基于博弈的異構(gòu)控制器云安全策略研究

胡軍臺(tái)，武振宇，付曉，王逸超

?

基于博弈的異構(gòu)控制器云安全策略研究

胡軍臺(tái)，武振宇，付曉，王逸超

（國(guó)網(wǎng)河南省電力公司平頂山供電公司，河南 平頂山 450052）

在軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)的控制層采用多個(gè)異構(gòu)控制器是提升其安全的一種有效方式。針對(duì)網(wǎng)絡(luò)不同安全需求下控制器的部署策略問(wèn)題，提出了一種博弈模型。具體地，首先，利用博弈論知識(shí)刻畫(huà)了攻防博弈模型，求解納什均衡，進(jìn)而指導(dǎo)設(shè)計(jì)安全策略；其次，在均衡基礎(chǔ)上分析攻防策略行為對(duì)控制層安全狀態(tài)的影響；最后，仿真結(jié)果表明提出的均衡策略的有效性，并描述了攻防策略交互的動(dòng)態(tài)性。

軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)；控制器；網(wǎng)絡(luò)安全；博弈

1 引言

軟件定義網(wǎng)絡(luò)（SDN，software defined network）將控制與轉(zhuǎn)發(fā)功能分離，形成應(yīng)用層、控制層、數(shù)據(jù)層，通過(guò)可編程接口開(kāi)放網(wǎng)絡(luò)，促進(jìn)了網(wǎng)絡(luò)創(chuàng)新，其靈活的網(wǎng)絡(luò)管理以及快速的網(wǎng)絡(luò)功能部署等特點(diǎn)滿足了云數(shù)據(jù)中心流量控制、自動(dòng)化網(wǎng)絡(luò)配置等諸多傳統(tǒng)方式下無(wú)法解決的網(wǎng)絡(luò)需求[1-2]。但與此同時(shí)，SDN網(wǎng)絡(luò)架構(gòu)也帶來(lái)了新的安全威脅[3]，尤其控制器作為核心組件，極易成為攻擊者的攻擊目標(biāo)，一旦控制器被攻擊，將導(dǎo)致其所管控整個(gè)網(wǎng)絡(luò)的信息泄露，甚至癱瘓。

目前，控制層的控制器相對(duì)靜態(tài)，便于攻擊者探測(cè)分析，進(jìn)而發(fā)起攻擊。單控制器結(jié)構(gòu)極易造成單點(diǎn)失效，一旦攻擊者掌握控制器的漏洞，通過(guò)開(kāi)放的南北接口實(shí)施攻擊，將會(huì)造成整個(gè)網(wǎng)絡(luò)癱瘓。目前業(yè)界主流的分布式控制器，如Onix[4]以及開(kāi)源控制器ONOS[5]和ODL[6]，雖然能夠有效地解決單點(diǎn)失效問(wèn)題，但是其在這些分布式結(jié)構(gòu)中，控制器實(shí)例是同構(gòu)的且具有共同的脆弱點(diǎn)，無(wú)法應(yīng)對(duì)共模失效安全威脅[7]。因此，為了應(yīng)對(duì)攻擊者的探測(cè)以及共模脆弱點(diǎn)問(wèn)題，業(yè)界研究者開(kāi)始在控制層部署異構(gòu)冗余的控制器以此增強(qiáng)控制器的安全性與可靠性。

文獻(xiàn)[8-9]基于拜占庭容錯(cuò)機(jī)制設(shè)計(jì)實(shí)現(xiàn)了抵御面向SDN控制器攻擊，且具有一定容錯(cuò)能力的控制器系統(tǒng)，在該系統(tǒng)中，交換機(jī)不再只受單個(gè)控制器控制，而是由多個(gè)控制器共同決定交換機(jī)中流表的更新。基于拜占庭的更新機(jī)制能夠保證即使一定數(shù)量的受損控制器下發(fā)了錯(cuò)誤指令，其最終下發(fā)到交換機(jī)上的流表依然是正確的。然而，這種方法一旦一個(gè)控制器被攻擊成功，有可能造成攻擊感染。文獻(xiàn)[10]基于網(wǎng)絡(luò)空間擬態(tài)防御思想，設(shè)計(jì)開(kāi)發(fā)了一款MNOS的網(wǎng)絡(luò)操作系統(tǒng)架構(gòu)，通過(guò)流一致裁決機(jī)制很好地應(yīng)對(duì)了SDN典型的流規(guī)則篡改攻擊，提升了控制層的抗攻擊性能。文獻(xiàn)[11]提出一種融入動(dòng)態(tài)、異構(gòu)和冗余性的擬態(tài)網(wǎng)絡(luò)操作系統(tǒng)來(lái)消除相關(guān)攻擊的威脅，此防御架構(gòu)能夠融合現(xiàn)有的單個(gè)控制器防御技術(shù)，同時(shí)能通過(guò)多異構(gòu)網(wǎng)絡(luò)操作系統(tǒng)之間的協(xié)同合作降低同一漏洞后門(mén)被攻擊者反復(fù)有效利用的可能性。考慮網(wǎng)絡(luò)場(chǎng)景約束條件，文獻(xiàn)[12]提出了一種基于負(fù)反饋的動(dòng)態(tài)感知調(diào)度方法來(lái)刻畫(huà)控制器執(zhí)行體的切換方式，依據(jù)獲得的動(dòng)態(tài)策略能較好地根據(jù)當(dāng)前網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)全局信息來(lái)優(yōu)化運(yùn)行控制器組合，從而維持控制層工作在安全性高和失效概率低的模式下。該論文在之前的研究[13]中提出了一種安全控制層，通過(guò)動(dòng)態(tài)地變換控制器進(jìn)而抵御針對(duì)控制器未知安全漏洞等安全威脅。

然而，上述研究者主要針對(duì)冗余異構(gòu)下的控制器調(diào)度策略展開(kāi)研究，缺乏針對(duì)不同需求部署相應(yīng)的控制器數(shù)量以及改變攻防行為后的安全性動(dòng)態(tài)變化的相關(guān)研究。為此，本文以云網(wǎng)絡(luò)為背景，提出一種基于博弈的多樣化安全策略機(jī)制，分析指導(dǎo)網(wǎng)絡(luò)管理者充分利用異構(gòu)的控制器以提高網(wǎng)絡(luò)的安全性。本文主要貢獻(xiàn)如下：首先，提出了面向SDDC的攻防博弈模型，描述了攻防雙方的利益沖突；其次，在上述博弈模型的基礎(chǔ)上，計(jì)算并分析了兩人博弈、三人博弈以及+1博弈等情況下的均衡策略，并分析了相關(guān)均衡策略對(duì)動(dòng)態(tài)異構(gòu)控制器架構(gòu)的安全性；最后，對(duì)上述場(chǎng)景進(jìn)行仿真分析，驗(yàn)證了本文博弈模型的有效性。

圖1 SDDC網(wǎng)絡(luò)架構(gòu)

2 網(wǎng)絡(luò)框架

云數(shù)據(jù)中心對(duì)網(wǎng)絡(luò)提出了靈活、按需、動(dòng)態(tài)和隔離的需求，SDN的集中控制、控制與轉(zhuǎn)發(fā)分離、應(yīng)用可編程3個(gè)特點(diǎn)天然地匹配以上需求，軟件定義數(shù)據(jù)中心（SDDC，softwares defined data center）應(yīng)運(yùn)而生。用戶可通過(guò)傳統(tǒng)網(wǎng)絡(luò)接入SDDC，網(wǎng)絡(luò)架構(gòu)如圖1所示。

混合網(wǎng)絡(luò)中包含若干傳統(tǒng)網(wǎng)絡(luò)與若干SDDC，其中，傳統(tǒng)網(wǎng)絡(luò)與現(xiàn)有的保持一致。為了保護(hù)SDDC中的控制層，在控制層中部署多個(gè)控制器執(zhí)行體以及一些功能模塊[13]。OpenFlow1.3支持單臺(tái)OpenFlow交換機(jī)同時(shí)與多個(gè)控制器建立連接，并選擇一個(gè)Master管理網(wǎng)絡(luò)[14]，以避免某個(gè)控制器失效導(dǎo)致相關(guān)交換機(jī)無(wú)法正常工作。在SDDC中，調(diào)度器動(dòng)態(tài)地依據(jù)策略從多個(gè)控制器執(zhí)行體選擇一個(gè)管理網(wǎng)絡(luò)，限制了控制器脆弱性的暴露，增加了攻擊者的攻擊成本，降低了被攻擊機(jī)會(huì)。

本文在文獻(xiàn)[13]控制器架構(gòu)基礎(chǔ)上，從如何利用潛在的異構(gòu)控制器角度出發(fā)，結(jié)合博弈論知識(shí)[15]，提出了一種基于博弈的異構(gòu)控制器部署策略。

3 威脅模型

假設(shè)網(wǎng)絡(luò)中包括多個(gè)SDDC，且面臨某攻擊者的威脅。表1為本節(jié)的關(guān)鍵符號(hào)說(shuō)明。

表1 關(guān)鍵符號(hào)描述

困境：為了保證網(wǎng)絡(luò)的正常運(yùn)行，攻擊者攻擊成功后，網(wǎng)絡(luò)防御者面臨著下一刻是否依然使用相同的控制器的困境。若考慮使用方便、低耗代價(jià)等因素，則應(yīng)該盡量不改變控制器。但與此同時(shí)，網(wǎng)絡(luò)卻面臨著同一種攻擊再次攻擊的風(fēng)險(xiǎn)。如果防御者為了增加攻擊者攻擊成功的難度而選擇切換一個(gè)新的控制器，則勢(shì)必也會(huì)增加操作困難和部署代價(jià)等。同樣，攻擊者也面臨類(lèi)似的困境。因此，攻防雙方采取策略行為不僅依賴于自私考慮（如代價(jià)、安全等），也依賴于對(duì)手的策略選擇。

