文摘

数据驱动的快速发展和超宽带视频应用程序在软件定义网络(SDN)北向接口,大数据流是动态生成的高增长率SDN-based数据中心网络。然而,一个重要的问题在大数据流沟通是一个不可信的环境中如何鉴别其真伪。大数据流流量安全敏感性的特点,数据大小随机性,和延迟敏感,高应变SDN-based通信系统在更大的欺骗事件。此外,SDN控制器可能是超载大数据流验证条件下的超宽带视频应用程序的快速增长和快速反应的要求。要解决这些问题,我们提出一个两阶段自适应身份验证模型(TAAM)通过引入源地址验证实现——(萨维)基于IP源地址验证。模型实现实时数据流地址验证和动态减少了冗余的验证过程。交通适应性萨维,利用一个健壮的定位法其次是序贯概率比检验(SPRT)提出了确保分化死刑的大数据流数据包转发和欺骗数据包丢弃。TAAM模型可以用更好的包过滤出无与伦比的数据包的转发效率和基本的安全特征。实验结果表明,欺骗攻击下大数据流可以直接减轻。最新的方法相比,TAAM可以达到理想的网络性能的传输质量、安全保障和响应时间。 It drops 97% of the spoofing attack packets while consuming only 9% of the controller CPU utilization on average.

1。介绍

大型数据流已经被安全敏感的特点,数据大小的随机性,对延迟敏感的(1]。当前的数据驱动和应用程序在数据中心网络(2,3)变得越来越复杂。SDN简化了应用程序管理利用各种政策性控制SDN-enabled接入层交换机。与应用程序的快速发展在北向接口SDN [4),大数据流是动态生成的高增长率SDN-based数据中心网络。SDN-based政策执行通过流表,由各种流条目和匹配指定的字段(5]。然而,SDN-based数据中心网络的云服务器可能被攻击并返回查询结果不正确的流程表。的源地址可以用来防止追踪,攻击流表,绕过安全检查(6,7]。此外,最近的大数据流增长,成千上万的服务器之间传输大量的数据(8,9),使它更复杂的欺骗地址验证。因此,如何保证大数据流的完整性SDN-based数据中心网络而不影响正常通信SDN-based网络采取了至关重要的作用在执行基于策略的通信SDN-based数据中心网络(10]。

互联网工程任务组(IETF)萨维组1标准化接入层的源地址验证机制。他们设计了一个绑定验证模型,以防止IP欺骗和政策混乱。特别,SDN控制器保持源地址绑定表绑定验证模型集中(11]。有了这个特性,萨维广泛采用验证大数据流在SDN-based数据中心网络。但是,大数据流流量可能把高应变SDN-based通信系统在大欺骗的事件。这样独特的筹集新特征的缺点和改进的空间实施大数据流萨维:(1)生成的数据流大小数据驱动和超宽带视频应用程序是不可预测的。确定身份验证流的大小是重要的在大数据流情况下,萨维设备单独工作和静态。否则,验证性能也不如在SDN-based大数据流数据中心网络。(2)大数据流是安全敏感。然而,在现有的绑定关系绑定验证动态模型之间不能交换设备。提供强大的安全验证服务是至关重要的欺骗攻击下保持动态萨维提供的安全级别(D-SAVI) [12]。(3)以前D-SAVI方案无法提供差异化的执行正常的数据包转发和欺骗数据包丢弃。基于策略的控制SDN-enabled开关在大数据流由这些超宽带视频应用程序将导致数据包转发效率严重下降。

总之,上述限制可能产生额外的开销,从而降低萨维性能在大数据流SDN-based数据中心网络。在这项研究中,我们提出一种自适应大数据流源地址验证,验证模型的优化SDN-based网络通信性能,同时保持了源地址安全水平。我们总结了本文的主要贡献如下:(我)我们提出了一个使用基于大数据流模型萨维管理,然后提供了一个建筑设计的安全机制,允许攻击检测和源地址验证下实现大数据流。我们建议的模型简化了协作不仅转发实体之间,而且网络之间。因此,欺骗攻击下大数据流可以直接减轻。(2)SPRT-based模型控制大数据流萨维通过改变验证实现根据异常分类,这将有效平衡流表利用率和SDN控制器响应效率。结果以来几乎是可预测的模式分类不同的候选人来减少冗余大数据流萨维过程相比,最新的方法。(3)我们的方法可以有效地抵御欺骗攻击,并使控制器来减轻积极持续的攻击。实验结果表明,它可以识别攻击和合法流量精度高。它下降97%的欺骗攻击数据包而消耗平均CPU利用率只有9%的控制器。

