SDN边缘交换机发起的数据窃取攻击及检测方法研究

软件定义网络(Soft Defined Network,SDN)交换机作为数据转发与策略执行的设备,恶意攻击者通过侵蚀SDN交换机对网络进行隐秘而致命的攻击,严重影响用户的端到端通信质量。首先提出了一种边缘交换机被攻击者劫持后的数据窃取攻击过程,可以逃避网络范围内的异常检测,并证明了这种攻击的隐蔽性。为了抵御此种攻击,提出了一种流信息一致性检测方法,将主机信息纳入一致性检测中,并基于Ryu控制器在mininet平台上进行实验。实验结果表明,防御方法在抵御边缘交换机攻击的同时不会带来过多的负载增加。

EAGLE:一种内核态及用户态中基于遥测数据图的网络遥测方案

网络遥测是一种新型的网络测量技术,具有实时性强、准确性高、开销低的特点。现有网络遥测技术存在无法收集多粒度网络数据、无法有效存储大量原始网络数据、无法快速提取及生成网络遥测信息、无法利用内核态及用户态特性设计网络遥测方案等问题。为此,提出了一种融合内核态及用户态的、基于遥测数据图和同步控制块的多粒度、可扩展、覆盖全网的网络遥测机制(a nEtwork telemetry mechAnism based on telemetry data Graph in kerneL and usEr mode,EAGLE)。EAGLE设计了一种能够收集多粒度数据且数据平面上灵活可控的网络遥测数据包结构,用于获取上层应用所需的数据。此外,为快速存储、查询、统计、聚合网络状态数据,实现网络遥测数据包所需遥测数据的快速提取与生成,EAGLE提出了一种基于遥测数据图及同步控制块的网络遥测信息生成方法。在此基础上,为了最大化网络遥测机制中网络遥测数据包的处理效率,EAGLE提出了融合内核态及用户态特性的网络遥测信息嵌入架构。在Open vSwitch上实现了EAGLE方案并进行了测试,测试结果表明,EAGLE能够收集多粒度数据并快速提取与生成遥测数据,且仅增加极少量的处理时延及资源占用率。

面向6G物联网混合组网的分布式自治数据面研究

物联网(Internet of Things,IoT)即服务(IoT as a Service,IoTaaS)与6G分布式核心网的融合将成为未来IoT发展的重要趋势,亟需一种分布式自治组网架构支持IoT中较为普遍的公网与专网混合组网以及多子网对等组网。针对混合组网中复合网络功能存储库(Network Repository Function,NRF)的服务注册与发现流程信令交互复杂导致时延较大的问题,设计了一种基于分布式自治数据面技术的复合NRF互联系统,提出了基于JSON语义的网络功能信息存储方法和基于B+树状结构的索引方法,降低了数据索引时间复杂度,简化了跨网络节点的多层网元数据获取流程。

可扩展的网络验证技术:研究现状与发展趋势

互联网作为国家信息基础设施的重要组成部分,已经在各个领域发挥着巨大的作用.随着其规模不断扩大和应用持续深入,我们也面临着意图不一致的网络行为可能导致的灾难性危害.为了确保互联网的正常运行和网络行为的一致性,我们迫切需要可部署的网络验证技术,以确保网络运行时的行为与网络运维人员的意图一致.当前已经有许多关于网络验证技术的研究,这些研究帮助用户实现自动检测网络错误,并进一步分析错误产生的原因.然而,为了满足互联网规模不断扩大的需求,可扩展性问题成为在互联网部署网络验证技术的一项重要挑战.即如何在满足时间和空间复杂度约束的前提下,快速发现并排查网络策略的错误,真正将网络验证技术应用于实际,成为一个研究热点.本文从数据面验证和控制面验证两个方面出发,深入研究和总结了现有的网络验证研究工作,并探索了基于时空优化的可扩展性技术,对这些方案的特点进行了系统性分析.最后,本文总结和展望了网络验证可扩展技术的未来研究趋势,为该领域的研究人员提供一定的参考.

