何贊園 王凱 牛犇 游偉 湯紅波

摘 要：隨著虛擬化技術(shù)的發(fā)展，同駐攻擊成為竊取用戶敏感信息的重要攻擊手段。針對(duì)現(xiàn)有虛擬機(jī)動(dòng)態(tài)遷移方法對(duì)同駐攻擊反應(yīng)的滯后性，在5G網(wǎng)絡(luò)切片背景下，提出了一種基于安全威脅預(yù)測(cè)的虛擬網(wǎng)絡(luò)功能遷移策略。首先，通過(guò)隱馬爾可夫模型（HMM）對(duì)網(wǎng)絡(luò)切片運(yùn)行安全進(jìn)行建模，利用多源異構(gòu)數(shù)據(jù)信息對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行威脅預(yù)測(cè);然后，根據(jù)安全預(yù)測(cè)結(jié)果，采用相應(yīng)的虛擬網(wǎng)絡(luò)功能遷移策略遷移以使遷移開(kāi)銷最小。仿真實(shí)驗(yàn)結(jié)果表明：利用HMM能對(duì)安全威脅進(jìn)行有效的預(yù)測(cè)，同時(shí)該遷移策略能夠有效減少遷移開(kāi)銷與信息泄漏時(shí)間，具有較好的同駐攻擊防御效果。

關(guān)鍵詞：網(wǎng)絡(luò)切片;安全威脅;遷移;同駐攻擊

中圖分類號(hào)： TN915.81

文獻(xiàn)標(biāo)志碼：A

Abstract： With the development of virtualization technology， co-resident attack becomes a common means to steal sensitive information from users. Aiming at the hysteresis of existing virtual machine dynamic migration method reacting to co-resident attacks， a virtual network function migration strategy based on security threat prediction in the context of 5G network slicing was proposed. Firstly， network slicing operation security was modeled based on Hidden Markov Model （HMM）， and the network security threats were predicted by multi-source heterogeneous data. Then according to the security prediction results， the migration cost was minimized by adopting the corresponding virtual network function migration strategy. Simulation experimental results show that the proposed strategy can effectively predict the security threats and effectively reduce the migration overhead and information leakage time by using HMM， which has a better defense effect against co-resident attack.

Key words： network slicing; security threat; migration;co-resident attack

0 引言

隨著移動(dòng)通信網(wǎng)絡(luò)的發(fā)展，爆炸式的流量增長(zhǎng)以及多樣化業(yè)務(wù)需求的出現(xiàn)，現(xiàn)行的網(wǎng)絡(luò)架構(gòu)EPC（Evolved Packet Core）難以滿足多樣化的應(yīng)用場(chǎng)景，第五代移動(dòng)通信（5G）應(yīng)運(yùn)而生。網(wǎng)絡(luò)切片技術(shù)是5G中解決多樣化應(yīng)用場(chǎng)景的關(guān)鍵技術(shù)之一，是在網(wǎng)絡(luò)功能虛擬化技術(shù)的基礎(chǔ)上，將多個(gè)虛擬網(wǎng)絡(luò)功能（Virtual Network Function， VNF）根據(jù)用戶需求進(jìn)行動(dòng)態(tài)裁剪、編排并部署，形成相互獨(dú)立的虛擬網(wǎng)絡(luò)，進(jìn)而為用戶提供定制化的網(wǎng)絡(luò)服務(wù)[1-2]。網(wǎng)絡(luò)功能虛擬化技術(shù)可有效增強(qiáng)5G網(wǎng)絡(luò)的靈活性和彈性，有效降低資本支出和運(yùn)營(yíng)成本，但由于不同的網(wǎng)絡(luò)切片共享相同的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，導(dǎo)致網(wǎng)絡(luò)切片容易受到嗅探攻擊[3]、跨虛擬機(jī)攻擊[4]和側(cè)信道攻擊[5-7]等同駐攻擊的威脅，從而引發(fā)用戶敏感信息泄露等問(wèn)題。