本文的结构如下。部分2描述了自适应大数据流萨维验证模型。部分3评估该方法TAAM进行各种模拟和实验。部分4描述了相关工作,部分5讨论的局限性和未来的工作,部分6总结了纸。

2。自适应认证模型

两阶段自适应身份验证模型(TAAM)对大数据流源地址验证SDN-based数据中心网络包括一个数据流收集器模型,一个流分类器模型和一个SPRT-based萨维模型(图1)。sFlow-based数据流收集器模型可以在超宽带视频应用程序收集实时网络性能信息。根据SDN控制器的全局视图,TAAM可以监控访问/核心交换机和部署条件entropy-based流分类器模型在第一阶段,然后一个大数据流的主要分类。在第二阶段,我们采用统计工具叫SPRT实现差异化萨维模型获得的广泛分析欺骗的可能性候选人是否需要紧急确认。表1每个符号的代表了相应的描述。


图1
TAAM模型设计。
表1
符号和描述。
2.1。sFlow-Based数据流收集器

数据流收集器模型(图2)负责大数据流聚集在访问层。看看RFC31762,sFlow交通收集器(sFlow)是一种方法,监测和采集实时交通通常切换拓扑。抽样、检测和评价是由分布式sFlow代理部署在交换机或路由器获得样本统计数据访问层。然后我们得到连续SDN-based数据中心网络范围的大数据流的信息收集器。数据流收集器模型结合了一个已经提出的方法收集统计数据流信息SDN-enabled开关。最初,OpenFlow-based控制器封装OFPT信息表2到纸包包定期(控制器通信消息)。定期操作特性请求是轻量级和轻松集成与现有数据流集合结构统计数据流分离的信息收集过程从控制器利用sFlow代理(13]。详细TAAM杠杆sFlow代理的数据包抽样功能,这将完全从转发逻辑统计数据流信息收集过程伴随着应答消息(图的特性3)。因此,sFlow-based代理主要负责获得必要的SDN-based数据中心网络信息。


图2
sFlow-based数据流收集器模型。
表2
典型的控制器和开关之间OFPT消息。

图3
功能应答消息的例子。

此外,sFlow-based数据流收集器大样本数据流数据包。根据数据采集的特点,多线程采集方法被用来校准模型。Open vSwitch生成的数据3通过设置相应的参数获得sFlow代理端口状态信息。然后,控制器发送视图当前全球网络拓扑的收集器。后获得大数据流信息和发出响应行动相关的接入层交换机,格式化的分组结果可以被发送到以下模型控制器通过UDP协议。sFlow数据流收集器接收大数据流包样品,更新相应的统计计数器在sFlow代理。对控制器的CPU利用率问题,不需要为每个访问层不断获得详细的数据流信息连续采样开关的时间窗口。这种方法可以减少数据收集流收集算法的复杂性和冗余过程在一定采样时间窗口。与此同时,它需要较低的CPU资源尤其是交通迅速增长。因此,流动特性从sFlow代理定期收集和提取在大数据流。

2.2。Entropy-Based流分类器

流动伴随着大数据流显示表现出变化的持续时间和interarrival时间。如图4描述了,因为 是时间间隔的样品在不同的流事件吗 ,n是样品的数量在预定义的时期,然后呢 每个流条目的持续时间。


图4
样本流的特征参数。

描述正常和异常行为的异常检测系统所面临的困难。香农熵的测量与一个随机变量相关的信息内容。通常,熵越高意味着随机变量在一定系统更大的随机性。数据流特性分布将浮动大大当大象交通或欺骗攻击发生。据研究,推出一个欺骗大数据流攻击通常是伴随着交通爆炸(接入层交换机14]。因此,从理论上讲,预赛分类流中的流动和相应的绑定关系表怀疑的源地址。特别是阈值取决于交通情况和异常主机的距离其最近的SDN检查点,鉴于 收集到的事件流。离散随机变量的熵 在模型中可以被定义为以下方程:

