CN115225540B

CN115225540B - 一种面向软件定义网络的数据平面故障检测与恢复方法

Info

Publication number: CN115225540B
Application number: CN202210477045.2A
Authority: CN
Inventors: 毕远国; 姜枫; 胡兵; 郅明见
Original assignee: 东北大学
Priority date: 2022-05-02
Filing date: 2022-05-02
Publication date: 2023-07-18
Anticipated expiration: 2042-05-02
Also published as: CN115225540A

Abstract

本发明属于网络安全领域，提出一种面向软件定义网络的数据平面故障检测与恢复方法。网络故障是引发数据平面的网络行为和控制平面的网络策略不匹配的根本原因，表现为本地交换机无法正确转发数据包。现有的方法将数据平面的故障检测归于分类问题。然而，现有的分类器是基于已知网络故障构建的，无法检测出数据平面中潜在的网络故障。本发明通过将原始正常数据拟合到输出空间的高维直线周围，实现了超细粒度的决策空间。为了对比故障检测算法性能，本发明搭建了一个二阶树状网络拓扑，并将在线环境中收集的数据平面故障样本作为测试数据集。实验结果显示，本发明提出的算法能够有效检测出未知的网络故障，并在各个指标上均取得较好的效果。

Description

一种面向软件定义网络的数据平面故障检测与恢复方法

技术领域

本发明涉及网络安全领域，特别涉及一种面向软件定义网络的数据平面故障检测与恢复方法。

背景技术

随着工业化和信息化的深度融合，越来越多的工业设备主动接入网络。为了满足工业网络中数据传输的高可靠和低时延的需求，软件定义网络(Software DefinedNetwork，SDN)变得越来越流行。SDN让逻辑上集中的控制器来做出流量转发决策，让本地交换机在数据平面中只负责转发流量，来分离整个网络的控制平面和数据平面，从而实现了网络资源的全局掌控和网络流量的灵活控制。然而，这些新特性也为SDN架构的可靠性带来了全新的挑战，许多在传统网络中成功采用的故障检测与恢复技术变得不适用。

对于数据平面而言，网络故障是引发数据平面的网络行为和控制平面的网络策略不匹配的根本原因，表现为本地交换机无法正确转发数据包。现有的方法将数据平面的故障检测归于分类问题，收集交换机本身特征和端口的流量特征来识别网络故障。然而，传统的分类器只有当数据均衡时才能达到较好的效果，网络故障数据往往难以获取，这使得现有方法的检测精度普遍较低。更严重的是，传统的分类器是基于已知网络故障构建的，无法检测出数据平面中潜在的网络故障。随着连接设备的实际指数增长，暴露了大量潜在的网络故障，传统分类器难以识别。因此，如何设计更为有效的网络故障检测与恢复技术，来实现SDN架构的高可靠性仍是一个急需解决的难题。

发明内容

为了克服上述问题，本发明提出了一种面向软件定义网络的数据平面故障检测与恢复方法，又为基于人工智能的新型故障检测算法，称为深度线性单分类器(Deep Linearone class classifier，DeepDL)，并结合多径路由机制，完善了数据平面的故障恢复策略，提升了信息传输的可靠性。本发明利用深层神经网络，将输入空间中正常网络流量映射到输出空间中，通过缩短输出空间中超直线到所有正常数据的距离来训练神经网络，同时将所有数据点的距离作为决策依据，考虑到正常数据点的内在噪声，在训练阶段，算法还会把数据分为中心和边缘两类，并给边缘数据点提供单独的决策空间，实现了超细粒度的决策空间。

本发明的技术方案如下：一种面向软件定义网络的数据平面故障检测与恢复方法，包括步骤如下：

(一)故障检测的优化和训练；将面向软件定义网络的数据平面中原始流量特征映射到高维直线周围；

设定深度神经网络φ₁(x；w)，x表示神经网络的输入样本，w表示神经网络的参数，将原始流量特征序列从输入空间映射至输出空间；输出空间中建立高维直线，设计神经网络φ₂(y；z₁,z₂)，迭代获得最优高维直线，使其缩短与输出空间中所有数据点的距离；基于最优高维直线，拟合φ₁(x；w)，使得经其映射至输出空间的数据点最接近于最优高维直线；