RBFRadar:基于可编程数据平面检测价值突发流

在各种网络流量中,突发是一种常见且重要的流量模式。突发会增大网络时延并影响应用性能,因此对突发流的检测、分析和缓解对于提升网络性能和鲁棒性是有意义的。然而,当前基于逐次突发的检测方案存在显著的带宽开销和高用户负担问题。文中通过观察并分析多个场景下的突发流量特征,提出了价值突发流(Remarkable Burst Flow,RBF)检测,在降低带宽开销的同时,减少了传统突发检测中的密集手工劳动和专家经验要求,减轻了网络管理者的负担。RBFRadar是基于Sketch数据结构的框架,支持可编程数据平面上的RBF检测,在一段时间内观察流级别的突发性。该框架仅产生有限的内存占用和低时间复杂性,其原型可在PISA架构上实现。实验结果表明,在检测RBF的准确性方面,RBFRadar的F1分数是现有方案的5.6~23.4倍;在带宽开销方面,与基于逐次突发的检测方案相比,RBFRadar可降低84.62%~98.84%的带宽开销。

支持增量式编程的多模态网络环境

当前,多模态网络编程模型与底层硬件紧耦合、强相关,导致网络程序呈现扁平化和单片化特征.因此,持续开发模态程序效率低下且极易出错,制约了网元设备的可用性和可靠性.为此,本文提出面向多模态网络的编程环境(PINet’s Programming Environment,PPE),支持增量式开发网络协议与功能.基于“巨型交换机”思想,PPE提出了一种平台无关的编程模型及语言,支持模块化编程和跨平台移植,通过模块单元的灵活组合提高网络程序的开发效率.同时,针对上述模型设计了前后端分离的编译系统框架.该系统自动化解析并组合分布式的模态程序,通过优化报文处理逻辑自动适配硬件资源约束.实验结果表明,在不影响硬件性能的基础上,PPE能够降低20%的程序开发量,同时引入编译时延和资源开销在合理范围内.

SR技术在二层虚拟专网中基于MPLS的实现与性能分析

文章聚焦于分段路由(Segment Routing,SR)技术在多协议标签交换(Multiprotocol Label Switching,MPLS)中的应用,尤其关注其在二层虚拟专网(Layer 2 Virtual Private Network,L2VPN)中的实现和性能。SR通过标签堆栈实现路径动态引导。控制平面协同工作进行路径计算、标签分配和拓扑管理,数据平面执行实际数据包传输。然后进行性能测试,将测试结果与传统方法进行对比对比,结果表明SR在二层虚拟专网中性能优于传统的传输方式。

SDN在数据中心传输中的自适应流量管理研究

探讨软件定义网络(Software Defined Network,SDN)在数据中心传输中的自适应流量管理。SDN架构的关键组成要素包括控制器、应用层和南向接口,通过控制平面和数据平面的分离,实现了网络的灵活性和可编程性。OpenFlow协议作为关键通信协议在SDN中得到广泛应用,为控制器提供了调整数据平面行为的标准化手段。在自适应流量管理方面,控制器通过实时监测和智能调整网络状态,识别瓶颈和拥塞点,并根据不同应用的性能需求进行精确的流量管理决策。基于流和基于应用的自适应管理算法使网络能够灵活适应不同流量负载,提高资源利用效率。流量监测工具如NetFlow和sFlow以及反馈机制在实现自适应流量管理中发挥关键作用,实时感知和调整网络状态,使SDN网络更加智能、适应性更强,并提供了优越的应用体验。未来的研究方向将关注SDN中自适应流量管理的创新策略,推动网络技术不断进步。

基于数据平面可编程的负载均衡算法

针对目前网络数据平面存在僵化现象,导致网络中数据流不均衡的问题,提出了一种基于数据平面可编程的负载均衡算法。首先通过带内网络遥测(INT:In-band Network Telemetry)技术获取网络实时状态信息,然后利用提出的BD-ECMP(Bandwidth and Delay Equal-Cost Multi-Path Routing)算法选择数据流的最佳传输路径。采用编程协议无关的包处理器(P4:Programming Protocol-Independent Packet Processors)语言对SDN网络数据平面的数据流进行优化处理,从而实现网络负载均衡。仿真实验结果表明,与传统ECMP算法相比,BD-ECMP算法在平均流完成时间、网络吞吐量及网络丢包率等方面具有明显优势。

SDN网络边缘交换机异常检测方法

软件定义网络(SDN)为网络赋予了可编程性,降低了网络管理的复杂性,促进了新型网络技术的发展。SDN交换机作为数据转发与策略执行的设备,其权限不应被未经授权的实体窃取。然而,SDN交换机并不总是执行控制器下发的命令,恶意攻击者通过侵蚀SDN交换机对网络进行隐秘而致命的攻击,严重影响用户的端到端通信质量。通信顺序进程(CSP)作为针对并发系统设计的建模语言,可对SDN交换机-交换机,以及交换机-主机间的交互进行准确的描述。文中使用CSP对SDN交换机、终端主机进行建模,对两种异常交换机定位方法进行理论分析,并在实例化的模型系统中验证检测方法在边缘交换机作为出口交换机恶意转发时的有效性,结果表明无法检测该异常行为。针对这一问题,提出了边缘交换机异常检测方法,主机记录统计信息并通过构造特殊的数据包触发packet_in消息完成与控制器之间的信息传递,控制器收集统计信息并利用边缘交换机与主机之间的统计信息一致性检测边缘交换机的异常传输行为。最后,基于ryu控制器在mininet平台上进行实验,实验结果表明,边缘交换机异常检测方法可以成功检测异常行为。