的香农熵条件熵通常定义为有条件的情况下(15]。四种条件熵的定义。因此,四种entropy-based流分类方法提出了粗糙集数据分析,条件熵(方程(2)的匹配字段,即源IP地址(sip)、目的IP地址(dip)的,目的港(dport)和包大小(psize))在一个时间窗口。一般来说,这样的熵会显著改变一次异常情况发生。作为数据56描绘,长寿的流动由超宽带视频应用程序产生大量的流规则。因为特定地址的浓度下大数据流,连续意义归一化条件熵值增加(2)和(2 b(图)都可以观测到5)。因此,熵值的变化可以显著降低流表匹配率对数据包到达ov开关。此外,相应的数据流中的计数器表也是一个高概率未配对的地址(16]。只有几个纸包消息生成SDN-based网络中,有一个规范化的突然减少条件熵值(2摄氏度)和(二维):


图5
变异的归一化熵值(2)和(2 b)欺骗攻击和大数据流。

图6
变异的归一化熵值(2摄氏度)和(二维)欺骗攻击和大数据流。

实时条件熵的变化可能是一个值得注意的节俭的怀疑一个大数据流是一个异常,主机或端口是否需要反复验证(17]。疑似流和相应的绑定关系可以通过监测分类条件熵值不断变化。模型的实现中,缓存组件将记录时间戳的值和流量事件和超时。我们采用连续熵测试组件使用信息存储在缓存中,比较的条件熵值与基准模型中描述方程(3),这是一个确定置信区间相应的标准差。让 表示条件熵流 在两个连续的时间间隔计算的单位,和让 表示阈值对大数据流进行分类。考虑到收集 在给定窗口是独立的,这些候选人流可以归类为方程(4)。

2.3。SPRT-Based源地址验证

实现在RFC7513源地址验证4,原萨维设计一个绑定验证模型并确定验证规则在控制飞机。当前绑定验证机制D-SAVI [12)流规则执行的访问层开关如图7将源地址绑定到交换机端口的<地址、开关、端口>格式。自验证规则与OpenFlow转发规则生成共存的开关,最新SDN-based萨维原型可以使用“多个表”功能在OpenFlow v1.3执行基于策略的通信。因此,我们设计了一个SPRT-based分化萨维模型来验证涉嫌欺骗大数据流,相结合的要求萨维效率优化和基于原始萨维流表数量减少。


图7
初步设计和绑定关系SDN-based萨维。

任何流在正常大数据流源于遗留开关将重新检验它来验证他们的绑定关系状态,除了相应的流规则明确存在于它(18]。在实现方面,我们采用一个名为SPRT的统计工具。最新的SPRT机制候选人流在大样本数据流和计算相应的似然比。自信时,终止与欺骗/正常的决定。不同于当前机器学习方法急需特征选择,SPRT-based方法是更轻、更少的特点,使用更简单。特别是SPRT-based算法容易实现,因为它不依赖于一个预定义的相关知识库或正手相关性模型的训练。

我们把假阳性和假阴性的可能性分为两个类型方程(5)和(6)。自然,异常候选人与正常的混合流动。让 的候选人表示观察作为一个正常的候选人,和让 表示妥协绑定关系异常流动。让 , ,表示假设测量与所有正常流和异常流事件相对应。假阳性意味着接受 是真的,假阴性意味着接受 是真的。为了避免这两个错误,αβ被定义为假阳性和假阴性的平衡参数。