(二)决策空间构建流程，构建正常面向软件定义网络的数据平面中流量的决策空间；

经步骤(一)获取的最终输出空间的数据点，划分为中心数据点与边缘数据点；构造出数据平面的决策空间J_DL；

(三)建立故障恢复模型，用于将出现故障的交换机移除面向软件定义网络；

收集软件定义网络中的交换机特征，使用决策空间进行判定其是否出现故障；在逻辑和物理的网络拓扑上，删除出现故障的交换机，重新规划路由；

所述故障检测的优化和训练具体步骤如下：

1.1)提取原始流量特征序列，从正常运行的软件定义网络的数据平面中抽取原始流量特征序列：x₁,x₂,…,x_n∈X；

1.2)原始流量特征序列从输入空间X映射到输出空间Y；其中输出空间中的流量特征序列表示：y₁,y₂,…,y_n∈Y；

1.3)拟合最优高维直线方程；设定输出空间的两个点，和确定高维直线方程，

高维直线方程V具体为：

V＝z₁+k(z₂-z₁) (1)

其中，k表示高维直线方程的参数，表示数据点y_i与高维直线的相对位置；

计算任意数据点y_i∈Y，到高维直线的距离，通过神经网络φ₂(y；z₁,z₂)调整z₁，z₂的值；

所述数据点y_i到高维直线的距离d_i为：

神经网络φ₂(y；z₁,z₂)的损失函数为：

多次迭代后，确定最优高维直线方程，该最优高维直线到所有数据点的距离最近；

1.4)拟合高维空间中的数据点；拟合深度神经网络φ₁，将输出空间中的数据点不断接近于高维直线V。

深度神经网络φ₁的损失函数表示为：

公式的前半部分表示神经网络的优化目标，即输出空间中所有数据点到高维直线的距离之和，后半部分表示权重衰减项，其中，w表示神经网络的参数，W^l代表l层神经元的权重，λ是用来调整权重比例的超参数。

所述决策空间构建流程，包括步骤如下：

2.1)经步骤(一)训练完成后，在神经网络φ₁的输出空间中，所有正常数据点会聚集到高维直线的周围确定中心数据点和边缘数据点；对于输出空间中的任意数据点y_i，计算出所有数据点到高维直线的距离d_i，距离集合表示d₁,d₂,...,d_n∈D；按照选取的数据分割线δ，将数据点划分为边缘和中心两种类型；数据点集合Y被划分为中心数据集合和边缘数据集合/>

对应的距离集合D分为两类，中心距离集合和边缘距离集合；如下公式所示：

2.2)确定高维直线上的决策区间；求解任意数据点y_i对应的高维直线方程参数k_i用于描述任意数据点y_i在高维直线位置上的相对位置；

计算中心数据点Y_c的参数，记作中心参数集合求出K_c的最大值和最小值/>代表高维直线上中心数据点的最远和最短距离；在数据分割线δ的帮助下，算法可以快速检测中心数据点。接下来，算法将专门处理少量的边缘数据点，并为其设计单独的决策空间。

2.3)排序所有边缘数据点，获取边缘数据点集合Y_a的参数，记为边缘参数集合按照Ka的值，对所有边缘数据点Ya进行排序；

2.4)确定边缘数据点的决策空间，对于任意边缘数据点计算/>用于描述边缘数据点的异常程度，设定分配给边缘数据点的决策空间随异常程度增加而变小；设计容错参数ω_i分别调整/>和/>的范围，来确定边缘数据点/>的决策空间；综上所述，用于调整K_a的范围，/>用于调整的D_a范围；

