SDN中基于歷史信息的負反饋調度算法

呂迎迎，郭云飛，王禛鵬，程國振，王亞文

?

SDN中基于歷史信息的負反饋調度算法

呂迎迎，郭云飛，王禛鵬，程國振，王亞文

（國家數字交換系統工程技術研究中心，河南 鄭州 450002）

在當前SDN架構中，控制器遭受著很多潛在的攻擊，如惡意流規則等可能會引入虛假的流規則使主機混亂。基以此，提出一種基于歷史信息的負反饋調度算法，利用假設檢驗對攻擊者的行為進行判斷，并將此作為調度的依據。仿真實驗結果和分析表明，相比于傳統調度方法，所提算法在一定程度上可以增加攻擊者的時間成本，從而有效防御攻擊者的探測攻擊，而且控制器種類越多，系統越難被攻破。

動態異構冗余；負反饋；主動防御

1 引言

近年來，隨著網絡的普及，人們的生產生活甚至國家的安全發展對網絡空間越來越依賴，網絡空間的重要性日益突出。但是，網絡空間的脆弱性使不法分子有機可乘，網絡犯罪、黑客攻擊等對國家安全的威脅凸顯[1]。網絡空間的攻防態勢處于一種信息不對稱的狀態，攻擊者可以決定何時何地攻擊，而防御者只能被動防御[2]。而且被動防御技術難以應對未知漏洞、后門等問題，因而主動防御技術逐漸發展并成為網絡安全研究的重點。

入侵容忍[3]、移動目標防御[4]和擬態防御[5]是3種典型的主動防御技術。入侵容忍技術是由容錯技術發展而來，入侵容忍技術的主要目標是數據完整性、數據機密性以及服務可用性[6]。移動目標防御是不斷地進行動態變化來迷惑攻擊者，意圖增加攻擊者的攻擊成本，達到降低其攻擊成功率的目的[7]。而擬態防御是由鄔江興院士提出的“改變游戲規則”的新途徑，動態地利用異構冗余的組件，使未知漏洞和后門等無法準確地確定其環境，無法構建成功攻擊鏈，以達到降低系統風險的目的[8]。

網絡偵察IP地址和端口是許多主機和網絡攻擊的先決條件[9]。本文利用異構冗余的架構，提出一種基于歷史信息的負反饋調度算法用以“凈化”NOS池，達到有效防御攻擊者攻擊的目的。

2 相關工作

現在已有很多關于NOS安全的研究，大體上分為三類。第一類是在已有的特定控制器的基礎上，改進現有的安全模塊的設計。例如，FortNOX[10]，它在開源NOX的基礎上增加了一個安全策略實施模塊，在一定程度上可以較好解決流規則檢測與沖突的問題。與FortNOX類似，文獻[11]在開源Floodlight的基礎上設計了一個安全增強版的控制器——SE-Floodlight，它的安全執行內核由一組特定的安全應用程序管理模塊構成。還有一種方法是在設計NOS之初就將安全納入考慮，并且將其作為需要解決的核心問題。PANE[12]是由Ferguson等設計開發的一種安全型NOS，它主要用于解決與脆弱用戶間請求沖突的問題。而Shin等[13]將重點放在控制層的彈性問題上，設計開發出Rosemary，用以應對第三方網絡應用程序中潛在的漏洞、致命的脆弱性和惡意邏輯。

第二類是在控制器的基礎上設計并部署可組合的安全模塊庫，通過各類安全組件之間的協同工作來檢測及消除安全威脅。FRESCO[14]提供了一種單擊觸發的編程框架，使安全研究人員可以實現共享及組合多個不同的安全檢測和防護模塊。

現在越來越多研究人員關注分布式控制器，以避免單個控制器發生單點故障[15]。第三類便是從多控制器的角度出發，設計具有一定彈性的分布式控制器架構。ONOS[16]是一種開放式網絡操作系統，通過采用分布式架構實現了高可用性和高擴展性，它的多備份NOS的設計大大增加了系統的容錯能力，即便主控制器發生癱瘓等故障，ONOS也可以自動切換至備份控制器以保證網絡的平穩運行。文獻[17]借助拜占庭容錯機制，實現了一種能有效防御針對SDN控制層攻擊的NOS系統。該系統中，交換機由多個控制器共同控制，其流表的更新是由多個控制器共同決定的。文獻[18]在網絡操作系統中引入動態、異構及冗余的擬態基因來構建頑健的系統架構并提高內部行為的不可預測性，從而增加外界攻擊者對內部架構與運行機制的探測難度與認識困境，提升系統的安全性能。類似地，文獻[19,20]也提出了一個SDN安全體系架構，利用多控制器的異構性與冗余來加強架構的安全性，還引入了動態調度機制進一步提高其性能，使系統在面臨威脅時做出最佳應對改變。

