現(xiàn)在如今網(wǎng)絡(luò)安全問(wèn)題一直是大家非常關(guān)注的，防御手段也有很多種，今天要說(shuō)的SDN網(wǎng)絡(luò)，SDN網(wǎng)絡(luò)抗DDoS動(dòng)態(tài)縱深防御體系設(shè)計(jì)是怎樣的？一起來(lái)了解一下吧。

SDN技術(shù)

由于其開(kāi)放性、轉(zhuǎn)發(fā)與控制分離、可編程的集中控制模式等特性，已經(jīng)成為目 前可見(jiàn)的也是最為可行的網(wǎng)絡(luò)智能化解決方案，這其中SDN控制器扮演著重要角色，與此同時(shí)也 是攻擊者的重要目標(biāo)。

目前網(wǎng)絡(luò)控制器面臨的DDoS攻擊是一種較難防御的網(wǎng)絡(luò)攻擊，它會(huì)呈現(xiàn)出基于時(shí)間、空間、強(qiáng)度等多維度攻擊隨機(jī)分布的特點(diǎn)，本文針對(duì)SDN控制面的DDoS攻擊提出 一種多維度多層次的動(dòng)態(tài)縱深防護(hù)體系，具備縱深檢測(cè)、態(tài)勢(shì)感知、決策處置的閉環(huán)反饋特征。

軟件定義網(wǎng)絡(luò)是一種數(shù)據(jù)面和控制平面分離的網(wǎng)絡(luò)模式，在此網(wǎng)絡(luò)架構(gòu)下的應(yīng)用中，決定整個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)行為的控制器自然成為攻擊者的目標(biāo)，攻擊者只要控制了控制器就可以控制整個(gè)網(wǎng)絡(luò)。

目前網(wǎng)絡(luò)控制器面臨的DDoS攻擊是一種較難防御的網(wǎng)絡(luò)攻擊，它會(huì)呈現(xiàn)出基于時(shí)間、空間、強(qiáng)度等多維度、多層次攻擊隨機(jī)分布的特點(diǎn)，本文提出一種安全防御體系的設(shè)計(jì)，針對(duì)DDoS特征構(gòu)建相應(yīng)多維度多層次的動(dòng)態(tài)縱深防護(hù)體系，將內(nèi)生可信、擬態(tài)異構(gòu)等作為內(nèi)生安全防護(hù)基礎(chǔ)，從攻擊者發(fā)起的攻擊生命周期角度，建立一個(gè)縱深檢測(cè)、態(tài)勢(shì)感知、決策 處置的閉環(huán)反饋體系，全面覆蓋攻擊者攻擊的主要 路徑和環(huán)節(jié)，同時(shí)引入大數(shù)據(jù)威脅分析，機(jī)器學(xué)習(xí)等技術(shù)，從而實(shí)現(xiàn)智能防御能力的持續(xù)提升，縮短網(wǎng)絡(luò)空間安全對(duì)抗的不對(duì)稱性。

SDN網(wǎng)絡(luò)控制面臨的DDoS威脅

軟件定義網(wǎng)絡(luò) SDN （ Soft Defined Network ）是 一種新的數(shù)據(jù)面和控制平面分離的網(wǎng)絡(luò)模式。在 SDN中，控制器決定了整個(gè)網(wǎng)絡(luò)的行為。這種邏輯集中在一個(gè)軟件模塊的方式提供了多個(gè)好處。

首先, 通過(guò)軟件來(lái)修改網(wǎng)絡(luò)策略比經(jīng)由低級(jí)別的設(shè)備配置更簡(jiǎn)單和更不容易出錯(cuò)。

第二，控制程序可以自動(dòng) 地響應(yīng)在網(wǎng)絡(luò)狀態(tài)變化，以保持高級(jí)別策略。

第三, 簡(jiǎn)化了網(wǎng)絡(luò)功能發(fā)展，使得原本復(fù)雜的網(wǎng)絡(luò)設(shè)備可以簡(jiǎn)單化和通用化。