4 博弈模型

4.1 博弈論概念

4.2 兩人博弈

1) 防御者面臨著困境：控制層應(yīng)該保持此時(shí)的狀態(tài)（此時(shí)希望攻擊者下次攻擊改變攻擊模式）或者防御者切換控制器管理網(wǎng)絡(luò)（此時(shí)期望攻擊者不改變攻擊模式）。

2) 攻擊者也面臨著相似的困境：攻擊者應(yīng)該以相同的模式發(fā)起攻擊（認(rèn)為防御者未切換控制器），或者攻擊者切換攻擊模式（認(rèn)為防御者切換控制器，改變了狀態(tài)）。

表2 一個(gè)防御者（SDDC）與一個(gè)攻擊者的收益矩陣

4.2.1 純策略方案

4.2.2 混合策略方案

同樣地

同樣地

因此，基于以上分析，對(duì)博弈均衡給出定理1。

4.2.3 均衡的有效性

從圖2也可以看出，防御系統(tǒng)總是一直切換控制器并不是最好的，而且會(huì)導(dǎo)致高昂的代價(jià)。圖2也表明了混合策略解決方案的有效性，為利用潛在的多樣控制器設(shè)計(jì)最佳隨機(jī)化技術(shù)提供理論基礎(chǔ)。

4.3 三人（2+1）博弈

當(dāng)網(wǎng)絡(luò)中存在2個(gè)SDDC，研究2個(gè)合理且自私的SDDC（SDDC1和SDDC2）在一次攻擊成功之后，面臨選擇切換還是保持不變這種困境。

圖2 攻擊成功的概率隨防御者策略變化

表3 2個(gè)SDDC（1和2）與一個(gè)攻擊者（選擇切換）的收益矩陣

表4 2個(gè)SDDC（1和2）與一個(gè)攻擊者（選擇切換）的收益矩陣

類(lèi)似地

類(lèi)似地

基于以上分析，三人博弈時(shí)的均衡定理如下。

4.4 N+1個(gè)參與者博弈

類(lèi)似地

如上文所述，在均衡狀態(tài)下，兩者相等，可得

類(lèi)似地，有

5 仿真結(jié)果

5.1 實(shí)驗(yàn)環(huán)境設(shè)置

本次實(shí)驗(yàn)在配置Intel(R) Core i7-4790 CPU3.6 GHz，16 GB RAM的主機(jī)上進(jìn)行，博弈問(wèn)題的求解均通過(guò)Mathematica編程實(shí)現(xiàn)。

5.2 實(shí)驗(yàn)結(jié)果分析

本節(jié)通過(guò)仿真結(jié)果分析博弈均衡下的有效性。

圖3 控制器切換概率隨改變攻擊模式代價(jià)變化

圖4 3種攻擊代價(jià)下控制器切換概率與SDDC數(shù)量的關(guān)系

圖5 2種攻擊改變代價(jià)下切換概率與控制器數(shù)量的關(guān)系

圖6 攻擊模式改變概率與控制器數(shù)量的關(guān)系

6 結(jié)束語(yǔ)

本文利用控制器的多樣性抵御針對(duì)SDN控制層的網(wǎng)絡(luò)攻擊。首先，根據(jù)不同的安全需求，通過(guò)部署不同數(shù)量的控制器實(shí)例，以及控制器實(shí)例間的動(dòng)態(tài)切換，提高攻擊者的攻擊難度；其次，為求解上述部署策略，提出了一種攻防博弈模型，求解納什均衡，得到最佳的異構(gòu)控制部署；最后，分析了均衡策略的有效性。仿真結(jié)果表明所提出方法的有效性以及在安全環(huán)境下策略交互的動(dòng)態(tài)性，并且通過(guò)對(duì)動(dòng)態(tài)性分析，防御者可以依據(jù)不同的網(wǎng)絡(luò)條件，調(diào)整部署控制器。下一步的工作將以如何部署控制器的調(diào)度機(jī)制、保持網(wǎng)絡(luò)調(diào)度前后的一致性為主要研究點(diǎn)展開(kāi)研究。

[1] WANG T, LIU F, GUO J, et al. Dynamic SDN controller assignment in data center networks: Stable matching with transfers[C]// IEEE INFOCOM 2016- IEEE International Conference on Computer Communications. 2016: 1-9.

