)態(tài)防御鏈，在攻擊者的每個(gè)攻擊階段都部署相應(yīng)的移動(dòng)目標(biāo)防御策略，使整個(gè)SDN防御體系串聯(lián)成鏈，統(tǒng)籌聯(lián)動(dòng)，給攻擊者營(yíng)造一個(gè)更加不可預(yù)測(cè)的網(wǎng)絡(luò)環(huán)境，從而使整個(gè)網(wǎng)絡(luò)攻防天平向利于防御者的一端傾斜。

5.2 層間聯(lián)動(dòng)防御技術(shù)

從具體實(shí)現(xiàn)技術(shù)來看，在數(shù)據(jù)層面的移動(dòng)目標(biāo)防御技術(shù)考慮從時(shí)間和空間2個(gè)維度同時(shí)進(jìn)行動(dòng)態(tài)變化，與此同時(shí)考慮變化頻率的問題，在保證可用性的基礎(chǔ)上，最大限度地減少網(wǎng)絡(luò)管理人員的成本，此外，多個(gè)網(wǎng)絡(luò)參數(shù)同時(shí)變化成為下一步的研究趨勢(shì)，使端口、IP地址以及路徑路由等網(wǎng)絡(luò)參數(shù)的變化更加不可預(yù)測(cè)，但網(wǎng)絡(luò)可用性和安全性之間的平衡是一個(gè)很突出的研究問題。

對(duì)于控制層面而言，作為整個(gè)SDN的核心部件，要具備防御各種攻擊的能力，僅僅解決某一攻擊行為對(duì)控制器來說遠(yuǎn)遠(yuǎn)不夠，需要建立攻擊威脅數(shù)據(jù)庫(kù)，確保在面對(duì)不同攻擊時(shí)可以采取不同的移動(dòng)目標(biāo)防御策略進(jìn)行防御，與此同時(shí)，如何快速有效地進(jìn)行策略選取是一個(gè)值得關(guān)注的問題。

對(duì)于應(yīng)用層而言，利用軟件驅(qū)動(dòng)網(wǎng)絡(luò)進(jìn)行自主通信，可完成自動(dòng)測(cè)試、集成和網(wǎng)絡(luò)功能部署等一系列安全防御機(jī)制，還可結(jié)合移動(dòng)目標(biāo)防御的思想利用機(jī)器學(xué)習(xí)技術(shù)進(jìn)行網(wǎng)絡(luò)安全動(dòng)態(tài)的自我管理和優(yōu)化，確保應(yīng)用程序的安全性，在SDN安全應(yīng)用程序開發(fā)方面，已經(jīng)提出諸如FRESCO[61]、CloudWatcher[62]以及OrchSec[63]等OpenFlow安全應(yīng)用程序開發(fā)框架，鮮有學(xué)者將移動(dòng)目標(biāo)防御技術(shù)融入這一開發(fā)框架中實(shí)施動(dòng)態(tài)防御。

下一步的研究方向不能僅僅考慮SDN單個(gè)層面的移動(dòng)目標(biāo)防御技術(shù)，要增加三層體系結(jié)構(gòu)之間的聯(lián)動(dòng)配合，在優(yōu)化后的防御系統(tǒng)架構(gòu)之上，進(jìn)行體系化的更加全面的移動(dòng)目標(biāo)防御技術(shù)部署，將整個(gè)面向SDN的移動(dòng)目標(biāo)防御技術(shù)環(huán)環(huán)相扣，構(gòu)筑起更加安全可靠的SDN。

隨著學(xué)科交叉與融合的不斷推進(jìn)，可以通過跨學(xué)科、多領(lǐng)域的研究對(duì)SDN的移動(dòng)目標(biāo)防御技術(shù)進(jìn)行新的探索，與此同時(shí)，隨著越來越多的人將傳統(tǒng)科學(xué)應(yīng)用到計(jì)算機(jī)和互聯(lián)網(wǎng)安全研究，跨學(xué)科跨領(lǐng)域研究應(yīng)用必將在多樣復(fù)雜的網(wǎng)絡(luò)空間環(huán)境中發(fā)揮愈加重要的作用。

[1] LANTZ B, HELLER B, Mckeown N. A network in a laptop:rapid prototyping for software-defined networks[C]// ACM Workshop on Hot Topics in Networks. HOTNETS 2010, Monterey, Ca, Usa - October. DBLP, 2010:1-6.