面對(duì)虛擬化中的同駐攻擊威脅，一般的應(yīng)對(duì)策略有三種：1）修改物理主機(jī)硬件，將CPU、內(nèi)存等資源單獨(dú)使用，實(shí)現(xiàn)物理隔離。這種方式從根本上解決了同駐攻擊的威脅，但由于物理隔離使資源不再共享，違背了虛擬化的初衷，同時(shí)導(dǎo)致大量的資源浪費(fèi)和網(wǎng)絡(luò)僵化等問(wèn)題。2）通過(guò)設(shè)置超級(jí)管理者防御、操作系統(tǒng)防御等方法[8-9]來(lái)防御和消除側(cè)信道攻擊等安全威脅。文獻(xiàn)[10-11]中提出了對(duì)側(cè)信道攻擊威脅的消除方法，但這些方法需要對(duì)當(dāng)前云平臺(tái)進(jìn)行修改，無(wú)法立即部署，并且往往只能防御特定類型的側(cè)信道攻擊。3）利用移動(dòng)目標(biāo)防御的思想，將虛擬網(wǎng)絡(luò)功能或虛擬機(jī)（Virtual Machine， VM）進(jìn)行遷移。文獻(xiàn)[12]中證明，利用虛擬機(jī)遷移可以有效對(duì)同駐攻擊進(jìn)行防御，同時(shí)增加攻擊者進(jìn)行同駐攻擊的難度。

目前在云計(jì)算和互聯(lián)網(wǎng)中，針對(duì)虛擬機(jī)安全的遷移方法主要有：通過(guò)動(dòng)態(tài)遷移虛擬機(jī)來(lái)減少虛擬機(jī)共存時(shí)間，減少攻擊者可能竊取的信息量，使攻擊者無(wú)法成功獲取目標(biāo)的完整信息[9];遷移前對(duì)虛擬機(jī)設(shè)置安全等級(jí)，在發(fā)生安全問(wèn)題時(shí)，只對(duì)高安全和中安全等級(jí)的虛擬機(jī)進(jìn)行遷移，可以有效減少虛擬機(jī)遷移數(shù)量，降低虛擬機(jī)遷移算法的收斂時(shí)間和遷移開(kāi)銷[13];通過(guò)計(jì)算虛擬機(jī)受到側(cè)信道攻擊的可能性，提出一種虛擬機(jī)受攻擊可能性最低的部署策略，以實(shí)現(xiàn)虛擬機(jī)對(duì)側(cè)信道攻擊的防御[14]。現(xiàn)有的虛擬機(jī)動(dòng)態(tài)遷移方法雖然在一定程度上能對(duì)同駐攻擊進(jìn)行防御，但都是在安全攻擊發(fā)生后對(duì)虛擬機(jī)進(jìn)行遷移，這種對(duì)安全威脅反應(yīng)的滯后性，往往造成被攻擊對(duì)象的部分信息已被竊取，防御效果不理想。針對(duì)現(xiàn)有方法的局限性，本文在5G網(wǎng)絡(luò)切片中提出一種基于安全威脅預(yù)測(cè)的虛擬網(wǎng)絡(luò)功能遷移策略，該方法通過(guò)對(duì)網(wǎng)絡(luò)切片的運(yùn)行安全狀態(tài)進(jìn)行預(yù)測(cè)，在攻擊到來(lái)之前及時(shí)對(duì)虛擬網(wǎng)絡(luò)功能進(jìn)行遷移，有效避免了由于同駐攻擊帶來(lái)的信息泄露的問(wèn)題，與其他動(dòng)態(tài)遷移策略相比具有更高的安全性和前瞻性。

1 網(wǎng)絡(luò)模型與問(wèn)題描述

1.1 網(wǎng)絡(luò)模型

基于軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化的5G網(wǎng)絡(luò)架構(gòu)，將原EPC架構(gòu)中的網(wǎng)元功能進(jìn)一步細(xì)化拆分，并以軟件化的形式運(yùn)行在通用服務(wù)器之上，有效地提高了網(wǎng)絡(luò)的靈活性，同時(shí)降低了運(yùn)維成本。本文主要研究虛擬網(wǎng)絡(luò)功能遷移的數(shù)學(xué)問(wèn)題，在不失一般性的前提下，將底層網(wǎng)絡(luò)抽象為物理節(jié)點(diǎn)資源和鏈路資源。

