基于地址重載的SDN 分組轉發驗證

吳平，常朝穩，左志斌，馬瑩瑩

（1.信息工程大學密碼工程學院，河南 鄭州 450004；2.河南工業大學信息科學與工程學院，河南 鄭州 450001）

0 引言

軟件定義網絡[1]（SDN，software defined network）通過解耦數據平面與控制平面，重塑了傳統網絡僵化的體系結構。SDN 以其靈活性、可編程性為管理配置網絡和快速部署新的協議帶來了便利，也不可避免地產生了許多安全問題，如缺乏隔離的應用層程序、因遭受分布式拒絕服務（DDoS，distributed denial of service）攻擊使控制器單點失效、數據平面基礎設施資源的消耗以及開放的API 隱患等，這些安全問題既包括傳統網絡的安全問題，也包括SDN 專有的網絡安全問題[2-3]。

不僅在傳統的IP 網絡中，而且在新興的SDN中，針對分組轉發的攻擊依然是嚴峻的問題[4-5]，攻擊者可對一臺受控的交換機節點中轉發規則惡意的錯誤配置實施插入、刪除、延遲、修改、重放、丟棄數據分組。因此，準確、高效的分組轉發驗證一直是面對惡意攻擊時確保轉發正確性的關鍵課題。

SDN中，雖然控制器可以通過交換機流表轉發狀態獲取分組轉發統計信息，但分組傳輸時延使流分組統計依賴于交換機之間的時間同步，且惡意節點可以通過篡改分組的方式規避此類基于分組轉發狀態統計的檢測方法，攻擊者也可通過丟棄一定數量的分組并偽造相同數量分組的方式實施攻擊，控制器難以檢測此類攻擊。現有SDN 轉發驗證機制通過為數據平面開發新的安全通信協議實現分組逐跳驗證轉發，但這類機制因插入額外的分組驗證字段引入了不小的計算與通信開銷[6]。

為解決控制器難以捕獲上述惡意節點針對分組攻擊的問題，同時避免嵌入額外的密碼標簽字段引入的計算與通信開銷，通過引入有限的計算與通信開銷實現高效分組轉發，并有效檢測分組傳輸過程中惡意的分組注入/篡改、丟棄/劫持攻擊，本文提出一種基于地址重載的SDN 分組轉發驗證AO-PFV（address overloading-based packet forwarding verification）機制，該機制利用SDN 集中控制、可編程的特點，克服了現有機制通過為數據平面開發新的安全通信協議并實現分組逐跳轉發的缺點，通過地址重載，AO-PFV 實現了高效的分組轉發，基于采樣，控制器能有效檢測分組轉發的異常行為。

1 相關研究

基于加密或簽名的方法在傳統IP網絡的分組轉發驗證中已被廣泛應用，這類方法通常需要部署密碼基礎設施，通過為交換機或路由設備開發新的安全通信協議，在分組頭中嵌入密碼標簽實現逐跳的轉發驗證[7-8]，分組傳輸中的驗證引入了較大的運算開銷、嵌入固定或可變長度的密碼標簽也極大地增加了網絡通信開銷。現有的SDN 分組轉發驗證大多是通過引入傳統IP 網絡的數據轉發驗證機制來實現的，如為數據平面交換機開發新的安全通信協議，向轉發的分組頭中嵌入可變或固定長度的密碼標簽，通過校驗分組頭的密碼標簽驗證分組的有效性。文獻[9]提出了SDN 路徑一致性規則驗證機制REV（rule enforcement verification），通過向轉發的分組頭中嵌入分組摘要信息保證其完整性，同時，路徑中各交換機更新基于壓縮消息認證碼的標簽信息，防止惡意分組重定向，控制器基于嵌入的分組字段信息驗證其是否通過了控制器授權的完整路徑，REV 引入了不小的通信開銷。文獻[10]提出基于屬性簽名標識的SDN 分組轉發驗證機制，根據用戶的身份屬性，采用屬性密碼算法生成屬性簽名標識，可有效驗證分組篡改、偽造等異常行為，但采用基于屬性簽名的密碼學算法使復雜的驗證過程引入了較大的計算開銷和網絡傳輸時延，且該機制未能有效應對惡意的丟棄與劫持攻擊。LPV（lightweight packet forwarding verification）[11]中控制器向交換機下發校驗表LPV-table，各交換機節點基于LPV-table 驗證分組的完整性，利用SDN 的消息機制以及組表讀取轉發節點的流轉發統計信息實現定位異常，LPV中交換機節點基于控制器下發的摘要信息驗證分組完整性，其本質依然是采用逐跳驗證的方式實現分組轉發。文獻[12]提出一種基于數據平面可編程的軟件定義網絡報文轉發驗證機制，通過為數據分組添加自定義的密碼標識，將協議獨立數據分組處理編程語言P4 轉發設備[13]加入基于OpenFlow 的軟件定義網絡，對網絡流采樣，適用于小型網絡的分組轉發驗證，機制在用戶源端IP 頭中的選項字段嵌入自定義密碼標識增加了網絡通信開銷，同樣，該機制僅能檢測惡意篡改/注入攻擊。文獻[14]基于流圖抽象的概念，通過自定義算法處理網絡更新和增量驗證，檢測網絡拓撲和數據平面中已知或未知的安全威脅，對異常產生警報，該機制未能有效檢測分組的篡改、延遲等惡意攻擊。文獻[15]提出了基于端址重載的轉發驗證機制，該機制通過重載分組端口和地址信息使分組傳輸中無任何額外的通信開銷，可以有效檢測傳輸中的篡改、丟棄等攻擊，但機制引入的安全通信協議仍然采用了逐跳驗證的方式，帶來了一定的驗證開銷。表1 對比分析了現有典型方案解決的問題、主要技術和各自的優缺點。

