软件定义网络（SDN）的安全挑战和机遇

写在前面的话

看个数据：

2016年，市场研究公司国际数据公司(IDC)预测，到2020年，SDN网络应用的市场规模将达到35亿美元。

这个数据在工业领域，“规划计算机网络”的愿景让许多IT经理和决策者兴奋不已。因此，人们对SDN的承诺寄予了很高的期望。诺基亚、思科、戴尔、惠普、瞻博、IBM和VMware等领先的IT公司都开发了自己的SDN战略。主要交换机供应商以及许多前景看好的初创公司都提供支持SDN的交换机。

那么作为研究生或者博士，在目前这个阶段我们有哪些研究方向？该怎么选择呢？我搜集了一些资料，主要参考文献来自2017年《Security Challenges and Opportunities of Software-Defined Networking》，在2018年CCS年《Cross-App Poisoning in Software-Defined Networking
》中引用这篇文章的观点，所以值得借鉴，供大家参考~

SDN是什么？

本质：SDN提供了一种虚拟化网络基础设施的方法简化网络基础设施，并集中配置和管理网络。

具体：将传统路由器和交换机中的控制平面和数据平面分离，控制平面决定将分组发送到何处，数据平面负责转发。

关于SDN具体的一些知识可以查阅书籍，或者去SDNLAB看看。

有必要研究SDN的安全问题吗？

SDN热度很高在于新的网络结构具有新的能力，伴随的安全问题才是我们这些搞安全研究的重点。这个问题其实一直都有争议，有人说SDN带来的安全问题是可控的，SDN甚至可以带来安全效益，但也有人认为SDN就是潘多拉魔盒，它已经被打开，会使得其变得很复杂不可控，即使可控也很难控制。那我们还有必要研究里面的安全问题吗？有什么意义呢？

从开头的数据可以看出来这是有意义的，传统网络的孱弱不是一天两天了，如果没有更好的网络结构提出，SDN自然是研究的热点。

SDN的优点与缺点

要分析其安全问题必然得从SDN本身出发，通过以下四个方面来看SDN的优点与缺点。

SDN中的集中化

通过设计，SDN集中了许多传统上分散的网络方面。例如，SDN驱动的网络可能提供集中位置来管理数据平面。新算法采用集中式数据模型，这在传统网络中是不可能的。这是一个根本性的变化。SDN增加了网络复杂性，大量相互交织的算法可能会发出相互矛盾的安全策略。

集中化的好处是，在集中式环境中，应对和消除不一致问题要容易得多。这对许多策略类型都有积极的影响，包括集中式路由算法、防火墙和网络监控方法。

坏的方面与众所周知的单点故障问题有关，单点故障降低了分布式系统的弹性。传统网络是否已经不提供单点故障是值得商榷的，但是SDN添加了一些额外的集中点，这些集中点可能会被突然拥有监视和操纵网络的中心位置的内部攻击者，或者需要比较较少易受攻击的SDN组件来获得完全网络控制的外部对手所利用。需要进一步考虑如何保护SDN免受此类攻击。此外，SDN的集中式决策引擎增加了一种新类型的拒绝服务(DoS)矢量。实际上，攻击者可能会用需要持续决策的未知流使控制器过载。另一方面，SDN的集中化可以更有效地管理现有的DoS攻击类型，因为它具有网络拓扑的全局视图，并且可以将这些信息与流量分析相关联，以便更可靠地检测攻击。

SDN强加的集中化带来了新的挑战，但好处似乎占主导地位。然而，重要的是要解决这方面的公开研究问题，以确保集中式SDN系统的安全性和弹性。

对于攻击者和防御者，谁的好处更多？

SDN的好处与它为防御者提供的优势和对攻击者造成的限制有关。

SDN的集中式架构以其对网络的全球视野、开放的硬件接口和集中式控制来支持防御者，并允许他们创建量身定制的安全解决方案，例如用于无线网络中的异常检测。缺点是集中化的架构、缺乏防御者的专业知识和仍然不成熟的技术使攻击者受益。对SDN控制器的攻击和恶意控制器应用程序的引入可能是对SDN最严重的威胁。

攻击者和防御者的灵活性和适应性

SDN真正增加的安全价值，是它能够通过API与交换机和路由器交互。

这些API可用于与完全采用SDN范例无关的许多与安全相关的任务。

对于防御者来说，可以更轻松地静态或动态隔离网络、改进客户端身份验证和授权、启用主动响应(阻止、限制)、获取网络概况以创建对当前安全状况的感知、自适应监控网络，并提高受到攻击时的恢复能力。