POF缓存加速方案的优化方法

在软件定义网络领域,协议无关转发(POF)可编程数据平面能够快速地对新型网络协议进行支持,具有较高的实用价值。目前POF数据平面主要基于软件平台实现,性能较差。为了提高POF数据平面的性能,提出了基于缓存加速的方法。目前的缓存加速方案主要集中研究于快速转发路径的设计与性能优化,忽略了缓存失配路径上的额外开销。因此POF数据平面通过这些缓存加速方案要获得显著的转发加速效果,需要较高的缓存命中率。针对上述问题,本文基于最新的POF缓存加速方案提出了针对缓存失配路径的优化方法,通过改进缓存模块中的数据结构并将其传输到缓存失配路径,消除额外的字段提取开销,从而优化缓存方案整体的转发加速性能。本文在实际的POF可编程数据平面上实现了该方法并进行了对比分析。实验结果表明,本文方法在不影响原快速转发路径性能的同时,较好地提升了数据平面在现网流量中的转发性能。与原缓存方案相比,本文方法使数据平面获得显著转发加速效果,所需的缓存命中率降低了28.64%,同等缓存大小下吞吐最大提升了39.08%。

面向SD-WAN的OpenFlow分组转发性能模型研究

针对软件定义广域网(software-defined wide-area networks,SD-WAN)对数据传输时延要求高而有必要量化评估其分组转发性能的问题,考虑不同类型分组处理过程的差异性,基于排队论构建1个精确的OpenFlow分组转发性能模型。首先,描述SD-WAN网络的典型部署场景,并对其数据平面的到达分组进行分类,进而为OpenFlow交换机的分组处理过程构建M/H3/1排队模型,并推导其关键性能指标的表达式。在此基础上,结合控制器集群的Packet-in消息排队模型,建立面向SD-WAN网络的OpenFlow分组转发性能模型,进而求得平均分组转发时延的闭式解。最后,采用模拟仿真和数值分析方法对本文所提出的模型进行评估。研究结果表明:与现有模型相比,本文所提出的模型能更准确地估计不同类型分组在OpenFlow交换机中的平均逗留时间,且平均分组转发时延主要受旧流分组处理速率和新流分组概率的影响。

可编程数据平面技术综述

在软件定义网络中,可编程数据平面提供的编程能力是网络功能虚拟化的基石。可编程数据平面技术的核心是可编程能力与数据包处理性能。首先从数据平面的可编程性出发,探讨现有数据平面的数据包处理抽象。然后,分别对数据平面实施的目标平台与对应平台上的主要流表算法进行介绍,详细论述现有数据平面技术。最后,探讨了高性能数据平面技术存在的关键挑战。

带内网络遥测方法综述

网络测量是网络性能监控、流量管理和故障诊断等场景的基础.带内网络遥测由于具有实时性、准确性和扩展性等特点使其成为当前网络测量研究的热点.随着可编程数据面的出现和发展,丰富的信息反馈和灵活的功能部署使得国内外学者提出许多具有实用性的带内网络遥测技术方案.首先分析了典型的带内网络遥测方案INT和AM-PM的原理和部署挑战.根据带内网络遥测的优化措施和扩展角度,从数据采集流程和多任务组合方面分析了优化机制的特点,从无线网络、光网络和混合设备网络等方面分析了技术扩展的可行性.根据带内网络遥测在典型场景的应用,从网内性能感知、网络级遥测系统、流量调度和故障诊断几个方面对比分析其在不同场景应用特点.最后,对带内网络遥测研究进行总结,展望了未来的研究方向.

