基于SDN架构的电网通信恶意攻击防御控制方法

卢纯义

(1.华北电力大学 电气与电子工程学院，北京 102206；2.国网浙江兰溪市供电有限公司，浙江 兰溪 321100)

0 引言

互联网技术、移动互联网等新兴处理技术的发展对网络的带宽、网络的资源调度以及网络设备的合理使用提出了更高的要求[1]。随着互联网用户的海量增加，新型的网络平台如电商平台、社交平台、团购平台等都对现阶段的网络结构提出了更高更全面的需求。传统的网络结构已经无法满足现阶段的发展需求，针对日益复杂的网络环境，传统的网络架构的问题以及局限性已经展现出来，并且已经无法满足当前互联网的业务发展需求。近几年来，SDN的发展以及崛起为未来网络的发展奠定了坚实基础。基于SDN的强劲发展势头以及解决安全问题的迫切性，详细分析了SDN技术架构中存在的安全问题，其中最为重要的SDN控制器的安全问题也是重中之重。相关学者对SDN控制器的安全进行了研究。

蔡星浦等[2]提出基于多阶段博弈的电力CPS虚假数据注入攻击防御方法，通过CPS进行电网攻击风险检测，利用多阶段博弈提取虚假数据注入攻击，实现电力CPS数据的分阶段动态防御，此方法能够有效提升防御的实效性，但是存在通信误差。王晓妮等[3]提出基于免疫网络的ARP攻击防御方法，根据免疫网络方法进行App攻击消除，利用TCP/IP协议进行目的端检测，此方法能够有效提升防御检测。朱亚东[4]提出一种基于粗糙集和SPSO的网络入侵检测方案，采用粗糙集进行网络入侵特征分类，然后简化粒子群优化进行阈值参数计算，此方法能够有效提升防御有效性。

针对上述问题，设计并提出基于SDN架构的电网通信恶意攻击防御控制方法。通过具体的仿真实验，全面验证了所提方法的有效性以及优越性。

1 SDN架构

1.1 SDN架构的电网通信参数计算

SDN是从不同的角度对电信通信进行分析，SDN是一种全新的网络架构，它存在的意义就是增强整个网络的集中控制[5-7]。SDN网络的架构图如图1所示。

图1 SDN网络架构图

分析图1可知，SDN控制器与电网通信客户端进行对接，通过源交换机对目的交换机进行控制，各个目的交换机之间进行信息交换[8-9]。SDN的特点主要体现在以下3方面。

(1)转控分离；

(2)逻辑控制集中；

(3)网络能力开放化。

OpenFlow交换机在整个架构的基础设施层，它的存在就是为了进行数据包的转发[10]，它主要由3个不同的部分组成，具体如图2所示。

图2 OpenFlow交换机具体架构图

OpenFlow协议中核心部分为流表机制，通过流表机制能够完成网络的维护工作。

OpenFlow流表主要由以下几部分组成。

(1)匹配域；

(2)计数器；

(3)动作；

(4)安全通道。

在实际操作的过程中，需要将SDN架构中的控制层单独分离出来，控制层是整个架构最为核心的部分，实质上就是对网络操作系统进行控制。SDN架构具有承上启下的作用，同时还能对整个架构的最底层进行抽象管理，对整个架构的最上层进行编程接口，方便实现相关模块的设计。

通过统计分析模型，设定数据包的数量为Ni；正常情况下数据包的平均数为ni，则能够获取以下的计算为式(1)。

(1)

在信息论中，信息熵是系统中混乱度的一个度量指标，其中xi代表集合中第i个元素出现的次数，H表示信息在商，以下给出具体的计算为式(2)、式(3)。

(2)

(3)

式中，pi表示通信系数流量矩阵。如果设定α代表阶数，则α阶的Renyi熵的计算式为式(4)。

(4)

以下给出具体的约束条件为式(5)。

(5)

当α→1时，香农熵和Renyi熵的计算结果是一致的，即式(6)。

(6)

(7)

在上述分析的基础上，需要判定电信通信网络节点自身的能量，从而启动对应的控制模块，同时获取能量损耗P(α)ij的计算式为式(8)。

(8)

综合分析SDN架构的相关理论，将熵检测算法和阈值计算方法相结合[11-12]，分别计算通信网络中不同参数的取值，即式(9)。

(9)

其中,N表示自然数集，由此获得了电网通信参数值，根据这一结果进行以下研究。

1.2 基于SDN架构的电网通信恶意攻击防御控制方法

结合1.1小节的分析结果，用户能够对控制器进行自定义编程，所以能够利用控制提供的友好API对控制器进行模块开发，以下给出基于SDN架构的电网通信恶意攻击防御控制模块的具体设计过程，如图3所示。

图3 控制模块的具体流程图

网络攻击者对SDN架构发起恶意攻击时，将整个网络中全部的数据流发送至SDN架构最底层的交换设备中。分析SDN的相关理论可知，数据流内的数据包能够精准反映攻击者的特征。当攻击数据包到达SDN架构中的通信网络中，由于原始IP地址被攻击者伪造，无法完成流表项的匹配工作[13]，所以需要将其对应的处理，同时发送至控制器中。结合上述分析，需要对控制器进行编程，在编程的过程中获取数据包的相关特征，将这些特征设定为评判参数，为后续的研究提供对应的理论基础。