对于攻击者来说，网络侦察、分析适当分离的网络环境、使用欺骗的中间人攻击和系统瘫痪等与攻击相关的活动变得更加困难。

SDN的潜在问题，主要涉及增加的复杂性，例如，必须配置来自不同来源和不同用户的支持SDN的交换机。这允许攻击者以任意方式控制操作，迷惑或蒙蔽防御者，并造成不一致。他们可以从单个位置获得更细粒度的全球网络视图。此外，它们还可以利用灵活性带来的额外复杂性(例如，对交换机和控制器端的操作攻击)。动态配置使防御者更难判断当前或过去的配置是有意的还是正确的（这一点在2018年CCS的跨应用中毒文章中提到）。用户友好的工具越多，人工干预和对底层技术和协议的深入理解就越少。此外，灵活性使得很难定义有意义的SDN网络策略，例如哪些流受到特定网络应用程序的影响并以特定方式进行修改。SDN提供的灵活性可能会放大网络目标和安全需求之间的冲突。

SDN是更复杂，还是更简单？

SDN通过将网络拆分成分散的数据平面和逻辑集中的控制平面来降低复杂性。

对于路由等概念，SDN中的软件方法似乎比经典网络中的分布式方法简单得多。与这种说法相反的是，在简单的SDN模型中隐藏了两个方面，将控制器视为单个实体而不是分布式系统：对可伸缩性和操作要求的需要，例如，考虑容错。两者都强烈呼吁使用分布式方法。此外，完全用软件实现控制平面也带来了算法复杂性的问题。这是由于没有对传统网络强加的额外要求，但现在在SDN中是可以想象的。虽然就可能的功能而言，这是一个独特的卖点，但它引起了严重的安全问题，因为它反对简单性，而简单性是构建安全系统的关键设计原则。将数据和控制平面分开会创建不同的视图，并强调它们的一致性，这使得创建整体安全解决方案变得困难。

SDN在系统复杂性和简单性方面引入了大量的挑战。它有可能变得简单，但使它变得简单是相当复杂的。组件的分解很容易，但它们的安全重新组装仍然具有挑战性。因此，必须考虑关于功能必要性的自我限制，以允许SDN的简单和安全的设计、实现和操作。

研究方向

四个主线研究方向如下。

安全SDN配置的自动派生

自动导出安全的SDN配置是一个重要的研究目标。这需要通过为表示SDN网元的所有状态的全范围网络组件提供附加信息元素来扩展现有方法。可用于评估SDN网络安全的方法也需要改进，范围从渗透测试到正式的分析工具，如策略检查器。

SDN环境中的安全操作

SDN不太可能完全取代现有的、非基于SDN的环境，也不太可能是完全分散的，而不是增量的。混合操作和逐步引入SDN将导致需要进一步研究的问题，以得到充分理解和缓解。SDN的人员和组织维度必须仔细筛选，以确定谁负责什么以及为什么，并主动确定可能使系统不安全的可能冲突。具体地说，这是因为SDN应用程序响应来自不同应用程序或组织的可能相互冲突的要求。最后但并非最不重要的一点是，有人担心SDN环境会使诸如隐蔽通道等老威胁重新焕发活力，并以意想不到的方式扩大攻击面。

基于SDN的安全性

SDN存在几种典型的攻击，考虑到SDN如何不仅能够启用新的网络安全机制来预防、检测或应对此类攻击，而且还可以更好地进行取证分析。在高层次上，确定了安全机制应该用来更好地保护基于SDN的环境的两个主要功能。首先，SDN和通过所有活动的网络组件控制网络设备，允许在任何地方检查或过滤流量。其次，SDN提供了与网络交互的标准化接口，允许实现跨平台的安全机制。这些领域已经得到了一定的重视，但值得进一步研究。

SDN的安全架构

设计适用的体系结构模式和最佳实践，以提高安全性，这个问题的解决需要更深入、更长时间的研究。网络应用程序在这样的架构中的概念和作用是普遍关注的问题。

总结

SDN将会继续存在，但它的精确定义却在不断变化。它为保护网络安全提供了许多优势，但它也提出了与新的漏洞和增加的攻击面相关的问题，这些问题必须诚实地面对。

简单的SDN解决方案促进了SDN的安全，但是保持SDN的简单是复杂的！保障SDN网络的安全将需要安全的SDN网络应用及其组合。这不仅需要进一步研究网络安全，还需要进一步研究安全软件工程。如果没有清晰的SDN安全研究路线图，SDN的好处可能很快就会被其安全问题所淹没，我们将面临一个艰难的选择：要么通过部署不安全的SDN网络来打开潘多拉的盒子，要么停止从前景看好的网络通信范例中获益。

【研究方向是SDN该怎么做？】软件定义网络（SDN）的安全挑战和机遇相关推荐

1. 软件定义网络SDN（计算机网络-网络层）

   目录 软件定义网络SDN 数据平面和控制平面 SDN 最重要的三个特征 控制平面与数据平面分离 SDN 的数据平面 软件定义网络SDN  SDN的本质特点是控制平面和数据平面的分离以及网络的可编程性, ...