由于具有上述優(yōu)點(diǎn)，SDN網(wǎng)絡(luò)技術(shù)具有較好的應(yīng)用前景。但是，SDN的網(wǎng)絡(luò)可編程性和集中式控 制平面也給網(wǎng)絡(luò)帶來(lái)了一些新的安全威脅。集中的控制平面很自然成為攻擊者的目標(biāo)，攻擊者只要控制了控制器就可以控制整個(gè)網(wǎng)絡(luò)。

同時(shí)，網(wǎng)絡(luò)可編 程性產(chǎn)生的副作用是打開(kāi)了之前不存在的新威脅的大門。例如，攻擊可能利用一組特定的可編程設(shè)備的一個(gè)奇特的脆弱性損害了部分網(wǎng)絡(luò)。因此，安全性問(wèn)題應(yīng)在SDN的設(shè)計(jì)中首先予以考慮。

DDoS攻擊根據(jù)攻擊方式大致劃分為3類：泛 洪攻擊、畸形報(bào)文攻擊、掃描探測(cè)類攻擊，從網(wǎng)絡(luò) 層次的劃分見(jiàn)表1所示。


如下圖1所示為SDN網(wǎng)絡(luò)控制平面所面臨的 多種威脅，包括應(yīng)用層面、控制層面、數(shù)據(jù)平面等 面臨的安全威脅，攻擊可以來(lái)自北向、東西向、南向等多種攻擊實(shí)體。


1.1北向接口威脅

北向通道指SDN網(wǎng)絡(luò)控制器向第三方開(kāi)放的 API接口，用戶可以通過(guò)這些開(kāi)放接口開(kāi)發(fā)應(yīng)用，并在SDN網(wǎng)絡(luò)上部署，體現(xiàn)了 SDN技術(shù)的開(kāi)放性 和可編程性。從傳統(tǒng)的API設(shè)計(jì)來(lái)看，設(shè)計(jì)者們注重的是保證API執(zhí)行過(guò)程無(wú)差錯(cuò)，而忽視了API的 安全性和魯棒性。

近年來(lái)，盡管設(shè)計(jì)者們?cè)诒M力設(shè) 計(jì)安全的API,但各種缺陷仍然出現(xiàn)在很多已部署的API中。有研究者提出，如果不能完全消除API 中的安全缺陷，可以考慮開(kāi)發(fā)一種新的設(shè)計(jì)標(biāo)準(zhǔn)來(lái)減少API使用帶來(lái)的負(fù)面影響。北向通道向上層提 供接口時(shí)需要設(shè)置數(shù)據(jù)保護(hù)措施，防止第三方訪問(wèn)核心數(shù)據(jù)。

由于應(yīng)用程序種類繁多且不斷更新，目前北向 接口對(duì)應(yīng)用程序的認(rèn)證方法和認(rèn)證力度尚沒(méi)有統(tǒng)一的規(guī)定。

此外，相對(duì)于控制層和基礎(chǔ)設(shè)施層之間的 南向接口，北向接口在控制器和應(yīng)用程序之間所建立的信賴關(guān)系更加脆弱，攻擊者可利用北向接口的開(kāi)放性和可編程性，對(duì)控制器中的某些重要資源進(jìn)行訪問(wèn)。

因此，對(duì)攻擊者而言，攻擊北向接口的門檻更低。目前，北向接口面臨的安全問(wèn)題主要包括 非法訪問(wèn)、數(shù)據(jù)泄露、消息篡改、身份假冒、應(yīng)用 程序自身的漏洞以及不同應(yīng)用程序在合作時(shí)引入的 新漏洞等。

1.2南向接口威脅

OpenFlow是SDN網(wǎng)絡(luò)中一種常用的南向標(biāo)準(zhǔn) 協(xié)議，其協(xié)議本身存在漏洞。例如，OpenFlow協(xié)議要求在建立連接過(guò)程中，連接雙方必須先發(fā)送 OFPT_HELLO消息給對(duì)方，若連接失敗，則會(huì)發(fā)送 OFPT_ERROR消息，那么攻擊者可以通過(guò)中途攔 截OFPT_HELLO消息或者偽造OFPT_ERROR消息 來(lái)阻止連接正常建立E。