基于表1 對比分析可以看出，傳統網絡或SDN現有轉發驗證機制為數據平面交換機開發新的安全通信協議，通過嵌入密碼標簽/標簽實現分組的逐跳轉發驗證，或結合密碼標簽與分組抽樣方式檢測轉發異常，需要額外分組頭開銷，引入了一定的計算和通信開銷[7-12]，且未能有效檢測惡意的丟棄/劫持攻擊[7，10，12]；而通過統計路徑中節點轉發的數據分組計數值并檢測異常僅僅可以檢測網絡中惡意節點針對分組的注入與丟棄攻擊[14]，但不能有效應對惡意節點的篡改攻擊。

表1 典型方案分析

2 攻擊模型

SDN 邏輯集中的控制器下發轉發策略，數據平面交換機遵循控制器授權策略轉發數據。通常，存在非誠實的交換機或敵手控制某一交換機時，可以構造以下攻擊來破壞數據分組轉發，以中斷主機或網絡之間的通信。1)注入分組，即攻擊者注入虛假分組數據；2)篡改分組，即攻擊者篡改數據分組，如負載數據；3)丟棄分組，即攻擊者丟棄傳輸中的任意分組；4)劫持分組，即攻擊者將分組重定向至非控制器授權的路徑節點；5)重放分組，即攻擊者重放以前的分組。攻擊者可以實施上述某單一的攻擊方式或若干攻擊方式結合的組合攻擊。

針對上述的攻擊類型，本文目標是以較小的開銷實現高效的分組轉發，以較低的誤報率（FPR，false positive rate）與漏報率（FNR，false negative rate），實時、準確檢測數據流傳輸中存在的異常。

本文假定邏輯集中的控制器是安全的，任一數據流入口與出口交換機為誠實交換機節點，控制器與數據平面的通信信道是安全的，數據的機密性由終端用戶保證。

3 地址重載的SDN 分組轉發驗證AO-PFV

本節詳細闡述基于地址重載的SDN 分組轉發驗證機制AO-PFV 如何實現高效轉發、實時檢測異常的目標。

3.1 AO-PFV 概述

與現有機制通過開發新的安全通信協議并嵌入密碼標簽實現逐跳驗證的方式相比，AO-PFV通過地址重載與哈希采樣實現分組轉發驗證、檢測異常。AO-PFV 機制的控制器運行基本流程如圖1 所示。

圖1 AO-PFV 控制器運行流程

具體來說，AO-PFV 是一種抽樣檢測機制，針對每條流的每個分組實施采樣檢測，但由于網絡分組傳輸時延，流分組統計嚴重依賴于轉發設備之間嚴格的時間同步[6]，為此，AO-PFV 借鑒移動目標防御[16]（MTD，moving target defense）中地址跳變思想，設計一種地址重載技術，通過將分組頭地址字段重載為不同的流表匹配標識，使控制器可將流FlowSN 運行時間t分割為一系列連續的時間間隔ti，即t=t1+t2+…+tn，ti依賴于入口交換機接收的分組數滿足某一預設值N（也稱為檢測時延），由于各時間間隔ti采用的地址重載匹配字段不同，因而達到了時間分割的作用，解決了分組統計依賴交換機時間同步問題。

