基于API调用管理的SDN应用层DDoS攻击防御机制

摘要

软件定义网络(SDN,software defined network)针对北向接口安全研究少,加之缺乏严格的访问控制、身份认证及异常调用检测等机制,导致攻击者有机会开发恶意的应用程序,造成北向应用程序接口(API,application programming interface)的滥用,不利于SDN的全面推广。针对应用层的分布式拒绝服务(DDoS,distributed denial-of-service)主要有两种样态:一是攻击者设计恶意App,绕过北向接口的安全审查,对某些API进行短时间大量调用,进而导致控制器崩溃,使整个网络瘫痪;二是攻击者以某个合法SDN应用程序作为攻击目标,对该应用程序所需用的特定API进行短时间大量调用,使该合法App无法正常调用API,进而使该合法App无法正常工作。与第一种攻击相比,第二种攻击更为隐蔽。因而,如何分辨App是恶意的还是合法的、如何对受攻击控制器上运行的App进行快速清洗以分离出恶意App、如何对合法App重新分配控制器以保证其正常运行,成为必须。在深入分析当前北向接口发展趋势的基础上,模拟并实践了对其可能的DDoS攻击样态,并据此提出了基于API调用管理的SDN应用层DDoS防御机制。该机制在SDN应用层和控制层之间增加了一层App管理层。通过对App的信誉管理、初始审查、映射分配、异常检测和识别迁移,来预判和抵抗恶意App对SDN的攻击。机制侧重于在攻击发生前对恶意App进行事先审查,以避免攻击的发生。若攻击已然发生,则对合法App和恶意App进行清洗分离。理论与实验验证表明,所提安全机制有效避免了SDN应用层的DDoS攻击,且算法运行效率高。