《软件定义安全》之六：SDN和NFV安全实践

第6章 SDN和NFV安全实践

1.基于流的安全防护

1.1 DDoS检测清洗

DDoS检测清洗应用ADS APP的设计思路：借助安全控制平台中流相关的组件，从SDN控制器中获得相应的流量，并根据抗DDoS应用订阅的恶意流特征进行检测，发现恶意流量后，应用可根据细粒度的检测判断是否出现恶意攻击。如是，则下发实时清洗的流指令，即可将恶意流量牵引到清洗设备ADS上。过程如下：
➊ 注册。启动阶段，ADS设备和ADS APP均向安全控制平台注册，提供自己的基本信息，如类型、位置和能力等。
➋ 订阅。为获取并检查可疑流，ADS APP向安全控制器发送订阅E=(et=FLOW_RETR, m=流监控模块, pattern=P, action=A)。
➌ 流统计获取和检查。流获取模块定期从SDN控制器查询流信息F，随后触发FLOW_RETR事件；流监控模块收到该事件后，根据模式P检查F。如有匹配流，则执行动作A，即将可疑流通知ADS APP。
➍ 策略生成。ADS APP接收到可疑流后，根据从IaaS系统和SDN环境获取的知识库进行细粒度检查。如是恶意攻击，则回溯到相应的受害客体或恶意主体，并下发防护策略。
➎ 策略解析执行。当策略推送到安全控制器后，策略被解析并被发送到网络控制器，当交换机应用流指令后，相应的恶意流被送到ADS进行清洗。

流程如下：