其中，数据分割线δ表示中心数据点垂直方向的平均度量，表示中心数据在高维直线上的平均度量；

2.5)输出空间的任意数据点y，分别计算出其至高维直线的距离d和高维直线上的相对位置k；考虑容错参数，数据点为边缘数据点时，边缘正常数据的决策空间描述为：

数据点为中心数据点时，满足两个条件；第一，d小于数据分割线δ，第二，k介于和/>之间；中心数据点的决策空间描述为：

边缘数据点和中心数据点为正常数据点的决策空间被描述为：

J_DL＝J_center∪J_edge (11)

决策空间以外的数据点视为故障点。

所述故障恢复模型，包括具体步骤如下：

图2(a)显示了正常数据平面的转发路径，其中h1->h12的转发路径为h1->s1->s7->s6->h12。假设检测算法判定为网络拓扑中交换机s7出现故障，故障恢复算法将在短时间内恢复整个网络的状态，减少整个网络的丢包率。

3.1)控制平面的故障恢复，由于SDN控制器维护了整个网络拓扑，因此从逻辑上删除交换机s7和与s7直连的链路。

3.2)数据平面的故障恢复，删除整个网络拓扑中交换机s7和途径s7的所有流表规则。

3.3)重新规划路由，图2(b)显示了故障恢复后数据平面的转发路径，此时主机h1到h12的转发路径发生变化。当h1发送数据包到h12时，由于与s7相关的流表项都被删除，交换机s1无法得知如何转发数据包时，s1会触发优先级最低的流表匹配项，将该数据包转发给控制器，控制器计算出当前的转发路径h1->s1->s4->s5->s6->h12；依据控制器下发的流表规则，s1将数据包转发给s4，以此类推，整个数据平面的流量能够在短时间内正常转发。

本发明的有益效果：本发明提出了一种面向软件定义网络的数据平面故障检测与恢复方法，借助深层神经网络，让正常数据点不断接近于一个高维直线，实现了超细粒度的决策空间；由于将数据平面的故障检测任务看作单分类问题，即在高维空间中建立一个合理的决策空间以包裹大量的正常数据，将决策空间之外的数据点视为"网络故障"，所以决策空间中只有正常数据，因此算法还能有效地检测出数据平面中未知网络故障。本发明还结合了多径路由机制，完善了数据平面的故障恢复策略，提升了信息传输的可靠性。

附图说明

图1为本发明故障检测模型架构图；

图2(a)为当数据平面处于正常状态时主机h1到主机h12的转发路径图；

图2(b)为当数据平面处于故障恢复后主机h1到主机h12的转发路径图；

图3为在线实验环境下的二阶树状网络拓扑图；

图4(a)为使用在线环境中收集的SDN数据平面故障检测数据集，本算法和对比算法在Roc指标上的实验结果图；

图4(b)使用在线环境中收集的SDN数据平面故障检测数据集，本算法和对比算法在准确率(Accuracy)指标上的实验结果图；

图4(c)使用在线环境中收集的SDN数据平面故障检测数据集，本算法和对比算法在查准率(Precision)指标上的实验结果图；

图4(d)使用在线环境中收集的SDN数据平面故障检测数据集，本算法和对比算法在查全率(Recall)指标上的实验结果图；

图4(e)使用在线环境中收集的SDN数据平面故障检测数据集，本算法和对比算法在查准率和查全率综合系数(F1-score)指标上的实验结果图。

其中，DeepDL为本发明提出的算法；PCA、HBOS、COPOD和LOF为四种四个经典单分类算法。

具体实施方式

算法1深度线性单分类器决策空间的构造流程

Input：神经网络φ₁(x；w)的输出空间中特征序列表示为：y₁,y₂,…,y_n∈Y，神经网络φ₂(y；z₁,z₂)寻找的最优高维直线的两个端点坐标z₁,z₂；

