软件定义网络(SDN,software defined network)针对北向接口安全研究少,加之缺乏严格的访问控制、身份认证及异常调用检测等机制,导致攻击者有机会开发恶意的应用程序,造成北向应用程序接口(API,application programming interface)的滥用,不利于SDN的全面推广.针对应用层的分布式拒绝服务(DDoS,distributed denial-of-service)主要有两种样态:一是攻击者设计恶意App,绕过北向接口的安全审查,对某些API进行短时间大量调用,进而导致控制器崩溃,使整个网络瘫痪;二是攻击者以某个合法SDN应用程序作为攻击目标,对该应用程序所需用的特定API进行短时间大量调用,使该合法App无法正常调用API,进而使该合法App无法正常工作.与第一种攻击相比,第二种攻击更为隐蔽.因而,如何分辨App是恶意的还是合法的、如何对受攻击控制器上运行的App进行快速清洗以分离出恶意App、如何对合法App重新分配控制器以保证其正常运行,成为必须.在深入分析当前北向接口发展趋势的基础上,模拟并实践了对其可能的DDoS攻击样态,并据此提出了基于API调用管理的SDN应用层DDoS防御机制.该机制在SDN应用层和控制层之间增加了一层App管理层.通过对App的信誉管理、初始审查、映射分配、异常检测和识别迁移,来预判和抵抗恶意App对SDN的攻击.机制侧重于在攻击发生前对恶意App进行事先审查,以避免攻击的发生.若攻击已然发生,则对合法App和恶意App进行清洗分离.理论与实验验证表明,所提安全机制有效避免了 SDN应用层的DDoS攻击,且算法运行效率高.

拒绝服务攻击;网络安全;软件定义网络;北向接口

王洋;汤光明;王硕;楚江

信息工程大学,河南郑州450001;中国西安卫星测控中心,陕西西安710043

网络与信息安全学报

[1]王洋;汤光明;王硕;楚江-.基于API调用管理的SDN应用层DDoS攻击防御机制)[J].网络与信息安全学报,2022(02):73-87

API,调用,SDN,应用层,DDoS,攻击防御,防御机制,软件定义网络,software,defined,network,北向接口,安全研究,访问控制,身份认证,攻击者,机会开发,恶意,应用程序接口,application,programming,interface,全面推广,分布式拒绝服务,distributed,denial,service,App,绕过,安全审查,崩溃,瘫痪,某个,攻击目标,需用,第一种,第二种,重新分配,该机,管理层,信誉管理,异常检测,检测和识别,击发,生前,行事,事先,安全机制,拒绝服务攻击

0.325507