基于SDN的安全策略扩展,计算机网络论文.docx

基于SDN的安全策略扩展,计算机网络论文本篇论文目录导航：【题目】【第一章】【第二章】【第三章】 基于SDN的安全策略扩展【第四章】【第五章】【总结/以下为参考文献】 第三章 基于 SDN 的安全策略扩展 现有的 SDN 安全策略如 X-trace1是适用于复杂网络的故障排除策略，跟踪记录与转发操作相关的日志信息，十分是重点跟踪不同的协议的数据包，从端到端的通信经过中的推断出故障事件的因果相关性，利用日志来进行故障排除。Netreplay2的故障排除范围包括持续性故障，不同于端到端的故障排除方案，在网络设备中不记录任何日志信息。由于现有的 SDN安全策略无法深切进入解决网络故障的排除、以及策略本身的安全问题，因而需要构造可移植、高可靠性、易于操作的安全策略来解决。本章 3.2 节主要介绍基于依靠关系图的回溯策略，3.3 节介绍基于因果图的故障排除策略，3.4 节对现有的故障排除中的难点进行方案扩展，改良现有安全策略的缺乏，并介绍设计和实现的思路。 3.1 基于依靠关系图的回溯策略 图 3.1 网络问题进行基于来源回溯的故障排除经过，V1 显示了在时间t = 5时刻 DNSDomain Name System,域名系统请求到达 DNS 服务器。向前回溯有 V2、V3,DNS 服务器先从交换机 S2 处收到请求数据包，S2 之前是交换机 S1;另外左侧表示 V10、V11,交换机通过端口 5 被连接到 DNS 服务器，中间 V4 表示检测流规则能否存在。V5-V7 是流规则安装经过，在时间t = 2时刻完成，V8 表示将 DNS 数据包交给控制器，V9 表示控制器下发给交换机流规则。图 3.1 中 NDlog45是用来方便地表示事件以及事件之间的关系，NDlog 中节点的状态建模为表，每个表中包含很多的元组。基元组能够手动插入，派生元组从其他元组派生出来。NDlog 程序由一组规则组成，描绘叙述了元组相互间 的派生关系，如规则AX,P：BX,Q，Q = 3 P讲，元组AX,P派生自于节点 X,另一个BX,Q元组在该节点上，且Q = 3 P.来源表示为事件的 DAGDirectedAcyclic Graph, 有向无环图，华而不实顶点事件和边具有直接的因果关系。 对于 SDN 系统中的阳性事件，通过对阳性事件的来源回溯找到对故障的合理解释，下面介绍这种回溯的实现方式方法：每当事件发生时或产生一些新的网络状态，系统都保存着其原因事件序列，当用户请求对阳性事件的讲明时，系统递归找到每个事件和它的直接原因，直到到达一个设置的 基本事件 如外部输入，无法进一步讲明为止。结果能够被表示为 DAG,华而不实每个顶点表示一个事件和每条边代表一个直接的因果关系。在数据库文献的相关术语中，称为事件的来源46Provenance，即阳性的来源，上面主要介绍阳性事件的回溯。对于愈加复杂的阴性事件的来源，则通过假设 故障为什么没有发生 ,一直倒推至 没有发生 结果，这样就转化为阳性事件的来源回溯。 对阴性事件的来源回溯，固然不能直接通过阳性事件来解释，但能够为阴性事件构造一个类似的 回溯 :不确定实际事件能否发生，能够简单地找到包括丢失的事件所有可能发生的途径，然后找出故障的位置，即某个事件没有发生的原因。利用一种反向推理递归生成的故障的解释：当 Web 请求到达的 Web 服务器，请求将不得不出如今某个近期的交换机，实际并没有到达，而这样的请求只可能来自中间的交换机，并最终来到连接用户的交换机。但是只当下面的事件发生时才发送请求：1有实际请求，2匹配的流表项，动作是转发至用户，3没有匹配的更高层次优先级的流表项。条件1和2知足，但条件3不知足，由于 DNS 服务器的流表项优先级更高层次。那么优先级较高的流表项又来自哪，这能够通过阳性事件的来源回溯找到原因。 3.2 基于因果图的故障排除策略 ATPG47Automatic Test Packet Generation,自动测试数据包生成用于对转发规则、链路规则、丢弃规则，以及拥塞、带宽可达性的问题进行故障排除，例如通过测试节点通过发送测试报文的验证可达性和性能。MCS48Minimal Causal Sequences,最小因果序列提供一个基于黑盒测试的方式方法，将事件序列的所有子序列重放，选出一个最小序列，即减小任何一个事件就不能重现错误。MCS 和 ATPG 直接通过控制层进行故障排除，不需要改变数据层面内容。两种方式方法的不同之处是 ATPG 用于测试网络的低级别的配置，判定能否能够发现故障，而没有检查高层次的策略的能力。MCS 则对于高层次的故障排除，如策略一致性问题更有效。两者共同的缺乏是都没有重视故障发现问题，因而更多的是依靠管理员的经历体验。尽管故障排除工具的可靠性不断提高，仍然有很多很难回答的问题37,如：从 A 点到 B 点的数据包中间发生了什么他们走过哪些途径数据包报头部在他们经过的途径上有哪些改动为了回答这些问题，可能需要重放的数据包的历史轨迹。一个数据包的历史对应于它遍历网络的途径，还包括在该途径上的每跳做过的修改。 当碰到网络安全问题例如，转发黑洞，图 3.2 表示清楚主控制器发生故障，导致链路错误不能被正确处理。由于交换机流表没有更新，在切换到备份控制器后由于缺少流表项，导致链路黑洞故障。