另外，攻擊者可能惡意增 加decrement TTL行為使數(shù)據(jù)包在網(wǎng)絡(luò)中因TTL耗盡而被丟棄。同時(shí)，如果OpenFlow連接在中途中斷，交換機(jī)會(huì)嘗試與其余備用控制器建立連接，如果也無(wú)法建立連接，則交換機(jī)會(huì)進(jìn)入緊急模式，正常流表項(xiàng)從流表中刪除，所有數(shù)據(jù)包將按照緊急模式流表項(xiàng)轉(zhuǎn)發(fā)，正常的數(shù)據(jù)轉(zhuǎn)發(fā)完全失效，導(dǎo)致底層網(wǎng)絡(luò)癱瘓。

有研究者提出了一種策略，通過(guò)基于可靠性感知的控制器部署以及流量控制路由，提高 OpenFlow連接的可靠性，并盡可能實(shí)現(xiàn)連接失效后快速恢復(fù)。

其次，Openflow處于SDN網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)層與 SDN網(wǎng)絡(luò)控制層之間，這個(gè)單一的接口面臨擴(kuò)展性問(wèn)題。

OpenFlow接口的擴(kuò)展性問(wèn)題導(dǎo)致攻擊者能夠 通過(guò)發(fā)送特定的大量的流請(qǐng)求數(shù)據(jù)包，使得這個(gè)缺 乏擴(kuò)展性的接口遭受拒絕服務(wù)攻擊。造成擴(kuò)展性問(wèn)題以及由此發(fā)展而來(lái)的拒絕服務(wù)攻擊隱患的根本原因在于OpenFlow接口分隔網(wǎng)絡(luò)控制層與網(wǎng)絡(luò)轉(zhuǎn)發(fā)層，使得網(wǎng)絡(luò)控制層集中化以方便對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行細(xì)粒度控制的工作方式。

當(dāng)OpenFlow轉(zhuǎn)發(fā)層設(shè)備接收到一個(gè)新的數(shù)據(jù)包，轉(zhuǎn)發(fā)層設(shè)備查詢自己的流表項(xiàng)，發(fā)現(xiàn)沒(méi)有與新數(shù)據(jù)包對(duì)應(yīng)的網(wǎng)絡(luò)流匹配的流表規(guī)則時(shí)，轉(zhuǎn)發(fā)層設(shè)備會(huì)將該數(shù)據(jù)包發(fā)送給控制器?？刂破鹘邮盏皆摂?shù)據(jù)包后，通過(guò)計(jì)算生成流表規(guī)則，將此流表項(xiàng)通過(guò)OpenFlow接口下發(fā)給轉(zhuǎn)發(fā) 層設(shè)備，以此規(guī)定轉(zhuǎn)發(fā)層設(shè)備如何處理該數(shù)據(jù)包對(duì)應(yīng)的網(wǎng)絡(luò)流。

但是，由于控制器是網(wǎng)絡(luò)的集中智能處理點(diǎn)，用于處理這些網(wǎng)絡(luò)流轉(zhuǎn)發(fā)需求的計(jì)算，因此，集中處理很快就體現(xiàn)出了擴(kuò)展性問(wèn)題，尤其是在網(wǎng)絡(luò)面對(duì)如拒絕服務(wù)攻擊等突發(fā)數(shù)據(jù)流時(shí)。

