软件定义网络、虚拟化、物联网 (IoT) 安全

软件定义网络 (SDN) 已成为数据中心和其他环境中管理和控制网络操作的常用技术。在传统 IP 网络中，路由器同时执行路由和转发功能。然而，SDN 将转发设备的数据包转发功能（即数据平面与控制平面）分开。路由功能和其他智能功能在集中式控制器中实现。在收到新数据包时，SDN 交换机会向控制器请求转发规则。然后，交换机使用此规则转发来自该流的所有后续数据包。SDN 架构提供了许多新功能来提高威胁检测和攻击预防的安全性，并提供创新的安全服务。

例如，中央控制器可以更准确地推断出 DDoS 攻击，威胁缓解应用程序可以动态地重新编程网络边界的交换机以丢弃恶意流量。受感染机器上的用户可以自动路由到发出隔离通知的 Web 服务器。另一组研究人员专注于保护 SDN 平台本身。SDN 控制器使用生成树算法 (SPTA) 进行拓扑更新。在 DoS 攻击中，攻击者可以宣传虚假链接并迫使 SPTA 阻止合法端口。

SDN 交换机容易受到定时侧信道攻击。攻击者可以发送一个数据包并测量交换机处理该数据包所需的时间。如上所述，对于新数据包，交换机将需要从控制器获取新规则，从而导致交换机上已安装规则的流出现额外延迟。例如，攻击者可以确定 IDS 和数据库服务器之间是否发生了交换，或者主机是否访问过特定网站。即使存在规则，可能的对策也会为每个流的前几个数据包引入延迟。SDN 交换机将规则存储在缓存中以便快速查找。规则通常在指定的超时期限后从内存中清除或由于某些其他策略决策而被删除。他们建议采取一些对策，例如主动设置规则或转换规则结构（例如合并），以使任何推断变得困难。

网络的最新趋势是使用网络功能虚拟化 (NFV)。其目标是减少资本支出并允许快速将新服务引入市场。防火墙、编码器/解码器、DMZ 和深度数据包检查单元等专用网络中间盒通常是运行专有软件的封闭黑盒设备。NFV 研究人员建议将这些中间盒完全部署为虚拟化软件模块，并通过标准化和开放的 API 进行管理。这些模块称为虚拟网络功能 (VNF)。大量可能的攻击涉及虚拟机 (Hypervisor) 以及配置虚拟功能。Lal 等人 [1406] 提供了一个 NFV 安全问题表以及解决这些问题的最佳实践。例如，攻击者可以通过阻止某些合法端口来破坏 VNF 并生成其他新的 VNF 以更改网络配置。作者建议使用虚拟机管理程序自省和安全分区作为缓解技术。

物联网 (IoT) 安全

如前所述，Mirai 恶意软件展示了如何使用 IP 摄像头等物联网设备发起严重的 DDoS 攻击。由于这是一个应用驱动的领域，供应商更倾向于“先入为主”的做法，因此安全性的优先级较低。另一个原因是，物联网设备通常比较低端，参与高级安全协议的能力有限，尤其是在电池电量等资源受限的情况下。传输层安全性 (TLS) 和数据报 TLS (DTLS) 是物联网安全的基石。著名的物联网应用层协议采用 TLS 或 DTLS 作为其安全协议，并结合公钥加密 (PKC) 或预共享密钥 (PSK) 套件。这些物联网应用框架满足与传统互联网应用类似的标准安全要求。由于 TLS 需要 TCP 连接，因此 DTLS 被广泛用于带宽有限、可靠性较低的应用，因为它是无连接的并且基于 UDP。尽管 DTLS 旨在用于通信能力有限的受限设备，但 DTLS 的端到端 (E2E) 通信方式会导致大规模物联网应用中的可扩展性问题，尤其是在 IEEE 802.15.4 等低带宽标准下。鉴于异构性、能源和性能、可扩展性、移动性和管理等新兴特征，很明显，具有 E2E 基础设施的当前 PKC 几乎肯定无法扩展以适应未来的物联网应用。E2E 通信会导致大规模应用中不可扩展的通信开销和延迟。此外，受限设备没有配备足够的性能/内存来处理资源密集型 PKC 套件，从而导致性能/安全性下降。