比较 , 自然是更大,因为妥协绑定关系更可能是注入到异常流动。近似最大对数似函数 能代表所有的概率比正常流和异常流事件检测人选。因此,我们认为 如下SPRT基于动态验证 方程(7)。特别,SPRT-based检测模型可以视为一维随机漫步19]。利用entropy-based流分类器,我们收集了正常流和异常流的分类。因此,假设每个流的事件 是独立同分布的,当一个正常的流 测试,我们向上走一步。否则,我们走下一个步骤。根据方程(5)- (7),我们可以得到方程(8)。包的时间间隔进入交换机将美联储随后这个模块在一个周期时间窗口。从上面的公式,我们可以得出这样的结论:四个参数 SPRT-based所需的检测方法。其中,αβ限制错误率假阳性和假阴性的错误率,给两个边界( )如果模型被认为是一个一维随机游走。 概率分布参数的流事件吗 并影响观测所需的数量动态验证来做出决定。

最重要的是,TAAM模型平均过去所有相应的估计计算 如果一维随机漫步终止在第i个全局数据样本。特别,当多个样本在不同流表正在考虑,计算相当复杂。我们可以利用所有的终止数据样本在接下来的符号检测更准确地计算其似然比。的 可用于分类和参数的候选人吗αβ分别如下:(1)如果 ,然后宣布正常大数据流和减少D-SAVI强度,即 (2)其他的如果 ,然后宣布大数据流异常检测和维护D-SAVI强度,也就是说, (3)否则,宣布TAAM不足以使一个分类,继续收集更多的统计数据访问层开关。


图8
阿比林SDN-based数据中心网络拓扑。

图9
GEANT SDN-based数据中心网络拓扑。

图10
Fat-Tree SDN-based数据中心网络拓扑。

3所示。实验和分析

萨维TAAM是大数据流控制器的模型来管理,提供了一个安全机制的建筑设计。在本节中,我们实现了一个模拟SDN-based数据中心网络证明TAAM的可行性和有效性。然后,我们比较建议TAAM最新D-SAVI模型(12)的性能优化测试和安全保证测试。

3.1。实现的实验

模拟实验平台由四个服务器:两台服务器作为主机节点,和其他服务器作为模拟边缘交换机。在仿真中,我们使用Open vSwitch,照明灯5在数据中心网络和核心交换机SDN控制器,分别。根据网络资源需求,进行模拟是三个典型的数据中心网络拓扑(表3):阿比林(图8),GEANT(图9),和Fat-Tree(图10)。背景流数据集由图腾项目提供6,Uhlig [20.],Fat-Tree [21三个相应的网络拓扑(桌子上)3)。Mininet tripwire7应用的拓扑结构和连接模拟SDN-based数据中心网络,支持OpenFlow v1.3标准。互联网流量和工作负载发生器(22)是用于生成合法的大数据流。我们创建了大量的机器人PythonScapy3发动攻击,在某些参数如表进行4。然后我们计算和流的数据包数量在正常和异常交通受害者主机。如表4描述,欺骗攻击强度分为三个层次。因此,差异化的攻击水平的实验系统可以提供科学的定量分析和评价源地址验证模型。

表3
三个模拟SDN-based数据中心网络的规模。
表4
大数据流的描述和基准的攻击
3.2。参数测试

5提供了两阶段算法应用于TAAM的检出率。最初,两阶段算法应用于TAAM的基准计算。评估SPRT-based源地址验证算法的性能,我们将它与其他六个经典的机器学习算法包括XGBoost D-SAVI [23]。entropy-based和SPRT-based算法的选择有其优势模型训练时间,同时保留大部分的性能优势包括精度和召回。特别是,SPRT-based大数据流分类算法来实现差异化的验证,没有额外的机器学习模型训练时间,不占用内存空间实时控制器。

表5
指标的不同算法的性能。

针对选择上下阈值,分别如图11,我们进一步检测阈值的影响向上述SPRT-based分化的连续测试验证模型(部分3.3)。基本上,差别越大 ,连续越小数量的测试我们的方法达到所需的检测。此外,详细的价值 在我们的评估也可以如图12,可以得出结论,我们的方法可以检测一个妥协的候选人在6到8连续测试。有一个类似的趋势所需的平均数量验证。然而,这样的一个测试机制并不完全可实现自上下阈值现在依赖于随机参数在不同的数据中心网络拓扑。


