CN109491668B - 一种sdn/nfv服务部署的拟态防御构架及方法 - Google Patents
一种sdn/nfv服务部署的拟态防御构架及方法 Download PDFInfo
- Publication number
- CN109491668B CN109491668B CN201811184161.5A CN201811184161A CN109491668B CN 109491668 B CN109491668 B CN 109491668B CN 201811184161 A CN201811184161 A CN 201811184161A CN 109491668 B CN109491668 B CN 109491668B
- Authority
- CN
- China
- Prior art keywords
- service
- service function
- layer
- executive body
- nfv
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种SDN/NFV服务部署的拟态防御构架及方法,该构架包括用户业务请求层、控制层以及网络层,而本方法主要对控制层这一关键部分进行拟态设计,在控制层中增加了执行体池、判决器和调度器。相比于传统服务部署方法,该方法能够更加有效的防御外来攻击。该方法为:利用动态异构冗余架构来实现服务部署过程,从而增大攻击难度,提高服务部署的安全性。
Description
技术领域
本发明涉及服务部署和拟态安全防御领域,具体涉及一种SDN/NFV服务部署的拟态防御构架及方法。
背景技术
服务功能链(Service Function Chain,SFC)是一组有序的服务功能的集合。对于传统的服务功能链部署,首先根据用户下发的业务请求得出具体的服务功能需求,生成最初的服务功能逻辑链,再将具体的物理设备手动部署到网络中。在传统的网络架构中,像网络地址转换(NAT)、防火墙(FW)、入侵检测(IDS)均是使用专业的物理设备来实现的,但是他们价格昂贵,升级困难,摆放位置固定。因此,网络管理人员需要对物理网络的部署方式进行复杂、严谨的设计。当网络拓扑发生变化时很难及时地进行调整,无法灵活调用服务功能,造成不必要的网络开销和潜在的利润损失。
随着软件定义网络(Software Defined Network,SDN)技术和网络功能虚拟化(Network Function Virtualization,NFV)技术的出现和运用,服务功能链的部署又重新焕发出了生机。基于SDN/NFV技术进行服务功能链部署,NFV技术能够虚拟化常见的物理设备,并且能够为各种网络服务功能构建资源池。SDN技术通过将网络设备的控制与转发进行分离,可以动态的、集中地调度流量的路径,从而提供定制化和灵活的对接。用户和运营商可以通过NFV技术识别业务的需求,创建服务功能链上的各个虚拟服务功能(VirtualNetwork Function,VNF),并且可以自动地配置这些虚拟服务功能的业务逻辑,再通过SDN控制器自动地引导相关业务流量依次、有序的通过这些虚拟服务功能,来完成服务功能链的创建。
当下越来越多的场景开始使用基于SDN和NFV技术的服务功能链部署,而网络空间的威胁也越来越多,各种网络系统被攻击与信息泄露事件屡见不鲜。服务部署是实现网络业务的关键,若在其过程中被黑客攻击,将造成较大影响和损失。其中,服务编排是服务功能链部署过程中的核心步骤,类似于整个服务部署的中心控制模块。它主要是通过NFV编排器对服务路径与服务功能进行编排和管理,形成逻辑上的服务功能链。SDN控制器将服务功能链转化成对应的转发规则,引导流量经过编排好的服务功能。最后将转发规则下发至网络层从而实现用户的服务功能链请求。
在整个服务部署过程中,可能会出现如下安全问题:
(1)攻击者篡改服务编排结果,致使服务路径发生改变,或选取错误的服务功能,导致形成的服务功能链与用户的要求不一致,甚至将攻击者自身的服务器伪装成服务功能加入服务功能链,从而导致部署失败,业务流量被截取。
(2)攻击者可能会直接攻击SDN控制器的转发规则生成过程,从而篡改转发规则,导致网络层的流量无法通过正确的服务功能,甚至影响整个网络的正常运行。
(3)黑客对服务部署系统直接进行DDOS或其他资源消耗式攻击,导致SDN控制器与NFV编排器非常缓慢地处理消息,导致服务部署过程变得非常得缓慢甚至直接失败。
(4)当SDN控制器转发规则下发至网络层交换机的传输过程中可能会受到攻击者可能会在下发过程中截取、篡改或者伪造转发规则。
(5)服务器的VNF实例化过程可能会受到攻击者的攻击,即攻击者直接对底层服务器或实例服务功能进行攻击。
其中,第(4)(5)的安全问题分别是普遍的SDN中南向接口协议安全问题与服务器安全问题,已有较多相关研究与防御方法。
发明内容
本发明为了弥补传统服务部署方法安全防御的不足,提出了一种SDN/NFV服务部署的拟态防御构架及方法,本发明主要面对服务部署过程中关键步骤的安全问题,根据邬江兴院士的拟态安全防御思想研究提出了一种基于动态异构冗余模型(DynamicHeterogeneous Redundancy,DHR)的服务功能链部署拟态防御体系架构,并结合服务部署的实际需求进行关键技术的改进,从而实现服务部署过程的随机主动防御机制。