Output：整个网络的决策空间包括：中心决策空间δ，边缘决策空间D_a，K_a，ω_D，ω_K。

算法2深度线性单分类器决策空间的检测流程

Input：神经网络φ₁(x；w)输出空间中的特征序列y₁,y₂,…,y_n∈Y，中心数据点构成的决策空间δ，边缘数据点构成的决策空间D_a，K_a，ω_D，ω_K；

Output：故障数据集合Y_n，边缘正常数据集合Y_a，中心正常数据集合Y_c。

本发明网络环境基于i7-11700F CPU、8GB内存计算机的Ubuntu16.04系统上进行，同时选用Mininet仿真软件搭建SDN实验拓扑，选用OpenvSwitch交换机作为SDN网络转发设备，选用Ryu作为SDN控制器。如图3所示，在Mininet环境下，设计了一个二阶树状拓扑作为实验的网络拓扑结构，图中包含1个Ryu控制器，8个主机和7台交换机，Ryu控制器每隔30s向所有交换机发送echo报文，来获取所有交换机和控制器之间的传输延迟，同时Ryu控制器每隔30s向所有交换机发送lldp报文，来获取交换机各个端口的传输延迟。选取交换机和控制器的时延、交换机各个端口时延均值、交换机各个端口时最大值以及交换机各个端口时最小值作为SDN数据平面故障检测的特征。

如图3所示：整个网络拓扑包含六条交换机链路(s1<->s2，s1<->s5，s2<->s3，s2<->s4，s5<->s6，s5<->s7)，分别断开上述六条链路，控制器收集所有交换机特征作为测试集，收集网络正常运行2小时的特征作为训练集。

表1在线收集的SDN数据平面故障检测的数据集

数据集	样本类型	目标链路	样本数量
				N0	Normal	None	1624
F1	Fault	s1<->s2	700
				F2	Fault	s1<->s5	700
F3	Fault	s2<->s3	287
				F4	Fault	s2<->s4	273
F5	Fault	s5<->s6	511
				F6	Fault	s5<->s7	700

表1显示了在线收集的SDN数据平面故障检测的数据集。它还包括样本类型、目标链路、数据集中的样本数，使用Min-Max归一化对所有样本进行预处理，并将样本缩放到[0,1]之间。

选用ROC曲线下方的面积(Roc)、精度(Accuracy)、查全率(Recall)和查准率(Precision)，查全率和查准率综合系数(F1-score)作为评估指标，来全面评估深度线性单分类算法的性能。Pyod是一个流行的异常检测库，它实现了多种经典的单分类方法，选用四个经典单分类算法HBOS，COPOD，LOF，PCA作为对比实验，其中HBOS方法对每个样本维度进行区间划分，根据区间的密度程度，作为异常点的判定依据；LOF方法比较样本点与其相邻点的密度来判断该点是否为异常点；COPOD方法对所有样本估计出多维的累计分布，根据样本点的尾端概率进行异常判定；PCA方法首先将样本的协方差矩阵特征值分解，根据特征值来判断样本点是否异常。

图4(a)显示了多种故障检测算法在Roc指标的变化，本算法的检测结果明显优于对比算法，说明本算法对训练数据有着优秀的泛化能力，这是因为神经网络更容易学习到原始数据中更本质的规律。图4(b)显示了多种故障检测算法在Acc指标的变化，在所有测试集上本算法的检测结果都是最优，说明本算法设计的决策空间比异常分数直接判定更合理，此外，对于第4种故障类型(F4)，在Roc指标LOF算法优于本算法，而在Acc指标劣于本算法，说明部分边缘数据点构成的决策空间起到关键作用。图4(c)和图4(d)显示多种故障检测算法在Precision和Recall指标的变化，对于数据平面的故障检测任务，查准率将影响整个网络交换机的利用率，查全率将影响整个网络中故障交换机的比例，图中本算法的两个指标均优于其他算法。图4(e)显示多种故障检测算法在F1-score指标上的变化，可见本算法也是近似最优的。

