呂迎迎，郭云飛，王禛鵬，程國振，王亞文

?

SDN中基于歷史信息的負(fù)反饋調(diào)度算法

呂迎迎，郭云飛，王禛鵬，程國振，王亞文

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002）

在當(dāng)前SDN架構(gòu)中，控制器遭受著很多潛在的攻擊，如惡意流規(guī)則等可能會引入虛假的流規(guī)則使主機(jī)混亂?；源?，提出一種基于歷史信息的負(fù)反饋調(diào)度算法，利用假設(shè)檢驗對攻擊者的行為進(jìn)行判斷，并將此作為調(diào)度的依據(jù)。仿真實驗結(jié)果和分析表明，相比于傳統(tǒng)調(diào)度方法，所提算法在一定程度上可以增加攻擊者的時間成本，從而有效防御攻擊者的探測攻擊，而且控制器種類越多，系統(tǒng)越難被攻破。

動態(tài)異構(gòu)冗余；負(fù)反饋；主動防御

1 引言

近年來，隨著網(wǎng)絡(luò)的普及，人們的生產(chǎn)生活甚至國家的安全發(fā)展對網(wǎng)絡(luò)空間越來越依賴，網(wǎng)絡(luò)空間的重要性日益突出。但是，網(wǎng)絡(luò)空間的脆弱性使不法分子有機(jī)可乘，網(wǎng)絡(luò)犯罪、黑客攻擊等對國家安全的威脅凸顯[1]。網(wǎng)絡(luò)空間的攻防態(tài)勢處于一種信息不對稱的狀態(tài)，攻擊者可以決定何時何地攻擊，而防御者只能被動防御[2]。而且被動防御技術(shù)難以應(yīng)對未知漏洞、后門等問題，因而主動防御技術(shù)逐漸發(fā)展并成為網(wǎng)絡(luò)安全研究的重點。

入侵容忍[3]、移動目標(biāo)防御[4]和擬態(tài)防御[5]是3種典型的主動防御技術(shù)。入侵容忍技術(shù)是由容錯技術(shù)發(fā)展而來，入侵容忍技術(shù)的主要目標(biāo)是數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性以及服務(wù)可用性[6]。移動目標(biāo)防御是不斷地進(jìn)行動態(tài)變化來迷惑攻擊者，意圖增加攻擊者的攻擊成本，達(dá)到降低其攻擊成功率的目的[7]。而擬態(tài)防御是由鄔江興院士提出的“改變游戲規(guī)則”的新途徑，動態(tài)地利用異構(gòu)冗余的組件，使未知漏洞和后門等無法準(zhǔn)確地確定其環(huán)境，無法構(gòu)建成功攻擊鏈，以達(dá)到降低系統(tǒng)風(fēng)險的目的[8]。

網(wǎng)絡(luò)偵察IP地址和端口是許多主機(jī)和網(wǎng)絡(luò)攻擊的先決條件[9]。本文利用異構(gòu)冗余的架構(gòu)，提出一種基于歷史信息的負(fù)反饋調(diào)度算法用以“凈化”NOS池，達(dá)到有效防御攻擊者攻擊的目的。

2 相關(guān)工作

現(xiàn)在已有很多關(guān)于NOS安全的研究，大體上分為三類。第一類是在已有的特定控制器的基礎(chǔ)上，改進(jìn)現(xiàn)有的安全模塊的設(shè)計。例如，F(xiàn)ortNOX[10]，它在開源NOX的基礎(chǔ)上增加了一個安全策略實施模塊，在一定程度上可以較好解決流規(guī)則檢測與沖突的問題。與FortNOX類似，文獻(xiàn)[11]在開源Floodlight的基礎(chǔ)上設(shè)計了一個安全增強(qiáng)版的控制器——SE-Floodlight，它的安全執(zhí)行內(nèi)核由一組特定的安全應(yīng)用程序管理模塊構(gòu)成。還有一種方法是在設(shè)計NOS之初就將安全納入考慮，并且將其作為需要解決的核心問題。PANE[12]是由Ferguson等設(shè)計開發(fā)的一種安全型NOS，它主要用于解決與脆弱用戶間請求沖突的問題。而Shin等[13]將重點放在控制層的彈性問題上，設(shè)計開發(fā)出Rosemary，用以應(yīng)對第三方網(wǎng)絡(luò)應(yīng)用程序中潛在的漏洞、致命的脆弱性和惡意邏輯。