3 問題描述

擬態防御通過動態異構冗余架構（DHR, dynamic heterogeneous redundancy）來破壞攻擊信息鏈，從而增加網絡攻擊的難度和成本，降低未知漏洞及后門帶來的網絡威脅，達到保護網絡安全的目的。

圖1 DHR架構

在該架構中，不僅被調用的執行體會遭受攻擊者的探測攻擊，處于待機狀態的執行池中的執行體也一直面臨著攻擊者的威脅，而系統的正常運行與執行體池的整體安全性息息相關。如果執行體池系統中的執行體被攻破，那么系統的安全很難得到保證。

一旦攻擊者存有歷史探測信息，若其攻破某一類型執行體，那么在這之后攻擊者要攻破相似的執行體需要花的時間將大大減少。而且，若某執行體正在被攻擊，其被攻擊的次數越多，它就越危險，如果不考慮待機的執行體安全，任由攻擊者不斷進行嘗試探測攻擊，那么執行體遲早會被一一攻破，最終整個系統也會癱瘓。

因此，本文通過對系統運行過程中的歷史信息進行分析，設計了一種基于歷史信息的負反饋調度算法，以此來減小脆弱的執行體被調用的概率，從而規避攻擊者探測攻擊對系統的威脅。

4 負反饋調度策略

假定攻擊者進行攻擊是有目的性有針對性的，不是盲目的，那么攻擊者在進行探測攻擊時必然有一定的規律，因此，可以通過對統計數據進行分析得到探測的規律。加入負反饋的DHR架構如圖2所示。

4.1 模型建立思路

圖2 加入負反饋的DHR架構

4.2 理論分析

為了快速準確地表征出攻擊掃描策略，觀察由系統監測得到的探測數據并使用統計假設檢驗估計它們的分布。為此，引入2個基本假設，即非一致性檢驗和非重復檢驗。通過這2個檢驗分析攻擊者的行為并據此做出規避攻擊的行為。

第一個假設采用的是非一致性檢驗，如果該假設被驗證為真，則將其表示為非均勻攻擊，旨在確定攻擊者是否在有針對性地攻擊某類NOS，這樣可以將選調器調用該類NOS的概率降低甚至不選用該類NOS來規避攻擊者的有效攻擊；第二個假設采用的是非重復檢驗，如果該假設被驗證為真，則將其表示為非重復攻擊，旨在確定攻擊者是否以相同概率攻擊不同類NOS。這樣可以以相同概率調用各類NOS來規避攻擊者的有效攻擊。

下面分別對定義的這2類攻擊進行介紹。

1) 非均勻攻擊

為了確定攻擊者是否在進行非均勻攻擊，需要對統計的數據進行非一致性檢驗。

接受零假設，意味著觀測值與均勻分布的偏差非常顯著，也就是說，潛在攻擊者在集中掃描某些NOS類的IP地址，那么防御者可以降低調用該類NOS的概率或不調用該類NOS來增加攻擊者攻擊成功的難度，甚至還可以利用蜜罐技術，布置蜜罐NOS來代替被攻擊的NOS，從而化被動為主動，更好地掌握攻擊者的動作及信息。

2) 非重復攻擊

而各NOS類被掃描的平均次數可以用下列公式進行計算。

即

則該樣本的無偏方差為

4.3 負反饋調度算法

前文對定義的2類攻擊進行了細致的理論分析，為了得到可信的數據，需要記錄每次被探測的詳細情況，如執行體是哪一類NOS、NOS類被探測次數等，為方便查詢，可以利用表1記錄所有NOS類的相關狀態信息。