针对当前SDN数据平面中转发设备和链路故障带来的信息传输安全问题，本发明提出了一种面向软件定义网络的数据平面故障检测与恢复方法，通过将原始数据拟合到输出空间中高维直线周围，实现了超细粒度的决策空间。为了对比故障检测算法性能，本发明搭建了一个二阶树状网络拓扑，并将在线环境中收集的数据平面故障样本作为测试数据集。实验结果显示，本发明提出的算法能够有效检测出未知的网络故障，并在各个指标上均取得较好的效果。

Claims

1.一种面向软件定义网络的数据平面故障检测与恢复方法，其特征在于，包括步骤如下：

所述故障检测的优化和训练具体步骤如下：

1.3)拟合最优高维直线方程；设定输出空间的两个点，和确定高维直线方程，计算任意数据点y_i∈Y，到高维直线的距离，通过神经网络φ₂(y；z₁,z₂)调整z₁，z₂的值；多次迭代后，确定最优高维直线方程，该最优高维直线到所有数据点的距离最近；

2.根据权利要求1所述的面向软件定义网络数据平面的故障检测和恢复方法，其特征在于，所述1.3)中，高维直线方程V具体为：

V＝z₁+k(z₂-z₁) (1)

其中，k为高维直线方程的参数，其表示数据点y_i与高维直线的相对位置；

所述数据点y_i到高维直线的距离d_i为：

神经网络φ₂(y；z₁,z₂)的损失函数为：

3.根据权利要求1或2所述的面向软件定义网络数据平面的故障检测和恢复方法，其特征在于，所述1.4)中，深度神经网络φ₁的损失函数表示为：

其中，W^l代表l层神经元的权重向量，λ是用来调整权重比例的超参数。

4.根据权利要求1所述的面向软件定义网络数据平面的故障检测和恢复方法，其特征在于，所述决策空间构建流程，包括步骤如下：

2.1)确定中心数据点和边缘数据点；对于输出空间中的任意数据点y_i，计算出所有数据点到高维直线的距离d_i，距离集合表示d₁,d₂,...,d_n∈D；按照选取的数据分割线δ，将数据点划分为边缘和中心两种类型；数据点集合Y被划分为中心数据集合和边缘数据集合/>

计算中心数据点Y_c的参数，记作中心参数集合求出K_c的最大值/>和最小值/>代表高维直线上中心数据点的最远和最短距离；

2.3)排序所有边缘数据点，获取边缘数据点集合Y_a的参数，记为边缘参数集合按照K_a的值，对所有边缘数据点Y_a进行排序；

2.4)确定边缘数据点的决策空间，对于任意边缘数据点计算/>设计容错参数ω_i分别调整/>和/>的范围，来确定边缘数据点/>的决策空间；综上所述，用于调整K_a的范围，/>用于调整的D_a范围；

数据点为中心数据点时；中心数据点的决策空间描述为：

J_DL＝J_center∪J_edge (11)

决策空间以外的数据点视为故障点。

5.根据权利要求4所述的面向软件定义网络数据平面的故障检测和恢复方法，其特征在于，所述用于描述边缘数据点的异常程度，设定分配给边缘数据点的决策空间随异常程度增加而变小。

6.根据权利要求4或5所述的面向软件定义网络数据平面的故障检测和恢复方法，其特征在于，所述数据点为中心数据点，满足两个条件；第一，d小于数据分割线δ，第二，k介于和/>之间。

7.根据权利要求1或4所述的面向软件定义网络数据平面的故障检测和恢复方法，其特征在于，所述故障恢复模型，包括具体步骤如下：

3.1)控制平面的故障恢复，从逻辑上删除发生故障的交换机及与其直连的链路；

3.2)数据平面的故障恢复，删除整个网络拓扑中发生故障的交换机和途经该交换机的所有流表规则；

3.3)重新规划路由，选取优先级最低的流表匹配项，将数据包转发给控制器，控制器计算出当前的转发路径。