欢迎来到天天文库
浏览记录
ID:31359036
大小:106.50 KB
页数:5页
时间:2019-01-09
《基于 sdn的网络攻击防御平台研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基于SDN的网络攻击防御平台研究 摘要:传统以防火墙为中心的网络攻击防御系统有其盲点,SDN交换机通过协同作业刚好可以弥补这个盲点,该研究通过实验了解SDN协同防御机制,在内网可以通过0.6秒的反应时间达到98.5%的scanpacket阻拦率,有效地把防御阵线由防火墙直接拉到贴近使用者的交换机,SDN交换机将来在网络安全领域十分值得期待。 关键词:SDN;OpenFlow;网络攻击防御 中图分类号:TP393文献标识码:A文章编号:1009-3044(2016)26-0050-02 1简介 传统上在讨论网络攻击防御的时候,基本架构是以防火
2、墙、UTM为主,入侵监测系统为辅,这架构在当大部分的威胁都来自外网的时候是有用的,但是当时代慢慢改变,BYOD与APT等攻击慢慢把Malware渗透进内网的时候,LAN-to-LANattack并不容易让防火墙察觉,因此,在攻击趋势慢慢挪向内网的今天,防火墙与内网使用者的距离似乎就显得有点远了。 近年来Software-DefinedNetworking这概念提供大家另外一种思考的面向,监测是否可以分割交换机的controlplane与dataplane,并且封装其操作dataplane的复杂度,让各家厂牌的交换机只要遵循一种统一的API就可以被管
3、控。如此一来,监测便有机会把防御阵线再更贴近使用者一些,使得本来很难监测的LAN-to-LANattack可以轻易地被发现。5 以下本文会说明SDN的原理与概念,并说明以防火墙为中心的网络防御盲点,以及监测如何利用SDN协做来克服,并通过实际的测试验证系统的适用性。 2Software-DefinedNetworking 一般的网络交换机可以分成controlplane和dataplane两个部分,controlplane主要负责对dataplane下控制命令以及撷取相关统计资料,而dataplane主要是负责封包出路的查找与转送。传统的网络交
4、换机通常会把controlplane和dataplane都做在交换机里面,因为各家的dataplane都不尽相同,所以相对应的管控与操作方式也不太一样,所以做在一起似乎是理所当然,但是这样会导致多样化的管控界面,而多样化的交换机管控界面对于资安维护是不方便的。 软件定义网络(Software-DefinedNetworking,以下简称SDN)是最近新兴的一种网络概念,它最主要的想法是把网络交换机的controlplane和dataplane分开,使得controlplane不再只是内嵌于交换机内部不易修改的firmware(韧体),而是可以成为独
5、立于交换机之外的controller。通过独立出来的controller,监测可以通过软件的方式实时地管控交换机的dataplane,进行必要的网络流量调控,如图1[1]所示。然而为了要让controlplane能独立于外,监测便需要在controlplane和dataplane中间加一层通用的interface,使得controlplane可以藉由这层通用的interface来避免面对不同dataplane的复杂度。目前大家接受度比较高的通用interface是ONF组织所定义的OpenFlowSwitchSpecification[2],通过Op
6、enFlow的API5监测可以实时地控制dataplane进行网络流量阻断或是转送,而不用担心该交换机是那一种厂牌、需要用那一种管理方式。 因此监测可以说SDN所带来的是一种新的网络概念与界面。 3以SDN为基础的网络攻击防御平台设计 SDN最初的应用环境是大型的校园网路,之后慢慢地延伸到datacenters与cloudenvironments,基本上是藉助于SDN交换机方便的实时流量管控能力以进行流量工程,在本文中监测主要分享如何通过SDN交换机进行网络攻击的防御,尤其是在防火墙保护不到的内网。 图2是一般的网络防御示意图,通常监测以防火
7、墙(Firewall,FW)为界分为内网(LAN)与外网(WAN)。监测通常会把入侵监测系统(IDS)放在外网,希望能够了解谁在打监测或是企图攻击监测的servers,也会把Botnet监测系统(BotnetIDS)放在内网,当内网的bot企图要对外连线时,监测可以知道它在内网的IP为何,但是,这样的防御机制有个缺憾,就是LAN交换机(SW)对网络攻击没有分辨能力,如果BotHost去攻击一个正常的NormalHost,攻击封包只会通过LANSW转送,但是因为LANSW无识别能力,所以不会发alerts,因为该流量也不会经过BotnetIDS,所以B
8、otnetIDS也不会知道,FW也不会知道,很有可能只有当NormalHost也沦陷开始进行对外的C&C连线
此文档下载收益归作者所有