@EggGump
2019-04-02T16:51:52.000000Z
字数 2154
阅读 1296
A Survey of Security in Software Defined Networks
sdn survey
Scott-Hayward S , Member, IEEE, et al. A Survey of Security in Software Defined Networks[J]. IEEE Communications Surveys & Tutorials, 2016, 18(1):623-654.
本篇是16年的综述,参考 文献不是特别新,内容一般吧。
Introduction
本文的整体框架如图1所示:
SDN特性
图2列出了SDN的基本特性
- 逻辑结构中心化控制
- 东西协议:Controller间通信
- 如何配置switch
- ODL可热加载第三方应用
- 可根据用户需要进行配置,更加灵巧
- 可集成在Controller中的控制单元
分布式Controller和层次式Controller结构如图3:
SDN的应用,控制,数据层架构如图4
潜在的安全因素分析
有关安全因素分析的文献的总结见表1:
都是一些一般的论文,应该可以总结出一些需要解决的问题。
存在的安全问题总结见表2:
表3对表2中提出的问题对就原解决方法进行了总结
未授权准入问题
总结于表4
提出的解决方法有:签名算法下发流表,会境加签名检查信息传输的开销;拜占庭容错分布式Controller,分层Controller系统,给每个应用赋不同的权限,是一种隔离应用机制;应用权限检查机制,使Controller能基于角色进行授权,基于主机证书的授权机制。[50]的质量较好。
被挟持应用或恶意应用问题
controller中的应用需认证,对多个应用下发rule冲突的解决办法即是对高优先级的进行保留。表5是该部分问题的总结。
、
[52]提出的是一种授权机制,每个应用都在一个的沙箱中运行,网络范围支持事务的原子更新和回滚。
[53,54]则隔离应用。
DOS
总结表6
[55]提出通过减少数据层发送的包数来缓解Controller-Data的连接瓶颈问题,并利用工具移除未完成的TCP会话。
[56]提出失败交换机到备份交换机的无缝转换方法
[57]对源IP进行检测,如果没过关就将该ip发的包全丢弃。
[58]委派授权的方式解决控制器瓶颈问题
[55]和[57]可以看一下。
Configuration Issues
总结表7
[59]提出当网络出错时进行检测
[62]提出利用静态分析工具诊断网络
缺点:不能实时
[63]提出将网络作为一个图来检测路由表中的环和不可达路径。
[64]利用包头分析增量检查状态改变
[66,67]自动,实时地跟踪网络流路径和检查规则依赖
[69]转换流规则成非重叠规则
[68]分层管理策略,不大能满足可伸缩性
[62][63][64][75][76]还可以。
System Level SDN Security
总结表8
系统级SDN安全可以在云,数据中心,移动方面布署。
[78]结合HIP和OpenFlow进行安全地改变移动过程中的IP
[79]对78进行改进,提高控制信道的安全
[80]提供了一个基于FortNOX的应用开发框架
使用SDN框架对网络安全进行加固
表9总结了6种可提升安全的方法,利用SDN特性,应用-控制,接口安全性作为未来研究方向。
Collect,Detect,Protect
总结见表10
[88]结合OpenFlow和sFlow进行异常检测,目的是为了防止Control plane过载。
[89]一个完 整的反馈控制方法的动态可编程架构。
[90]L-IDS,利用SDN进行异常检测并重配网络,解决移动设备的入侵检测问题
[91]基于流收集检测过载行为,解决数据中心网络的过载问题
[92]利用多Controller,使用sFlow监控网络,开发利用北向接口通信的应用而不是直接运行在控制器上,克服一些限制。
[93]利用动态多优化实现的一个认知模型,目的是加强SDN的安全。
[89][93]还可以。
Attack Detection and Prevention
总结表11
[94]动态授权控制,提升企业网的攻击晌应能力
[55]前面已提到,解决瓶颈问题
[95]对流进行加标签,目的是防预企业网中恶意软件和数据泄露
[96]利用虚拟,真实地址映射来防止地址发现。
[97]通过混淆来保护网络
[98]利用基于OF的入侵检测监控网络流量,保护云端虚拟机
[96,98]可以看一看
DDoS 保护
总结表12
[104]通过统计流并发送给Controller来计算异常还是正常从而检测DDoS攻击检测
[105]当对一个主机的请求超过一个给定阈值时认定为攻击,Controller对发送率限制从而进行阻止攻击传播
[106]利用OF和LISP基于流容量进行异常检测
[107]在Controller里运行应用监控流并检测异常
Security Middlebox
总结表13
[108][110][109],[114]可看一看。
AAA
基于SDN的审计系统
总结表14
Secure,Scalable Multi-Tenancy
总结表15
利用SDN的中心化和可编程加固datacenter和cloud network。
Discussion:More or Less
结论:增加了一些功能,但还需要更多的调研才可引入实际应用中。建意SDN布署中支持的如图8
一些SDN的论坛组
表16
