摘　要：

以2012—2021年間中國知網(CNKI)期刊數據庫中的軟件定義網絡安全領域論文為數據源,選取836篇作為研究樣本?；谖墨I計量學，應用COOC和VOSviewer等軟件對該領域的研究熱點、熱點聚類、演進趨勢進行分析。研究結果表明該領域主要熱點是網絡功能虛擬化、OpenFlow、控制器、云計算等關鍵技術；主要熱點聚類5個方向是5G網絡切片應用與安全、云計算與安全、DDoS與安全、防火墻與安全、云平臺數據中心與安全；演進趨勢主線是技術及主要功能發(fā)展、應用領域發(fā)展。為軟件定義網絡安全領域的后續(xù)理論硏究及實際應用提供參考和借鑒。

內容目錄：

0　引　言

1　數據來源、研究方法與分析工具

2　文獻計量分析

2.1　歷年發(fā)文數量

2.2　發(fā)文期刊及作者機構統(tǒng)計

3　研究熱點與演進

3.1　研究熱點

3.2　熱點聚類分析

4　結　語

00  引　言

互聯網的廣泛普及，給社會生產生活帶來極大便利，但同時也引發(fā)了黑客惡意攻擊等事件。如今嚴峻的網絡空間形勢下，網絡攻擊方式復雜多變，網絡安全問題逐漸凸顯，已成為國家關注的重點。在十九大報告中明確指出為護航中國向網絡強國穩(wěn)步邁進，網絡安全建設至關重要。

網絡安全風險是指網絡受到攻擊時，其安全性可能遭受破壞。此種安全風險涉及多個層面，具有不確定性、不可控性、客觀性、普遍性等特性，且影響安全的因素不斷迭代出新，具有難預判、難識別等特征。

傳統(tǒng)的安全防護措施已難以有效應對目前日益復雜的網絡環(huán)境，網絡安全技術需要不斷創(chuàng)新。作為新型網絡創(chuàng)新架構的典型代表，軟件定義網絡(Software Defined Network，SDN)由美國斯坦福大學clean-slate課題研究組提出，應用核心技術OpenFlow的可編程特性，將網絡設備的數據平面與控制平面相剝離，實現了網絡功能的有效編程和流量的靈活控制，有效地實現了網絡虛擬化。SDN技術區(qū)別于傳統(tǒng)網絡技術具有更高效的資源利用方法、更彈性的資源調度方式、更靈活的集中管理模式。這種靈活高效的工作模式給傳統(tǒng)網絡安全提供了新的解決途徑，同時也帶來了新的機遇與挑戰(zhàn)。

本文以SDN網絡安全為研究核心，通過對國內相關研究文獻分析與回顧，有助于及時了解與跟蹤基于SDN的相關技術與網絡安全研究熱點與動態(tài)，更好地把握研究脈絡以及演進過程。

本文將CNKI數據庫的學術期刊與碩博論文作為數據來源，以2012—2021年間發(fā)表在期刊的基于SDN網絡安全的學術論文作為研究對象，采用文獻計量學的研究方法，并應用VOSviewer、COOC等軟件工具進行文獻計量、研究熱點與演進趨勢分析，為該領域的后續(xù)研究與應用提供參考。

01  數據來源、研究方法與分析工具

通過對中國知網數據庫中關于SDN技術與網絡安全學術期刊及論文進行檢索獲取數據。數據時間界限設定為2012—2021年近10年間，以“SDN”(同義詞擴展)和“網絡”和“安全”為主題進行高級檢索，以了解SDN網絡安全應用相關文獻的整體情況，檢索時間為2021年2月22日。檢索出有效記錄863條，并以上述學術期刊及論文作為研究對象，使用文獻計量的方法進行深入分析討論。

文獻計量學是采用數學與統(tǒng)計學方法挖掘參考文獻的各種潛在特征的學科，常被用來分析某科學技術的硏究現狀、熱點方向、演化趨勢等。本文應用文獻計量學中的關鍵詞共現分析等相關研究方法對近10年國內SDN網絡安全技術研究進行回顧與演進分析。本文使用VOSviewer、COOC等軟件工具，其中VOSviewer用于繪制關鍵詞共現知識圖譜與研究熱點分析，并結合COOC軟件進行SDN網絡安全技術研究演進知識圖譜的繪制與分析。

