论文部分内容阅读
软件定义网络(Software-Defined Networking,SDN)将网络控制平面与数据平面解耦,实现了高效的逻辑集中控制和灵活的数据转发策略部署,并以其巨大的技术应用及市场价值成为未来网络体系架构研究的热点方向。目前,SDN被广泛应用到数据中心、骨干网、广域网、5G、云计算等各个领域。随着信息化时代网络领域的不断扩张,网络服务功能呈现出个性化、多样化、复杂化的特征,然而,这也直接导致了 SDN面临的安全问题更加多样复杂,安全威胁范围更加广泛,其中最具基础性的是未知漏洞后门以及隐匿病毒木马造成的功能安全威胁,这在很大程度上制约了 SDN的大规模推广。为了应对SDN各类软硬件设备存在的功能安全威胁,传统安全防御手段以“亡羊补牢”的方式对系统进行外挂堆叠式的防护,这种防御方案不仅会使网络结构愈发复杂,性能开销大幅增加,而且附加式防御系统自身的功能安全问题难以解决,于是学术界和工业界纷纷投入到防御效果更佳的主动防御技术创新当中。入侵容忍与移动目标防御技术就试图借助动态性、异构性、冗余性防御元素来尽可能扭转被动防御的局面,不幸的是,拜占庭容错架构的静态异构冗余特性难以抵抗同质漏洞后门或病毒木马的协同攻击,移动目标防御技术的动态异构非冗余特性在一定程度上能规避未知漏洞带来的影响,但对于可主动与外界勾连的后门却束手无策。针对上述主动防御技术的局限性,网络空间内生安全技术从内在功能防护角度出发,借助系统本身的动态异构冗余DHR(Dynamic Heterogeneous Redundancy,DHR)构造、广义鲁棒控制机制、多样化运行场景以及认知规律来达成在非配合攻击条件下对协同故障的强抑制作用,从而实现“高可靠、高可信、高可用”三位一体的内生安全功能或属性。因此,本文围绕SDN数据转发与信息处理过程中软硬件未知漏洞后门导致的功能安全问题,提出了相应解决方法与途径,研究了面向软件定义网络的内生安全控制构造与关键技术,本文的主要研究工作和贡献如下:1.提出了一种基于信道编码的SDN内生安全防御模型。首先,通过将软件定义网络中的控制逻辑、转发以及服务设备抽象为信息系统中传输与处理数据的信道,分析了DHR构造的SDN数据转发与信息处理信道在非随机攻击条件下的容错性和随机性失效问题。在此基础上,本文基于概率测度与数理统计方法证明,对于离散有记忆网络传输与控制信道上的非随机攻击,存在一个基于DHR的SDN信道与编码方案(内生安全控制构造),使得系统平均差错概率任意可控。最后,以Turbo码为例,仿真了不同的异构性、冗余度、输出向量长度、判决算法和动态性对可控安全效应的影响,在一定异构冗余与反馈控制编码条件下,系统的出错概率可低于10-6,进一步验证了该构造的有效性。2.提出了一种兼具内生安全与自适应弹性的SDN控制平面(Resilient Controllerbased on Endogenous Security for Software-Defined Network,SDN-ESRC)构造方法。首先,SDN-ESRC使用一组异构控制器(例如RYU、OpenDayLight、ONOS)组成控制平面,并从控制器动态、自适应地选择多个异构控制器来检测和纠正恶意控制消息。SDN-ESRC设计面临两个挑战:(1)由于多控制器比较导致网络更新延迟增加;(2)保持高度可控的安全性。针对第一个挑战,SDN-ESRC采用主修改模式来减少网络更新延迟和识别恶意控制消息。针对第二个挑战,SDN-ESRC引入了比较修改模式,实时保证高可用。在此基础上,本文提出了 SDN-ESRC的评估模型,并从理论上分析了 SDN-ESRC在三种典型后门攻击场景下的安全性能。最后,在原型系统中实施SDN-ESRC并进行模拟和实验。结果表明,SDN-ESRC在增加网络更新延迟代价小于8.3%的情况下能将后门破坏攻击的安全性提高至98.3%,后门随机攻击的安全性提高至99.9%,后门协同攻击的安全性提高至82%,SDN-ESRC通过多控制裁决与动态反馈控制机制最终实现对控制器出错的安全可控。3.提出了基于内生安全控制构造的SDN多径弹性路由(Multipath Resilient Route,MRR)控制框架。MRR包括多路径比较转发、多路径加权转发和多路径随机转发。该框架通过动态比较多个异构路径数据在一定时间内的一致性来保证流规则和数据内容的正确性,多径也可以通过加权转发实现负载均衡。在此基础上,又提出了一种基于加密认证的中间信息反馈机制,并给出了评估该机制的数学模型。该机制能够准确识别并动态修复恶意交换机。仿真评估和原型系统测试表明,该框架能够实现高准确率的流量传输和系统的可用性高达97%,并且通过动态、异构多径机制实现了对数据传输出错概率的可控。同时,多路径比较转发会带来一些性能代价,如初始和攻击时的延迟、带宽和抖动。然而,当选择合适的转发模式和合理的周期T时,通过比较和判定引入的延迟比例可以小于10%,混合转发的平均带宽几乎与传统的多路径相同,在原型系统中,当传输带宽为250M时,可以保证25%的多径比较转发。4.提出了基于鲁棒控制与反馈检测的SDN内生安全网络服务机制。首先,针对网络服务程序自身的漏洞后门问题,提出了基于DHR的网络服务内生安全控制构造,为了准确地描述和分析服务系统的特性,首次基于广义随机Petri网(Generalized Stochastic Petri Net,GSPN)对服务系统自身的攻击、干扰和防御进行建模,比较了不同干扰强度下异构冗余系统(Dissimilar Redundancy System,DRS)和内生安全服务系统的可用性和感知安全性。在此基础上,针对服务劫持和篡改导致的系统震荡性失效问题,提出了基于鲁棒控制与反馈检测的SDN使能网络服务框架。该架构中SDN控制器负责收集网络服务反馈的决策信息,针对未知威胁制定相应的防护策略,从而实现在网络数据转发阶段对部分高频次持续性攻击进行有效阻断,增加网络服务系统的鲁棒性。最后,以域名服务为例,通过仿真与原型系统验证了 DHR构造域名服务系统自身在受到恶意攻击时仍能保持高可用性96%,同时借助动态、异构以及冗余服务部署实现了攻击出错概率的可控,且与正常域名解析相比服务性能下降仅6.83%,此外,SDN使能内生安全域名服务系统的处理性能相比传统域名系统遭受恶意损坏失效情况下提高了 67.60%的处理效率。