本发明解决其技术问题所采用的技术方案如下:一种SDN/NFV服务部署的拟态防御构架,包括:
用户业务请求层,用于用户下发服务功能链请求;
控制层,控制层主要包括执行体池、调度器、判决器和南向接口协议栈,调度器动态随机的从执行体池中选择M个执行体进行工作,同时,调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体;执行体进行NFV服务编排与转发规则生成工作,最后将形成的OpenFlow流表发送到判决器中进行判决;判决器对M份OpenFlow流表进行判决,判决出相对正确的结果;根据统计的结果,判决器在正常的执行体集合中随机选择一个执行体,通过被选执行体的SDN控制器与底层的网络设备进行连接,由该SDN控制器向网络层下发流表,再将有执行体发生异常的消息发送给调度器;调度器对异常执行体进行下线或清洗工作;
网络层,网络层与控制层之间通过南向接口协议进行通信,用于形成满足用户服务功能链请求的服务功能链。
进一步的,所述网络层划分为物理设备层和虚拟服务功能层,物理设备层主要包括交换机、服务器,虚拟服务功能层主要包括若干虚拟服务功能。
进一步的,所述虚拟服务功能包括网络地址转换(NAT)、防火墙(FW)、入侵检测(IDS)、深度包检测(DPI)、负载均衡(LB)。
进一步的,所述执行体池由多个执行体构成,执行体的异构性是采用操作系统、SDN控制器以及NFV编排器的多样性来实现的,并且将不同的操作系统、SDN控制器以及NFV编排器通过不同方式的组合来增加执行体的异构性。
本发明的另一目的是提供一种SDN/NFV服务部署的拟态防御方法,包括如下步骤:
(1)用户向控制层下发一个服务功能链请求;
(2)调度器动态随机的从执行体池中选择M个执行体进行工作,同时,调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体;
(3)执行体进行NFV服务编排与转发规则生成工作,最后将形成的OpenFlow流表发送到判决器中进行判决;
(4)判决器对M份OpenFlow流表进行判决,判决出相对正确的结果;
(5)根据统计的结果,判决器在正常的执行体集合中随机选择一个执行体,通过被选执行体的SDN控制器与底层的网络设备进行连接,由该SDN控制器向网络层下发流表,再将有执行体发生异常的消息发送给调度器;
(6)调度器对异常执行体进行下线或清洗工作;
(7)网络层接收到控制层下发的Openflow流表,形成满足用户服务功能链请求的服务功能链。
进一步的,所述M为奇数。
进一步的,判决器进行流表判决的方法为:
判决器对每个执行体发送来的M=2m+1份Openflow流表中相同的流表进行统计工作,根据统计的结果,若统计出相同的流表大于m+1份,则为步骤(4)中所述的判决器最终相对正确的结果。
与传统服务部署方法相比,本发明的有益效果如下:利用该方法可基本做到服务部署关键流程的防御,执行体的异构性与动态随机调度使得对增加了攻击者对系统扫描与漏洞挖掘难度。判决器随机选择控制器与网络层的连接,也对外呈现不确定性。若攻击者突破动态异构的阻碍,成功实现对某个或者相对多个执行体的入侵,即便对服务部署结果进行篡改也无法影响最终的结果,除非将执行体中的大部分均实现攻击,而执行体之间保持一定的异构度,这将大大增加攻击者的攻击难度与开销。
附图说明
图1是动态异构冗余模型;
图2是SDN/NFV服务部署的拟态防御方法实现架构图;
图3是服务部署的拟态防御工作流程图。
具体实施方式
下面结合附图详细说明本发明。
本发明提出的一种SDN/NFV服务部署的拟态防御构架及方法,如图1所示,该方法利用动态异构冗余架构来实现服务部署过程,从而增大攻击难度,提高服务部署的安全性。传统的服务部署架构主要为三个部分:用户业务请求层、控制层、网络层,而本方法主要对控制层这一关键部分进行拟态设计,在控制层中增加了执行体池、判决器和调度器。相比于传统服务部署方法,该架构能够更加有效的防御外来攻击。
进一步的,如图2所示,本发明的SDN/NFV服务部署的拟态防御构架包括:
用户业务请求层:用于用户下发的能够形成满足自己特定需求的服务功能链请求;
控制层:控制层是整个架构的核心部分,控制层主要包括执行体池、调度器、判决器和南向接口协议栈,执行体池中含有多个实现服务链编排部署的功能等价执行体;
网络层:网络层可以划分为物理设备层和虚拟服务功能层,物理设备层主要包括交换机、服务器,虚拟服务功能层主要包括一些虚拟服务功能,如网络地址转换(NAT)、防火墙(FW)、入侵检测(IDS)、深度包检测(DPI)、负载均衡(LB),网络层与控制层之间通过南向接口协议进行通信;
进一步的,本发明的核心在于控制层的实现:
控制层是实现服务部署的关键部分,是攻击者的主要攻击对象,控制层中的执行体并行处理服务请求,通过配合调度器与判决器来实现拟态防御。