02  文獻計量分析

2.1　歷年發(fā)文數量

在知網數據庫中，對發(fā)表在2012—2021年間的以“SDN”與“網絡”與“安全”為主題的學術論文、碩博論文進行檢索。排除目錄信息、會議通知等，得到的歷年發(fā)文數量統(tǒng)計及發(fā)文量累計結果如圖1所示。由圖中的歷年發(fā)文數量合計來看，SDN網絡安全研究的論文數量從2012年開始出現少量研究，其后逐年呈現出波動遞增的趨勢，2019年達到單年產出峰值170篇，后續(xù)趨于平穩(wěn)(2021年僅統(tǒng)計2個月)。

圖1　歷年發(fā)文數量統(tǒng)計及發(fā)文量累計結果

2.2　發(fā)文期刊及作者機構統(tǒng)計

根據檢索結果中不同期刊的發(fā)文數量，統(tǒng)計出相關領域前20發(fā)文量的期刊見圖2，其中發(fā)文量靠前的代表性期刊為：《網絡安全技術與應用》發(fā)表論文22篇，《信息網絡安全》發(fā)表論文20篇，《電信科學》發(fā)表論文17篇，《計算機應用》與《通信世界》各發(fā)表論文13篇。由圖2可知，《網絡安全技術與應用》《信息網絡安全》兩個期刊對SDN網絡安全方面的研究較為重視，符合其自身期刊針對網絡安全的定位，同時也引領了網絡安全的多方面研究熱點。

圖2　發(fā)文前20的期刊名稱

國內基于SDN網絡安全研究作者的單位大致可以劃分為高校、研究機構與網絡安全公司三種類型。在對數據庫中發(fā)文數量進行統(tǒng)計的過程中，對論文的所有參與作者機構進行同類合并和統(tǒng)計：若第一作者所在機構有多個，則按其所在的第一機構進行統(tǒng)計；發(fā)文機構的統(tǒng)計統(tǒng)一劃歸到高校、研究院/所、公司等級。按照上述統(tǒng)計方式，2012—2021年間CNKI數據庫中總發(fā)文數量最多的高校分別是北京郵電大學(15篇)、中國科學院大學(13篇)、西南交通大學(8篇)和清華大學(8篇)。2012—2021年間CNKI數據庫中總發(fā)文數量最多的研究機構是國家數字交通系統(tǒng)工程技術研究中心(14篇)，其次是中國信息通信研究院(6篇)和中國電科集團三十研究所(5篇)。2012—2021年間CNKI數據庫中總發(fā)文數量較多的公司是中興通訊股份有限公司(7篇)、廣東省電信規(guī)劃設計院有限公司(4篇)、中國移動(蘇州)軟件技術有限公司(4篇)。各單位的具體發(fā)文數量如圖3所示。由圖3可知，高等院校憑借其良好的教學資源及科研平臺，針對SDN網絡安全領域相關的研究做出了巨大貢獻。

圖3　各機構發(fā)文數量統(tǒng)計

03  研究熱點與演進

3.1　研究熱點

關鍵詞作為文獻的核心與精髓，是文獻主題的高度凝練，而相關領域多篇文獻的高頻關鍵詞被認為是該領域的研究熱點及趨勢。本文對CNKI數據庫期刊中2012—2021年間的863篇文獻進行統(tǒng)計，共有1 728個關鍵詞，其中詞頻數≥10的關鍵詞共有26個。由于在文獻檢索時使用“SDN”、“網絡”和“安全”作為主題檢索詞，所以除去以上關鍵詞后，高頻關鍵詞分別為OpenFlow、網絡功能虛擬化、控制器、云計算等。相關關鍵詞統(tǒng)計如圖4所示，其中圖A為全部關鍵字詞云圖，圖B為詞頻數前20的關鍵詞柱狀統(tǒng)計圖。

A　關鍵詞詞云 B　詞頻數前20的關鍵詞數量統(tǒng)計

圖4　全部關鍵詞詞云A與詞頻數前20的關鍵詞數量統(tǒng)計B

將關鍵詞出現的最小頻次設置為“10”、分析單元設置為“關鍵詞”、分析類型為“共現”、計算方法選取“全計算”的方式，使用VOSviewer軟件繪制的關鍵詞共現知識圖譜如圖5所示。