表1 NOS類狀態信息

每當異構NOS池的NOS類被探測或有反饋NOS集中的NOS被攻擊時，則將表1更新，也就是說，如果有NOS類被探測，則將表中相應的探測次數加1。如此，可以根據統計得到的信息表進行相應假設檢驗，提出基于歷史信息的負反饋調度算法。其根本是利用假設檢驗，對攻擊者的掃描探測行為進行分類，根據分類結果做出合適調度，以此來對抗攻擊者。

下面對該算法的初始化及調度流程進行描述。

調度流程：系統的調度是由表決器的判決信息和監測信息決定的，只有在分析二者相關信息發現異常之后系統才會進行改變，這樣可以避免頻繁切換導致開銷過大，同時，也只對異常NOS類進行調整，這樣可以減少每次調整需要切換的次數。

具體調度流程偽代碼如下。

算法1 調度流程偽代碼

8) end if

9) end for

13) end if

14) end for

16) if非均勻攻擊do

//剔除選出的NOS類，并從待機的NOS類中選出等量NOS

20) end if

21) if非重復攻擊 do

23) end if

24) end if

5 仿真實驗與結果分析

圖 3 非均勻攻擊下不同調度策略的系統失效概率

圖4 非重復攻擊下不同調度策略的系統失效概率

此外，本文分析了系統失效率與NOS種類的關系，即NOS類的數量對系統穩定性的影響。將NOS類的數量設定為3、5和7進行實驗，結果如圖5所示。表明NOS類的數量越多，系統在動態調度的情況下越穩定。因而，可以通過增加NOS類的數量加強系統的穩定性。

圖 5 不同數量NOS類的系統失效概率

6 結束語

針對無處不在的探測攻擊，本文提出了一種基于歷史信息的負反饋調度算法，利用假設檢驗對攻擊者的行為進行分析判斷，以此為依據進行調度調整，首先對該方法進行了詳細的理論分析和仿真實驗。實驗結果分析表明，相較于現有的2種普通的調度算法，靜態架構中不切換和以選取系數為概率隨機調度，該算法在一定程度上可以增加攻擊者的攻擊時間成本，因而可以有效防御攻擊者的探測攻擊。而且，本文還進行了對比實驗，發現在同一系統中，SDN控制器的種類越多，系統表現得越穩定，越不容易被攻擊者攻破。

[1] 仝青, 張錚, 鄔江興. 基于軟硬件多樣性的主動防御技術[J]. 信息安全學報, 2017, 2(1): 1-12.

TONG Q, ZHANG Z, WU J X. Active defense technology based on hardware and software’s diversity[J]. Journal of Cyber Security, 2017, 2(1): 1-12.

[2] PICEK S, HEMBERG E, O'REILLY U M. If you can't measure it, you can't improve it: moving target defense metrics[C]//The Workshop on Moving Target Defense. 2017: 115-118.

[3] ADELSBACH A, ALESSANDRI D, CACHIN C, et al. Conceptual model and architecture of MAFTIA[R]. 2003.

[4] KEWLEY D L, BOUCHARD J F. Darpa information assurance program dynamic defense experiment summary[J]. IEEE Transactions on Systems, Man, and Cybernetics-Part A: Systems and Humans, 2001, 31(4): 331-336.

[5] 鄔江興. 網絡空間擬態防御研究[J]. 信息安全學報, 2016, 1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4):1-10.

[6] DESWARTE Y, BLAIN L, FABRE J C. Intrusion tolerance in distributed computing systems[C]//Intrusion Tolerance in Distributed Computing Systems. 2001:110-121.

[7] JAJODIA S, GHOSH A K, SWARUP V, et al. Moving target defense: creating asymmetric uncertainty for cyber threats[J]. Springer Ebooks, 2011, 54.

[8] 鄔江興. 擬態計算與擬態安全防御的原意和愿景[J]. 電信科學, 2014, 30(7):1-7.

WU J X. Meaning and vision of mimic computing and mimic security defense[J].Telecommunications Science, 2014, 30(7):1-7.

[9] JAFARIAN J H, AL-SHAER E, DUAN Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]// Computer Communications. 2015:738-746.

[10] PORRAS P, SHIN S, YEGNESWARAN V, et al. A security enforcement kernel for OpenFlow networks[C]// The First Workshop on Hot Topics in Software Defined Networks. 2012:121-126.

[11] CHEUNG S, FONG M, PORRAS P, et al. Securing the software-defined network control layer[C]//The 2015 Network and Distributed System Security Symposium. 2015.