1.2 遷移問(wèn)題描述

為提高資源利用率，網(wǎng)絡(luò)切片在部署過(guò)程中往往將屬于不同網(wǎng)絡(luò)切片的虛擬節(jié)點(diǎn)部署在同一個(gè)網(wǎng)絡(luò)資源節(jié)點(diǎn)上。圖1為簡(jiǎn)化的網(wǎng)絡(luò)切片部署示例，QV1、QV2分別為不同網(wǎng)絡(luò)切片部署請(qǐng)求，VNF旁邊的方框代表CPU資源需求（即CV），鏈路上的數(shù)字表示虛擬鏈路的帶寬需求（即BV），網(wǎng)絡(luò)資源節(jié)點(diǎn)旁邊的方框代表其CPU能力（即CP），網(wǎng)絡(luò)資源鏈路上的數(shù)字表示其具有的帶寬能力（即BP），在對(duì)虛擬鏈路和節(jié)點(diǎn)部署時(shí)，其資源需求和不能超過(guò)網(wǎng)絡(luò)資源具有的資源提供能力。

同駐攻擊是由于用戶和攻擊者共享同一個(gè)服務(wù)器或云節(jié)點(diǎn)，攻擊者利用惡意虛擬機(jī)構(gòu)造不同類型的側(cè)通道，對(duì)用戶的目標(biāo)虛擬機(jī)發(fā)動(dòng)攻擊，竊取目標(biāo)虛擬機(jī)中運(yùn)行的VNF數(shù)據(jù)。針對(duì)圖1（a）中的網(wǎng)絡(luò)切片部署方案，不同網(wǎng)絡(luò)切片的虛擬網(wǎng)絡(luò)功能VNF1和VNF4共享網(wǎng)絡(luò)資源節(jié)點(diǎn)D，假如VNF4是一個(gè)惡意VNF，攻擊者即可通過(guò)網(wǎng)絡(luò)資源GP中的云節(jié)點(diǎn)D對(duì)VNF1發(fā)動(dòng)側(cè)信道攻擊來(lái)獲取VNF1的數(shù)據(jù)信息。通過(guò)遷移，可將VNF1遷至節(jié)點(diǎn)B，將VNF4遷至節(jié)點(diǎn)G，由于側(cè)信道攻擊具有指定性和特定性，VNF4遷移至節(jié)點(diǎn)G后很難再利用側(cè)信道竊取節(jié)點(diǎn)G上的用戶隱私。

2 基于隱馬爾可夫模型的網(wǎng)絡(luò)安全威脅預(yù)測(cè)

在移動(dòng)通信網(wǎng)絡(luò)中，有害的VNF可通過(guò)同駐相同的物理服務(wù)器對(duì)目標(biāo)虛擬機(jī)發(fā)起虛擬機(jī)串通和信息復(fù)制，從而獲取目標(biāo)虛擬機(jī)的相關(guān)信息（如信令處理時(shí)間、功率消耗等）來(lái)破解信令傳遞中的密鑰。5G網(wǎng)絡(luò)支持異構(gòu)接入，導(dǎo)致利用單一數(shù)據(jù)源進(jìn)行安全預(yù)測(cè)已不可靠。在5G網(wǎng)絡(luò)中，利用軟件定義網(wǎng)絡(luò)（Software Defined Network， SDN）技術(shù)可獲取多源異構(gòu)數(shù)據(jù)信息，進(jìn)而通過(guò)隱馬爾可夫模型（Hidden Markov Model， HMM）能夠?qū)Ψ?wù)器中可能發(fā)生的安全威脅進(jìn)行預(yù)測(cè)。