执行体的异构性是采用操作系统、SDN控制器以及NFV编排器的多样性来实现的。并且将不同的操作系统、SDN控制器以及NFV编排器通过不同方式的组合来增加执行体的异构性。操作系统、SDN控制器以及NFV服务编排器的多样性以及不同的组合方式共同构成了执行体的异构性,多个执行体构成了执行体池。
调度器收到服务功能链请求后,动态随机的从执行体池中选择M个执行体进行工作,同时,调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体;执行体进行NFV服务编排与转发规则生成工作,最后将形成的OpenFlow流表发送到判决器中进行判决。执行体的多样性和动态性的实现使得攻击者更加难以通过扫描发现漏洞,隐藏了后门和未知漏洞的可见性。调度器会根据判决器发送来的反馈控制消息对执行体池中发生异常的执行体进行清洗或者下线处理,确保了执行体池的纯洁性。
判决器主要是用来对从执行体池中的执行体发送来的OpenFlow流表进行判决,通过判决算法得出相对正确的流表。该判决过程可以将异常执行体过滤,实现了对系统内部执行体的异常感知,并且将消息反馈给调度器。判决器在正常的执行体集合中随机选择一个执行体,通过其控制器与底层的网络设备进行连接,由该控制器向网络层下发流表。
最终,该控制器引导流表依次通过用户所需要的虚拟服务功能,在网络层形成满足用户服务功能链请求的服务功能链。
进一步的,该方法相比于传统服务部署过程,如图3所示,具体工作过程如下:
(1)用户向控制层下发一个服务功能链请求,调度器动态随机的从执行体池中选择M个执行体进行工作。同时,调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体;
(2)执行体进行服务编排与转发规则生成工作,最后将形成的OpenFlow流表发送到判决器中进行判决;
(3)判决器对M份OpenFlow流表进行判决,判决出相对正确的结果;
(4)根据统计的结果,判决器在正常的执行体集合中随机选择一个执行体,通过其SDN控制器与底层的网络设备进行连接,由该SDN控制器向网络层下发流表,再将有执行体发生异常的消息发送给调度器;
(5)调度器对异常执行体进行下线或清洗工作;
(6)网络层中的交换机接收到控制层下发的Openflow流表,由步骤(4)步中选择的控制器引导流表通过相应的虚拟服务功能,形成满足用户服务功能链请求的服务功能链。
进一步的,该过程中判决器进行流表判决的方法为:
判决器对每个执行体发送来的M=2m+1份Openflow流表中相同的流表进行统计工作,根据统计的结果,若统计出相同的流表大于m+1份,则为步骤(3)中所述的判决器最终相对正确的结果。
Claims (6)
1.一种SDN/NFV服务部署的拟态防御系统,其特征在于,包括:
用户业务请求层,用于用户下发服务功能链请求;
控制层,控制层包括执行体池、调度器、判决器和南向接口协议栈,调度器动态随机的从执行体池中选择M个执行体进行工作,同时,调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体;执行体进行NFV服务编排与转发规则生成工作,最后将形成的OpenFlow流表发送到判决器中进行判决;判决器对M份OpenFlow流表进行判决,判决出相对正确的结果;根据统计的结果,判决器在正常的执行体集合中随机选择一个执行体,通过被选执行体的SDN控制器与底层的网络设备进行连接,由该SDN控制器向网络层下发流表,再将有执行体发生异常的消息发送给调度器;调度器对异常执行体进行下线或清洗工作;
网络层,网络层与控制层之间通过南向接口协议进行通信,用于形成满足用户服务功能链请求的服务功能链;
所述执行体池由多个执行体构成,执行体的异构性是采用操作系统、SDN控制器以及NFV编排器的多样性来实现的,并且将不同的操作系统、SDN控制器以及NFV编排器通过不同方式的组合来增加执行体的异构性。
2.根据权利要求1所述的一种SDN/NFV服务部署的拟态防御系统,其特征在于,所述网络层划分为物理设备层和虚拟服务功能层,物理设备层包括交换机、服务器,虚拟服务功能层包括若干虚拟服务功能。
3.根据权利要求2所述的一种SDN/NFV服务部署的拟态防御系统,其特征在于,所述虚拟服务功能包括网络地址转换(NAT)、防火墙(FW)、入侵检测(IDS)、深度包检测(DPI)、负载均衡(LB)。
4.一种SDN/NFV服务部署的拟态防御方法,其特征在于,包括如下步骤:
(1)用户向控制层下发一个服务功能链请求;
(2)调度器动态随机的从执行体池中选择M个执行体进行工作,同时,调度器再将用户下发的服务功能链请求复制M份并分发给每个被选择的执行体;
(3)执行体进行NFV服务编排与转发规则生成工作,最后将形成的OpenFlow流表发送到判决器中进行判决;
(4)判决器对M份OpenFlow流表进行判决,判决出相对正确的结果;
(5)根据统计的结果,判决器在正常的执行体集合中随机选择一个执行体,通过被选执行体的SDN控制器与底层的网络设备进行连接,由该SDN控制器向网络层下发流表,再将有执行体发生异常的消息发送给调度器;
(6)调度器对异常执行体进行下线或清洗工作;
(7)网络层接收到控制层下发的Openflow流表,形成满足用户服务功能链请求的服务功能链;