[12] FERGUSON A D, GUHA A, LIANG C, et al. Participatory networking: an API for application control of SDNs[C]//The ACM SIGCOMM 2013 Conference on SIGCOMM. 2013:327?338.

[13] SHIN S, SONG Y, LEE T, et al. Rosemary: a robust, secure, and high-performance network operating system[C]//The 2014 ACM SIGSAC Conference on Computer and Communications Security. 2014: 78-89.

[14] SHIN S, PORRAS P, YEGNESWARAN V, et al. FRESCO: modular composable security services for software defined networks[J]. The Network & Distributed Security Symposium, 2013(2):1-16.

[15] SHIN S , GU G. Attacking software-defrned networks : a first feasibility study [C]// ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. 2013: 165-166.

[16] BERDE P, HART J, HART J, et al. ONOS: towards an open, distributed SDN OS[C]// The Workshop on Hot Topics in Software Defined Networking. 2014:1-6.

[17] LAMPORT L, FISCHER M. Byzantine generals and transaction commit protocols[R]. Computer Science Laboratory Sri International OP, 1982.

[18] HU H, WANG Z, CHENG G, et al. MNOS: a mimic network operating system for software defined networks[J]. Iet Information Security, 2017, 11(6):345-355.

[19] QI C, WU J, HU H, et al. An intensive security architecture with multi-controller for SDN[C]// Computer Communications Workshops. 2016: 401-402.

[20] QI C, WU J, CHENG G, et al. An aware-scheduling security architecture with priority-equal multi-controller for SDN[J]. China Communications, 2017, 14(9):144-154.

[21] PEARSON K. On the criterion that a given system of deviations from the probable in the case of a correlated system of variables is such that it can be reasonably supposed to have arisen from random sampling[M]//Breakthroughs in Statistics. New York: Springer, 1992: 157-175

Negative feedback scheduling algorithm based onhistorical information in SDN

LYU Yingying, GUO Yunfei, WANG Zhenpeng, CHENG Guozhen, WANG Yawen

National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450002, China

In the current SDN architecture, the controllers suffer from lots of potential attacks. For example, malicious flow rule attacks may introduce fake flow rules to confuse the host. A negative feedback scheduling algorithm based on historical information was proposed, in which hypothesis testing was used to judge the behavior of the attacker and the result will be used as a basis for scheduling. Simulation results and analysis show that, compared with the traditional scheduling methods, the proposed algorithm can increase the attacker’s time cost to a certain extent, so as to effectively defend the attacker’s probe attack. In addition, the more types of controllers, the more difficult it is to break the system.

dynamic heterogeneous redundancy, negative feedback,active defense

TP393

A

10.11959/j.issn.2096-109x.2018047

2018-04-28；

2018-05-17

呂迎迎，yyl1994@pku.edu.cn

國家自然科學基金創新研究群體基金資助項目（No.61521003）；國家重點研發計劃基金資助項目（No.2016YFB0800100, No.2016YFB0800101）；河南省科技攻關計劃基金資助項目（No.172102210615）；國家自然科學基金資助項目（No.61602509）

The Foundation for Innovative Research Groups of the National Natural Science Foundation of China (No.61521003), The National Key R&D Program of China (No.2016YFB0800100, No.2016YFB0800101), The Key Technologies Research and Development Program of Henan Province (No.172102210615), The National Science Foundation of China (No.61602509)

呂迎迎（1993-），男，江西進賢人，國家數字交換系統工程技術研究中心碩士生，主要研究方向為網絡空間安全和軟件定義網絡。

郭云飛（1963-），男，河南鄭州人，國家數字交換系統工程技術研究中心教授、博士生導師，主要研究方向為網絡空間安全、云安全和電信網安全。

王禛鵬（1993-），男，湖北黃岡人，國家數字交換系統工程技術研究中心碩士生，主要研究方向為擬態安全防御和網絡空間安全。

程國振（1986-），男，山東定陶人，國家數字交換系統工程技術研究中心助理研究員，主要研究方向為網絡空間安全和軟件定義網絡。

王亞文（1990-），男，河南鄭州人，國家數字交換系統工程技術研究中心博士生，主要研究方向為云計算、入侵容忍和網絡空間安全。