[2] 王蒙蒙, 劉建偉, 陳杰,等. 軟件定義網(wǎng)絡(luò):安全模型、機(jī)制及研究進(jìn)展[J]. 軟件學(xué)報(bào), 2016, 27(4): 969-992.

WANG M M, LIU J W, CHEN J, et al. Software defined networking: security model, threats and mechanism, software defined networking: security model, threats and mechanism[J]. Journal of Software, 2016, 27(4): 969-992.

[3] SCOTT-HAYWARD S, O'CALLAGHAN G, SEZER S. SDN security: a survey[C]//Future Networks and Services. 2013:1-7.

[4] KOPONEN T, CASADO M, GUDE N, et al. Onix: a distributed control platform for large-scale production networks[C]//Usenix Conference on Operating Systems Design and Implementation. 2010:351-364.

[5] BERDE P, HART J, HART J, et al. ONOS: towards an open, distributed SDN OS[C]//The Workshop on Hot Topics in Software Defined Networking. 2014:1-6.

[6] MEDVED J, VARGA R, TKACIK A, et al. OpenDaylight: towards a model-driven SDN controller architecture[C]//IEEE International Symposium on A World of Wireless, Mobile and Multimedia Networks. 2014:1-6.

[7] AHMAD I, NAMAL S, YLIANTTILA M, et al. Security in software defined networks: a survey[J]. IEEE Communications Surveys & Tutorials, 2015, 17(4):2317-2346.

[8] LI H, LI P, GUO S, et al. Byzantine-resilient secure software-defined networks with multiple controllers in cloud[J]. IEEE Transactions on Cloud Computing, 2015, 2(4):436-447.

[9] ELDEFRAWY K, KACZMAREK T. Byzantine Fault Tolerant Software-Defined Networking (SDN) Controllers[C]//Computer Software and Applications Conference. 2016:208-213.

[10] HU H, PANG L, WANG Z, et al. Orchestrating Network Functions in Software-Defined Networks[J]. China Communications, 2017, 14(2):104-117.

[11] QI C et al. An intensive security architecture with multi-controller for SDN[C]//INFOCOM Posters, 2016.

[12] QI C, WU J, HU H, et al. Dynamic-scheduling mechanism of controllers based on security policy in software-defined network[J] Electronics Letters, 2016, 52(23):1918-1920.

[13] LU Z, CHEN F, WU J, et al. Poster: A Secure control plane with dynamic multi-NOS for SDN[C]//Network and Distributed System Security Symposium (NDSS). 2017.

[14] SALIH M A, COSMAS J, ZHANG Y. OpenFlow 1.3 extension for OMNeT++[C]//IEEE International Conference on Computer and Information Technology; Ubiquitous Computing and Communications; Dependable, Autonomic and Secure Computing; Pervasive Intelligence and Computing. 2015:1632-1637.

[15] LIANG L, WU J, COOK W D, et al. The DEA game cross-efficiency model and its Nash equilibrium[J]. Operations Research, 2008, 56(5):1278-1288.

Game model based security strategy of heterogeneous controllers in the cloud

HU Juntai, WU Zhenyu, FU Xiao, WANG Yichao

State Grid Pingdingshan Power Supply Company, Pingdingshan 450052, China

Deploying multiple heterogeneous controllers at the control level of a software-defined data center is an effective way to increase security. In view of the deployment strategy of controllers under different security requirements of the network, a game model was presented. Specifically, firstly, the game theory was used to depict the attack and defense game model and solve the Nash equilibrium, and then guided the design of security strategy. Secondly, the impact of the strategy of attack and defense on the security status of the control layer were analyzed. Finally, the simulation results show the effectiveness of the proposed equilibrium strategy, and describe the dynamic interaction strategy.

softwares defined data center network, controller, network security, game

TP393.08

A

10.11959/j.issn.2096-109x.2018075

胡軍臺(tái)（1969-），男，河南禹州人，碩士，國(guó)網(wǎng)河南省電力公司平頂山供電公司總工程師，主要研究方向?yàn)殡娏ο到y(tǒng)及電網(wǎng)規(guī)劃管理。

武振宇（1971-），男，河北棗強(qiáng)人，碩士，國(guó)網(wǎng)河南省電力公司平頂山供電公司教授級(jí)高級(jí)工程師，主要研究方向?yàn)殡娏ο到y(tǒng)及電網(wǎng)運(yùn)行管理。

付曉（1979-），男，河南浙川人，碩士，國(guó)網(wǎng)河南省電力公司平頂山供電公司高級(jí)工程師，主要研究方向?yàn)殡娋W(wǎng)發(fā)展與規(guī)劃。

王逸超（1989-），男，河南平頂山人，國(guó)網(wǎng)河南省電力公司平頂山供電公司助理工程師，主要研究方向?yàn)殡娋W(wǎng)規(guī)劃及科技信息管理。

2018-07-15；

2018-08-20

胡軍臺(tái)，hujuntai@163.com