CN113141341A

CN113141341A - 一种可编程的软件定义网络安全策略系统

Info

Publication number: CN113141341A
Application number: CN202011301962.2A
Authority: CN
Inventors: 白跃彬; 郭泽瑞; 汪啸林; 顾育豪
Original assignee: Beihang University
Current assignee: Beihang University
Priority date: 2020-11-19
Filing date: 2020-11-19
Publication date: 2021-07-20

Abstract

一种可编程的软件定义网络安全策略系统，它使网络管理员能够以声明式和组合式的风格编写程序，定义策略时无需考虑数据平面的工作机制，不同策略组合时不易相互影响。借鉴于一些函数式编程的思想，本系统提供了丰富的模式代数，用于将数据包分类为流量流，并提供了一套用于转换流的运算符。本发明能对网络与安全策略描述语言进行解析处理，经过解析模块、转化模块和查询管理模块的协同工作将策略转化为SDN的北向接口调用。本系统提供了一种北向协议，保证了本系统能使用多种已有的SDN控制器向可编程交换机下发配置和本系统与下层SDN控制器的相对独立性。

Description

一种可编程的软件定义网络安全策略系统

技术领域

本发明涉及计算机科学中的网络技术领域，特别是一种基于软件定义网络的可编程的网络安全策略系统。

背景技术

软件定义网络(Software-Defined Networking，SDN)是一种新型网络架构。它利用OpenFlow协议将路由器的控制平面从数据平面中分离，改以软件方式实现，从而使得将分散在各个网络设备上的控制平面进行集中化管理成为可能，该架构可使网络管理员在不改动硬件设备的前提下，以中央控制方式用程序重新规划网络，为控制网络流量提供了新方案，也为核心网络和应用创新提供了良好平台。在SDN中，各种网络与安全策略表现为一个个运行在控制器上的应用模块。现有的控制器平台是通过提供北向API (ApplicationProgramming Interface)支持用户下发网络与安全策略。

针对现有SDN的北向API抽象层次低，与底层数据平面的硬件实现耦合性较强，用户定义策略时需考虑数据平面的工作机制，且不同策略组合时容易相互影响，导致用户难以描述、测试复杂的网络策略的问题，定义网络与安全策略描述语言PyNPPL(PythonNetwork Policy Programming Language)，突破策略即函数的网络与安全功能抽象模型、基于北向接口的PyNPPL运行框架等技术，实现转发、保护、检测和响应等网络与安全策略的高层次描述和灵活组合，以及策略的高效、准确和自动化的部署。

发明内容

网络管理员必须对网络设备进行配置以部署所需的网络安全策略。然而，用于进行网络安全编程的大多数接口都是在底层硬件支持的低抽象级别上定义的，从而导致编出来的程序往往很复杂并带有不易察觉的错误和漏洞。本发明基于OpenFlow网络设计了一种网络安全策略系统，它使网络管理员能够以声明式和组合式的风格编写程序，并具有高级抽象级别的模式。借鉴于一些函数式编程的思想，本发明提供了丰富的模式代数，用于将数据包分类为流量流，并提供了一套用于转换流的运算符。运行时系统有效地管理在交换机中安装或者取消数据包处理规则的底层细节。本发明还提供了一套PyNPPL运行系统，能对网络与安全策略描述语言进行解析处理，经过解析模块、转化模块和查询管理模块的协同工作将策略转化为 SDN的北向接口调用。为保证本系统能使用多种已有的SDN控制器向可编程交换机下发配置和本系统与下层SDN控制器的相对独立性，本发明设计并实现了一种PyNPPL北向协议，提供了POX和RYU等SDN 控制器客户端接入接口。

附图说明

图1可编程的软件定义网络安全策略系统架构图。

具体实施方式

1.系统结构

如附图1所示，本发明由网络与安全功能策略、PyNPPL运行框架和SDN控制器组成。其中：①网络与安全功能策略为用户使用网络与安全策略描述语言对网络与安全功能策略涉及的内容进行抽象描述，生成PyNPPL格式的策略文件。②PyNPPL运行框架负责对PyNPPL策略文件进行解析处理，经过解析模块、转化模块和查询管理模块的协同工作，PyNPPL运行系统将策略转化为相应的北向接口调用，经由PyNPPL 后端生成指定的PyNPPL北向协议，发送给SDN控制器进行处理。③SDN控制器为实现了PyNPPL北向协议的SDN控制器，在本发明中使用了POX和RYU两种控制器。SDN控制器根据接收到的PyNPPL北向协议的请求，对控制器上的应用进行配置，或者通过南向接口在交换机上配置策略定义的流表规则，从而完成对网络与安全功能策略的部署。

