卢纯义
(1.华北电力大学 电气与电子工程学院,北京 102206;2.国网浙江兰溪市供电有限公司,浙江 兰溪 321100)
互联网技术、移动互联网等新兴处理技术的发展对网络的带宽、网络的资源调度以及网络设备的合理使用提出了更高的要求[1]。随着互联网用户的海量增加,新型的网络平台如电商平台、社交平台、团购平台等都对现阶段的网络结构提出了更高更全面的需求。传统的网络结构已经无法满足现阶段的发展需求,针对日益复杂的网络环境,传统的网络架构的问题以及局限性已经展现出来,并且已经无法满足当前互联网的业务发展需求。近几年来,SDN的发展以及崛起为未来网络的发展奠定了坚实基础。基于SDN的强劲发展势头以及解决安全问题的迫切性,详细分析了SDN技术架构中存在的安全问题,其中最为重要的SDN控制器的安全问题也是重中之重。相关学者对SDN控制器的安全进行了研究。
蔡星浦等[2]提出基于多阶段博弈的电力CPS虚假数据注入攻击防御方法,通过CPS进行电网攻击风险检测,利用多阶段博弈提取虚假数据注入攻击,实现电力CPS数据的分阶段动态防御,此方法能够有效提升防御的实效性,但是存在通信误差。王晓妮等[3]提出基于免疫网络的ARP攻击防御方法,根据免疫网络方法进行App攻击消除,利用TCP/IP协议进行目的端检测,此方法能够有效提升防御检测。朱亚东[4]提出一种基于粗糙集和SPSO的网络入侵检测方案,采用粗糙集进行网络入侵特征分类,然后简化粒子群优化进行阈值参数计算,此方法能够有效提升防御有效性。
针对上述问题,设计并提出基于SDN架构的电网通信恶意攻击防御控制方法。通过具体的仿真实验,全面验证了所提方法的有效性以及优越性。
SDN是从不同的角度对电信通信进行分析,SDN是一种全新的网络架构,它存在的意义就是增强整个网络的集中控制[5-7]。SDN网络的架构图如图1所示。
图1 SDN网络架构图
分析图1可知,SDN控制器与电网通信客户端进行对接,通过源交换机对目的交换机进行控制,各个目的交换机之间进行信息交换[8-9]。SDN的特点主要体现在以下3方面。
(1)转控分离;
(2)逻辑控制集中;
(3)网络能力开放化。
OpenFlow交换机在整个架构的基础设施层,它的存在就是为了进行数据包的转发[10],它主要由3个不同的部分组成,具体如图2所示。
图2 OpenFlow交换机具体架构图
OpenFlow协议中核心部分为流表机制,通过流表机制能够完成网络的维护工作。
OpenFlow流表主要由以下几部分组成。
(1)匹配域;
(2)计数器;
(3)动作;
(4)安全通道。
在实际操作的过程中,需要将SDN架构中的控制层单独分离出来,控制层是整个架构最为核心的部分,实质上就是对网络操作系统进行控制。SDN架构具有承上启下的作用,同时还能对整个架构的最底层进行抽象管理,对整个架构的最上层进行编程接口,方便实现相关模块的设计。
通过统计分析模型,设定数据包的数量为Ni;正常情况下数据包的平均数为ni,则能够获取以下的计算为式(1)。
(1)
在信息论中,信息熵是系统中混乱度的一个度量指标,其中xi代表集合中第i个元素出现的次数,H表示信息在商,以下给出具体的计算为式(2)、式(3)。
(2)
(3)
式中,pi表示通信系数流量矩阵。如果设定α代表阶数,则α阶的Renyi熵的计算式为式(4)。
(4)
以下给出具体的约束条件为式(5)。
(5)
当α→1时,香农熵和Renyi熵的计算结果是一致的,即式(6)。
(6)
(7)
在上述分析的基础上,需要判定电信通信网络节点自身的能量,从而启动对应的控制模块,同时获取能量损耗P(α)ij的计算式为式(8)。
(8)
综合分析SDN架构的相关理论,将熵检测算法和阈值计算方法相结合[11-12],分别计算通信网络中不同参数的取值,即式(9)。
(9)
其中,N表示自然数集,由此获得了电网通信参数值,根据这一结果进行以下研究。
结合1.1小节的分析结果,用户能够对控制器进行自定义编程,所以能够利用控制提供的友好API对控制器进行模块开发,以下给出基于SDN架构的电网通信恶意攻击防御控制模块的具体设计过程,如图3所示。
图3 控制模块的具体流程图
网络攻击者对SDN架构发起恶意攻击时,将整个网络中全部的数据流发送至SDN架构最底层的交换设备中。分析SDN的相关理论可知,数据流内的数据包能够精准反映攻击者的特征。当攻击数据包到达SDN架构中的通信网络中,由于原始IP地址被攻击者伪造,无法完成流表项的匹配工作[13],所以需要将其对应的处理,同时发送至控制器中。结合上述分析,需要对控制器进行编程,在编程的过程中获取数据包的相关特征,将这些特征设定为评判参数,为后续的研究提供对应的理论基础。
根据控制模块的设计流程,需要提取出一个或者多个流表项特征来完成Renyi熵的熵值计算。