圖5　關鍵詞共現知識圖譜

關鍵詞共現網絡揭示了不同關鍵詞之間的相關程度，關鍵詞之間用連線來表示存在關聯，連線多代表該關鍵詞與其他關鍵詞共同出現的頻次高，進一步體現了其在該研究領域的核心地位。因此從圖5中可得出網絡功能虛擬化、OpenFlow、控制器、云計算等關鍵詞是SDN網絡安全相關研究領域的重要熱點：(1)網絡功能虛擬化(Network Functions Virtualization，NFV)，其設計思想是以軟件的形式解耦傳統(tǒng)網絡設備專有硬件功能，并以虛擬機或容器的形式部署在通用計算機上。(2)OpenFlow協議2008年由Nick McKeown教授正式提出，其作為數控平面的“紐帶”，同時引入“流”的概念，控制平面利用OpenFlow協議對數據平面設備部署相關策略，從而實現網絡設備在數據轉發(fā)平面的靈活應用。(3)SDN網絡架構的核心是控制器，控制器如同戰(zhàn)場指揮官，數據平面設備則可視為士兵，控制器能夠管理及發(fā)令于管轄范圍內的所有數據平面設備;數據平面設備的轉發(fā)依據完全由控制器所決定。SDN網絡架構實現了控制器地集中管控，簡化了網絡架構，使得網絡易維護管理。(4)云計算通過將所有的網絡、計算、存儲等資源通過分布式技術統(tǒng)一管理，用戶可根據自身需求合理的共享及使用這些資源。云計算旨在提供公共的資源計算庫供用戶方便、快捷使用。

通過分析以上研究熱點，并結合SDN網絡安全方向，可根據業(yè)務需求定制化部署相關安全功能而不受專有硬件限制，極大地提高了網絡服務的靈活性與動態(tài)性。

3.2　熱點聚類分析

聚類是將看似無關的數據根據某種特定的規(guī)則劃分為不同類或簇的過程，相似性大的對象將判定為同一簇，不同簇間的對象必然存在較大差異。本文對國內SDN技術與網絡安全相關研究論文高頻關鍵詞(詞頻數≥10的關鍵詞共26個)利用余弦相似度矩陣(表1)進行聚類分析，并使用COOC軟件得到聚類樹狀圖，如圖6所示。從圖6可知，國內SDN網絡安全研究集中于5G網絡切片應用與安全、云計算與安全、分布式拒絕服務(Distributed Denial of Service，DDoS)與安全、防火墻與安全、云平臺數據中心與安全等5個聚類方向。

表1　高頻關鍵詞余弦相似度矩陣表

表1(續(xù))

圖6　高頻關鍵詞余弦相似度矩陣聚類

國內SDN網絡安全研究主題解析如下：

(1)5G網絡切片應用與安全

5G網絡切片技術是將一個物理5G網絡切分為多個虛擬邏輯網絡，各虛擬網絡可根據多變的業(yè)務需求進行劃分，以適應不同的應用場景，有效避免了專屬物理網絡的出現，進而大大節(jié)省網絡建設的成本。5G網絡切片技術在不同的應用場景具有不同的安全需求，李奀林認為5G網絡切片技術引入網絡功能虛擬化、軟件定義網絡、邊緣計算等技術，其自身的安全研究有待加強。由此可見，為護航5G網絡切片技術應用安全，虛擬化安全技術將成為研究熱點。

(2)云計算與安全

云計算能夠提供海量的數據處理與存儲等服務，逐漸順應未來發(fā)展趨勢。然而在云計算帶來顯著便利的背后也不斷暴露出數據的安全性問題。袁文韜針對大型云平臺中的安全部署等問題，提出利用軟件定義安全的技術架構，以實現便捷、高效地云平臺安全服務。從上述研究可以看出，為護航云計算的安全，軟件定義安全技術將成為研究熱點。

(3)DDoS與安全

伴隨SDN技術的飛速發(fā)展，隨之而來的是新的DDoS手段，這對SDN網絡安全提出了更高的挑戰(zhàn)。賈錕認為現行的DDoS檢測方案大都著眼于某些特定的攻擊手段，無法在多種DDoS攻擊場景下保持自身的輕量化與實時性，針對以上問題，提出了一種兼顧輕量化與實時性，且適用于廣泛場景的DDoS快速檢測方案，能夠顯著提高多種攻擊場景下的檢測效率。隨著DDoS手段的不斷更新，SDN網絡中解決多樣化的DDoS的安全問題依然是研究熱點。

