（中国石油集团安全环保技术研究院，北京 102206）

0 引言

DDoS是分布式拒绝服务攻击的简称，这种攻击与其他攻击相比具有较大的影响范围，可以使多台计算机在同一时间内遭到破坏，进而影响设备的具体应用。分布式拒绝攻击的出现对大型网站的安全运行造成了严重影响，在软件定义网络中有效保障DDoS安全可在维护用户正常使用状态的前提下，保障系统安全，避免由于信息遗失和系统瘫痪产生经济损失。

1 软件定义网络中的DDoS安全保证价值

公开资料显示，2019年，全球在通信服务、IT服务、设备、企业软件、数据中心系统中的支出分别为14 390.0亿美元、10 790.0亿美元、6 890.0亿美元、4 660.0亿美元、2 020.0亿美元，预计2020年，全球IT支出将达到38 750.0亿美元。目前，全球信息安全市场主要以服务为主，切实保证软件定义网络中的DDoS安全，可有效优化全球信息安全市场结构。公开资料显示，2014—2018年，我国网络信息安全行业的市场规模分别为191.0亿元、227.0亿元、336.2亿元、409.0亿元和495.2亿元，预计2021年，我国网络信息安全行业市场规模将达到926.8亿元。由此可知，我国对有效保障信息安全具有较高的重视程度，全面保证软件定义网络中的DDoS安全将有效提高我国在信息安全中的投入，扩大信息安全行业的产业规模。信息安全行业的上游产业主要包括硬件设备和基础软件，其中硬件设备又可覆盖基础元器件、芯片、内存，基础软件可包括操作系统、数据库、中间件等，面对信息安全事件频发以及网络安全事件出现对我国信息安全产生的严重不良影响，形成多元化的DDoS安全防御系统，并有效应用相关现代化安全漏洞修复方式和攻击检测、攻击屏蔽技术能够有效保证信息安全，形成健全的信息防护体系，继而全面落实工信部发布的《关于促进网络安全产业发展的指导意见》，形成制度化和系统化的信息安全维护体系。

2 软件定义网络中的DDoS攻击检测

目前，我国正处于全面推进现代化建设的关键时期，信息安全是现代化建设的基础，直接影响着现代化建设进程，要想构建完善的信息安全保障体系，提高软件定义网络中的DDoS安全防御针对性，应进行DDoS攻击检测，以下对检测方法进行介绍。

按照攻击目标，DDoS攻击可分为节点型攻击、链路型攻击、逻辑型攻击和反射攻击，可对网络系统运行状态造成不良影响。目前，常见的DDoS攻击主要包括SYNFlood攻击、UDPFlood攻击以及ICMPflood攻击，在攻击检测时，应进行数据收集和特征提取，OpenFlow系统具有较高的数据整合能力，可对流量数据进行清洗，并针对攻击特征进行选择，基于OpenFlow协议的DDoS检测技术主要包括异常检测和误用检测，在分类算法的支撑下，能够有效利用OpenFlow特征，进行流表处理和特征选择，继而开展分类检测。值得一提的是，针对传统网络中的DDoS攻击以及SDN中的DDoS攻击，在DDoS攻击的异常检测中还可有效应用基于统计分析的DDoS攻击异常检测算法以及基于机器学习的DDoS攻击异常检测算法，提高攻击检测的效率和攻击溯源的精准。

3 软件定义网络中的DDoS安全防御

3.1 基于SDSNM逻辑架构的防御体系

随着网络技术的迅速发展，保证信息安全和数据安全已成为我国相关部门的首要工作任务，公开资料显示，2019年1月—2019年12月，国家互联网应急中心接受网络安全事件报告数量分别为8 516.0个、6 995.0个、8 936.0个、8 722.0个、8 252.0个、7 765.0个、9 910.0个、9 405.0个、9 709.0个、13 840.0个、9 470.0个以及9 112.0个，由此可知，网络信息安全态势仍旧不容乐观。针对软件定义网络中的DDoS安全防御，可有效应用基于SDSNM逻辑架构的防御体系。

该防御体系具有基于Renyi熵的DDoS检测系统，该检测系统中的异常检测算法可基于特征度量值和异常度量值进行普通网络流量建模，完成数据流和模型的区别对比，同时，基于Renyi熵的DDoS检测算法则可实时检测网络的异常情况，判断系统是否遭遇攻击。以此为前提，基于SDSNM逻辑架构的防御体系，可通过参数选择、具体检测、短时检测，有效判断网络系统的安全环境。由此可知，基于SDSNM逻辑架构的防御体系具有较为完善的DDoS攻击检测系统，而基于SDSNM的逻辑架构则可使网络系统具备DDoS攻击防范能力。基于SDSNM逻辑架构的防御体系主要包括边缘网络和核心网络，可有效覆盖数据平面、控制平面和应用平面。其中，应用平面主要包括云平台、端系统以及相关SDN应用，可有效提高系统对DDoS攻击的反应效率，精准保障信息安全。