2.1 隱馬爾可夫模型建立

隱馬爾可夫模型是一個(gè)表示可觀測(cè)變量O與隱藏變量S之間關(guān)系的隨機(jī)過(guò)程。網(wǎng)絡(luò)中服務(wù)器內(nèi)部的安全狀態(tài)（隱藏變量）是不可知的，而大量多源異構(gòu)的狀態(tài)信息（如服務(wù)器中VM狀態(tài)信息、VM請(qǐng)求信息、入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）報(bào)警信息等）是可觀測(cè)的（可觀測(cè)變量），因而移動(dòng)通信網(wǎng)中的安全具有隱馬爾可夫特性，利用隱馬爾可夫模型可以很好地解決網(wǎng)絡(luò)的安全問(wèn)題。圖2為隱馬爾可夫預(yù)測(cè)流程。

3 基于安全威脅預(yù)測(cè)的網(wǎng)絡(luò)功能遷移算法

3.1 遷移說(shuō)明

為保證網(wǎng)絡(luò)切片的虛擬網(wǎng)絡(luò)功能遷移后的安全性，防止頻繁地進(jìn)行功能遷移，在遷移中引入安全信任值[17]的概念。信任安全作為網(wǎng)絡(luò)安全中的“軟安全”技術(shù)相比傳統(tǒng)安全技術(shù)（如加密技術(shù)、防火墻）具有更高的靈活性以及前瞻性，本文利用安全信任值來(lái)量化網(wǎng)絡(luò)資源的安全可信程度[18-19]，安全信任值在0～1，值越大，表明越安全可信。網(wǎng)絡(luò)資源在具有越安全的資源鏈接管理、越高水平的安全映射機(jī)制、越多的安全保護(hù)機(jī)制等安全條件下，其安全信任值就越高。SPi表示底層資源節(jié)點(diǎn)nPi上的安全信任值，RVi和SVi分別表示虛擬網(wǎng)絡(luò)功能fVi對(duì)網(wǎng)絡(luò)資源的安全信任需求和自身的安全信任值（VNF漏洞、后門(mén)出現(xiàn)的可能性越小，安全信任值就越高）。為保證VNF遷移的安全性，在遷移時(shí)應(yīng)滿足以下兩點(diǎn)安全約束條件：

1）網(wǎng)絡(luò)資源節(jié)點(diǎn)的安全信任值不能低于遷移在其上的VNF安全信任值需求，防止VNF遷移到安全性較低的資源節(jié)點(diǎn)上;

2）在已部署VNF的網(wǎng)絡(luò)資源節(jié)點(diǎn)上遷移新的VNF，新的VNF自身的安全信任值不得低于已部署VNF的安全信任值，防止不安全的VNF利用共享的網(wǎng)絡(luò)資源對(duì)其他VNF進(jìn)行攻擊。

利用二元數(shù)值ρ∈{0，1}作為決策變量來(lái)描述VNF和虛擬鏈路與底層網(wǎng)絡(luò)資源之間的遷移關(guān)系：ρt（fVi， j）=1表示虛擬網(wǎng)絡(luò)功能fVi在t時(shí)刻遷移到底層網(wǎng)絡(luò)資源節(jié)點(diǎn)nPj上，否則為0;ρt（eVst，lv）=1表示虛擬鏈路eVst在t時(shí)刻遷移到底層網(wǎng)絡(luò)資源鏈路ePlv上，否則為0。

3.2 優(yōu)化目標(biāo)和約束條件

在對(duì)網(wǎng)絡(luò)安全成功預(yù)測(cè)后，為保證網(wǎng)絡(luò)切片提供商的利潤(rùn)最大化，要使遷移成本最小化。在進(jìn)行虛擬網(wǎng)絡(luò)功能遷移時(shí)，以最小化遷移成本作為遷移目標(biāo)，引入了資源和安全信任值的遷移約束條件，建立虛擬網(wǎng)絡(luò)功能遷移的數(shù)學(xué)模型。

5 結(jié)語(yǔ)