(4)防火墻與安全

傳統(tǒng)網絡中，防火墻設備遵循安全規(guī)則對流經的數據包進行特征匹配，進一步決定數據包是否轉發(fā)，從而保證流量訪問的安全性。然而在SDN環(huán)境中，傳統(tǒng)防火墻設備已無法滿足其安全功能需求，為了提升防火墻系統(tǒng)的可用性，降低部署難度，且適應虛擬化、云計算環(huán)境下的安全防護需求，劉坤燦設計了一種基于SDN技術采用分布式部署的應用防火墻系統(tǒng);王娟提出了一種基于OpenFlow的狀態(tài)檢測防火墻系統(tǒng)。隨著防火墻與SDN的不斷緊密結合，SDN環(huán)境下防火墻系統(tǒng)將成為研究熱點。

(5)云平臺數據中心與安全

云數據中心在負載類型和流量模型上有別于傳統(tǒng)數據中心網絡，對傳統(tǒng)數據中心網絡安全模型提出了巨大的挑戰(zhàn)。傳統(tǒng)的硬件防火墻無法適應云數據中心對于安全的高彈性需求。因此構建靈活多變、立體化、多維度的安全模型將成為云數據中心安全的研究熱點。

3.3　演進趨勢

在上章節(jié)分析基礎上，本章節(jié)將每年頻次靠前的12個關鍵詞采用時區(qū)視圖的方式繪制知識圖譜，如圖7所示。通過進一步地梳理，發(fā)現國內SDN網絡安全相關研究在近10年里演進趨勢主要沿著技術及主要功能發(fā)展、應用領域發(fā)展2條主線。

圖7　關鍵詞累計時區(qū)演進視圖

(1)主要技術及主要功能發(fā)展

SDN網絡安全主要技術及功能主要發(fā)展路線，已有文獻對SDN網絡安全的研究主要包括SDN自身架構的網絡安全技術、傳統(tǒng)安全技術結合SDN概念提升傳統(tǒng)網絡的安全技術及功能、已有安全技術改進后適應于SDN的安全技術及功能等三方面。

①　SDN自身架構的網絡安全技術

SDN自身架構的安全問題尤為重要，涉及OpenFlow協議、OpenSwitch軟件系統(tǒng)、OpenStack云平臺軟件、OpenDaylight控制器軟件等技術安全研究。常見的安全問題如DDoS攻擊可造成控制平面工作癱瘓，惡意應用可造成全局拓撲視圖污染，數據與控制通道攻擊可造成設備配置失敗等，以上種種都將嚴重影響SDN網絡的可用性、穩(wěn)定性。SDN自身架構的安全，既是基建設備運行、維護、管理的基礎，又是建立更為健全的網絡安全管理體系的技術保障。

②　傳統(tǒng)安全技術結合SDN概念提升傳統(tǒng)網絡的安全技術及功能

在現有安全技術基礎上結合SDN網絡技術實現更全面的防護功能，如自動化調度流量、安全服務鏈、IP欺騙數據分組網絡溯源等。其實質是結合軟件定義安全的思想，基于SDN靈活可編程的流表編制和下發(fā)策略，能夠實現基于流的靈活調度，實時監(jiān)控和按需改變網絡中信息流的狀態(tài)和行為，使得防御由被動逐漸變?yōu)橹鲃?，從而提高網絡整體安全性。

③　已有安全技術改進后適應于SDN的安全技術及功能

SDN控制器可實現網絡的集中化管控，但易受到各種各樣潛在的攻擊導致整個網絡崩潰。隨著擬態(tài)防御技術的引入，進一步提升SDN控制層的安全性，針對同一請求應用多個異構控制器進行安全一致性判別，可有效避免SDN控制器因架構差異導致的未知漏洞或后門而遭受攻擊的風險。

(2)應用領域發(fā)展

SDN網絡安全主要應用領域發(fā)展路線，已有文獻對SDN網絡安全的應用領域研究主要包括網絡管控、數據中心控制、車聯網、電力行業(yè)、銀行行業(yè)等，隨著對SDN網絡安全技術的深入研究及廣泛應用，其應用領域將不斷拓展。

①　網絡管控

在網絡安全管控方面，結合SDN網絡架構能夠方便實現數據流的安全控制。因此結合SDN技術應用于網絡安全控制，可大幅提升網絡安全。目前,基于SDN技術在校園網的部署中，主要集中在針對網絡安全管控設計應用，能夠顯著提高網絡訪控制的自動化程度及安全性。

②　數據中心控制

在數據中心控制方面，為應對云計算和大數據挖掘等技術的海量處理需求，熱門的解決方案是在數據中心網絡中部署OpenFlow交換機，通過SDN控制器統(tǒng)一管理，實現優(yōu)化傳輸路徑、負載均衡等功能調度，有效提高數據交換效率，提升數據中心可控性。