其中所述执行体池由多个执行体构成,执行体的异构性是采用操作系统、SDN控制器以及NFV编排器的多样性来实现的,并且将不同的操作系统、SDN控制器以及NFV编排器通过不同方式的组合来增加执行体的异构性。
5.根据权利要求4所述的一种SDN/NFV服务部署的拟态防御方法,其特征在于,所述M为奇数。
6.根据权利要求4所述的一种SDN/NFV服务部署的拟态防御方法,其特征在于,判决器进行流表判决的方法为:
判决器对执行体发送来的M=2m+1份Openflow流表中相同的流表进行统计工作,根据统计的结果,若统计出相同的流表大于m+1份,则为步骤(4)中所述的判决器最终相对正确的结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811184161.5A CN109491668B (zh) | 2018-10-11 | 2018-10-11 | 一种sdn/nfv服务部署的拟态防御构架及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811184161.5A CN109491668B (zh) | 2018-10-11 | 2018-10-11 | 一种sdn/nfv服务部署的拟态防御构架及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109491668A CN109491668A (zh) | 2019-03-19 |
CN109491668B true CN109491668B (zh) | 2022-05-24 |
Family
ID=65689993
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811184161.5A Active CN109491668B (zh) | 2018-10-11 | 2018-10-11 | 一种sdn/nfv服务部署的拟态防御构架及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109491668B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110557437B (zh) * | 2019-08-05 | 2021-11-19 | 上海拟态数据技术有限公司 | 基于自定义协议的普适性拟态分发表决调度装置及方法 |
CN111163070A (zh) * | 2019-12-18 | 2020-05-15 | 浙江工商大学 | 一种拟态防御下服务链安全部署的正确链路判决方法、装置、设备及介质 |
CN111865950B (zh) * | 2020-07-09 | 2022-04-26 | 河南信大网御科技有限公司 | 一种拟态网络测试仪及测试方法 |
CN112019557A (zh) * | 2020-09-02 | 2020-12-01 | 北京天融信网络安全技术有限公司 | 一种数据处理方法及装置 |
CN112866276B (zh) * | 2021-02-02 | 2022-05-24 | 浙江工商大学 | 一种基于拟态服务功能构架的主次重置判决系统 |
CN113472811B (zh) * | 2021-08-23 | 2022-08-02 | 北京交通大学 | 一种智融标识网络中的异构服务功能链转发协议与方法 |
CN114268477A (zh) * | 2021-12-14 | 2022-04-01 | 国网河南省电力公司电力科学研究院 | 基于多模式负载均衡的安全资源动态调度系统及方法 |
CN115834459B (zh) * | 2022-10-10 | 2024-03-26 | 大连海事大学 | 一种链路泛洪攻击流量动态清洗系统及方法 |
CN116318945B (zh) * | 2023-03-09 | 2023-10-20 | 南京航空航天大学 | 一种基于内生动态防御架构的多目标服务功能链部署方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106059650A (zh) * | 2016-05-24 | 2016-10-26 | 北京交通大学 | 基于sdn和nfv技术的天地一体化网络架构及数据传输方法 |
CN108259238A (zh) * | 2018-01-10 | 2018-07-06 | 重庆邮电大学 | 数据中心中网络功能服务链映射的方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753828B (zh) * | 2013-12-31 | 2019-10-25 | 华为技术有限公司 | 一种sdn控制器、数据中心系统和路由连接方法 |
CN104113792B (zh) * | 2014-07-30 | 2018-04-06 | 上海斐讯数据通信技术有限公司 | 一种OpenFlow控制通道建立方法及系统 |