流在任一間隔ti開始，控制器向入口交換機發送地址重載流表指令，向路徑中各后繼交換機發送地址重載后的流表，并向出口交換機發送地址恢復的流表指令；間隔ti內，入口交換機基于該指令重載數據分組的地址信息，流路徑中的各后繼交換機基于重載后的流表轉發數據分組，同時，控制器接收入/出口交換機采樣的分組驗證數據分組的完整性。若驗證錯誤，則表明存在惡意注入/篡改攻擊；若間隔ti結束之后、下一間隔ti+1開始之前，采樣的入口交換機分組摘要未被驗證的計數值超出了預設的閾值，表明存在丟棄/劫持攻擊；若上述檢測未發生驗證錯誤，并且采樣的入口交換機分組摘要未被驗證的計數值低于預設的閾值（考慮由于網絡傳輸中存在的自然分組丟失率），則表明在ti內無惡意攻擊，可減小下一間隔ti+1采樣概率，以此提高網絡傳輸效率。以下將詳細闡述AO-PFV中基于地址重載的分組轉發和基于哈希采樣異常檢測機制。

3.2 基于地址重載的分組轉發

當數據流進入第一跳入口交換機，入口交換機查詢流表，若失配，表明是新的數據流或是該流下一個時間間隔ti開始，此時，交換機將向控制器發送Packet-In 消息請求流表，控制器根據網絡拓撲信息計算或已保存的該流傳輸路徑，向路徑中的各交換機下發流表。控制器提取并保存入口交換機Packet-In 消息中分組頭中的協議號、源/目的地址、源/目的端口號五元組信息，按式(1)計算間隔ti流標識號。

控制器生成間隔ti標識TMi=Hash (ti)32，i=1，2，…，n，向路徑中的各后繼交換機發送Flow-Mod 消息，安裝以FlowSNi及時間間隔標識TMi為匹配域的流表項，在入口交換機安裝的流表項中通過指令（如OpenFlow中SET_FIELD 標準命令）將分組頭中的地址信息分別設置為FlowSNi和TMi，實現分組地址信息重載，并設定分組的出端口，重載后的IP 分組頭地址字段如圖2 灰色部分所示，其中FlowSN 為流標識符，TM 為時間間隔標識，每個間隔ti重載的地址字段信息FlowSNi和TMi不同，用于流時間的分割及分組采樣統計的時間同步。

圖2 重載后的IP 分組頭地址字段

控制器獲取入口交換機接收的分組數N且滿足某一條件后，向入口交換機發送Flow-Mod 消息修改并更新下一間隔ti+1流表項，同時向路徑中各后繼交換機安裝ti+1間隔的流表項，并在一個往返時延后刪除各后繼交換機在間隔ti內的流表項，使分組可以無損、可靠地傳輸[17]。通過地址重載，控制器將流運行時間分割為一系列連續的間隔ti，保證控制器對流路徑中入口/出口交換機采樣分組的時間同步，各后繼交換機將根據控制器安裝的流表轉發數據。控制器保存數據流的原始地址信息，并在出口交換機安裝的流表項中指定恢復分組原始地址信息指令，當流分組到達出口交換機時，出口交換機基于該流表指令恢復分組地址，并轉發分組至終端。AO-PFV中入口和出口交換機的分組處理流程分別如圖3和圖4 所示。入口交換機接收流的原始分組，基于控制器下發的流表規則，重載分組地址字段，通過哈希采樣，向控制器發送被采樣的分組并轉發分組至下一節點；中間交換機基于控制器下發的、地址重載后的流表規則轉發分組；分組到達出口交換機時，出口交換機匹配分組并通過哈希采樣向控制器發送被采樣的分組，基于控制器流表指令恢復分組原始地址，轉發分組至終端。

圖3 入口交換機分組處理流程

圖4 出口交換機分組處理流程

3.3 基于哈希采樣的異常檢測

對某一流FlowSN，通過交換機逐跳驗證所有的數據分組，增加了數據平面的計算與通信開銷。AO-PFV中控制器通過地址信息重載將流運行時間分割為連續的時間間隔ti，解決分組計數依賴交換機時間同步問題，控制器獲取在間隔ti內入口與出口交換機基于哈希采樣[18-19]的轉發分組并驗證其完整性，檢測流路徑中存在的異常轉發行為。第2 節問題描述中分組的重放可等價于重復的分組注入攻擊，分組的篡改等同于丟棄原分組并注入偽造的分組，分組的劫持攻擊可等價于丟棄原路徑上正常轉發的分組；因此，本文主要考慮惡意節點實施的篡改以及丟棄這兩類攻擊。

控制器獲取入口/出口交換機通過哈希采樣的分組，基于如下的簡單統計算法檢測異常：設入口交換機在間隔ti內接收的轉發分組計數為N（N為一足夠大的值），基于相同的哈希采樣算法，控制器獲取入口與出口交換機以相同概率λ采樣的轉發分組，對比出口交換機采樣分組與入口交換機采樣分組的消息摘要，驗證其完整性，檢測網絡異常。對于惡意的篡改攻擊，若被篡改的分組在出口交換機被采樣，則其摘要值必定不能與入口交換機所采樣的分組摘要值相匹配，控制器可判定存在篡改攻擊行為；對于惡意丟棄分組攻擊，被丟棄的分組必定不能被出口交換機所采樣，令間隔ti內入口交換機采樣的分組摘要中未被匹配的計數值為ΔS，在無惡意攻擊且鏈路無因擁塞等原因產生自然分組丟失的條件下，未被匹配的摘要計數值必定為ΔS=0，或者分組傳輸中存在一定概率的自然分組丟失率條件下，若計數值ΔS＞ 0，但在某一可接受的閾值范圍內，可認為分組未被惡意丟棄，分組轉發正常，若未被匹配的摘要計數值ΔS大于某一閾值，表明數據流傳輸中存在惡意的丟棄行為。

AO-PFV中入口/出口交換機按式(2)計算分組摘要值，并按式(3)采樣時間間隔ti內的分組。

式(2)通過單向哈希函數H（如SHA-1）計算傳輸分組 IP 頭中不變的字段IPINVAR、分組負載Payload 及重載后地址信息字段（流標識FlowSN 及間隔標識TM）的摘要。其中，為間隔ti的臨時密鑰，在ti結束前，僅控制器與入口、出口交換機持有該密鑰，=H(K||TMi)，這里K為數據流FlowSN 入網時，控制器與入口及出口交換機的共享密鑰，因此路徑中的各交換機節點無法預知入口/出口交換機所采樣的分組；Φ為分組摘要值與摩爾加。入口/出口交換機按式(3)實現分組哈希采樣，n=lbn，η為Φ位長度，λi為哈希采樣概率，0＜λi＜ 1。AO-PFV中入口、出口交換機以概率λi采樣轉發分組P，控制器維護一個流入口交換機數據分組的消息摘要表Tablemac，基于哈希采樣的異常檢測算法如算法1 所示。

算法1基于哈希采樣異常檢測算法

輸入間隔ti采樣概率λi，采樣分組Pi和Po

輸出間隔ti+1采樣概率λi+1或異常告警

算法1中采樣的分組來自入口交換機時，計算并存儲該分組的消息摘要，=H(IPINVAR||FlowSN||TM||Payload)，更新采樣分組計數值size；采樣的分組Po來自出口交換機的轉發分組時，計算該分組的消息摘要，并在Tablemac中查找是否存在與此匹配的摘要值，若成功匹配，表明該分組同時被入口與出口交換機采樣且被正確傳輸，此時將更新成功匹配成功計數值S（第1)～9)行），間隔ti內，Tablemac中已被匹配成功的摘要值將不再參與下一次匹配（第10)行）；若所采樣的出口交換機分組摘要未能與表Tablemac中某一MACPi匹配，表明流分組傳輸路徑中必存在虛假分組的注入或分組篡改攻擊行為（第11)～13)行）。當FlowSN 入口交換機接收的分組數N滿足檢測時延條件時（第16)～25)行），控制器將根據在ti內所采樣的入口交換機摘要計數值size、成功匹配的摘要計數值S，計算在Tablemac中未被匹配的計數值ΔS=size-S，檢測分組傳輸中的丟棄或劫持攻擊，根據檢測結果調整下一間隔ti+1采樣概率λi+1或異常告警（第18)～24)行）。設入口交換機在ti內接收并轉發的分組數為N，若未被匹配的摘要計數值ΔS＞ 0，且其值ΔS大于某一閾值λiN(θ+Δθ)（第18)行），θ為無惡意攻擊時路徑中的自然分組丟失率，Δθ為可調節參數，0＜Δθ＜θ，表明路徑中存在惡意的丟棄或劫持的攻擊；否則，表明ti間隔內路徑中無惡意轉發行為，刪除保存的該間隔內采樣分組的摘要表，并減小下一時間間隔ti+1的采樣概率λi+1，即λi+1=ωλi，其中0＜ω＜ 1。

定理1算法1 在任意時間間隔ti內，哈希采樣概率為λ，自然分組丟失率為θ的流分組傳輸路徑上，使在無惡意丟棄攻擊時的誤報率FPR 以及當存在以大于概率θ對分組實施丟棄時的漏報率FNR 皆低于設定值ε（0＜ε＜1），入口交換機接收的分組數N必須滿足N≥max在此檢測時延條件下，給定漏報率ε，當惡意節點注入/篡改分組數x＞時，控制器可以1-ε的概率檢測到該類攻擊。

證明以下分別考慮惡意節點的篡改以及丟棄攻擊檢測。

1)惡意節點的篡改攻擊。在間隔ti內，節點篡改單個分組且不被出口交換機所采樣的概率為1-λ，若節點注入或篡改x個分組，且皆未被采樣，此時惡意節點可有效規避控制器檢測，檢測算法將發生漏報（控制器檢測節點的注入或篡改不會發生誤報），FNR 滿足

因此，在給定的漏報率ε的條件下，惡意節點最多可注入/篡改的分組數為

所以，當節點注入/篡改x＞個分組時，控制器可以1-ε的概率檢測到惡意篡改攻擊。

2)惡意節點的丟棄攻擊。當流FlowSN 路徑中無惡意節點的丟棄攻擊且無自然分組丟失時，控制器按式(3)獲取入口與出口交換機以概率λ哈希采樣的數據分組，驗證成功的計數值應為S=λN，未能匹配的計數值則為ΔS=0（N為入口交換機在ti內接收并轉發的分組數）。考慮網絡中存在的自然分組丟失率，假定數據傳輸路徑中因網絡擁塞等原因使分組在傳輸中以最大概率θ被自然丟棄。

當無惡意攻擊時，基于哈希采樣，控制器獲取的出口交換機的采樣分組摘要未能與入口交換機采樣的分組摘要匹配的計數值為ΔS，ΔS=size -S，其期望值應滿足E(ΔS)≤λ Nθ，若ΔS＞thr，這里取閾值thr=λ N(θ+Δθ)=λ Nθ+λ NΔθ＞ E(ΔS)，其中Δθ為可調節參數，0＜Δθ＜θ，此時必將引發誤報（FP，false positives）。異常檢測算法使在無惡意丟棄攻擊時的FPR 滿足

基于切諾夫界[20]可得

其中，0＜Δθ＜θ。

使在無惡意丟棄攻擊時誤報率低于某一定值ε，需要滿足

同理，當路徑中存在惡意攻擊者以大于θ的概率對分組實施攻擊時，考慮存在的最大自然分組丟失率θ，則Tablemac中未被匹配計數值ΔS=size-S，其期望值滿足E(ΔS)＞2λ Nθ，若此時ΔS＜thr，thr=λ N(θ+Δθ)＜2λ Nθ＜ E(ΔS)，則必將引發漏報（FN，false negatives），控制器異常檢測算法使當存在以概率θ實施惡意丟棄攻擊時的漏報率FNR 滿足

基于切諾夫界可得

使存在攻擊者以大于θ的概率對分組實施丟棄攻擊時漏報率低于某一定值ε，需要滿足

若使在無惡意丟棄攻擊時檢測誤報率FPR 以及存在以大于θ的概率對分組實施丟棄攻擊時檢測算法漏報率皆低于某一定值ε，聯立式(8)及式(11)可得

其中，0＜Δθ＜θ，0＜ε＜ 1。

綜上可知，在任意間隔ti內，對于丟棄攻擊檢測，若流分組傳輸路徑中最大自然分組丟失率為θ，在入口交換機接收的數據分組N在滿足式(12)條件下，無惡意丟棄時的FPR 以及存在以大于θ的概率惡意丟棄分組時的FNR 低于設定值ε；而對于惡意注入/篡改檢測，在式(12)檢測時延下，當節點注入/篡改的分組數x＞時，控制器可以1-ε的概率檢測到惡意攻擊。因此，算法1 基于哈希采樣檢測算法可以有效檢測分組傳輸中的惡意攻擊行為，證畢。

4 實驗與分析

本節構建一個簡單的仿真網絡環境，通過擴展交換機行為模型（BMV2，behavioral-model version 2）中ExternType 類實現基于哈希采樣的P4 可編程交換機，評估AO-PFV 機制的有效性，內容包括異常檢測準確度以及機制網絡性能，最后簡要分析AO-PFV 與現有類似機制的優缺點。

4.1 實驗環境

實驗采用聯想Lenovo E580 作為運行平臺，操作系統運行64 位Ubuntu 14.06，配置為Inter(R)Core(TM)i7-8550 CPU、8 GB 內存、1.8 GHz，使用Mininet 模擬網絡環境，可編程P4 軟件交換機、基于P4Runtime 接口實現的控制器相關組件，本文擴展了交換機行為模型BMV2 使其支持數據分組哈希采樣，通過p4c 編譯器編譯P4 程序生成JSON 格式描述文件并導入BMV2 交換機行為模型，模擬網絡采用分布式拓撲，由20 個虛擬P4 交換機及若干虛擬主機終端組成。

4.2 異常檢測準確度

實驗分別選擇路徑長度L=8和L=10 的兩條簡單路徑PATH1=(R0，R1，…，R8)、PATH2=(R0，R1，…，R10)。惡意節點R5實施數據篡改、丟棄兩類攻擊，本節實驗用于檢驗定理1 在理論設定的誤報與漏報率ε條件下，基于哈希采樣分組的異常檢測算法的有效性。以下將主要評估針對惡意的篡改、丟棄這兩類攻擊實施檢測的有效性，驗證其在惡意節點實施篡改攻擊時檢測算法的準確性、在無惡意丟棄攻擊時的FPR 以及存在惡意丟棄攻擊時的FNR。

仿真網絡傳輸路徑PATH1最大自然分組丟失率θ1=0.008，調節參數；傳輸路徑PATH2最大自然分組丟失率θ2=0.010，調節參數

4.2.1 惡意篡改FNR

實驗驗證在預設漏報率ε=0.03下，惡意節點實施篡改攻擊時檢測算法的實際漏報率。通過網絡性能測試工具iperf 持續向入口交換機節點R0發送分組數據。路徑長度L=8和L=10，采樣概率λ=0.10和λ=0.20，攻擊者R5以概率α=0.02%～ 0.08%對分組實施篡改攻擊時實際漏報率分別如圖5和圖6所示。

圖5 L=8 時不同篡改率下的漏報率

圖6 L=10 時不同篡改率下的漏報率

由圖5和圖6 可以看出，在節點以α=0.02%～0.03%的極小概率實施篡改攻擊時，檢測算法存在8%～22%的漏報，隨著節點攻擊概率的提高，在以α=0.05%～ 0.06%實施篡改攻擊時，存在約4%的漏報率，在以α=0.08%實施攻擊時，檢測算法準確率達到99%以上，漏報率低于1%。此外，圖5 與圖6是在相同的檢測時延N下所得到的檢測結果，可以看出，在保持N恒定的條件下，通過提高采樣概率λ，可以減小篡改攻擊的漏報率。

4.2.2 無惡意丟棄攻擊時的誤報率FPR

路徑長度L=8和L=10，采樣概率λ=0.10～ 0.55，設定在無惡意丟棄攻擊時理論誤報率分別為ε=0.05和ε=0.03。實驗結果如圖7 所示。從圖7 可以看出，由于檢測閾值的影響，在無惡意丟棄攻擊時，檢測算法存在一定概率的誤報，實際誤報率低于1.0%，均低于預設值ε。

圖7 無惡意丟棄攻擊時的誤報率

4.2.3 惡意丟棄攻擊時的漏報率

實驗驗證在預設惡意丟棄攻擊理論漏報率分別為ε=0.05、ε=0.03，采樣概率為λ=0.10，λ=0.15，λ=0.20及λ=0.25時的實際漏報率。攻擊者R5分別以概率α=0.1%～ 1.0%對分組實施丟棄，路徑長度L=8和L=10 的實驗結果分別如圖8和圖9 所示。

圖8 L=8，ε=0.03 時丟棄攻擊漏報率

圖9 L=10，ε=0.05 時丟棄攻擊漏報率

從圖8和圖9 可以看出，在惡意節點在以極小概率α?θ、α=0.1%～ 0.2%對分組實施丟棄攻擊時，檢測算法漏報率達到90%左右；隨著攻擊概率的增大，檢測算法漏報率隨之降低，當攻擊概率α＜θ、α=0.5%～ 0.7%時，漏報率減小為5%～20%；當攻擊者丟棄概率α≥θ（L=8 時，α≥0.8%；L=10 時，α≥1% ），漏報率為0.1%～0.5%。

由上述分析可知，在理論設定的誤報與漏報率ε（ε=0.03，ε=0.05）條件下，當攻擊者以極小概率（α?θ）實施丟棄攻擊時，受檢測閾值影響，檢測算法漏報率較高；當路徑中無惡意丟棄攻擊時，受網絡自然分組丟失率影響，檢測算法依然存在低于1%平均誤報率；而攻擊者以α≥θ的概率對分組實施丟棄攻擊時，存在低于約0.5%的漏報率。因此，在無惡意丟棄時的誤報率以及存在以α≥θ的概率實施丟棄時的漏報率皆低于理論預設值ε，這一實驗結果與定理1 相吻合。

由于檢測閾值和網絡自然分組丟失的影響，當閾值設定過低時（減小調節參數Δθ），會增加無惡意丟棄攻擊時的檢測誤報率，減小存在丟棄攻擊時的漏報率；相反，當閾值設定過高時（增大調節參數Δθ），則會減小在無惡意丟棄攻擊時的誤報率，而增加存在攻擊時的漏報率，因此，檢測算法可以減小但無法也不可能同時避免針對丟棄攻擊檢測的這兩類誤差。而對于惡意的篡改攻擊，在保持檢測時延N一定的情況下，可以通過增加采樣概率，以此減小篡改攻擊漏報率。

4.2.4 檢測時延

基于哈希采樣分組異常檢測算法根據上一間隔ti的檢測結果，調節下一間隔ti+1的采樣概率λ。圖10 為不同采樣概率下，哈希采樣分組檢測算法的檢測時延（即分組數）。

圖10 不同采樣概率下的檢測時延

從圖 10 可看出，當L=10、采樣概率λ=0.50、ε=0.05以及ε=0.03時，N=10 000～12 000。N為一個時間間隔內，流入口交換機所接收的分組數，由式(12)及圖10 可知，檢測時延受采樣概率及預設ε值影響，采樣概率越小，檢測時延越大，采樣概率越大，則檢測時延越小；ε值越大，檢測時延越小。

4.3 性能評估

本節主要評估機制AO-PFV 網絡性能，包括計算開銷、分組轉發時延以及網絡吞吐率等。

計算開銷。數據平面交換機計算開銷是影響轉發時延的主要因素，與本文相似方案單次分組傳輸數據平面節點計算復雜度如表2 所示。

表2 相似方案計算復雜度

在長度為L的路徑上，文獻[7，9]方案中路徑各節點需兩次消息認證碼計算（用H 表示），其總的計算開銷為分別為4LH和2LH；文獻[10]方案中的任一分組的傳輸，源端需要嵌入基于身份屬性密碼的標簽消息，其總開銷至少為2KP（K為屬性元個數，P 為雙線性對運算）；文獻[11]方案中各節點需一次摘要計算（用M 表示），總計算開銷為LM；文獻[12]方案中一次分組傳輸，用戶終端及P4 交換機各需一次消息認證碼計算，總的開銷為3H；文獻[15]方案中入口交換機需LH次運算，各后繼交換機各需一次認證碼驗證計算，總的開銷為2LH，而AO-PFV 的一次分組傳輸，入口/出口交換機各需要一次摘要運算，總的運算開銷為2M。AO-PFV 一次分組傳輸節點計算開銷低于現有相似機制。

4.3.1 轉發時延

本節實驗對比測試了運行AO-PFV 協議及未運行AO-PFV 協議即標準協議的網絡性能，測試其在不同路徑長度下的轉發驗證往返時延（RTT，round trip time），同時測試了在相同網絡仿真環境中表2中節點計算開銷較小的機制[12]和開銷最大的機制[10]的往返時延，測試結果如圖11 所示。

圖11 不同路徑長度下的轉發時延

圖11中L=10 時，運算標準協議平均往返時延約為26 ms，AO-PFV 的平均往返時延低于28 ms，AO-PFV 平均引入了7%～8%的單向網絡轉發時延，文獻[12]機制略高于AO-PFV，其引入了9%左右轉發時延，AO-PFV 遠低于文獻[10]機制，L=10 時，其時延約為32 ms，平均引入了19%～20%的時延。

4.3.2 網絡吞吐率

本節實驗對比測試了運行AO-PFV 協議及未運行AO-PFV 協議也即標準協議、計算開銷較小的文獻[12]機制和開銷最大的文獻[10]機制在分組負載為300～1 200 B 下的網絡吞吐率，L=8和L=10 的實驗結果分別如圖12和圖13 所示。在同一負載條件下，文獻[12]機制和文獻[10]機制吞吐率損失分別約為16%和8%，而AO-PFV 損失6%～7%的吞吐率。

圖12 L=8 時不同負載下的網絡吞吐率

圖13 L=10 時不同負載下的網絡吞吐率

4.4 機制比較

本節分別從定性與定量分析兩方面對比分析AO-PFV 與現有典型的機制之間的差異。

現有機制旨在解決SDN中數據平面分組轉發驗證，如表3 所示，將AO-PFV 與這幾類機制相比較，從所提供的安全檢測功能、有無分組頭開銷及以及數據平面是否需要額外的安全通信協議幾方面定性比較分析其各自的優缺點。