[2] KREUTZ D, RAMOS F M V, et al. Software-defined networking: a comprehensive survey[J]. Proceedings of the IEEE, 2014, 103(1): 10-13.

[3] SCOTT-HAYWARD S, O'CALLAGHAN G, SEZER S. SDN security: a survey[C]// Future Networks and Services. IEEE, 2013:1-7.

[4] EATHERTON W. The push of network processing to the top of the pyramid[C]// Architecture for Networking and Communications Systems. 2005.

[5] BENTON K, CAMP L J, SMALL C. OpenFlow vulnerability assessment[C]// ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING. ACM, 2013:151-152.

[6] OpenFlow Switch Specification v1.3.0 (2013)[S]. https://www. open- networking.org/images/stories/downloads

[7] JAJODIA S, GHOSH A K, SWARUP V, et al. Moving target defense: creating asymmetric uncertainty for Cyber Threats[M]. Berlin：Springer, 2011, 54.

[8] MANADHATA P K, WING J M. A formal model for a system’s attack surface[J]. Advances in Information Security, 2011, 54:1-28.

[9] ZHANG H G, HAN W B, LAI X J, et al. Survey on cyberspace security[J]. Science China Information Sciences, 2015, 58(11):1-43.

[10] 雷程,馬多賀,張紅旗,楊英杰,王利明.基于網(wǎng)絡(luò)攻擊面自適應(yīng)轉(zhuǎn)換的移動(dòng)目標(biāo)防御技術(shù)[J/OL].計(jì)算機(jī)學(xué)報(bào),2017(5):1-23. LEI C, MA D, ZHANG H, et al. Moving target defense technology based on network attack surface self-adaptive mutation[J]. Chinese Journal of Computers, 2017(5):1-23.

[11] MA D, LEI C, WANG L, et al. A Self-adaptive hopping approach of moving target defense to thwart scanning attacks[C]//International Conference on Information and Communications, Security, 2016.

[12] PAPPA A C, ASHOK A, GOVINDARASU M. Moving target defense for securing smart grid communications: architecture, implementation & evaluation[C]// Power & Energy Society Innovative Smart Grid Technologies Conference. IEEE, 2017:1-5.

[13] ZARGAR S T, JOSHI J, TIPPER D. A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks[J]. IEEE Communications Surveys & Tutorials, 2013, 15(4): 2046-2069.

[14] TOOTOONCHIAN A, GORBUNOV S, SHERWOOD R, et al. On controller performance in software-defined networks[C]// Usenix Conference on Hot Topics in Management of Internet, Cloud, and Enterprise Networks and Services. USENIX Association, 2012.

[15] FEGHALI A, KILANY R, CHAMOUN M. SDN security problems and solutions analysis[C]// International Conference on Protocol Engineering. IEEE, 2015:1-5.

[16] ZHUANG R. A theory for understanding and quantifying moving target defense[J]. Dissertations & Theses - Gradworks, 2015.

[17] KAMPANAKIS P, PERROS H, BEYENE T. SDN-based solutions for moving target defense network protection[C]// World of Wireless, Mobile and Multimedia Networks. IEEE, 2014:1-6.

[18] CHUN C J, XING T, HUANG D, et al. SeReNe: on establishing secure and resilient networking services for an SDN-based multi-tenant datacenter environment[C]// IEEE International Conference on Dependable Systems and Networks Workshops. IEEE, 2015:4-11.