KR101615045B1 (ko) * | 2014-12-19 | 2016-04-22 | 주식회사 디케이아이테크놀로지 | 지능형 보안 네트워킹 시스템 및 그 방법 |
-
2018
- 2018-10-11 CN CN201811184161.5A patent/CN109491668B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106059650A (zh) * | 2016-05-24 | 2016-10-26 | 北京交通大学 | 基于sdn和nfv技术的天地一体化网络架构及数据传输方法 |
CN108259238A (zh) * | 2018-01-10 | 2018-07-06 | 重庆邮电大学 | 数据中心中网络功能服务链映射的方法 |
Non-Patent Citations (1)
Title |
---|
"基于动态异构冗余机制的路由器拟态防御体系结构";马海龙等;《信息安全学报》;20170131;第2卷(第1期);第31-36页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109491668A (zh) | 2019-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109491668B (zh) | 一种sdn/nfv服务部署的拟态防御构架及方法 | |
CN109587168B (zh) | 软件定义网络中基于拟态防御的网络功能部署方法 | |
CN110290100B (zh) | 一种基于SDN的拟态Web服务器及用户请求处理方法 | |
CN109525418B (zh) | 一种拟态防御下服务部署执行体集合异构度保证的调度方法 | |
US20180123779A1 (en) | Flexible Blockchain Smart-Contract Deployment | |
CN107360135B (zh) | 拟态化网络操作系统、构建装置及方法 | |
Akhunzada et al. | Securing software defined networks: taxonomy, requirements, and open issues | |
CN110545260A (zh) | 一种基于拟态构造的云管理平台构建方法 | |
US20030051026A1 (en) | Network surveillance and security system | |
CN107257332B (zh) | 大型防火墙集群中的定时管理 | |
CN106464659A (zh) | 软件定义网络中的安全 | |
US20150372906A1 (en) | Method for routing data, computer program, network controller and network associated therewith | |
US10764207B2 (en) | Software defined visibility fabric | |
CN109314719B (zh) | 用于提供自选服务的系统和方法 | |
WO2018022901A1 (en) | Regeneration and generational mutation for security and fidelity in software defined networks | |
KR102132539B1 (ko) | 블록체인 기반의 안전한 소프트웨어 정의 네트워킹 시스템 및 그 방법 | |
WO2016130121A1 (en) | Network service chain construction | |
CN111478970A (zh) | 一种电网Web应用拟态防御系统 | |
WO2018218212A1 (en) | Systems and methods for updating security policies for network traffic | |
CN110226155A (zh) | 在主机上收集和处理上下文属性 | |
EP3035636A1 (en) | Computer defenses and counterattacks | |
CN103701822A (zh) | 访问控制方法 | |
US11063982B2 (en) | Object scope definition for enterprise security management tool | |
Sasaki et al. | Control-plane isolation and recovery for a secure SDN architecture | |
Khan et al. | FML: A novel forensics management layer for software defined networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |