一種支持隱私保護的網絡自動化系統設計?

潘小琴 尹 慧 姜 凌 段康容

（1.西南科技大學工程技術中心 綿陽 621010）（2.中國船舶集團有限公司第七二二研究所 武漢 430205）

1 引言

近年來，隨著大數據和云計算、“云邊端”協同一體化和網絡虛擬化等技術的發展，網絡變得高度動態，網絡流量與日俱增。因此，網絡控制與管理（Network Control and Management，NC&M）面臨著諸多新的挑戰［1］。例如，用戶對敏感型業務的服務質量（Quality of Service，QoS）要求不斷提高，這使得NC&M 對帶寬、時延、抖動等業務的支持更加復雜。此外，網絡服務商對網絡業務與物理設備之間的靈活性需求更大，這增加了NC&M中網絡故障檢測/定位的難度。SNMP、sFlow 和NetFlow 等傳統NC&M方案基于“Sever-Client”模式，使用帶外方式輪詢網元并收集狀態數據，存在著粗粒度和非實時性等不足［1］。

網絡遙測技術可實時地感知各網元的物理運行情況，向控制平面提供細粒度的網絡配置和狀態監控數據，為解決上述難題帶來了希望。目前，帶內網絡遙測（In-band Network Telemetry，INT）［3］已成為主流遙測方式，可實現端到端、實時、細粒度的網絡監控。如圖1所示，在IP流的路由路徑上，INT將網元的遙測數據依次插入用戶數據包，在目的主機導出遙測數據并匯報至控制平面。

圖1 支持隱私保護的網絡自動化系統架構

基于軟件定義網絡（Software-Defined Networking，SDN）［4］架構，INT 的遙測數據需要從數據平面上報至控制平面，其控制通道通過基于傳輸層安全（Transport Layer Security，TLS）連接實現。然而，已有研究表明該通道容易受中間人攻擊［5~7］，給遙測數據帶來被竊聽的風險，繼而引發隱私泄露的安全問題。假如惡意方竊聽控制通道并獲得了明文遙測數據，即可推導出關于底層網絡（特別是光層網絡）的配置和運行狀態信息，并利用這些隱私信息發起物理層或網絡層攻擊［8~9］。因此，提高遙測數據在數據上報通道中的安全性和隱私性，對生產網絡中NC&M的順利實施起著重要作用。

目前，關于INT 的研究集中在如何提升遙測性能［10，17］和降低系統開銷（數據上報帶寬開銷［11］、遙測數據采集開銷［12］和交換機處理開銷［10，13］）等方面。然而，這些研究均未關注遙測數據在控制通道中由竊聽引發的隱私泄露問題。基于網絡自動化概念，研究人員將網絡遙測和基于機器學習的數據分 析（Machine Learning-based Data Analytics，ML-DA）相結合，用來快速且準確地獲得全局網絡視圖，為控制平面做出智能的NC&M 決策提供依據。例如，2018 年Hyun 等［14］提出了基于SDN 架構的自動駕駛網絡，可利用INT 和深度學習（Deep Learning，DL）實現網絡自動管控。同時，Yao 等［15］提出了另一種類似的架構（NetworkAI），在SDN 中實現INT輔助的自學習控制策略。隨后，Lu等［16］針對光電混合數據中心，提出一種DRL 輔助的網絡自動化架構來管理電/光交換網絡。Tang等［17］通過實驗展示了在SDN 網絡中利用INT 和DL 實現網絡的異常檢測。盡管這些方案都取得了成功，但上述研究都忽略了遙測數據在上報過程中的安全漏洞。

為解決遙測數據在數據上報通道中存在的由竊聽帶來的隱私和安全問題，本文提出了一種支持隱私保護的網絡自動化系統。

2 支持隱私保護的網絡自動化系統

圖1 是一種典型的網絡自動化系統架構，其工作流程如下：1）利用ML-INT（Multilayer INT）［18］技術實現多層網元（光層和IP 層）的遙測，并將ML-INT 數據匯聚到數據收集代理（Data Collection Agent，DCA），DCA 對數據進行預處理并上報至控制平面；2）由ML-DA 對ML-INT 數據進行實時分析，并將分析結果轉發給SDN 控制器；3）由SDN 控制器做出智能的NC&M 決策來自動處理檢測到的網絡異常。

系統中通常有多個DCA 通過數據報告通道以明文方式將遙測數據上報到控制平面。且IP-over-Optical 多層網絡常用于骨干、核心網絡，各網元跨越較大的地理空間。因此，ML-DA 和DCA通常屬于不同的地理區域，這使得基于TLS連接的數據上報通道存在安全隱患，惡意方可發起中間人攻擊［7］來竊聽明文遙測數據，給網絡帶來嚴重的隱私泄露和安全問題。

為了解決上述問題，本文在DCA 和ML-DA 中分別開發了新模塊，將其轉變為支持隱私保護的系統。如圖1 所示，首先DCA 從接收到的ML-INT 字段提取出遙測數據，根據時間戳將其組織為一個明文向量（包括IP層的轉發延時、入口/出口帶寬和光層的光功率、OSNR、色散等遙測數據）。然后，利用基于IVHE［19~20］的加密模塊對明文向量加密，將密文向量上報至控制平面。ML-DA 利用基于ML 的異常檢測模塊直接操作密文向量，實現密文的異常分類。

3 關鍵設計

3.1 基于IVHE的加密模塊

數據平面支持隱私保護的網絡遙測如圖2 所示，其中基于IVHE的加密算法包括密鑰生成、密鑰交換和向量加密三個階段［19~20］。本文將一個ML-INT 數據樣本的明文向量定義為x?Zm，其中x的所有元素都是整數，m 表示向量的長度。同時，將x對應的密文向量定義為c?Zn，且n≥m。x和c滿足如下關系：

圖2 隱私保護的操作流程

其中S?Zm×n是初始秘鑰，e?Zm是隨機生成的噪聲向量，w 是預設權重?；贗VHE 的加密流程如下：

1）在秘鑰生成階段，通過設置初始噪聲向量e=0 和密文向量c=w?x，獲得初始秘鑰S=I，其中I是一個m×m的單位矩陣。

2）在秘鑰交換階段，產生臨時的密鑰-密文對{S*,c*}。首先選擇? 滿足如下公式：

（iv）設為專家=N）的個體決策矩陣，其中N）是專家（xy）=N）從評價等級集合H={H1，H2，…，Ht}選取某一等級對有屬性值ui∈U的方案aj∈A進行評價的結果。個體決策矩陣

其中，ci是c中的第i 個元素，通過將ci轉換為雙極表示形式來構造新的密文向量c*。例如，將ci轉變為ci=bi0+bi1?2+…+bi(?-1)?2?-1，即=[bi0,bi1,…,bi(?-1)] ，bik?{-1,0,1} ，因 此，c*=[,…,。同理，將S 的每個元素Sij轉換為二進制相關的向量來構造新的秘鑰S*，即Si*j=[Sij,2 ?Sij,…,2?-1?Sij]，可以驗證：

3）在向量加密階段，獲得最終的密鑰-密文對{S′,c′}。定義n′是最終密文向量c′的預設長度，首 先 隨 機 生 成 三 個 整 數 矩 陣E?Zm×n??，Α?Z(n′-m)×n??和T?Zm×(n′-m)，構 造 秘 鑰 交 換 矩 陣M?Zn′×n??（即公鑰）：

接著，構造最終的秘鑰S′=[I,T]，滿足：

最后，可得到密文向量c′=M?c*。

基于extended-LWE 問題的困難假設［21］，上述加密算法的安全性依賴于公鑰M。由于E具有隨機性，攻擊者很難根據S＊和M從式（5）中推導出S′。因此，在合理的計算時間內破解IVHE加密算法難度非常大。

3.2 基于ML的異常檢測模塊

控制平面支持隱私保護的數據分析如圖2 所示，控制平面將接收到的密文向量送入ML-DA 中的ML 模型進行異常檢測。ML 模型通過學習帶標簽的訓練集，建立一個從遙測數據到離散的分類類別的映射關系。模塊的輸入可以包括IP 層的轉發延時、入口/出口帶寬和光層的光功率、OSNR 等遙測數據。除正常類別以外，輸出類別還包括光層的WSS 左移、WSS 右移、OSNR 衰減和IP 層的高時延、交換機誤配等異常情況。

本文設計了DNN 模型來實現密文異常檢測，并將結果推廣到其他模型結構。DNN 模型采用7層全連接架構，輸入層和輸出層的神經元數量分別對應于密文向量c′的元素個數和輸出類別數，中間隱藏層的神經元數量分別設置為{256,128,64,32,16}，并添加批歸一化處理。輸出層使用Softmax 作為激活函數，其余使用ReLU 函數。通過離線訓練的方式最小化分類交叉熵函數，并用它來描述分類準確性。此外，使用sklearn 庫函數中的標準模塊來構建SVM、DT、LR 和kNN 模型，通過調整超參數來優化分類器的準確性。

4 實驗設置

本文使用商用設備搭建真實的測試平臺，實現了支持隱私保護的網絡遙測和數據分析系統原型，并進行了異常檢測實驗，驗證和評估了該系統的性能。

4.1 實驗平臺設置

數據平面是一個IP-over-EON 多層網絡。光層由帶寬可變光收發器（BV-T）、帶寬可變波長選擇交換機（BV-WSS）、摻餌光纖放大器（EDFA）和光纖搭建。IP 層由可編程交換機（PDP-SW）、客戶端主機和DCA組成。

BV-T 采用商用的Juniper BTI7800 平臺實現，可支持不同的調制格式（如PM-QPSK 和16-QAM）和不同的線速率（如［100，400］Gbps）。實驗使用了色散補償模塊、放大的自發輻射噪聲發生器（ASE）、可調光衰減器來模擬光信號在長距離光纖中的傳輸情況。BV-WSS 是具有1×9 個配置的商用產品，其工作范圍為［1528.43，1566.88］nm，頻譜分配粒度為12.5GHz。光性能監視器（OPM）由商用的光信道監視器（OCM）實現，采集光鏈路的光功率、OSNR、中心波長等參數，同時利用BV-T 內部的DSP 模塊監視光信號的誤碼率（BER）。PDP 交換機采用支持ML-INT 功能的OVS-POF 軟件交換機［10］實現，可遙測交換機輸入/輸出端口帶寬、轉發延時等IP 層參數。每臺客戶端主機由商用的流量發生/分析器模擬。DCA 由運行在高性能Linux 服務器上自研的軟件實現，用來完成ML-INT 數據的實時收集和加密。

4.1.2 控制平面

控制平面基于開放網絡操作系統（Open Network Operating System，ONOS）平臺開發，ONOS 控制器可同時監控和管理IP 層和光層網元，ML-DA是自研軟件，二者均運行在獨立的Linux 服務器上。ML-DA 通過TCP 連接向SDN 控制器報告數據分析結果，同時通過socket連接接收DCA上報的密文ML-INT數據，執行隱私保護的數據分析。

4.2 實驗數據采集

本文利用測試平臺搭建異常檢測場景，如圖3所示，設置連接到PDP-SW1的主機將10 Gbps的IP流傳輸到PDP-SW3上的主機。流在多層網絡中的路由路徑如圖3 中↓所示。即PDP-SW1→BV-WSSA→BV-WSSB→PDP-SW2→BV-WSSB→BV-WSS C→PDP-SW3。因此，路由路徑包括兩條光纖鏈路和3個PDP交換機。

圖3 實驗場景

實驗通過設置光層的路由和頻譜分配、接收功率調整、ASE 噪聲插入和EDFA 設置等操作來模擬異常，而IP 層異常則通過改變流的路由和帶寬、PDP-SW 的流表配置等操作來模擬，本文不考慮同時發生多種異常的小概率事件。然后，利用ML-INT 采 集 光 層/IP 層 參 數，DCA 收 集 并 加密-95000 個ML-INT 向量作為數據樣本。根據不同的原因（例如目標主機上的接收帶寬低于實際帶寬的90%或者光層BER 超過0.01 等），將異常類別標記為高功率、低功率、OSNR衰減、WSS左移、WSS右移、高時延、包擁塞、丟包、交換機誤配。最后，將樣本按照9∶1的比例來劃分訓練/測試集。

5 結果與分析

5.1 隱私保護性能驗證

首先，驗證DCA 的隱私保護性能。本文以光路的接收功率（Power）和OSNR 之間的相關性為例來展示IVHE的加密效果。

使用基于IVHE 的加密算法對圖4（a）中的明文數據樣本加密，得到對應的密文樣本如圖4（b）所示。結果顯示Power和OSNR 的密文均不具有任何物理意義，可避免惡意方直接分析密文樣本以獲取有關網絡的隱私信息。對比圖4（a）和圖4（b），因為式（4）引入了隨機矩陣E、A、T，所以每個明文樣本對應一個密文樣本集合，這意味著在不同的加密輪次中，算法將同一個明文樣本加密為不同的密文樣本。盡管密文樣本和明文樣本之間沒有簡單的對應關系，但二者具有相似的數據分布，這說明基于IVHE 的加密算法保留了Power 與OSNR 之間的相關性，這一特性使得ML 模型能夠實現密文異常檢測。

圖4 基于IVHE的加密結果

接下來，驗證ML-DA的隱私保護性能。首先，針對明文和密文數據樣本，分別訓練兩個相同結構的DNN 模型，其訓練時間分別為4666.37s 和4658.73s，在測試集上的準確性分別是99.99%和99.64%，這說明加密操作并沒有降低ML 模型的分類性能或帶來額外的計算開銷。隨后，本文驗證其他模型的性能，依然按照上述方式訓練兩個模型（kNN 無需訓練）。表1 展示了不同結構的ML 模型在測試集上的分類準確性，結果表明所有的ML 模型均能夠進行準確的分類，驗證了ML 模型可直接操作密文數據實現異常檢測。對同一種ML模型結構，無論是明文還是密文數據，模型均提供了類似的分類準確性，這進一步驗證了隱私保護的數據分析的可擴展性。

表1 不同結構的ML模型異常檢測性能

5.2 系統壓力測試

為了驗證所提出的隱私保護系統在實際場景中不會帶來顯著的可擴展性和實時性問題，本文進行了壓力測試以評估其計算開銷。所有測試均在獨立的高性能Linux服務器上進行，ML模型均采用DNN結構。

首先，對DCA 施加壓力，讓它在一秒鐘內收集并加密大量ML-INT 向量，準備一個批報告上報給ML-DA。假設DCA 在一秒內獲得［1000，10000］范圍內的ML-INT 向量，基于IVHE 的加密時間可近似為線性關系，如圖5（a）所示。例如，當加密10000 組ML-INT 樣 本 時，DCA 的 處 理 速 度 是0.21ms/組，這說明加密算法是輕量級的，并不會給DCA帶來過多的負擔。

圖5 壓力測試

然后，對ML-DA 施加壓力，在1s 內向ML-DA發送一個ML-INT 向量批報告，等待它接收并執行異常檢測，測試處理時間和CPU使用情況。處理時間包括數據上報通道的傳輸時間和異常檢測時間，圖5（a）的結果表明，針對明文和密文ML-INT 向量，ML-DA的處理時間幾乎相同，而圖5（b）顯示處理明文和密文的CPU 使用率僅相差0.2%。因此，實驗結果說明隱私保護的數據分析不會給控制平面造成過大的計算開銷或降低處理速度。

6 結語

本文提出并實現了一種支持隱私保護的網絡自動化系統。首先，開發了基于IVHE 的加密算法用于對ML-INT 數據進行加密，彌補了由竊聽帶來的隱私泄露的安全漏洞，并保留了ML-INT 數據內部的相關性。然后，構建了ML 模型直接操作密文ML-INT 數據進行異常檢測，實現隱私保護的數據挖掘，并將結果推廣到多種ML模型。最后，在一個真實的由商用設備搭建的IP-over-EON 多層網絡測試平臺上實現了系統原型，并進行了實驗驗證。實驗結果表明，所提出的隱私保護方案能夠有效解決由竊聽帶來的隱私和安全問題。