2.网络与安全功能策略

2.1数据类型

本发明通过借鉴以往的函数式响应式编程的发明成果，发明了一种网络与安全策略描述语言。该语言引入了三种重要的数据类型来表示，转换和使用数据流：事件、事件函数和监听器。

事件代表离散的，随时间变化的数据流。所有携带α类型的值的事件的类型均写作αE。作为第一次近似，αE类型的值可以被认为是一个可能是无限长的对(t，v)的列表，其中t是时间戳，v是类型α的值。本系统中可用的基本事件类型包括：Packets事件，包含流经网络的所有数据包；Seconds事件，包含 1970-01-01 00:00:00 UTC以来的秒数；以及SwitchJoin和SwitchLeave事件，分别包含交换机加入和交换机离开的标识符。

事件函数将一种类型的事件转换为可能是另一种类型的事件。所有从αE转换到βE的事件函数的类型均写作αβEF。本发明的许多事件函数都基于标准运算符。例如，最简单的事件函数Lift(f),该函数在类型为α→β的普通函数f上进行了参数化，是类型为αβEF的事件函数，它将f应用于其输入事件中的每个值。本发明还设计了一些新的事件函数，这些函数专门用于处理网络流量。例如，如果g的类型为packet→bool，则Group(g)将数据包流分成两个流，一个用于g会返回true的数据包，另一个用于g会返回false的数据包。更一般而且精确地说，如果g的类型为packet→α，则结果的类型为packet(α×packet E)EF。返回事件的元素是(v，e)形式的对，其中v是类型α的值，而e是一个嵌套事件，其中包含所有g映射到v的数据包。本发明使用Group及其变体将网络流量组织为以相同方式处理的互相关联的数据包流。

监听器消费事件流，并在控制器上产生特定的作用。所有监听事件αE的监听器的类型都写为αL。举例来说，可用的监听器包括Print，具有多态类型αL，它的作用是向控制台输出其输入中的每个值；以及Send，具有类型(switch×packet×action)L，它将数据包packet发送到交换机switch，然后在该交换机上对 packet执行动作action。

2.2运算符

针对上述数据类型，本发明设计了许多运算符，用于进行模式代数，对网络与安全策略进行描述。以下列出一些最重要的运算符及其类型。请注意，合成运算符>>已重载以使用事件，事件函数和监听器。

事件运算符：

运算符	类型
		Seconds	int E
Packets	packet E
		SwitchJoin	switch E
SwitchLeave	switch E
		PortChange	(switch×int×port)E

事件函数运算符：

运算符	类型
		>>	αE→αβEF→βE
Lift	(a→β)→αβEF
		>>	αβEF→βγEF→αγEF
First	αβEF→(α×γ)(β×γ)EF
		Second	αβEF→(γ×α)(γ×β)EF
Merge	(αE×βE)→(αoption×βoption)E
		LoopPre	(γ×((α×γ)(β×γ)EF))→αβEF
Calm	ααEF
		Filter	(α→bool)→ααEF
Group	(α→β)→α(β×αE)EF
		Regroup	((α×α)→bool)→(β×αE)(β×αE)EF
Ungroup	(int option×(γ×α→γ)×γ)→(β×αE)(β×γ)EF

监听器运算符：

运算符	类型
		>>	αE→αL→unit
Print	αL
		Register	(packet×action list)list L
Send	(switch×packet×action)L

2.3订阅查询

内置事件Packets包含通过网络传输的每个数据包。本发明的网络与安全策略语言的基本程序结构变为将用户自定义的事件函数应用与Packets。这些程序易于编写和理解，比直接在SDN控制器上进行程序编写要容易，但是直接实现其语义将需要将每个数据包发送到控制器，这将导致性能无法接受。本发明通过为程序员提供一种简单的查询语言来避开此问题，使他们可以简洁地表达程序中所需的数据包和统计信息。本发明的运行时系统使用这些查询并生成包含适当数据的事件，使用交换机上的规则将数据包处理移入网络并移出控制器。本发明使用正交结构表示查询，以便使用高级抽象级别模式进行过滤，按一个或多个报头字段进行分组，按时间或每当报头字段更改值时分割，按数据包的数量或大小进行聚合以及限制返回值的数量。下表给出本发明的查询的语法。除Select之外，每个顶级结构都是可选的，Select标识查询返回的值的类型-实际数据包，字节数或数据包数。中缀运算符*组合查询运算符。