分析相关的先验知识可知,一般情况下攻击者会伪造数据包的源IP地址。为了有效防御电网通信恶意攻击,需要有效防止控制器被流量击垮。
控制器在接收数据包的过程中,需要设定流量窗口的大小,然后分别对各个数据包的目的IP进行有效提取以及统计分析,最后进行熵值计算。
以下给出具体的电网通信恶意攻击防御控制方法的具体操作流程。
(1)当数据流发送到交换机时,通过交换机完成相关流表项的匹配。假设其满足相关的约束条件,则将数据包的字段记为X;反之无法进行匹配的流表项需要通过交换机发送数据包,同时利用控制器对数据包中的目的IP字段进行特征提取;
(2)结合步骤(1),对X进行判定;假设X不在设定的哈希表中,则将其加入哈希表中,同时将其出现的次数记为mi;假设它已经存在哈希表中,则将它出现的次数记为mi+1;
(3)判断哈希表中总数据包的个数是否满足窗口的大小W,如果满足,则需要通过熵值计算式对窗口内的数据包进行熵值计算;否则,则继续等待下一个数据包的到达;
(4)如果步骤(3)计算得到的熵值低于阈值,则需要将异常队列计数器的取值加1;反之则将它的取值清零。假设异常队列计数器的取值高于或者等于阈值,则说明整个SDN架构的电网通信发生恶意攻击。
综合上述分析,将1.1小节的计算结果放置于设定的控制模块中,根据相关的防护需求,设定对应的SDN架构防护模块,将其应用于SDN架构中。追溯发生攻击的源头,对不同的攻击强度进行分级量化处理,完成电网通信恶意攻击防御控制。
为了验证所提基于SDN架构的电网通信恶意攻击防御控制方法的综合有效性,需要进行仿真实验,实验环境为英特尔奔腾(R)双核(2.69 GHz),内存为2 048 MB。实验选用CheckPoint 仿真软件,具体的通信网络仿真系统拓扑结构如图4所示。
图4 通信网络仿真系统拓扑结构
攻击测试实验流程如下。
首先,电网用户利用仿真软件构建攻击测试提交给服务器;然后自动生成对应攻击测试脚本,进行攻击数据预处理;之后,进行解析脚本得到通信网络攻击数据存储;启动实验进行数据攻击存储检测,通过链路连接实现数据节点匹配,最后检测恶意攻击下不同方法的能量消耗、运行时间、相对误差等。
(1)能量消耗/J
以下分别给出3种控制方法在节点数量不断增加的情况下,各种方法的能量消耗情况,具体的对比结果如表1所示。
表1 所提方法的能量消耗变化情况
综合分析上述实验数据可知,随着节点数量的不断变化,各种控制方法的能量消耗也会随之发生变化。当节点数量为20个时,文献[2]方法能量消耗为50.13J,文献[3]方法能量消耗为50.01J,所提方法能量消耗为49.81J。当节点数量为100个时,文献[2]方法能量消耗为47.68J,文献[3]方法能量消耗为46.87J,所提方法能量消耗为38.72J。相比传统2种方法的能量消耗情况,所提控制方法的能量消耗在3种控制方法中为最低。
(2)运行时间/min
为了进一步验证所提方法的优越性,以下分别对比3种方法的运行时间,具体的对比结果如图5所示。
图5 不同控制方法的运行时间变化情况
分析图5可知,在实验次数不断增加的情况下,各种控制方法的运行时间也在不断发生变化。当实验次数为15次时,文献[2]方法运行时间为17 s,文献[3]方法运行时间为25 s,本文方法运行时间仅为5 s。当实验次数为50次时,文献[2]方法运行时间为21 s,文献[3]方法运行时间为28 s,本文方法运行时间仅为5 s。本文方法一直拥有较低运行时间,所提方法效率高。
(3)相对误差/%
为了更进一步验证所提控制的有效性,以下分别对比3种方法的相对误差,具体的对比结果如表2所示。
表2 所提控制方法的相对误差变化情况
综合分析上述实验数据可知,随着通信半径长度的不断增加,各种控制方法的相对误差也在不断变化。当通信半径为80 km时,文献[2]方法相对误差为4.7%,文献[3]方法相对误差为20.9%,本文方法相对误差仅为1%,本文方法相对误差较低。当通信半径为120 km时,文献[2]方法相对误差为25%,文献[3]方法相对误差为65%,本文方法相对误差仅为2%,与其他2种控制方法相比,所提控制方法的控制误差明显最低,这说明所提方法具有较高的准确性。
针对传统的通信恶意攻击防御控制方法存在的一系列问题,设计并提出基于SDN架构的电网通信恶意攻击防御控制方法。通过实验得出以下结论。
(1)随着节点数量的不断变化,各种控制方法的能量消耗也会随之发生变化。当节点个数增加到1 000时,本文方法的能量消耗仅为41 J左右,远远低于其他2种传统方法,具有更好的性能。
(2)在实验次数不断增加的情况下,各种控制方法的运行时间也在不断发生变化。当实验次数为50次时,本文方法运行时间仅为5 s,所提方法效率高。
(3)随着通信半径长度的不断增加,各种控制方法的相对误差也在不断变化。当通信半径为120 km时,本文方法相对误差仅为2%,所提方法具有较高的准确性。