更為嚴(yán)重的是，由于轉(zhuǎn)發(fā)層設(shè)備接收到的數(shù)據(jù)包能夠驅(qū)動(dòng)轉(zhuǎn)發(fā)層設(shè)備與控制層設(shè)備的直接通信聯(lián)系，當(dāng)一個(gè)控制大量僵尸主機(jī)的攻擊者產(chǎn)生一系列大量的獨(dú)立的新網(wǎng)絡(luò)流通信請(qǐng)求的時(shí)候，由于每個(gè)新網(wǎng)絡(luò)流通信請(qǐng)求都產(chǎn)生一個(gè)新的不能夠被轉(zhuǎn)發(fā)層設(shè)備當(dāng)前 流表規(guī)則應(yīng)對(duì)的數(shù)據(jù)包，因此，每一個(gè)這樣的新數(shù) 據(jù)包都會(huì)驅(qū)動(dòng)轉(zhuǎn)發(fā)層設(shè)備與控制層設(shè)備之間的通信聯(lián)系。而這些通信聯(lián)系全部都要經(jīng)過(guò)OpenFlow接口，所以，OpenFlow接口在面對(duì)這類大量的新網(wǎng)絡(luò)通信流請(qǐng)求時(shí)，很容易達(dá)到飽和狀態(tài)，而無(wú)法應(yīng)對(duì)其它 通信需求⑵。

1.3東西向接口威脅

網(wǎng)絡(luò)控制器東西向接口主要完成主從節(jié)點(diǎn)的選舉，數(shù)據(jù)信息的同步，面臨的威脅如下包括會(huì)話劫 持、飽和流拒絕服務(wù)攻擊等。

會(huì)話劫持由于SDN控制器之間采用軟件接口 的方式連接，攻擊者假冒SDN控制器集群節(jié)點(diǎn)， 采用重放攻擊等攻擊方式就可能對(duì)控制器的東西向 會(huì)話進(jìn)行劫持，能達(dá)到對(duì)網(wǎng)絡(luò)控制器設(shè)備狀態(tài)同步 等數(shù)據(jù)進(jìn)行惡意篡改、數(shù)據(jù)竊取等目的。

一旦SDN 控制器被攻擊者非法接入，攻擊者可能竊取網(wǎng)絡(luò)拓?fù)?、配置相關(guān)的數(shù)據(jù)庫(kù)信息，或者對(duì)數(shù)據(jù)與控制器程序進(jìn)行篡改，并以此為基礎(chǔ)實(shí)施其他攻擊與破壞。

飽和流拒絕服務(wù)攻擊也是一種針對(duì)SDN控制器的拒絕服務(wù)攻擊，類似傳統(tǒng)網(wǎng)絡(luò)中的DDoS攻擊，主要針對(duì)控制器東西向的通信接口發(fā)起大量的連接請(qǐng)求，消耗服務(wù)器系統(tǒng)資源為目的，它不但能夠嚴(yán)重 破壞控制器正常工作，還能夠?qū)е陆粨Q機(jī)無(wú)法進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

抗DDoS縱深防御體系架構(gòu)設(shè)計(jì)

SDN控制面是網(wǎng)絡(luò)的控制中心，其必然成為攻擊的首要對(duì)象。分布式拒絕服務(wù)攻擊是一種耗盡型攻擊，其主要特點(diǎn)在于攻擊的流量強(qiáng)度大，攻擊時(shí)間不可預(yù)測(cè)，攻擊種類也不可預(yù)測(cè)，攻擊來(lái)源分布于網(wǎng)絡(luò)的許多地方，因此這類攻擊的防御難度較大。為了應(yīng)對(duì)上述DDoS攻擊，設(shè)計(jì)了基于多層次的縱 深防御體系。

SDN網(wǎng)絡(luò)管理面，搜集網(wǎng)絡(luò)控制面、數(shù)據(jù)面上報(bào)的DDoS安全事件進(jìn)行綜合分析，通過(guò)威脅分析 和智能決策完成安全防護(hù)策略的下發(fā)，最終通過(guò)響應(yīng)處置中心完成處置響應(yīng)策略的下發(fā)，在控制面、數(shù)據(jù)面協(xié)同阻斷已發(fā)現(xiàn)的DDoS攻擊，其架構(gòu)如下 圖2所示。


威脅阻斷主要體現(xiàn)在兩個(gè)方面開(kāi)展。首先是網(wǎng)絡(luò)控制面，基于動(dòng)態(tài)編排的虛擬化安全防護(hù)資源及 調(diào)度的主機(jī)防護(hù)開(kāi)展。其次是網(wǎng)絡(luò)數(shù)據(jù)面，基于軟件 定義的全網(wǎng)分布式多級(jí)縱深安全協(xié)同防御體系開(kāi)展。