诸如此类的查询可用于实现许多监视应用程序。运行时可以通过轮询与交换机上的规则关联的计数器来高效地实现它们。

订阅查询是完全可以进行组合的。程序可以订阅多个重叠的事件，而不必担心实现它们的交换机级别规则之间的有害的低级交互。此外，用于转发运行时中注册的数据包的策略不会影响发送给订户的值。相反，在OpenFlow中，安装规则可以防止将来的数据包发送到控制器。

2.4数据包抽象

基于上述数据类型和运算符，本发明提供了统一体系结构的，采用简单的声明语句来使得程序既保留对每一个数据包进行操作的能力，又提供了高度抽象的简洁的编程风格。具体地，以下以编写一个Web 监视程序为例来说明：

最上一级的web_monitor函数获取事件Packets，该事件包含通过网络传输的所有数据包，并使用 web_monitor_ef事件函数对其进行处理。这将产生一个事件stats，其中包含每个30秒窗口中传入Web流量的字节数，并通过附加打印侦听器将其打印到控制台。

web_monitor_ef事件函数由几个较小的事件函数组成，具体地说，使用中缀运算符>>来组合这些事件函数。Filter丢弃与查询谓词参数不匹配的数据包。Lift将size应用于结果中的每个数据包，从而产生一个携带数据包大小的事件。GroupByTime，其类型为α(αlist)EF(并从其他运算符派生)，将数据包大小的事件划分为包含每个30秒窗口中数据包大小的列表的事件。最后一个事件函数，Lift，使用Python内置的 sum函数将每个列表中的数据包大小相加，从而产生一个整数的事件作为最终结果。请注意，本发明与POX 和RYU程序不同，后两者需要具体定义交换机级别的规则的布局以及交换机和控制器之间的通信，来从交换机中获取计数器，而本发明采用统一体系结构使得程序可以表达为简单的声明式查询。

2.5高层模式

本发明包含一个丰富的模式代数，用于描述数据包集。假设要更改监视程序，以将流量排除在内部服务器之外。在本发明中，可以简单地将描述传入Web流量的模式与描述到内部Web服务器的流量的模式之间作差。

def monitor_noserver_ef():

return(Filter((inport_p(2)&srcport_p(80)–dstip_p("10.0.0.9"))>>Lift(size)>> GroupByTime(30)>>Lift(sum))

与上一个程序相比，此程序中的唯一更改是传递给Filter的模式。“-”运算符用于计算两个模式之间的差异，运行时系统负责与实现此模式相关的细节。

2.6组合语义

假设要从上方扩展监视程序，使其表现得也像转发器一样。在本发明中，仅指定转发规则并将其注册到运行时系统。

register_static_rules函数获取一个高级规则列表(不同于控制器中使用的低级规则)，每个规则包含一个交换机，一个高级模式和一个动作列表，并将它们作为当前转发策略安装在运行时。请注意，程序的监视部分根本不需要更改，运行时确保转发和监视组件之间没有有害的交互。

为了说明组合的好处，这里进一步扩展该示例，并将其扩展为由主机监视传入的流量。在控制器中实施此程序将很困难，不能同时运行两个较小的程序，因为监视Web流量的规则与按主机监视流量的规则重叠。必须重写这两个程序，以确保程序在交换机上安装的规则不会相互干扰，例如，为每个主机安装两个规则，一个规则用于Web流量，另一个规则对所有其他流量。尽管可以做到这一点，但需要程序员付出巨大的努力，而程序员也需要详细了解这两个程序的底层实现。

相反，使用本发明的网络与安全策略描述语言扩展程序很简单。以下事件函数按主机监视传入的流量。

def host_monitor_ef():

return(Filter(inport_p(2))>>Group(dstmac_g())>>RegroupByTime(60)>>Second(Lift(lambda l:sum(map(size,l)))))

它使用Filter来获取一个事件，该事件携带着端口2上传入的所有数据包。Group将这些已打包的数据包聚合为目标MAC的事件和一个嵌套事件，这些嵌套事件包含目的地为该主机的所有数据包。 RegroupByTime将嵌套事件分割为MAC的事件和包含在每个60秒窗口中到该主机的所有数据包的事件，然后使用Second和Lift累加每个窗口中数据包的大小。RegroupByTime事件函数(类似于GroupByTime 是一个派生运算符)具有类型(β×αE)(β×αlist)EF。通过将嵌套事件流拆分为包含每个窗口中的值的列表来实现功能。Second事件函数将一个事件函数作为参数，并在成对事件中将其应用于每个值的第二个分量。将所有这些放在一起，便获得了一个事件函数，该函数将数据包的事件转换为包含MAC和字节数的成对事件。