根据控制模块的设计流程，需要提取出一个或者多个流表项特征来完成Renyi熵的熵值计算。

分析相关的先验知识可知，一般情况下攻击者会伪造数据包的源IP地址。为了有效防御电网通信恶意攻击，需要有效防止控制器被流量击垮。

控制器在接收数据包的过程中，需要设定流量窗口的大小，然后分别对各个数据包的目的IP进行有效提取以及统计分析，最后进行熵值计算。

以下给出具体的电网通信恶意攻击防御控制方法的具体操作流程。

(1)当数据流发送到交换机时，通过交换机完成相关流表项的匹配。假设其满足相关的约束条件，则将数据包的字段记为X；反之无法进行匹配的流表项需要通过交换机发送数据包，同时利用控制器对数据包中的目的IP字段进行特征提取；

(2)结合步骤(1)，对X进行判定；假设X不在设定的哈希表中，则将其加入哈希表中，同时将其出现的次数记为mi；假设它已经存在哈希表中，则将它出现的次数记为mi+1；

(3)判断哈希表中总数据包的个数是否满足窗口的大小W，如果满足，则需要通过熵值计算式对窗口内的数据包进行熵值计算；否则，则继续等待下一个数据包的到达；

(4)如果步骤(3)计算得到的熵值低于阈值，则需要将异常队列计数器的取值加1；反之则将它的取值清零。假设异常队列计数器的取值高于或者等于阈值，则说明整个SDN架构的电网通信发生恶意攻击。

综合上述分析，将1.1小节的计算结果放置于设定的控制模块中，根据相关的防护需求，设定对应的SDN架构防护模块，将其应用于SDN架构中。追溯发生攻击的源头，对不同的攻击强度进行分级量化处理，完成电网通信恶意攻击防御控制。

2 仿真实验

为了验证所提基于SDN架构的电网通信恶意攻击防御控制方法的综合有效性，需要进行仿真实验，实验环境为英特尔奔腾(R)双核(2.69 GHz)，内存为2 048 MB。实验选用CheckPoint 仿真软件，具体的通信网络仿真系统拓扑结构如图4所示。

图4 通信网络仿真系统拓扑结构

攻击测试实验流程如下。

首先，电网用户利用仿真软件构建攻击测试提交给服务器；然后自动生成对应攻击测试脚本，进行攻击数据预处理；之后，进行解析脚本得到通信网络攻击数据存储；启动实验进行数据攻击存储检测，通过链路连接实现数据节点匹配，最后检测恶意攻击下不同方法的能量消耗、运行时间、相对误差等。

(1)能量消耗/J

以下分别给出3种控制方法在节点数量不断增加的情况下，各种方法的能量消耗情况，具体的对比结果如表1所示。

表1 所提方法的能量消耗变化情况

综合分析上述实验数据可知，随着节点数量的不断变化，各种控制方法的能量消耗也会随之发生变化。当节点数量为20个时，文献[2]方法能量消耗为50.13J，文献[3]方法能量消耗为50.01J，所提方法能量消耗为49.81J。当节点数量为100个时，文献[2]方法能量消耗为47.68J，文献[3]方法能量消耗为46.87J，所提方法能量消耗为38.72J。相比传统2种方法的能量消耗情况，所提控制方法的能量消耗在3种控制方法中为最低。

(2)运行时间/min

为了进一步验证所提方法的优越性，以下分别对比3种方法的运行时间，具体的对比结果如图5所示。

图5 不同控制方法的运行时间变化情况

分析图5可知，在实验次数不断增加的情况下，各种控制方法的运行时间也在不断发生变化。当实验次数为15次时，文献[2]方法运行时间为17 s，文献[3]方法运行时间为25 s，本文方法运行时间仅为5 s。当实验次数为50次时，文献[2]方法运行时间为21 s，文献[3]方法运行时间为28 s，本文方法运行时间仅为5 s。本文方法一直拥有较低运行时间，所提方法效率高。

(3)相对误差/%

为了更进一步验证所提控制的有效性，以下分别对比3种方法的相对误差，具体的对比结果如表2所示。

表2 所提控制方法的相对误差变化情况

综合分析上述实验数据可知，随着通信半径长度的不断增加，各种控制方法的相对误差也在不断变化。当通信半径为80 km时，文献[2]方法相对误差为4.7%，文献[3]方法相对误差为20.9%，本文方法相对误差仅为1%，本文方法相对误差较低。当通信半径为120 km时，文献[2]方法相对误差为25%，文献[3]方法相对误差为65%，本文方法相对误差仅为2%，与其他2种控制方法相比，所提控制方法的控制误差明显最低，这说明所提方法具有较高的准确性。

3 总结

针对传统的通信恶意攻击防御控制方法存在的一系列问题，设计并提出基于SDN架构的电网通信恶意攻击防御控制方法。通过实验得出以下结论。

(1)随着节点数量的不断变化，各种控制方法的能量消耗也会随之发生变化。当节点个数增加到1 000时，本文方法的能量消耗仅为41 J左右，远远低于其他2种传统方法，具有更好的性能。

(2)在实验次数不断增加的情况下，各种控制方法的运行时间也在不断发生变化。当实验次数为50次时，本文方法运行时间仅为5 s，所提方法效率高。

(3)随着通信半径长度的不断增加，各种控制方法的相对误差也在不断变化。当通信半径为120 km时，本文方法相对误差仅为2%，所提方法具有较高的准确性。