SDN網(wǎng)絡(luò)控制面按需編排調(diào)度相應(yīng)的安全防護(hù)資源，可以實(shí)時(shí)監(jiān)測(cè)攻擊的發(fā)起，從而啟動(dòng)相應(yīng)內(nèi)部或外部的流量清洗資源開(kāi)展防御?？紤]網(wǎng)絡(luò)的健壯性與安全性，主要體現(xiàn)在被攻擊的情況下，如何保證服務(wù)鏈的功能能夠正常地運(yùn)行而不被影響。

DDoS 一般呈現(xiàn)出隨機(jī)性的特征，其強(qiáng)度、種類、時(shí)間都不可預(yù)測(cè)，因此在編排安全功能服務(wù)鏈的映射過(guò)程中可以采用同一網(wǎng)元功能映射出多臺(tái)同一功能的虛機(jī)或容器，這些虛機(jī)與容器可以位于不同的物理實(shí)體服務(wù)器平臺(tái)上，同一服務(wù)鏈的業(yè)務(wù)由不同的相同功能虛機(jī)或容器共同分擔(dān)完成，一旦某臺(tái)服務(wù)器發(fā)生硬件或者軟件上的故障，可以快速地將該服務(wù)器上虛機(jī)或容器所承載的業(yè)務(wù)流量導(dǎo)流到其他物理機(jī)上對(duì)應(yīng)功能的虛機(jī)或容器，實(shí)現(xiàn)網(wǎng)絡(luò)功能的 快速無(wú)縫切換，最大程度提升網(wǎng)絡(luò)的魯棒性。

除了考慮上述優(yōu)化的目標(biāo)之外，在服務(wù)鏈的映 射過(guò)程中應(yīng)該考慮到一個(gè)重要的問(wèn)題是，服務(wù)鏈的映射不應(yīng)該僅僅是靜態(tài)的服務(wù)映射，在整個(gè)系統(tǒng)運(yùn) 行的過(guò)程中，用戶的需求會(huì)存在不斷變化的情況，流量的到達(dá)會(huì)隨著網(wǎng)絡(luò)用戶行為的不同而有所變 化，導(dǎo)致單條服務(wù)鏈所需的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源 是動(dòng)態(tài)變化的。

此外，服務(wù)鏈本身的數(shù)量也是在不 斷變化，部分網(wǎng)絡(luò)業(yè)務(wù)需要臨時(shí)啟動(dòng)，部分業(yè)務(wù)在完成了業(yè)務(wù)服務(wù)之后需要關(guān)閉，這些動(dòng)態(tài)的過(guò)程對(duì) 服務(wù)鏈的映射提出了新的挑戰(zhàn)，這要求在服務(wù)鏈的映射過(guò)程中，充分考慮當(dāng)前網(wǎng)絡(luò)的現(xiàn)狀，同時(shí)預(yù)測(cè)未來(lái)網(wǎng)絡(luò)業(yè)務(wù)的變化趨勢(shì)，基于這些信息進(jìn)行網(wǎng)絡(luò)的業(yè)務(wù)服務(wù)鏈的映射，以便于進(jìn)一步的服務(wù)擴(kuò)容與節(jié)能安排。

此外，SDN網(wǎng)絡(luò)為了抗擊大規(guī)模的DDoS攻擊，需要利用分級(jí)分域的流量清洗中心完成。為了遵循盡量從源頭抑制攻擊的原則，SDN控制面需要掌握全局的網(wǎng)絡(luò)拓?fù)湟约鞍踩逑促Y源的分布，通過(guò)優(yōu)化t十算可以牽引來(lái)自不同入口的威脅流量就近完成清洗。

主機(jī)防護(hù)設(shè)計(jì)

SDN網(wǎng)絡(luò)控制器軟件通常運(yùn)行在高性能服務(wù)器的環(huán)境中，因此服務(wù)器的主機(jī)安全防護(hù)能力是整個(gè) SDN控制器軟件穩(wěn)定可靠運(yùn)行的基礎(chǔ)，需要構(gòu)建一個(gè)基于可信安全的主機(jī)防護(hù)架構(gòu)。

整個(gè)安全可信SDN控制器防護(hù)體系架構(gòu)，如下圖3所示。


其中，安全可信計(jì)算運(yùn)行環(huán)境，采用可信根為 引導(dǎo)，完成整個(gè)運(yùn)行環(huán)境不受外界木馬植入的威脅, 實(shí)現(xiàn)運(yùn)行環(huán)境的受控運(yùn)行。

通過(guò)可信運(yùn)行控制，完成上層應(yīng)用程序基于白名單的安全運(yùn)行控制，以防止惡意程序或未知病毒的運(yùn)行。主機(jī)入侵防護(hù)軟件, 安裝運(yùn)行在SDN控制器程序的同一虛擬機(jī)內(nèi)，主要完成主機(jī)的安全防護(hù)功能，對(duì)各類已知、未知攻 擊和惡意代碼進(jìn)行檢測(cè)分析，主要包括可執(zhí)行文件掃描、進(jìn)程行為監(jiān)控、惡意代碼分析、流量攻擊監(jiān) 測(cè)等，為計(jì)算環(huán)境抵御攻擊提供支撐。

安全防護(hù)虛擬機(jī)，提供L2?L7安全防護(hù)功能，能夠與虛擬交換機(jī)、虛擬機(jī)管理系統(tǒng)之間實(shí)現(xiàn)無(wú)縫結(jié)合。

根據(jù)攻擊強(qiáng)度，可動(dòng)態(tài)編排分配此虛擬機(jī)資源性能及數(shù)量，實(shí)施防護(hù)能力按需擴(kuò)展，可與網(wǎng)絡(luò) 控制器1 ：N配置（N N 1）。其安全防護(hù)功能采 用精細(xì)化多層過(guò)濾防御技術(shù)，通過(guò)報(bào)文合法性檢查、 特征過(guò)濾、虛假源認(rèn)證、應(yīng)用層認(rèn)證、會(huì)話分析、行為分析、智能限速等技術(shù)手段，阻斷針對(duì)協(xié)議棧 的威脅攻擊、具有特征的DDoS攻擊、傳輸協(xié)議層 威脅攻擊、應(yīng)用協(xié)議層攻擊、異常連接威脅、慢速 攻擊、突發(fā)流量攻擊等。

安全綜合管理虛擬機(jī)，作為一個(gè)獨(dú)立的虛擬機(jī)存在，實(shí)現(xiàn)安全監(jiān)測(cè)預(yù)警和綜合決策管理功能。安 全監(jiān)測(cè)預(yù)警模塊通過(guò)運(yùn)行在其他虛擬機(jī)上的探針上報(bào)各類安全事件和日志信息，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)監(jiān)測(cè)分析，及時(shí)發(fā)現(xiàn)各類網(wǎng)絡(luò)威脅攻擊，實(shí)時(shí)監(jiān)測(cè)各類主機(jī)安全運(yùn)行狀態(tài)，產(chǎn)生并展現(xiàn)網(wǎng)絡(luò)控制器的安全態(tài)勢(shì)，為安全綜合決策處置提供重要支撐。

安全綜合決策管理模塊，通過(guò)安全監(jiān)測(cè)預(yù)警模塊提供的安全態(tài)勢(shì)信息，通過(guò)綜合智能決策（應(yīng)急預(yù)案 庫(kù)、知識(shí)庫(kù)、機(jī)器學(xué)習(xí)）完成安全應(yīng)急處置任務(wù)的創(chuàng)建與下發(fā)。

全網(wǎng)分布式多級(jí)安全協(xié)同防御設(shè)計(jì)