支持多个网络功能共存的可编程数据平面虚拟化

网络虚拟化允许多个虚拟网络在同一物理基础设施上共存,有利于未来网络技术的增量部署。然而,当前可编程数据平面提供独占的数据平面抽象难以同时支持多个网络功能,该文提出一种支持并行流水线的虚拟化可编程数据平面结构(Virtualized P4-based Programmable Data Plane architecture with Parallel Pipeline,VirtP6),允许在单个物理设备上运行多个相互隔离的网络功能。VirtP6改变了可编程数据平面的单一流水线结构,引入并行的多个数据包处理流水线,实现了可编程数据平面的虚拟化,并保证了不同虚拟网络功能之间的资源隔离、流量隔离和访问隔离。最后,针对VirtP6的虚拟化开销、隔离性、可扩展性、网络适用性能进行实验评估。实验结果显示,与HyperP4相比,VirtP6大大降低了虚拟化开销,将延迟减少了68%,吞吐量提高了75%,具有良好的隔离性和扩展性。

基于可编程平台的标识网络移动性管理机制

标识网络的提出解决了传统TCP/IP网络中IP地址“二义性”带来的移动性问题,然而标识网络的颠覆式创新在现网中部署存在困难。随着协议无关的可编程平台技术不断发展,为解决标识网络部署困难带来可能,为标识网络的大规模推广带来便利条件。该文提出一种基于可编程平台的标识网络移动性管理机制,结合可编程平台数据与控制分离的特点,在数据平面设计一套报文处理与转发逻辑实现数据报的解析与转发,在控制平面设计包含四个模块的控制系统实现设备身份认证与映射注册、跨接入域通信的映射查询、移动终端跨接入域移动切换等网络功能。基于可编程平台搭建了标识网络原型实验系统,对基于可编程平台的标识网络移动性管理机制的功能和性能进行实验测试评估。结果表明,该机制能够支持标识分离映射、标识发布与查询、设备移动切换等功能,性能满足大部分实时应用需求。

SDN中一种基于机器学习的DDoS入侵检测与防御方法

近两年分布式拒绝服务攻击(Distributed Denial of Service,DDoS)以平均26%的速率增长,是网络安全的严重威胁之一。论文提出一种适用于软件定义网络(software-define-network,SDN)的DDoS实时入侵检测与即时防御方法RT-XB(Real-Time XGBoost-Bloom Filter)。该方法首先在SDN数据平面使用P4编程,以自定义的方式进行数据包收集;然后对其提取攻击特征向量并做必要的优化处理;再后使用极限梯度增强(extreme gradient boosting,XGBoost)算法构建分类器识别异常数据包,并由此确定攻击源;最后在数据平面构建攻击数据包特征的BF(Bloom Filter)实现对后续攻击数据包的快速识别,并通过修改流表匹配动作的方式做出即时防御。实验结果显示,与现有同类方法相比,RT-XB充分整合了SDN和机器学习的优点,不仅实时检测效率高,假阳性率可控,而且即时防御功能较强。

6G网络架构探讨

作为6G纲领性文件,《IMT面向2030及未来发展的框架和总体目标建议书》描绘了6G的目标和趋势,提出了6G的典型应用场景及能力指标体系,为未来6G技术的发展指明了方向。阐述了6G网络架构的演进方向,介绍了满足这些场景需求的关键技术手段。此外,还介绍了正在研究制定的5G增强标准的重点课题和相关标准工作进展,反映5G增强标准在向6G迈进的过程中起到的承上启下的作用。

基于自研虚拟化的5GC三层解耦网络试商用案例分析

5G核心网的云化旨在重构虚拟化的开放网络,通过提供开放的网络能力来满足差异化的需求。目前运营商在现网部署时仍主要采用软硬二层解耦的架构,难以实现全网资源共享。5GC三层解耦网络试商用案例,首先在NFV基础设施层当中的硬件资源层、虚拟化层和NFV虚拟网络层等三层之间实现解耦,其次采用中国电信自研和其他多供应商共同部署模式,对项目实施过程中多供应商协同配合方面出现的问题进行分析并提出解决方案,最终目的是推动更加开放和完善的5G核心网三层解耦方案大规模商用。

战术网中基于POF的动态可伸缩控制方案研究

现代战术网中的业务越来越复杂,现有的网络控制方案难以有效支持。软件定义网络(Software Defined Network,SDN)架构可以提高战术网灵活性,但由于战术网脆弱的无线环境特征及SDN的集中式控制特点,该架构存在很高的单点故障风险,控制信道的失效会导致整个网络崩溃。针对这一问题,提出了一种基于协议无感知转发(Protocol Oblivious Forwarding,POF)的动态可伸缩控制方案。采用带内带外混合控制的方法,可以在环境高度动态的战术网中实现韧性控制。当带外控制信道失效后,网络可以基于带内控制与数据平面自定义协议相结合的方式,继续维持一定的网络功能。实验结果表明,本方案对于不稳定的战术网有较强的适应能力,在带外控制失效信道时仍能保障网络可用并使时延保持在0.1 s左右的范围。