MNOS拟态网络操作系统设计与实现.DOCVIP

MNOS:拟态网络操作系统设计与实现 王稹鹏扈红超程国振 控制层的漏洞利用攻击，如恶意APP、流表总改等是软件定义网络(software defined networking, SDN)面临的主要威胁之一，而俾统基于漏洞修复技术的 防御策略无法应对未知漏洞或后门.提出一种基于拟态防御思想的网络操作系统 安全架构 拟态网络操作系统(mimic network operating system, MNOS) 一一保障SDN控制层安全.该架构采用异构冗余的网络操作系统(network operating system, NOS),并在传统的SDN数据层和控制层间增设了拟态层，实 现动态调度功能.首先拟态层动态选取若干NOS作为激活态并行提供服务，然后 根据各NOS的处理结果决定最终的有效响应返回底层交换机.实验评估表明:在 增加有限的时延开销下，MNOS可以有效降低SDN控制层被成功攻击的概率，并 具备良好的容错/容侵能力;在此基础上，提出的选调策略和判决机制，可以有 效提升系统的异构度和判决的准确性，进一步提升安全性能. 关键词： 软件定义网络;主动防御;拟态安全防御;动态异构冗余;网络操作系统; 拟态核心层收到ONOS的初始注册消息，新建该控制器的状态信息， 即nos_id，nos_kind等，并将状态设罝为“初始态”； （2）拟态核心层向Floodlight发送获取状态的拟态控制协议报文，同时将时刻 t。以后收到的switch报文进行缓存而不再发往Hoodlight （如图5中圆柱体）； ⑶收到Floodlight发送的时刻的状态（对于路由APP，状态信息即为路由 表，Floodl ight的节点路由表状态信息存放于TopologyTnstance中的 pathcache变量屮）后，将其数据进行转换（适用于0N0S的数据）后发送给初 始态的0X0S进行状态同步（此时同步的是时刻tQ的状态），同时将缓存的报文 发往Floodlight进行处理； （4） 在时刻t2, Hoodlight正常处理报文，并将缓存的报文和后续到达的报文 依次发往0N0S进行处理； （5） 在0X0S完成状态同步（处理完缓存报文后）向拟态核心层确认后，将其状 态信息由“初始态”变换为“空闲态”，等待选调模块的调用. 需要说明的是，若正常工作（激活态或空闲态）的控制器中有相同类型的控制 器，可直接用其进行同步，无需进行数据转换的步骤. 2. 4.2选调器 选调器主要负责控制器的调度，实现动态性，即图3屮的变换（2） ~ （3）.为确 保控制器的视阁一致，本文采用类似OpenFlow协议的slave/master方法实现选 调，不同的是OpenFlow协议中控制器集群只有一个master, slave只有在 master无法正常工作时才修改为master （主要是成对单点失效等故障），而木 文是将多个控制器同时设为master.具体地，若北向代理层收到的拟态控制协 议报文屮role字段为master,则将其交付控制器处理并正常下发消息;反之， 若为slave,则北向代理交付控制器处理后对其消息进行拦截而不下发. 因此，首先选调器根据选调策略选取出m （m—般为不小于3的奇数）个控制器 后，将其状态信息由空闲态设为激活态，其余设为空闲态，而后只需根据各控 制器的状态，在分发消息给各控制器时，在role字段填入slave/master （0/1） 即可:对于空闲态和初始态的控制器，该字段设为slave （初始化的控制器不具 备正常工作的能力）；激活态和可疑态的，设为master （由于可疑的控制器需要 进一步考察，因此需耍其回复所有的消息请求，便于判决器与其他控制器的响 应进行比对，确认其可信与否）.具体的选调策略将在第3节进行介绍. 2. 4.3判决器 判决器主要负责对多个控制器的响应报文进行判决，判定最可靠的响应.判决机 制在数据融合等领域有很多研宄，以最简单的大数判决为例.当判决器收到m份 响应中（由2. 4. 2节可知，只有role字段为master的控制器才会响应）有大于 或等于（ni+1） /2份结果一致时，则判定该结果为有效响应，发往南向代理层 （最终到交换机）；而对于其余和该结果不一致的控制器，则判定为可疑，将其 状态由激活态改为可疑态（图3屮的变换（4）），然后着重对其进行考察，若 后期仍多次出现不一致的情况，则向N0S管理器通告，将其删除，并重新初始 化新的控制器实例（图3中变换（6））,反之，则重新设为空闲态（去可疑， 图3中变换（5））. 上述判决机制是基于一个假设：多数控制器同时被攻击且攻击后输出一致的错误 响应的概率极低.尤其是本文采用的异构控制器，攻击者需要对多种控制器进行 漏洞挖掘，因此攻击者成功实施攻击的难度将会进一步增加[16