[19] ZHOU H, WU C, JIANG M, et al. Evolving defense mechanism for future network security[J]. IEEE Communications Magazine, 2015, 53(4):45-51.

[20] WANG J, XIAO F, HUANG J, et al. CHAOS: an SDN-based moving target defense system[J]. arXiv: 1704.01482, 2017.

[21] KOPONEN T, CASADO M, GUDE N, et al. Onix: a distributed control platform for large-scale production networks[C]//Usenix Conference on Operating Systems Design and Implementation. USENIX Association, 2010:351-364.

[22] JAFARIAN J H, AL-SHAER E, DUAN Q. Openflow random host mutation: transparent moving target defense using software defined networking[C]// The Workshop on Hot Topics in Software Defined Networks. ACM, 2012:127-132.

[23] CORBETT C, UHER J, COOK J, et al. Countering intelligent jamming with full protocol stack agility[J]. IEEE Security & Privacy, 2014, 12(2):44-50.

[24] JAFARIAN J H H, AL-SHAER E, DUAN Q. Spatio-temporal address mutation for proactive cyber agility against sophisticated attackers[C]// ACM Workshop. ACM, 2014:69-78.

[25] JAFARIAN J H, AL-SHAER E, DUAN Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]// Computer Communications. IEEE, 2015:738-746.

[26] JAFARIAN J H, AL-SHAER E, DUAN Q. An effective address mutation approach for disrupting reconnaissance attacks[J]. IEEE Transactions on Information Forensics & Security, 2015, 10(12): 2562-2577.

[27] CHAVEZ A R, STOUT W M S, Peisert S. Techniques for the dynamic randomization of network attributes[C]// International Carnahan Conference on Security Technology. IEEE, 2016:1-6.

[28] SMITH R J, ZINCIR-HEYWOOD A N, JACOBS J T, et al. Initiating a moving target network defense with a real-time neuro-evolutionary detector[C]//Genetic and Evolutionary Computation Conference Companion. ACM, 2016:1095-1102.

[29] NOJOUMIAN M, GOLCHUBIAN A, SAPUTRO N, et al. Preventing collusion between SDN defenders anc attackers using a game theoretical approach[C]// Computer Communications Workshops. IEEE, 2017.

[30] MACFARLAND D C, SHUE C A. The SDN Shuffle: creating a moving-target defense using host-based software-defined networking[C]// ACM Workshop on Moving Target Defense. ACM, 2015: 37-41.

[31] CHAVEZ A R, STOUT W M S, PEISERT S. Techniques for the dynamic randomization of network attributes[C]// International Carnahan Conference on Security Technology. IEEE, 2016:1-6.

[32] WANG S, ZHANG L, TANG C. A new dynamic address solution for moving target defense[C]// Information Technology, Networking, Electronic and Automation Control Conference, IEEE, 2016: 1149-1152.

[33] AYDEGER A, SAPUTRO N, AKKAYA K, et al. Mitigating crossfire attacks using sdn-based moving target defense[C]// Local Computer Networks. IEEE, 2016:627-630.

[34] MIN S K, LEE S B, GLIGOR V D. The crossfire attack[C]// IEEE Symposium on Security and Privacy. IEEE Computer Society, 2013:127-141.

[35] WANG Q, XIAO F, ZHOU M, et al. Linkbait: active link obfuscation to thwart link-flooding attacks[J]. arXiv:1703.09521, 2017.

[36] ASEERI A, NETJINDA N, HEWETT R. Alleviating eavesdropping attacks in software-defined networking data plane[C]// Conference on Cyber and Information Security Research. ACM, 2017:1.

[37] FEAMSTER N, REXFORD J, ZEGURA E. The road to SDN: an intellectual history of programmable networks[M]. ACM, 2014.

[38] LIU J, ZHANG H, GUO Z. A Defense mechanism of random routing mutation in SDN[J]. Ieice Transactions on Information & Systems, 2017, 100(5):1046-1054.

[39] DUAN Q, AL-SHAER E, JAFARIAN H. Efficient random route mutation considering flow and network constraints[C]// Communications and Network Security. IEEE, 2013:260-268.

[40] 雷程, 馬多賀, 張紅旗,等. 基于最優(yōu)路徑跳變的網(wǎng)絡(luò)移動(dòng)目標(biāo)防御技術(shù)[J]. 通信學(xué)報(bào), 2017, 38(3):133-143. LEI C, MA D H, ZHANG H Q, et al. Network moving target defense technique based on optimal forwarding path migration[J]. Journal on Communications, 2017, 38(3): 133-143.

[41] JAFARIAN J H, AL-SHAER E, DUAN Q. Formal approach for route agility against persistent attackers[C]// European Symposium on Research in Computer Security. Springer, Berlin, Heidelberg, 2013:237-254.

[42] RAUF U, GILLANI F, AL-SHAER E, et al. Formal approach for resilient reachability based on end-system route agility[C]// ACM Workshop on Moving Target Defense. ACM, 2016:117-127.

[43] HAACK J N, FINK G A, MAIDEN W M, et al. Ant-based cyber security[C]// Eighth International Conference on Information Technology: New Generations. IEEE, 2011:918-926.

[44] FINK G A, HAACK J N, MCKINNON A D, et al. Defense on the move: ant-based cyber defense[J]. IEEE Security & Privacy, 2014, 12(2):36-43.

[45] MIYAZAKI R, KAWAMOTO J, MATSUMOTO S, et al. Host independent and distributed detection system of the network attack by using OpenFlow[C]// International Conference on Information NETWORKING. IEEE, 2017:236-241.

[46] LEI C, ZHANG H Q, MA D H, et al. Network moving target defense technique based on self-adaptive end-point hopping[J]. Arabian Journal for Science & Engineering, 2017, 42(8):1-14.

[47] ZHANG H Q, LEI C, CHANG D X, et al. Network moving target defense technique based on collaborative mutation[J]. Computers & Security, 2017, 70:51-71.

[48] LEE H C J, THING V L L. Port hopping for resilient networks[C]// Vehicular Technology Conference, IEEE, 2004:3291-3295.

[49] BADISHI G, HERZBERG A, KEIDAR I. Keeping denial-of-service attackers in the dark[J]. IEEE Transactions on Dependable & Secure Computing, 2007, 4(3):191-204.

[50] SHI L, JIA C, Lü S, et al. Port and address hopping for active cyber-defense[M]// Intelligence and Security Informatics. Springer Berlin Heidelberg, 2007:295-300.

[51] LUO Y B, WANG B S, WANG X F, et al. A keyed-hashing based self-synchronization mechanism for port address hopping communication[J]. Frontiers of Information Technology and Electronic Engineering, 2017, 18(5):719-728.

[52] ZHANG L, WANG Z, GU K, et al. Transparent synchronization based port mutation scheme in SDN network[C]// International Conference on Computer Science and Network Technology. 2016: 581-585.

[53] ZHANG L, GUO Y, YUWEN H, et al. A port hopping based dos mitigation scheme in SDN network[C]// International Conference on Computational Intelligence and Security. IEEE, 2017:314-317.

[54] MA D, XU Z, LIN D. Defending blind DDoS attack on SDN based on moving target defense[C]// International Conference on Security and Privacy in Communication Networks. 2014:463-480.

[55] WU Z, WEI Q, REN K, et al. A dynamic defense using client puzzle for identity-forgery attack on the south-bound of software defined networks[J]. Ksii Transactions on Internet & Information Systems, 2017, 11(2):846-864.

[56] CHOWDHARY A, PISHARODY S, ALSHAMRANI A, et al. Dynamic game based security framework in SDN-enabled cloud networking environments[C]// ACM International Workshop on Security in Software Defined Networks & Network Function Virtualization. ACM, 2017:53-58.