在5G網(wǎng)絡(luò)切片背景下，針對(duì)現(xiàn)有的虛擬機(jī)動(dòng)態(tài)遷移方法對(duì)同駐攻擊防御的滯后性，提出了一種基于安全威脅預(yù)測(cè)的虛擬網(wǎng)絡(luò)功能遷移策略。該遷移策略首先利用隱馬爾可夫模型對(duì)網(wǎng)絡(luò)切片運(yùn)行進(jìn)行預(yù)測(cè)建模，通過(guò)可觀測(cè)的多源異構(gòu)信息對(duì)網(wǎng)絡(luò)切片安全進(jìn)行有效預(yù)測(cè)。通過(guò)安全威脅預(yù)測(cè)后，以最小化遷移成本作為優(yōu)化目標(biāo)建立了虛擬網(wǎng)絡(luò)功能遷移模型，同時(shí)設(shè)計(jì)了一種NSFM算法進(jìn)行求解。仿真實(shí)驗(yàn)結(jié)果表明，所提的隱馬爾可夫模型能有效預(yù)測(cè)網(wǎng)絡(luò)切片的安全狀態(tài);NSFM算法相比其他算法，能提前對(duì)虛擬網(wǎng)絡(luò)功能進(jìn)行遷移，同時(shí)在保證安全的前提下，能有效降低遷移開(kāi)銷，具有較好的同駐攻擊防御效果。此外，實(shí)際應(yīng)用的結(jié)果表明，本文提出的遷移策略能夠滿足電信級(jí)的指標(biāo)要求，且能夠滿足未來(lái)5G的相關(guān)指標(biāo)要求。

參考文獻(xiàn)：

[1] FOUKAS X， PATOUNAS G， ELMOKASHFI A， et al. Network slicing in 5G： survey and challenges [J]. IEEE Communications Magazine， 2017， 55（5）： 94-100.

[2] ORDONEZ-LUCENA J， AMEIGEIRAS P， LOPEZ D， et al. Network slicing for 5G with SDN/NFV： concepts， architectures， and challenges [J]. IEEE Communications Magazine， 2017， 55（5）： 80-87.

[3] FISCHER A， de MEER H. Position paper： secure virtual network embedding [J]. Praxis der Informationsverarbeitung und Kommunikation， 2011， 34（4）： 190-193.

[4] ALJUHANI A， ALHARBI T. Virtualized network functions security attacks and vulnerabilities [C]// Proceedings of the 2017 IEEE 7th Annual Computing and Communication Workshop and Conference. Piscataway， NJ： IEEE， 2017： 1-4.

[5] IRAZOQUI G， EISENBARTH T， SUNAR B. SMYMA： a shared cache attack that works across cores and defies VM sandboxing — and its application to AES [C]// Proceedings of the 2015 IEEE Symposium on Security and Privacy. Piscataway， NJ： IEEE， 2015： 591-604.【未查到

[6] LIU F， YAROM Y， GE Q， et al. Last-level cache side-channel attacks are practical [C]// Proceedings of the 2015 IEEE Symposium on Security and Privacy. Piscataway， NJ IEEE， 2015： 605-622.

DOI： 10.1109/SP.2015.43

[7] NAHAPETIAN A. Side-channel attacks on mobile and wearable systems [C]// Proceedings of the 2016 IEEE 13th Consumer Communications & Networking Conference. Piscataway， NJ： IEEE， 2016： 243-247.

[8] VARADARAJAN V， RISTENPART T， SWIFT M. Scheduler-based defenses against cross-VM side-channels [C]// Proceedings of the 23rd USENIX Conference on Security Symposium. Berkeley， CA： USENIX Association， 2014： 687-702.

[9] MOON S-J， SEKAR V， REITER M K. NOMAD： mitigating arbitrary cloud side channels via provider-assisted migration [C]// Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. New York： ACM， 2015： 1595-1606.

[10] VATTIKONDA B C， DAS S， SHACHAM H. Eliminating fine grained timers in Xen [C]// Proceedings of the 3rd ACM Workshop on Cloud Computing Security Workshop. New York： ACM， 2011： 41-46.