顶级的程序将两个流函数都应用于数据包，并在运行时注册转发策略。尽管两个程序的功能和轮询间隔略有不同，但本发明允许轻松编写这些程序，而无需担心它们之间的不良交互或时序问题。

提高抽象级别可以使程序员不必担心底层细节，并可以模块化的方式编写程序。相反，在控制器中，必须以单例的方式编写程序，以避免不同程序段所安装的交换机级别规则之间的有害相互作用。

3.PyNPPL运行系统

PyNPPL运行系统为PyNPPL运行框架的核心部分。它主要由四个部分组成：解析模块、转化模块、查询管理模块和策略缓存。

解析模块是负责判断用户编写的PyNPPL策略是否符合既定的语法规则，生成抽象语法树，便于策略后续的转化和部署。抽象语法树是基于抽象语法结构将源代码转化为树形结构的一种表示方式。它描述了如何从文法结构来推导程序语言中的语句的过程。树的节点分为不同的类型如二元表达式、声明、函数定义等。抽象语法树一般为树形结构。语法树的一般基于函数为基本单位构造。每个根节点作为语法树的开始。每个叶子节点为源代码的基本元素，如变量、+/－符号、关键词等。每个内部节点为一种数据类型如声明、二元表达式、函数定义等。每种操作类型对应一种节点，每个节点包含该类型的基本信息如起始终止行列、数据类型、ID等。抽象语法树树形结构可以很好表示PyNPPL策略的静态结构和文法信息，按照树的结构信息可以清楚了解不同子策略的组合情况，便于后续转化为具体的北向接口调用序列或查询任务。

解析模块是经过词法、语法和语义三个阶段分析生成抽象语法树的。语法树结构是对PyNPPL策略高层次语义理解的结果，包含所有文法和语义信息，能够更好表征策略特征，分析策略执行相关信息变化。以下为解析模块构造抽象语法树的过程。

词法分析将一个个字符组装成有意义的单词，形成初步的符号表。词法分析提供PyNPPL描述语法基本组成单元包括各种标记符、关键字，同时去除无意义符号。词法分析主要分析策略中的标记符并对标记符给出定性和定长处理。这里利用Lex实现词法解析器。首先根据设计的PyNPPL语言，构造相应的正则表达式，Lex根据指定的正则表达式，将输入的PyNPPL策略匹配成一个一个的token，同时允许将当前匹配到的字符串进行处理，并且允许返回一个标识当前token的标识码。

语法分析器执行语法分析程序识别词法分析器输入的标记符序列是否符合规定语法，每种语法对应一种语句规则。语法分析是根据语法规则构造语句的阶段。语法分析将标记符组装成语法规定的语句，如策略语句等。语法分析主要判断语言的单词间前后关系是否正确，是否符合规定要求。语法分析将标记符序列生成具有语法特性的语法结构语句，并生成抽象语法树便于表示。这里采用Yacc实现语法解析器。Lex 完成词法解析后，由Yacc进行语法解析，将一个个的token最终形成一个完整的语法。

语义分析是在语法无误的基础上对PyNPPL策略的逻辑判断阶段，通过分析策略的上下文信息保证语义的正确性。语义分析通过判断策略语义逻辑，将各种语义信息插入到生成的抽象语法树中，为策略的执行做准备。抽象语法树包含各种不同的节点类型、变量类型转化过程和计算的优先过程等等各种信息，这些都是语义分析的结果。

转化模块主要是通过遍历解析模块生成的抽象语法树，将每个叶子节点转化为具体的北向接口调用或查询任务，根据运算符节点生成具体的调用序列，最后通过PyNPPL后端真正调用北向接口，完成策略的下发与实施。下面具体介绍转化模块如何转化各种策略。对于抽象语法树的遍历，这里采用深度优先的后序遍历算法，在遍历过程中根据节点的类型进行转化。

查询管理模块主要负责执行转化模块生成的查询任务，通过调用控制器的北向接口实现查询策略定义的功能。PyNPPL查询策略中包括packets查询任务和counts查询任务。

packets查询策略的转化包括三个部分：①在交换机上下发流表规则，要求交换机将数据包上传到控制器；②向控制器发布(或取消)消息订阅，要求控制器向PyNPPL运行系统发送(或停止发送)交换机上报的数据包；③接收到控制器发送的数据包后，执行用户定义的回调函数，并更新流表规则。

counts查询策略的转化包括三个部分：①在交换机上下发流表规则，要求交换机记录流表项信息(包括字节计数或包计数)；②周期调用控制器采集流表项信息的接口，获取交换机当前记录的流表项信息；③接收到控制器的返回结果后，进行分组统计后执行用户定义的回调函数。