表3 相似機制定性對比分析

文獻[7]中節點執行兩次驗證碼操作實現分組驗證與路徑驗證域哈希鏈更新，文獻[9]通過壓縮的消息認證碼實現分組路徑一致性驗證，文獻[10]機制嵌入了基于屬性密碼的身份屬性標簽實現驗證，文獻[7，9-10]引入了新的安全通信協議以支持數據平面分組轉發驗證，可以有效檢測分組的惡意的篡改、注入攻擊，但無法應對惡意的丟棄攻擊；LPV[11]為數據分組插入了一系列用于混淆攻擊者的隨機標簽并采樣某一類特定隨機標簽的分組，驗證其完整性以此檢測網絡異常，該機制通過控制器下發分組摘要至交換機節點，采用的依然是逐跳驗證的方式，可以檢測分組的篡改與丟棄攻擊，但插入的隨機標簽同樣引入了一定的通信開銷；文獻[12]通過用戶終端在IP 頭選項字段嵌入36 B 的自定義密碼標識，能有效檢測惡意的篡改攻擊，無法檢測丟棄攻擊。文獻[15]可以有效檢測針對分組的各類攻擊，不需要額外的分組通信開銷，但采用了逐跳驗證的轉發方式，增加了計算開銷。

IP 分組負載為800 B，L=8 時，各機制在分組頭通信開銷、數據平面分組單向傳輸計算時間、惡意分組篡改漏報率、丟棄檢測時的漏報率與無丟棄攻擊時的誤報率定量分析對比如表4 所示。在本文實驗平臺環境中一次消息摘要運算約為6 μs，一次消息認證碼計算約為10～12 μs，一次雙線性對計算約為0.50～0.60 ms。

表4 相似機制通信開銷、計算時間、漏報率與誤報率分析（L=8，θ=0.008）

文獻[7，9]中嵌入的分組頭開銷隨著路徑長度的增加而線性增加，分組頭開銷長度分別為52+16L、32+L，單位為B；文獻[10]機制嵌入了基于身份屬性密碼的驗證標簽，其分組頭開銷至少為144 B，這三類機制采用消息驗證碼或簽名驗證的方式轉發分組，篡改攻擊檢測漏報率為0，但無有效的丟棄攻擊檢測機制。LPV[11]同樣插入了一系列用于混淆攻擊者的隨機標簽，并采樣某一類特定標簽的分組，該機制隨采樣因子的不同，其篡改漏報率低于10%，丟棄檢測誤報與漏報率低于4%。文獻[12]在IP 選項字段插入了固定長度為36 B 的密碼驗證標識，在攻擊者以10%的概率實施篡改攻擊時，漏報率低于10%，但該機制不能檢測惡意的丟棄攻擊。文獻[15]不需要額外分組頭通信開銷，在攻擊者以1%～4%的概率實施篡改時，其漏報率低于1%，在攻擊者以小于0.5%的概率實施丟棄攻擊時，漏報率大于10%，在攻擊者以1%～4%的概率丟棄分組時，其漏報率低于2%，誤報率低于2%。AO-PFV 在攻擊者大于0.08%的概率實施篡改時的漏報率低于0.5%，而以大于路徑自然分組丟失率θ的概率實施丟棄攻擊時，漏報率低于1%，在無惡意丟棄攻擊時的誤報率低于1%。

基于以上分析可知，通過入口交換機實現地址信息重載，AO-PFV 不需要額外的數據平面安全通信協議及額外的分組頭開銷，其分組通信開銷與計算開銷小于現有機制，基于哈希采樣，控制器可以有效檢測惡意節點的注入、丟棄、篡改等攻擊。AO-PFV 機制與逐跳驗證機制相比，在惡意節點實施篡改/丟棄攻擊時，存在一定概率的漏報或誤報，但在同等攻擊概率條件下，AO-PFV 檢測準確性優于現有機制。

5 結束語

針對現有SDN 轉發驗證機制通過開發新的安全通信協議并嵌入密碼標簽實現逐跳驗證引入較大的計算與通信開銷的缺點，本文提出一種基于地址重載的分組轉發驗證機制AO-PFV，AO-PFV中入口交換機重載IP 分組頭中的地址信息將流運行時間劃分為連續隨機的時間間隔，后繼節點基于重載的地址信息轉發分組，控制器獲取間隔內流入口及出口交換機基于哈希采樣的轉發分組并驗證其完整性，檢測路徑中存在的異常轉發行為；最后，構建仿真網絡實現了所提機制并對其有效性進行了評估。與現有機制相比，AO-PFV 計算開銷小，不需要額外安全通信協議和分組頭開銷，以引入不超過8%的轉發時延和約7%的吞吐率損失，可有效檢測分組轉發中惡意注入、篡改、丟棄等異常轉發行為。