查找这类故障排除是非常耗时的，由于开发人员得到的日志不可能像图中那么清楚，所以可能需要花费数小时研读上 GB 的日志文件。MCS46将系统记录到的所有日志序列分类，然后将子序列选择性重放，找到一个能导致故障发生的最小序列，即减小任何一个事件就不能重现错误。STSSDN Troubleshooting System,SDN 故障排除系统是实现 MCS的故障排除系统。使用 STS 能够在分布式数据库中并发事件、错误的故障转移逻辑和死锁，下面介绍详细的步骤。 将特定时刻的网络的转发状态定义为配置 C,它包含了所有的转发表项以及活泼踊跃的网络元素。控制软件是包括一个或多个处理进程，进程将外部网络事件序列E = e1 e2 em如链路故障作为输入，并产生一个网络配置序列的C = c1,c2,cn.常量指的是谓词 P 相关的转发状态表示安全的常量，例如无环。若PC是假，表示配置 C 违背常量，即PC。假设由 L 是质量保证QualityAssurance试验环境产生的日志。日志 L 含有事件的序列 L= e1 i1 i2 e2 em ip,其包括外部事件的EL= e1,e2,em和内部事件的IL= i1,i2,ip,内部事件由控制软件触发例如 OpenFlow 的消息。事件EL包括时间戳ek,tk,跟随系统的时钟。 日志 L 重放牵涉外部事件的EL,可能还要考虑系统的内部事件IL的发生。重放表示为replay ，重放replay 的输出是配置CR= c1,c2,cn.理想的情况是重放再现了原作配置顺序，正常情况下往往需要重复屡次。假如日志 L 的配置CL= c1,c2,cn违背了谓词 P即ci CLPci，同时重放的配置CR包含等效错误即ci CLPci那么我们讲replay =CR再现了这次故障。 发现日志 L 表现违背常量后，需要找到重现违背常量的最小故障事件集合。定义 MCS为一个序列 M,华而不实外部事件的EM M是EL的子序列，使得重放replay M再现违背常量，但对于所有EM的子序列EN,没有 N使得重放replay N再现故障。固然 MCS 不一定是全局极小，有可能该EL重现这个违背是更小的子序列，但不是该 MCS 的子序列。 上面重点介绍现有故障排除策略在 SDN 系统内故障的发生、跟踪、回溯等方面的优势和缺乏之处，通过典型故障排除方案的分析表示清楚，因果关系分析能够输出最小故障事件集合，但是不能确定故障原因，而来源回溯则不能主动发现故障，因而提出扩展的 SDN 安全策略进行完善故障发现和故障定位的缺乏之处。 3.3 扩展的 SDN 安全策略 SDN 在网络创新方面提供了一些希望，拥有硬件无关的基于软件的集中控制能力，并使用开放标准的控制通信协议，使调试和故障排除的创新愈加容易。通过 SDN 引入的灵敏性和可编程特点确实为网络应用创新开拓了新的途径，在全局视图开发上层应用来调试、排除、验证和测试网络故障。传统网络中故障排除是由网络管理员在终端上对获取到的数据包进行收集分析，根据已经知道的网络拓扑构造确定故障的类型及位置。然而网络拓扑构造的复杂性，链路状态的不确定性，软硬件构造的多样性给传统网络的故障调试、分析、排除带来很大的困难。固然 SDN 网络也面临着控制器可扩展性、接口兼容性、应用软件可靠性等问题，但是对开发者来讲，这些困难能够通过技术创新来解决，而技术创新在传统网络中恰恰是最困难的事情，而在 SDN 中是相对容易的事情。 显然 SDN 回溯的好处是通过 NOS 愈加方便配置和管理网络元素，使用逻辑上的集中控制的方式来提高网络元素的转发效率。NOS 的关键是给开发者提供了拓扑抽象层和网络服务的通用应用编程接口，包括常用的网络服务如网络状态和网络拓扑信息更新、设备发现和网络配置查询。网络管理员编写应用策略时不再需要关心数据平面的差异，以及路由元件间的底层细节问题。通过 NOS 降低开发新的网络协议的难度，甚至能够讲 NOS 提供了一个能够促进应用程序创新的开发环境，因而为了解决复杂的难题，扩展 SDN 的安全策略的特点如下： 1基于应用层策略 基于应用层的回溯策略，管理员通过下发回溯策略即可得到数据包途径；回溯策略不同于控制器下发的转发策略，而是转发策略的逆向策略50 ;逆向策略不占用数据层资源；在 SDN应用层通过调用逆向策略接口输出完好数据包途径。 2基于用户意向 仅靠网络管理员对 IP 地址和端口等低级特征进行人工操作费时费力，通过意向策略对用户意向进行定义，由策略自动转化成低级特征。借助意向策略的自动进行匹配，网络管理员能够对数据包进行先进行一次过滤。 3支持分类策略 利用途径查询方式方法作为来源回溯在数据层的扩展，在数据层将对发生在不同位置的故障分类数据包捕获，分析输出的查询结果得到故障原因。对于故障原因有阳性事件、阴性事件两种，回溯基本包括了所有发生和可能发生的故障，因而通过扩展后的来源回溯能够知足主动发现网络中故障的需求。 3.3.1 逆向转发技术 本节介绍逆向转发技术49的定义和使用方式方法，是论文第四章中意向回溯策略使用的底层技术。给定任一策略 P 和任意数据包 x,y,定义P1为 P 的逆向策略。对于数据包 x,P 作用到x后得到的数据包集中包含y,同理P1作用到数据包y得到的数据包集合中也必须含有x.