[发明专利]一种基于SDN控制器的安全流过滤器及过滤方法

说明书

本发明涉及计算机技术和网络领域，尤其涉及一种基于SDN控制器的安全流过滤器及过滤方法。本发明可以让来自各种类型的未知流量信息在写入SDN控制器中流表之前，在流的必经之处建立安全流过滤器，让其进行流的分析处理，识别各种攻击或者嗅探流量，保证流表中数据的合法性，弥补防火墙带来的不足。本发明对现有网络是透明的，不需要修改现有网络的任何网元和架构，而且使用DPDK驱动程序使得流量过滤效率极高，不影响网络性能。本发明在不修改已经存在的SDN网络的前期下，利用最小的投资，加固整个网络的安全性。

技术领域

本发明涉及计算机技术和网络领域，尤其涉及软件定义网络(SDN)和网络安全控制领域。

背景技术

对于创新的新技术而言，人们很容易忽略安全问题。发明人在部署SDN时注意到几个安全问题，使得SDN技术面临诸多挑战，如恶意数据流、交换机流表篡改，应用程序漏洞、数据管理机密性与可用性威胁等，这些都是传统网络中常见的攻击，在SDN网络中依然存在。大多数软件定义网络的安全问题主要围绕控制器本身，控制器可以被认为是交换/路由的“大脑”，它允许来自每个系统的控制平面得到集中管理。控制器一旦失效，整个网络就会崩溃。对于安全管理人员而言，SDN的最大挑战是不惜一切代价地保护控制器。现在“大脑”已经从路由器或交换机中取出，并使用新的控制器来替代。一个很重要的安全问题是了解和审核谁访问过控制器以及控制器在网络中的位置，访问控制器可能让攻击者完全控制，因此，必须保护控制器的安全。

网络信息在控制器上的维护，通常依赖开辟专门的存储模块。控制器及应用程序根据网络状态下发策略。控制器维护的网络信息分为静态和动态两种。由于可控制器根据网络信息在网络中执行相应功能，当信息被非法写入时才会对网络传输产生破坏，因此控制器上网络信息维护的安全问题主要指数据完整性和可用性被破坏。数据信息被恶意程序或者攻击者篡改，是传统网络中常见的问题。在多控制器系统工作时，被篡改的控制器可以通过东西向接口修改其他控制器的信息，也可通过南北向的接口修改SDN交换机和应用程序的信息，扰乱正确的控制逻辑和用户数据。多控制器协同管理是存在数据可用性问题，比如，一个控制器节点出现错误导致与之协商的所有控制器都得到错误的网络信息，影响最终数据流向的策略。应用程序通过控制器提供的北向接口接入控制器，调用控制器管理资源，如果没有身份认证、权限管理、日志管理等功能模块，依然会出现传统网络中常见的非法应用程序接入、应用程序越权操作、绕过审计追踪等安全问题。此外，多个应用程序同时运行时可能由于控制逻辑完备性的缺失，导致策略不一致，主要表现为策略冲突和局部策略失效等问题。

攻击者可能会将攻击目标锁定为网络中的网元。理论上，攻击者能够非法获取对网络的物理或虚拟访问权，或是威胁到已与SDN连接的主机，然后发动攻击破坏网元的稳定性。这种攻击类似于拒绝服务(DoS)攻击，或是一种企图攻击网元的模糊攻击。目前控制器与网元之间的通信使用了大量的API(应用程序编程接口)和通信协议。SDN南向通信可能会用到OpenFlow(OF)、Open vSwitch数据库管理协议(OVSDB)、路径计算单元通信协议(PCEP)、路由系统接口(I2RS)、BGP-LS、OpenStack Neutron、开放管理基础设施(OMI)、Puppet、Chef、Diameter、Radius、NETCONF、可扩展消息处理现场协议(XMPP)、定位/标识分离协议(LISP)、简单网络管理协议(SNMP)、CLI、嵌入式事件管理器(EEM)、思科onePK、应用中心基础设施(ACI)、Opflex等协议。这些协议各自都有着一些确保与网络单元通信安全的方法。尽管如此，许多协议都非常新，部署者们可能并没有以最安全的方式设置它们。

在目前的SDN安全攻击中，攻击者可以利用这些协议尝试着将一些新流实例化至设备的流表中。攻击者会企图伪造一些新流，以让不应当通过网络的流量被允许通过。尽管流量定向负责指导流量通过防火墙，但如果攻击者能够创建一个可绕开流量定向的流，攻击者将会攻击成功。如果攻击者能够控制流量转向自己设定的方向，那么他们可能会尝试利用这一功能对流量进行嗅探，然后发动“中间人(MITM)”攻击。