[11] WU J， DING L， LIN Y， et al. XenPump： a new method to mitigate timing channel in cloud computing [C]// Proceedings of the 2012 IEEE Fifth International Conference on Cloud Computing. Washington， DC： IEEE Computer Society， 2012： 678-685.

[12] HAN Y， CHAN J， ALPCAN T， et al. Using virtual machine allocation policies to defend against co-resident attacks in cloud computing [J]. IEEE Transactions on Dependable & Secure Computing， 2017， 14（1）： 95-108.

[13] 趙碩，季新生，毛宇星，等.基于安全等級(jí)的虛擬機(jī)動(dòng)態(tài)遷移方法[J].通信學(xué)報(bào)，2017，38（7）：165-174. （ZHAO S， JI X S， MAO Y X， et al. Research on dynamic migration of virtual machine based on security level [J]. Journal on Communications， 2017， 38（7）： 165-174.）

[14] BASS T. Intrusion detection systems and multisensor data fusion [J]. Communications of the ACM， 2000， 43（4）： 99-105.

[15] 龔正虎，卓瑩.網(wǎng)絡(luò)態(tài)勢(shì)感知研究[J].軟件學(xué)報(bào)，2010，21（7）：1605-1619. （GONG Z H， ZHUO Y. Research on cyberspace situational awareness [J]. Journal of Software， 2010， 21（7）： 1605-1619.）

[16] HUO Q， CHAN C， LEE C H. Bayesian adaptive learning of the parameters of hidden Markov model for speech recognition [J]. IEEE Transactions on Speech and Audio Processing， 1995， 3（5）： 334-345.

[17] 牛犇，游偉，湯洪波.基于安全信任的網(wǎng)絡(luò)切片部署策略研究[J/OL].計(jì)算機(jī)應(yīng)用研究，2019 [2018-04-06]. http：//www.arocmag.com/article/02-2019-02-043.html. （NIU B， YOU W， TANG H B. Research on network slicing deployment strategy based on security trust [J/OL]. Application Research of Computers， 2009 [2018-04-06]. http：//www.arocmag.com/article/02-2019-02-043.html.

[18] 汪京培，孫斌，鈕心忻，等.基于可信建模過(guò)程的信任模型評(píng)估算法[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2013，53（12）：1699-1707. （WANG J P， SUN B， NIU X X， et al. A trust model evaluation algorithm based on trusted modeling process [J]. Journal of Tsinghua University （Science and Technology）， 2013， 53（12）： 1699-1707.

[19] 孟順梅.云計(jì)算環(huán)境下可信服務(wù)組合及其關(guān)鍵技術(shù)研究[D].南京：南京大學(xué)，2016：20-43. （MENG S M. Trusted service composition and its key technologies in cloud environment [D]. Nanjing： Nanjing University， 2016： 20-43.）

[20] SHAO W， HU W， HUANG X. A new implicit enumeration method for linear 0-1 programming [C]// Proceedings of the 2008 International Workshop on Modelling， Simulation and Optimization. Washington， DC： IEEE Computer Society， 2008： 298-301.

[21] GEOFFRION A M. An improved implicit enumeration approach for integer programming [J]. Operations Research， 1969， 17（3）：437-454.

[22] 王軍，李端.多項(xiàng)式0-1規(guī)劃中隱枚舉算法的改進(jìn)及應(yīng)用[J].系統(tǒng)工程理論與實(shí)踐，2007，27（3）：21-27. （WANG J， LI D. A new implicit enumeration method for polynomial 0-1 programming and applications [J]. System Engineering — Theory & Practice， 2007， 27（3）： 21-27.）

[23] HARRINGTON P. Machine learning in Action [M]. Greenwich， CT： Manning Publications Co.， 2012： 15-31.

[24] ZHAO Y M， LO S， ZEGURA E， et al. Virtual network migration on the GENI wide-area SDN-enabled infrastructure [C]// Proceedings of the 2017 IEEE Conference on Computer Communications Workshops. Piscataway， NJ： IEEE， 2017：265-270.