2. 软件定义网络SDN(特点、实现途径与展望)

   SDN软件定义网络简介 软件定义网络(SDN,Software Defined Network),是由美国斯坦福大学clean slate研究组提出的一种新型网络创新架构,其核心技术OpenFlow通 ...

3. 推荐书籍：软件定义网络 SDN与OpenFlow解析

   <软件定义网络(SDN与OpenFlow解析)>由纳多.格雷所著,是关于SND 的 指南,全面介绍了SDN 的定义.协议.标准及应用,讨论了当前OpenFlow 模型及集中式网络控制.数据 ...

4. 浅谈软件定义网络SDN

   浅谈软件定义网络SDN 前言 学习主要内容 一.SDN简介 二.SDN的三个主要特征 转控分离 集中控制 开放接口 三.SDN的工作原理 SDN网络架构的三层模型 SDN网络架构下的三个接口 SDN基 ...

5. 什么是软件定义网络 (SDN)

   什么是软件定义网络? 软件定义网络 (SDN) 是一种架构,它抽象了网络的不同.可区分的层,使网络变得敏捷和灵活,SDN 的目标是通过使企业和服务提供商能够快速响应不断变化的业务需求来改进网络控制. ...

6. 浅谈软件定义网络(SDN)技术研究现状和发展趋势

                      浅谈软件定义网络(SDN)技术研究现状和发展趋势 友情全文PDF链接:浅谈软件定义网络(SDN)技术研究现状和发展趋势.pdf-网络基础文档类资源-CSDN下载 ...

7. 软件定义网络:SDN与OpenFlow解析pdf

   下载地址:网盘下载 编辑推荐 迄今为止SDN研究与实践领域最重要的著作.一线专家多年厚积薄发的力作,网络可编程技术无可替代的权威解读,全面覆盖SDN最新定义.协议.标准和实践 ONF全球特邀研究顾问. ...

8. vmware服务器虚拟化部署sdn,使用VMware的NSX多面落地软件定义网络SDN视频课程

   1 为什么需要SDN及它的定义.争议.落地 分解初涉人群理解数据中心SDN的难点在哪里,先通过举个一典型云计算的交付环境DCaas交付来落地SDN,首先理解DCaas是什么,它是如何发展起来的.物理基 ...

9. 软件定义网络(SDN)研究进展

   写在前面 这是我入门SDN以来的第一篇论文,它是一篇中文综述,看起来相对容易.也让我对SDN有了进一步的认识.下面是我的一些心得. 全文框架 SDN 将数据平面与控制平面解耦合,简化了网络管理. SD ...

10. 软件定义网络SDN基础实验：MiniNet常用命令、创建网络拓扑、OpenFlow流表操作

    此实验基于<软件定义网络实验1-5>,主要内容为: MiniNet常用命令 如何创建网络拓扑 OpenFlow流表操作 00x1 搭建SDN环境 SDN 环境配置:Mininet + Ry ...

最新文章

1. Smarty中的变量
2. 购买使用vps建站(3)
3. BitHacks--位操作技巧
4. 网卡不兼容linux系统,CentOS与Broadcom 5709兼容性问题导致业务网络中断
5. win10天气是英文的
6. 给图片加边框源代码c语言,给图片加框的代码及效果
7. R语言survival包的coxph函数构建生存分析回归模型、survfit函数处理cox模型、输出样本个数、事件数、生存时间中位数及其95%置信区间
8. 服务器托管单线、双线以及多线如何区别
9. HTML5教程之FileList文件列表对象的应用
10. 「数据库」sql刷题（No.11）
11. 软考英文缩写_计算机软件常见英文缩写及对应全称
12. bitmap内存溢出
13. 使用百度云加速防apache的ab测试ddos攻击
14. lio-sam框架：点云匹配之手写高斯牛顿下降优化求状态量更新
15. mysql 连接 linux命令行_linux命令行链接mysql数据库
16. 【1404】我家的门牌号
17. word文档不能输入中文
18. iostream中的格式控制符
19. .NET相关的最好东西－－全球最新评价
20. RobotFramework实现嵌套For循环

热门文章

1. VB100十月测试：360可牛凯歌高奏 金山失利瑞星缺席
2. 图片服务 - thumbor成像
3. 如何在六个月或更短的时间内成为DevOps工程师（三）：版本控制
4. HanLP《自然语言处理入门》笔记--5.感知机模型与序列标注
5. 【Nginx那些事】Nginx 配置文件说明
6. C#LeetCode刷题之#674-最长连续递增序列（ Longest Continuous Increasing Subsequence）
7. React Native Styling：样式化的组件，Flexbox布局等
8. 如何使用Bootstrap Modal和jQuery AJAX创建登录功能
9. android项目实战博学谷源码_阿里爆款SpringBoot项目实战PDF+源码+视频分享
10. win8关机快捷键_关机这么简单的电脑操作，大家了解吗？