图11
最小数量的连续SPRT测试检测异常的候选人。

图12
详细的数量连续SPRT测试。

然后我们总结正常候选人的比例在所有训练数据的绑定关系。大背景下交通数据流图13对三种不同SDN-based数据中心拓扑αβ天生小值限制假阳性率和假阴性率,通常在0.01和0.05之间。自ov流表更新操作的过程是困难的和非常缓慢,当流表负荷太大,αβ被定义为假阳性和假阴性的平衡参数来避免这两个错误。

(一)
(一)
(b)
(b)
(c)
(c)
图13
的比例异常的候选人。(一)Alilene。(b) GEANT。(c) Fat-Tree。

在这里,我们组α= 0.01,β= 0.02的评价和估计 后来,我们计算的平均异常候选人的比例(图13)来估计 如表6做出不同的描述,不同的网络环境 值。在3.4节,我们提到的似然函数 能代表所有的概率比正常流和异常流事件检测人选。结果表明,在不同拓扑的阿比林,GEANT, Fat-Tree, 确实是大,因为异常的候选人在大数据流更容易被注入到异常流动。另一个重要的观察是,之间的区别 大,伴随着拓扑规模的增长。

表6
估计的价值λ
3.3。测试性能和开销

关于测试性能和开销,我们提供的结果在不同的网络类型和拓扑。最近的比较表7意味着D-SAVI对性能有优势,但我们建议TAAM承诺更好的性能全面的减少冗余进程源地址验证(26.2%、36.4%和42.9%)。此外,TAAM防范欺骗攻击的综合运用entropy-based流分类器和SPRT-based动态验证评估实时大数据流条件SDN-based数据中心的网络。这些结果也暗示TAAM模型比现有的其他方法更有效减少平均数据包转发延迟有限的异常。与原OpenFlow相比,实验结果证明的有效性萨维在TAAM和显示一个明显的优化部署在高带宽和大型交通环境。

表7
验证模型的性能测试在大数据流。

因此,我们提出TAAM模型确保更重要的平均包转发延迟优化模拟数据中心网络的规模逐渐扩大。考虑到流表更新率是有效减少表7,它也有稳定性和可靠性的优势。TAAM表面方面的平均数据包转发延迟,因为差异化SPRT-based源地址验证可以抵抗大数据流和简化的执行过程绑定验证降低交通成本的关系。然而,这种明显的优势可能会缩小,因为随机轮询模块开始其安全保障措施受到攻击类型C(80%欺骗数据包)。此外,SPRT-based动态验证模型的存在是影响萨维系统性能的主要因素。对于不同的拓扑结构大小,平均数据包转发延迟TAAM执行比其他技术。原因是区分验证模型是一个技术,优化原有的轮询机制来降低延迟和候选人确认频率。

此外,通过测量控制器的CPU利用率,TAAM模型的开销可以评估(图14)。系列CPU利用率影响entropy-based方法使用时被发现。相应的结果表明,该控制器CPU利用率是8%没有TAAM TAAM部署和10.7%,这表明TAAM开销小在正常状态。因此,TAAM确保可靠的识别传入的数据包大幅降低意外过滤器正常主机上的风险。控制器的CPU利用率平均价值证明我们的模型,它可以保证安全和高效SDN-based数据中心网络管理,是安全的,安全、有效。


图14
模型的性能TAAM在不同欺骗攻击百分比。

一个可靠的源地址验证大数据流是一个重要的先决条件SDN-based数据中心网络通讯和身份验证。针对源地址欺骗攻击问题,IETF工作组是第一个标准化源地址验证的原型系统实现(萨维)。萨维设置二层交换机和过滤欺骗数据包通过建立数据传输和通信的绑定验证模型(24]。这种绑定验证机制增加了过滤在萨维粒度。与此同时,SDN简化了应用程序管理利用各种政策性SDN-enabled开关控制。验证模型的可伸缩性实现单一主机而不是IP源地址前缀,它比传统的方法更准确。