第二類是在控制器的基礎(chǔ)上設(shè)計并部署可組合的安全模塊庫，通過各類安全組件之間的協(xié)同工作來檢測及消除安全威脅。FRESCO[14]提供了一種單擊觸發(fā)的編程框架，使安全研究人員可以實現(xiàn)共享及組合多個不同的安全檢測和防護(hù)模塊。

現(xiàn)在越來越多研究人員關(guān)注分布式控制器，以避免單個控制器發(fā)生單點故障[15]。第三類便是從多控制器的角度出發(fā)，設(shè)計具有一定彈性的分布式控制器架構(gòu)。ONOS[16]是一種開放式網(wǎng)絡(luò)操作系統(tǒng)，通過采用分布式架構(gòu)實現(xiàn)了高可用性和高擴(kuò)展性，它的多備份NOS的設(shè)計大大增加了系統(tǒng)的容錯能力，即便主控制器發(fā)生癱瘓等故障，ONOS也可以自動切換至備份控制器以保證網(wǎng)絡(luò)的平穩(wěn)運行。文獻(xiàn)[17]借助拜占庭容錯機(jī)制，實現(xiàn)了一種能有效防御針對SDN控制層攻擊的NOS系統(tǒng)。該系統(tǒng)中，交換機(jī)由多個控制器共同控制，其流表的更新是由多個控制器共同決定的。文獻(xiàn)[18]在網(wǎng)絡(luò)操作系統(tǒng)中引入動態(tài)、異構(gòu)及冗余的擬態(tài)基因來構(gòu)建頑健的系統(tǒng)架構(gòu)并提高內(nèi)部行為的不可預(yù)測性，從而增加外界攻擊者對內(nèi)部架構(gòu)與運行機(jī)制的探測難度與認(rèn)識困境，提升系統(tǒng)的安全性能。類似地，文獻(xiàn)[19,20]也提出了一個SDN安全體系架構(gòu)，利用多控制器的異構(gòu)性與冗余來加強(qiáng)架構(gòu)的安全性，還引入了動態(tài)調(diào)度機(jī)制進(jìn)一步提高其性能，使系統(tǒng)在面臨威脅時做出最佳應(yīng)對改變。

3 問題描述

擬態(tài)防御通過動態(tài)異構(gòu)冗余架構(gòu)（DHR, dynamic heterogeneous redundancy）來破壞攻擊信息鏈，從而增加網(wǎng)絡(luò)攻擊的難度和成本，降低未知漏洞及后門帶來的網(wǎng)絡(luò)威脅，達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。

圖1 DHR架構(gòu)

在該架構(gòu)中，不僅被調(diào)用的執(zhí)行體會遭受攻擊者的探測攻擊，處于待機(jī)狀態(tài)的執(zhí)行池中的執(zhí)行體也一直面臨著攻擊者的威脅，而系統(tǒng)的正常運行與執(zhí)行體池的整體安全性息息相關(guān)。如果執(zhí)行體池系統(tǒng)中的執(zhí)行體被攻破，那么系統(tǒng)的安全很難得到保證。

一旦攻擊者存有歷史探測信息，若其攻破某一類型執(zhí)行體，那么在這之后攻擊者要攻破相似的執(zhí)行體需要花的時間將大大減少。而且，若某執(zhí)行體正在被攻擊，其被攻擊的次數(shù)越多，它就越危險，如果不考慮待機(jī)的執(zhí)行體安全，任由攻擊者不斷進(jìn)行嘗試探測攻擊，那么執(zhí)行體遲早會被一一攻破，最終整個系統(tǒng)也會癱瘓。

因此，本文通過對系統(tǒng)運行過程中的歷史信息進(jìn)行分析，設(shè)計了一種基于歷史信息的負(fù)反饋調(diào)度算法，以此來減小脆弱的執(zhí)行體被調(diào)用的概率，從而規(guī)避攻擊者探測攻擊對系統(tǒng)的威脅。