③　車聯網控制

在車聯網控制方面，車聯網(Internet of Vehicles，IoV)對改善交通安全以及提高乘客舒適度方面發(fā)揮著重要作用。軟件定義車聯網(Software Defined Vehicular Network，SDVN)可實時獲取全局網絡信息，提高鏈路利用率、保障通信的可靠性;進一步結合負載均衡技術，可有效解決當發(fā)生交通擁堵或業(yè)務量暴漲時，致網絡資源利用率低，甚至出現嚴重信道干擾等問題。

④　電力行業(yè)

在電力網控制方面，隨著電力通信網的不斷擴張、智能終端設備海量接入、電力業(yè)務趨于IP化等問題，須確保電力網絡業(yè)務的服務質量(Quality of Service，QoS)，才能穩(wěn)固電網的安全運行。SDN技術能夠感知全局網絡拓撲及通信資源使用情況，并通過路由選擇和隊列調度等QoS技術，能夠有效提高電力通信網可靠傳輸能力，實現帶寬合理分配、業(yè)務靈活調度等質量保障功能。

⑤　銀行行業(yè)

在銀行網控制方面，傳統(tǒng)的多種安全產品串行接入網絡環(huán)境，已無法適應當前以應用為中心、個性化、差異化、主動式的安全防護需求。針對上述問題，銀行系統(tǒng)提出基于業(yè)務的統(tǒng)一智能流量編排管控解決方案，最終實現資源池化管理和彈性伸縮， 安全監(jiān)測和業(yè)務流量編排等功能需求，進一步提升了安全資源的利用率。

04  結　語

本文選取CNKI以近10年發(fā)表在期刊中的相關SDN網絡安全的技術論文作為數據來源，進行文獻計量、研究熱點與演進趨勢分析，研究結果表明：

(1)2012—2021年2月約10年間目標期刊的SDN網絡安全技術研究的論文數量基本呈現逐年遞增的趨勢。國內SDN網絡安全技術研究作者的單位以高校與研究院/所為主;在對高頻關鍵詞進行統(tǒng)計分析的基礎上，進一步使用VOSviewer繪制關鍵詞共現知識圖譜得出網絡功能虛擬化、OpenFlow、控制器、云計算等關鍵詞是國內SDN網絡安全技術相關研究領域的重要熱點;聚類分析相關論文高頻關鍵詞余弦相似度矩陣，并使用COOC軟件繪制聚類樹狀圖，得出5G網絡切片應用與安全、云計算與安全、DDoS與安全、防火墻與安全、云平臺數據中心與安全等5個較集中聚類方向。綜上分析，SDN結合網絡安全等應用，采用控制和轉發(fā)的分離架構，可通過軟件實現靈活的網絡控制，進一步提升了傳統(tǒng)網絡的安全性，現已在防火墻系統(tǒng)、網絡虛擬化、云計算、云數據中心網絡等領域得到廣泛研究和應用，成為一項熱點技術。

(2)使用COOC軟件對關鍵詞的共現關系采用時區(qū)視圖的方式繪制知識圖譜，進一步得出SDN網絡安全技術研究的演進趨勢大致沿著技術及主要功能發(fā)展、應用領域發(fā)展2條主線。主要技術及功能主要發(fā)展路線包括SDN自身架構的網絡安全技術、傳統(tǒng)安全技術結合SDN概念提升傳統(tǒng)網絡的安全技術及功能、已有安全技術改進后適應于SDN的安全技術及功能，呈現相互依存，互為推動的良好趨勢;主要應用領域發(fā)展路線包括網絡管控、數據中心控制、車聯網、電力行業(yè)、銀行行業(yè)等，隨著SDN網絡安全技術的深化發(fā)展，其應用領域將會不斷拓寬，覆蓋生活中方方面面。

引用本文：吳海濤，華銘軒，曹帥，等.SDN網絡安全研究熱點與演進趨勢[J].通信技術，2021，54(6)：1492-1501.

作者簡介 >>>

吳海濤，工程師，主要研究方向為網絡與通信技術;華銘軒，工程師，主要研究方向為網絡與通信技術;曹　帥，工程師，主要研究方向為網絡與通信技術;胡　洋，工程師，主要研究方向為網絡與通信技術。

選自《通信技術》2021年第6期(為便于排版，已省去原文參考文獻)

來源：信息安全與通信保密雜志社