3.2 基于OpenFlow的攻击缓解方法

基于OpenFlow的攻击缓解方法主要是利用Ope-Low协议和DDoS检测技术进行的系统架构，利用OpenFlow流量特征可构建基于特征选择的攻击检测方法，该方法主要通过对整合的流表信息进行数据预处理，继而完成特征选择，在评价准则的支持下进行特征排序，构建特征子集，继而完成训练、分类，进行攻击的检测分析和精准处理。以此为前提，基于OpenFlow的攻击缓解主要体现在ACL管控和流量管理上，ACL管控主要是指访问控制列表，通过对位于路由器和交换机等网络设备上用来控制端口进出数据包的指令列表进行识别，对用户访问网络资源的行为进行管理和控制，同时，还可根据信息的匹配性完成列表指令信息的调用。该防御体系能够对出入网环境进行改良，通过优化访问路径，协调访问能力，进一步保证网络信息的安全和网络环境的稳定性。值得一提的是，ACL管控技术能够与Ope-Low协议进行协同配合，完成攻击检测结果的响应，继而通过网络控制器进行通信管理，从而实现DDoS攻击的缓解。流量管理主要是通过限速、分流来实现单点故障屏蔽和攻击缓解。另外，在基于OpenFlow的攻击缓解方法应用中，还可进行系统架构设计和功能描述，以攻击检测结果为前提，DDoS攻击缓解机制可进行结果的状态检测，并利用ACL管控将某些访问行为放置于黑名单或白名单内，通过主机选举和流量管理，导出缓解决策，与OpenFlow协议协同配合，精准发布控制命令，提高网络系统的稳定性，降低瘫痪风险[1]。

3.3 基于强化学习的攻击防御体系

随着信息技术的迅速发展，特别是云计算、大数据、物联网和人工智能等新一代信息技术的飞速发展，网络与信息安全风险全面泛化，种类和复杂度均显著增加，信息安全产品与服务种类也不断得到充实与细化[2]。在软件定义网络中的DDoS安全保障中，可有效利用基于强化学习的攻击防御体系。

目前，DDoS攻击技术主要包括资源带宽消耗型的攻击技术以及系统资源消耗型的攻击技术，基于强化学习的攻击防御体系主要利用了基于限速的DDoS缓解方法、马尔可夫决策过程以及基于策略的强化学习，基于近端策略优化算法的DDoS防御方法设计主要进行了状态空间设计、动作空间规划和奖励函数设计，并利用基于分配的限流方法和考虑效率的奖赏系数，搭建强化学习框架，主要包括数据分析模块、强化学习模块、动作下发模块以及完善的DDoS攻击防御流程，能够根据数据收集和评价标准以及机械和参数设计进行DDoS攻击的针对性防御[3]。

3.4 基于DPDK的攻击防御系统

目前，DDoS攻击的防御渠道主要包括防火墙及入侵检测防护系统、流量限速、黑洞路由、访问限制以及流量清洗，DPDK是数据平面开发套件的简称，主要基于Linux系统运行，用于快速数据包处理的函数库与驱动集合，可以极大地提高数据处理性能和吞吐量，提高数据平面应用程序的工作效率。基于DPDK可架构DDoS防御系统，利用DPDK数据包处理的加速原理，完成巡逻模式驱动和用户态驱动。在基于DPDK的DDoS攻击防御系统设计时，需进行系统需求分析，主要包括功能性需求分析和非功能性需求分析，继而针对性完成攻击防御系统的功能模块架构。该系统的功能模块主要包括数据包检测模块、管理中心模块以及流量清洗模块，数据包检测模块和流量清洗模块可将日志上报至管理中心，由管理中心进行日志收集和策略下发，对DDoS攻击进行针对性防御。

4 结语

总而言之，严峻的网络信息安全态势要求软件定义网络具有完善的DDoS安全防御系统，切实保障信息安全和网络环境安全。基于软件定义网络中的DDoS安全保障价值，应利用相关现代化技术对软件定义网络中的DDoS攻击进行全面检测，并利用基于SDSNM逻辑架构的防御体系、OpenFlowow的攻击缓解方法、强化学习的攻击防御体系以及基于DPDK的攻击防御系统保障信息安全。