萨维过滤IP欺骗交通与敏捷性(瓶)和虚拟源地址验证边缘(液)都实现在萨维[25]。花瓶和液的目的是为了保护用户的通信系统被攻击者在同一个网络域欺骗。花瓶和液建立萨维保护区包括所有的通讯设备,包括第三层OpenFlow开关和L2萨维开关。然而,这些论文讨论如何实现萨维技术基于SDN-based数据中心网络。另一方面,基于提供的便利SDN向北可编程接口,BGP-based欺骗扩展(基地)6]是一个欺骗协议基于SDN规范和实现将现有的身份验证技术混合SDN-based网络。源地址验证软件定义网络(SDN-SAVI) (26)初步设计,使基于ipv6萨维功能和实现在SDN部署。得益于SDN控制器的全局视图,通过基于ipv6 SDN-SAVI部署身份验证技术流表安装在接入层交换机没有实现冗余设置。SDN-SAVI适合外部化配置设置,由网络管理员可能需要改变。

确保源地址的真实性和安全性内容分发网络(CDN),作者(27CDNi]提出了一种机制,可以检测源地址欺骗,因此创建一个健壮的防御由欺骗IP欺骗攻击。然而,一个明显的缺点是,当前CDNi无法阻止用户在相应的通信系统伪造源地址在同一网络域。源地址验证SDN混合网络(SAVSH) [28)可以定位欺骗节点OpenFlow开关替代和部署流过滤规则,验证码到一个理想的细粒度管理安全性水平。SAVSH只需要几个SDN认证设备尽可能但交易的可扩展性的身份验证工具和开发工作台。

SDN-based集成IP源地址验证架构(ISAVA)计算(29日)在当地的网络范围转发路径源地址匿名保护的问题。确保执行后生成的源地址的通信系统可以唯一地标识当前大数据流,ISAVA提出了一个经过验证的数据结构和基于时间验证路径保护隐私。这样的路径使一系列数据包的源地址的变化很大的数据流,这使得它适用于SDN-based大数据流场景。SDN-Ti [30.)提出了跟踪和识别欺骗攻击者在SDN-based数据中心网络。开关应用SDN-Ti可以延长SDN开关和控制器的功能,也是用于路由器接入网络。SDN-Ti是智能识别欺骗在窥探地址设备和快速配置包。然而,仍然存在一些缺点在大数据流场景。

5。局限性和未来的工作

我们所知,本研究是第一次工作,讨论如何验证源地址使用差异化萨维机制下大数据流。然而,TAAM已经或多或少限制在一个SDN-based数据中心网络。在本节中,我们讨论的一些局限性。

最初,以抵御源地址欺骗攻击大数据流,SPRT-based源地址验证模型必须持续时间窗口和测试不同的方法保持安全级别。然而,建立一个有条件的时间窗口在接入交换机意味着每一个新的流在大数据流中一再被分类,可以把额外的压力自适应模型验证。此外,SDN-based数据中心的拓扑可以影响流分类器。举例来说,一个SDN控制器在数据中心网络可能直接受到几个复杂的欺骗攻击者协调,降低entropy-based分类器有效。另外,适应性验证模型可以利用更大的SDN控制器的全局视图计算entropy-based阈值的限制。

虽然目前的结果模型的开销和性能测试验证了自适应身份验证的效率模型,适应性验证模型中的一些缺陷置于下面的建设不能完全满足特定的交通需求。下一步,我们将尝试实现分析模型到实际的数据中心网络作为一个更实际的模型。此外,它是重要的发现自适应方法来区分欺骗数据包在大数据流从合法的实时之前进一步输入到控制层,因此解决IP源地址验证问题在根本上SDN-based数据中心网络。我们未来的工作将主要集中在异常检测技术的进一步优化,试图将其部署在其他实际SDN-based数据中心网络。

6。结论

本文提出了一种自适应大数据验证模型流萨维SDN-based数据中心网络。我们提出一个两阶段自适应身份验证模型通过引入SAVI-based IP源地址验证。我们提出TAAM模型实现实时动态验证的数据流和减少了冗余大数据流萨维过程。模型的开销和性能测试结果表明,两阶段自适应身份验证模型达到理想的安全、效率和稳定性。

数据可用性

使用的数据来支持本研究的结果包括在本文中。

的利益冲突

作者宣称没有利益冲突有关的出版。

确认

这项工作是支持的国家重点研发项目批准号下的中国2020 yfb1805601,国家网络安全关键研究和发展项目批准号下的中国2017 yfb0801703,赛尔创新项目批准号NGII20170408。