[57] JANTILA S, CHAIPAH K. A Security analysis of a hybrid mechanism to defend DDoS attacks in SDN [J]. Procedia Computer Science, 2016, 86:437-440.

[58] DEVI S R, YOGESH P. A Hybrid approach to counter application layer DDoS attacks[J]. International Journal on Cryptography & Information Security, 2012.

[59] DEBROY S, CALYAM P, NGUYEN M, et al. Frequency-minimal moving target defense using software-defined networking[C]// International Conference on Computing, Networking and Communications. IEEE, 2016:1-6.

[60] GILLANI F, AL-SHAER E, LO S, et al. Agile virtualized infrastructure to proactively defend against cyber attacks[C]// Computer Communications. IEEE, 2015:729-737.

[61] SHIN S, PORRAS P, YEGNESWARAN V, et al. FRESCO: modular composable security services for software defined networks[J]. Proceedings of Network & Distributed Security Symposium, 2013.

[62] SHIN S, GU G. CloudWatcher: network security monitoring using openflow in dynamic cloud networks (or: How to provide security monitoring as a service in clouds?)[C]// IEEE International Conference on Network Protocols. IEEE Computer Society, 2012:1-6.

[63] ZAALOUK A, KHONDOKER R, MARX R, et al. OrchSec: anorchestrator-based architecture for enhancing network-security using Network Monitoring and SDN Control functions[C]//Noms. IEEE, 2014:1-9.

Research progress on moving target defense for SDN

TAN Jinglei1,2, ZHANG Hongqi1,2, LEI Cheng1,2, LIU Xiaohu1, WANG Shuo1

1. School of Cryptography Engineering, Information Engineering University, Zhengzhou 450001, China 2. Henan Provincial Key Laboratory of Information Security, Zhengzhou 450001, China

Software-defined network is based on flexible and open standards, which manages network functions and services by the control layer. And it has the unique advantages of control-separation and centralized control. The moving target defense technology is dedicated to build an ever-changing environment to increase the uncertainty of the network system, which requires a flexible and customizable, centralized and controllable network architecture to implement it. Therefore, the combination of moving target defense and software-defined network have become a more valuable research hotspot. Firstly, the basic concepts of software-defined network and moving target defense were introduced, the security threats of software-defined network was summarized, and the realization model of moving target defense for SDN network was described. Secondly, the technical methods for moving target defense were summarized respectively form the data layer, control layer and application layer of the SDN. Finally, summing up the challenges of existing SDN dynamic defense, and looking forward to the development direction of moving target defense technologies for the SDN.

software-defined network, moving target defense, dynamic, diversity, randomness

TP393

A

10.11959/j.issn.2096-109x.2018061

譚晶磊（1994-），男，山東章丘人，信息工程大學(xué)研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全、移動(dòng)目標(biāo)防御。

張紅旗（1962-），男，河北遵化人，信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、移動(dòng)目標(biāo)防御、等級(jí)保護(hù)和信息安全管理。

雷程（1989-），男，北京人，信息工程大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全、移動(dòng)目標(biāo)防御、數(shù)據(jù)安全交換和網(wǎng)絡(luò)流指紋。

劉小虎（1989-），男，河南太康人，信息工程大學(xué)講師，主要研究方向?yàn)閯?dòng)態(tài)網(wǎng)絡(luò)防御。

王碩（1991-），男，河南南陽(yáng)人，信息工程大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)系統(tǒng)安全。

2018-06-15；

2018-07-03

譚晶磊，nxutjl@126.com

國(guó)家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（No.2012AA012704, No.2015AA7116040）；鄭州市科技領(lǐng)軍人才基金資助項(xiàng)目（No.131PLJRC644）

The National High Technology Research and Development Program of China (863 Program) (No.2012AA012704, No.2015AA7116040), Zhengzhou Science and Technology Leader Project (No.131PLJRC644)