由于常見(jiàn)的DDoS攻擊呈現(xiàn)分布式特征，其強(qiáng)度、時(shí)間、攻擊類型都存在不確定性，因此為了適 應(yīng)高強(qiáng)度的攻擊主機(jī)防護(hù)能力是不夠的，需要全網(wǎng)構(gòu)建多級(jí)檢測(cè)及清洗防御架構(gòu)，防御級(jí)別、資源數(shù) 量和力度均隨著攻擊強(qiáng)度進(jìn)行自適應(yīng)和調(diào)整，此外為了應(yīng)對(duì)分布式攻擊，需要建立分布式的區(qū)域檢測(cè)和清洗中心的模式進(jìn)行聯(lián)動(dòng)響應(yīng)，將流量盡可能的在源頭被抑制。

DDoS主要是耗盡型攻擊，其特征呈現(xiàn)為大流量，因此需要監(jiān)測(cè)、清洗、評(píng)估閉環(huán)控制。其中流量監(jiān)測(cè)的主要工作是分類統(tǒng)計(jì)流量，和預(yù)先配置的檢測(cè)閾值進(jìn)行比較來(lái)判斷是否啟動(dòng)清洗，閾值的合理設(shè)置涉及到周期性的網(wǎng)絡(luò)流量統(tǒng)計(jì)和機(jī)器學(xué)習(xí)等動(dòng)態(tài)流量基線技術(shù)，在檢測(cè)中也涉及到針對(duì)精細(xì)化的逐包檢測(cè)以及抽樣方式的逐流檢測(cè)等不同類型，以及基于大數(shù)據(jù)的信譽(yù)體系構(gòu)建，使得系統(tǒng)的檢測(cè)和處理更加高效。

其次，清洗技術(shù)涉及到報(bào)文攻擊 特征的識(shí)別與過(guò)濾，釆用預(yù)置攻擊特征的靜態(tài)指紋 與自動(dòng)學(xué)習(xí)的動(dòng)態(tài)指紋相結(jié)合，其中可以引入人工 智能機(jī)器學(xué)習(xí)等新技a術(shù)實(shí)現(xiàn)自動(dòng)提取指紋特征。

如下圖4所示為一個(gè)全網(wǎng)分布式多級(jí)縱深安 全協(xié)同防御的體系架構(gòu)，隨著攻擊強(qiáng)度的增加，一 旦超過(guò)流量閾值門限，SDN控制器集群會(huì)上報(bào)安 全事件給全網(wǎng)監(jiān)測(cè)預(yù)警中心，由監(jiān)測(cè)預(yù)警中心通過(guò) 事件分析與智能決策，按照就近引流原則牽引全網(wǎng)攻擊流量至多個(gè)分布式部署的區(qū)域清洗中心，完成 DDoS攻擊流量清洗，區(qū)域清洗中心的分布式部署可以按照分級(jí)分域的方式進(jìn)行設(shè)計(jì)，與網(wǎng)絡(luò)體系分 層架構(gòu)保持一致，盡量從攻擊源頭消除威脅。


結(jié)語(yǔ)

針對(duì)上述分析的SDN控制器面臨的各種安全 威脅情況，整個(gè)SDN網(wǎng)絡(luò)控制的安全防護(hù)的體系 架構(gòu)需要整體設(shè)計(jì)，提供可信可控、全維全時(shí)、協(xié) 同縱深的安全防護(hù)保障，能夠抵御來(lái)自各個(gè)層面的 攻擊威脅，為網(wǎng)絡(luò)防御行動(dòng)指揮和運(yùn)維管理提供智能高效、體系聯(lián)動(dòng)的安全防護(hù)保障，從而有效抵御 戰(zhàn)略對(duì)手大規(guī)模、高強(qiáng)度網(wǎng)絡(luò)攻擊，有效保障基礎(chǔ)網(wǎng)絡(luò)安全運(yùn)行、信息系統(tǒng)安全應(yīng)用、信息資源安全 共享，為基于網(wǎng)絡(luò)信息體系的聯(lián)合作戰(zhàn)提供牢固的 安全基石。

以上就是全網(wǎng)數(shù)據(jù)小編查閱資料所來(lái)特意給分享給大家，全網(wǎng)數(shù)據(jù)專業(yè)提供深圳服務(wù)器租用，深圳服務(wù)器托管，深圳主機(jī)租用，云服務(wù)器租用等服務(wù)，詳情歡迎咨詢客服了解。