策略缓存主要是用于保存查询管理模块运行过程记录的各种缓存数据。在上文介绍的packets查询任务中，策略缓存需要保存每个分组的已接收的数据包的数量。另外，也支持保存用户在回调函数中定义的各种缓存数据。

4.PyNPPL北向协议

为保证本系统能使用多种已有的SDN控制器向可编程交换机下发配置和本系统与下层SDN控制器的相对独立性，本发明设计并实现了一种PyNPPL北向协议。该协议具有高效、可靠、可读性强等特点，能有效适应本发明所需的应用场景。PyNPPL北向协议由于需要PyNPPL后端主动下发控制消息，没有使用SDN 北向接口中常用的基于HTTP的RESTful协议，而是直接使用了TCP协议。PyNPPL后端监听固定的TCP 端口，由位于SDN控制器中的客户端主动建立连接。出于对协议可读性和方便日后调试的考虑，PyNPPL 北向协议基于文本协议进行通信，使用换行符作为数据帧与数据帧之间的分界符。协议中数据帧分为2类：请求和数据报告。请求由位于PyNPPL运行框架中的PyNPPL后端主动发起，用于向SDN控制器下达各种控制命令。数据报告由位于SDN控制器中的客户端发起，向PyNPPL运行框架汇报网络相关信息。

请求数据帧格式如下：

[动作][附加参数1][附加参数2]……[附加参数n][换行符]

请求数据帧中各个字段使用空格作为分隔符。动作为本次请求的目的，PyNPPL北向协议使用的动作有：(a)send_lldp：下发LLDP包进行链路探测(b)packet：下发数据包(c)install：下发一条OpenFlow 流表。(d)modify：修改一条OpenFlow流表。(e)delete：删除一条OpenFlow流表。(f)clear：清空OpenFlow 流表。(g)barrier：发送barrier避免竞争问题。附加参数是和动作紧密关联的额外信息。

数据报告数据帧格式如下：

[信息源][状态][附加参数1][附加参数2]……[附加参数n][换行符]

数据报告数据帧中各个字段使用空格作为分隔符。信息源是此数据报告数据帧报告的数据源是什么， PyNPPL北向协议使用的信息源有(a)switch：数据帧是交换机相关信息。(b)port：数据帧是交换机端口相关信息。(c)link：数据帧是链路相关信息。(d)packet：数据帧是数据包相关信息。(e)flow：数据帧是流表相关信息。状态是指此次信息源汇报的状态，与信息源相关，例如port就有up(正常工作)和 down(断开)2种状态。附加参数是和动作紧密关联的额外信息。

Claims

1.一种可编程的软件定义网络安全策略系统，其特征在于，包括：

一种网络与安全策略描述语言运行框架；

一种支持软件定义网络安全策略系统的北向协议。

2.根据权利要求1所述的一种网络与安全策略描述语言运行框架，其特征在于，包括：

一种网络与安全策略描述语言运行系统；

一种网络与安全策略描述语言后端。

3.根据权利要求1所述的一种支持软件定义网络安全策略系统的北向协议，其特征在于可以使用多种已有的SDN控制器向可编程交换机下发配置；具有请求数据帧和数据报告数据帧2种格式；保证了可编程的软件定义网络安全策略系统与下层SDN控制器的相对独立性。

4.根据权利要求2所述的一种网络与安全策略描述语言运行系统，其特征在于能对网络与安全策略描述语言进行解析处理，包括：

一种网络与安全策略描述语言解析模块；

一种网络与安全策略描述语言转化模块；

一种网络与安全策略描述语言查询管理模块。

5.根据权利要求2所述的一种网络与安全策略描述语言后端，其特征在于可以解析SDN控制器通过北向接口发送的软件定义网络安全策略系统的北向协议中的数据报告数据帧和可以发送软件定义网络安全策略系统的北向协议中的请求数据帧。

6.根据权利要求4所述的一种网络与安全策略描述语言解析模块，其特征在于可以判断用户编写的网络与安全策略描述语言是否符合既定的语法规则，生成抽象语法树，便于策略后续的转化和部署。

7.根据权利要求4所述的一种网络与安全策略描述语言转化模块，其特征在于能遍历网络与安全策略描述语言解析模块生成的抽象语法树，将每个叶子节点转化为具体的北向接口调用或查询任务，根据运算符节点生成具体的调用序列。

8.根据权利要求4所述的一种网络与安全策略描述语言转化模块，其特征在于负责执行转化模块生成的查询任务，通过网络与安全策略描述语言后端调用控制器的北向接口实现查询策略定义的功能。