4 負(fù)反饋調(diào)度策略

假定攻擊者進(jìn)行攻擊是有目的性有針對性的，不是盲目的，那么攻擊者在進(jìn)行探測攻擊時必然有一定的規(guī)律，因此，可以通過對統(tǒng)計數(shù)據(jù)進(jìn)行分析得到探測的規(guī)律。加入負(fù)反饋的DHR架構(gòu)如圖2所示。

4.1 模型建立思路

圖2 加入負(fù)反饋的DHR架構(gòu)

4.2 理論分析

為了快速準(zhǔn)確地表征出攻擊掃描策略，觀察由系統(tǒng)監(jiān)測得到的探測數(shù)據(jù)并使用統(tǒng)計假設(shè)檢驗估計它們的分布。為此，引入2個基本假設(shè)，即非一致性檢驗和非重復(fù)檢驗。通過這2個檢驗分析攻擊者的行為并據(jù)此做出規(guī)避攻擊的行為。

第一個假設(shè)采用的是非一致性檢驗，如果該假設(shè)被驗證為真，則將其表示為非均勻攻擊，旨在確定攻擊者是否在有針對性地攻擊某類NOS，這樣可以將選調(diào)器調(diào)用該類NOS的概率降低甚至不選用該類NOS來規(guī)避攻擊者的有效攻擊；第二個假設(shè)采用的是非重復(fù)檢驗，如果該假設(shè)被驗證為真，則將其表示為非重復(fù)攻擊，旨在確定攻擊者是否以相同概率攻擊不同類NOS。這樣可以以相同概率調(diào)用各類NOS來規(guī)避攻擊者的有效攻擊。

下面分別對定義的這2類攻擊進(jìn)行介紹。

1) 非均勻攻擊

為了確定攻擊者是否在進(jìn)行非均勻攻擊，需要對統(tǒng)計的數(shù)據(jù)進(jìn)行非一致性檢驗。

接受零假設(shè)，意味著觀測值與均勻分布的偏差非常顯著，也就是說，潛在攻擊者在集中掃描某些NOS類的IP地址，那么防御者可以降低調(diào)用該類NOS的概率或不調(diào)用該類NOS來增加攻擊者攻擊成功的難度，甚至還可以利用蜜罐技術(shù)，布置蜜罐NOS來代替被攻擊的NOS，從而化被動為主動，更好地掌握攻擊者的動作及信息。

2) 非重復(fù)攻擊

而各NOS類被掃描的平均次數(shù)可以用下列公式進(jìn)行計算。

即

則該樣本的無偏方差為

4.3 負(fù)反饋調(diào)度算法

前文對定義的2類攻擊進(jìn)行了細(xì)致的理論分析，為了得到可信的數(shù)據(jù)，需要記錄每次被探測的詳細(xì)情況，如執(zhí)行體是哪一類NOS、NOS類被探測次數(shù)等，為方便查詢，可以利用表1記錄所有NOS類的相關(guān)狀態(tài)信息。

表1 NOS類狀態(tài)信息

每當(dāng)異構(gòu)NOS池的NOS類被探測或有反饋NOS集中的NOS被攻擊時，則將表1更新，也就是說，如果有NOS類被探測，則將表中相應(yīng)的探測次數(shù)加1。如此，可以根據(jù)統(tǒng)計得到的信息表進(jìn)行相應(yīng)假設(shè)檢驗，提出基于歷史信息的負(fù)反饋調(diào)度算法。其根本是利用假設(shè)檢驗，對攻擊者的掃描探測行為進(jìn)行分類，根據(jù)分類結(jié)果做出合適調(diào)度，以此來對抗攻擊者。

下面對該算法的初始化及調(diào)度流程進(jìn)行描述。

調(diào)度流程：系統(tǒng)的調(diào)度是由表決器的判決信息和監(jiān)測信息決定的，只有在分析二者相關(guān)信息發(fā)現(xiàn)異常之后系統(tǒng)才會進(jìn)行改變，這樣可以避免頻繁切換導(dǎo)致開銷過大，同時，也只對異常NOS類進(jìn)行調(diào)整，這樣可以減少每次調(diào)整需要切換的次數(shù)。

具體調(diào)度流程偽代碼如下。

算法1 調(diào)度流程偽代碼

8) end if

9) end for

13) end if

14) end for

16) if非均勻攻擊do

//剔除選出的NOS類，并從待機(jī)的NOS類中選出等量NOS

20) end if

21) if非重復(fù)攻擊 do

23) end if

24) end if

5 仿真實驗與結(jié)果分析

圖 3 非均勻攻擊下不同調(diào)度策略的系統(tǒng)失效概率

圖4 非重復(fù)攻擊下不同調(diào)度策略的系統(tǒng)失效概率

此外，本文分析了系統(tǒng)失效率與NOS種類的關(guān)系，即NOS類的數(shù)量對系統(tǒng)穩(wěn)定性的影響。將NOS類的數(shù)量設(shè)定為3、5和7進(jìn)行實驗，結(jié)果如圖5所示。表明NOS類的數(shù)量越多，系統(tǒng)在動態(tài)調(diào)度的情況下越穩(wěn)定。因而，可以通過增加NOS類的數(shù)量加強(qiáng)系統(tǒng)的穩(wěn)定性。

圖 5 不同數(shù)量NOS類的系統(tǒng)失效概率

6 結(jié)束語

針對無處不在的探測攻擊，本文提出了一種基于歷史信息的負(fù)反饋調(diào)度算法，利用假設(shè)檢驗對攻擊者的行為進(jìn)行分析判斷，以此為依據(jù)進(jìn)行調(diào)度調(diào)整，首先對該方法進(jìn)行了詳細(xì)的理論分析和仿真實驗。實驗結(jié)果分析表明，相較于現(xiàn)有的2種普通的調(diào)度算法，靜態(tài)架構(gòu)中不切換和以選取系數(shù)為概率隨機(jī)調(diào)度，該算法在一定程度上可以增加攻擊者的攻擊時間成本，因而可以有效防御攻擊者的探測攻擊。而且，本文還進(jìn)行了對比實驗，發(fā)現(xiàn)在同一系統(tǒng)中，SDN控制器的種類越多，系統(tǒng)表現(xiàn)得越穩(wěn)定，越不容易被攻擊者攻破。

[1] 仝青, 張錚, 鄔江興. 基于軟硬件多樣性的主動防御技術(shù)[J]. 信息安全學(xué)報, 2017, 2(1): 1-12.

TONG Q, ZHANG Z, WU J X. Active defense technology based on hardware and software’s diversity[J]. Journal of Cyber Security, 2017, 2(1): 1-12.

[2] PICEK S, HEMBERG E, O'REILLY U M. If you can't measure it, you can't improve it: moving target defense metrics[C]//The Workshop on Moving Target Defense. 2017: 115-118.

[3] ADELSBACH A, ALESSANDRI D, CACHIN C, et al. Conceptual model and architecture of MAFTIA[R]. 2003.

[4] KEWLEY D L, BOUCHARD J F. Darpa information assurance program dynamic defense experiment summary[J]. IEEE Transactions on Systems, Man, and Cybernetics-Part A: Systems and Humans, 2001, 31(4): 331-336.

[5] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報, 2016, 1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4):1-10.

[6] DESWARTE Y, BLAIN L, FABRE J C. Intrusion tolerance in distributed computing systems[C]//Intrusion Tolerance in Distributed Computing Systems. 2001:110-121.

[7] JAJODIA S, GHOSH A K, SWARUP V, et al. Moving target defense: creating asymmetric uncertainty for cyber threats[J]. Springer Ebooks, 2011, 54.

[8] 鄔江興. 擬態(tài)計算與擬態(tài)安全防御的原意和愿景[J]. 電信科學(xué), 2014, 30(7):1-7.

WU J X. Meaning and vision of mimic computing and mimic security defense[J].Telecommunications Science, 2014, 30(7):1-7.

[9] JAFARIAN J H, AL-SHAER E, DUAN Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]// Computer Communications. 2015:738-746.

[10] PORRAS P, SHIN S, YEGNESWARAN V, et al. A security enforcement kernel for OpenFlow networks[C]// The First Workshop on Hot Topics in Software Defined Networks. 2012:121-126.

[11] CHEUNG S, FONG M, PORRAS P, et al. Securing the software-defined network control layer[C]//The 2015 Network and Distributed System Security Symposium. 2015.

[12] FERGUSON A D, GUHA A, LIANG C, et al. Participatory networking: an API for application control of SDNs[C]//The ACM SIGCOMM 2013 Conference on SIGCOMM. 2013:327?338.

[13] SHIN S, SONG Y, LEE T, et al. Rosemary: a robust, secure, and high-performance network operating system[C]//The 2014 ACM SIGSAC Conference on Computer and Communications Security. 2014: 78-89.

[14] SHIN S, PORRAS P, YEGNESWARAN V, et al. FRESCO: modular composable security services for software defined networks[J]. The Network & Distributed Security Symposium, 2013(2):1-16.

[15] SHIN S , GU G. Attacking software-defrned networks : a first feasibility study [C]// ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. 2013: 165-166.

[16] BERDE P, HART J, HART J, et al. ONOS: towards an open, distributed SDN OS[C]// The Workshop on Hot Topics in Software Defined Networking. 2014:1-6.

[17] LAMPORT L, FISCHER M. Byzantine generals and transaction commit protocols[R]. Computer Science Laboratory Sri International OP, 1982.

[18] HU H, WANG Z, CHENG G, et al. MNOS: a mimic network operating system for software defined networks[J]. Iet Information Security, 2017, 11(6):345-355.

[19] QI C, WU J, HU H, et al. An intensive security architecture with multi-controller for SDN[C]// Computer Communications Workshops. 2016: 401-402.

[20] QI C, WU J, CHENG G, et al. An aware-scheduling security architecture with priority-equal multi-controller for SDN[J]. China Communications, 2017, 14(9):144-154.

[21] PEARSON K. On the criterion that a given system of deviations from the probable in the case of a correlated system of variables is such that it can be reasonably supposed to have arisen from random sampling[M]//Breakthroughs in Statistics. New York: Springer, 1992: 157-175

Negative feedback scheduling algorithm based onhistorical information in SDN

LYU Yingying, GUO Yunfei, WANG Zhenpeng, CHENG Guozhen, WANG Yawen

National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450002, China

In the current SDN architecture, the controllers suffer from lots of potential attacks. For example, malicious flow rule attacks may introduce fake flow rules to confuse the host. A negative feedback scheduling algorithm based on historical information was proposed, in which hypothesis testing was used to judge the behavior of the attacker and the result will be used as a basis for scheduling. Simulation results and analysis show that, compared with the traditional scheduling methods, the proposed algorithm can increase the attacker’s time cost to a certain extent, so as to effectively defend the attacker’s probe attack. In addition, the more types of controllers, the more difficult it is to break the system.

dynamic heterogeneous redundancy, negative feedback,active defense

TP393

A

10.11959/j.issn.2096-109x.2018047

2018-04-28；

2018-05-17

呂迎迎，yyl1994@pku.edu.cn

國家自然科學(xué)基金創(chuàng)新研究群體基金資助項目（No.61521003）；國家重點研發(fā)計劃基金資助項目（No.2016YFB0800100, No.2016YFB0800101）；河南省科技攻關(guān)計劃基金資助項目（No.172102210615）；國家自然科學(xué)基金資助項目（No.61602509）

The Foundation for Innovative Research Groups of the National Natural Science Foundation of China (No.61521003), The National Key R&D Program of China (No.2016YFB0800100, No.2016YFB0800101), The Key Technologies Research and Development Program of Henan Province (No.172102210615), The National Science Foundation of China (No.61602509)

呂迎迎（1993-），男，江西進(jìn)賢人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心碩士生，主要研究方向為網(wǎng)絡(luò)空間安全和軟件定義網(wǎng)絡(luò)。

郭云飛（1963-），男，河南鄭州人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心教授、博士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)空間安全、云安全和電信網(wǎng)安全。

王禛鵬（1993-），男，湖北黃岡人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心碩士生，主要研究方向為擬態(tài)安全防御和網(wǎng)絡(luò)空間安全。

程國振（1986-），男，山東定陶人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員，主要研究方向為網(wǎng)絡(luò)空間安全和軟件定義網(wǎng)絡(luò)。

王亞文（1990-），男，河南鄭州人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心博士生，主要研究方向為云計算、入侵容忍和網(wǎng)絡(luò)空間安全。