基于貝葉斯?斯坦科爾伯格博弈的SDN安全控制平面模型

盧振平，陳福才，程國振

?

基于貝葉斯?斯坦科爾伯格博弈的SDN安全控制平面模型

盧振平，陳福才，程國振

（國家數(shù)字交換系統(tǒng)工程技術研究中心，河南鄭州 450002）

提出一種基于動態(tài)異構冗余的安全控制平面，通過動態(tài)地變換異構的控制器以增加攻擊者的難度。首先，提出基于貝葉斯?斯坦科爾伯格博弈模型的控制器動態(tài)調度方法，將攻擊者和防御者作為博弈參與雙方，求得均衡解，進而指導調度策略；其次，引入一種自清洗機制，與博弈策略結合形成閉環(huán)的防御機制，進一步地提高了控制層的安全增益；最后，實驗定量地描述了基于該博弈策略的安全控制層相比與傳統(tǒng)部署單個控制器以及采用隨機策略調度控制器的收益增益，并且自清洗機制能夠使控制平面一直處于較高的安全水平。

軟件定義網絡；網絡安全；貝葉斯?斯坦科爾伯格博弈；控制器

1 引言

軟件定義網絡（SDN，software defined network）將控制與轉發(fā)分離，形成如圖1所示的應用層、控制層、數(shù)據(jù)層，通過南向可編程接口開放了網絡，促進了網絡創(chuàng)新，簡化了網絡管理?？刂破髯鳛槠浜诵慕M件，掌握著整個網絡的視圖，將上層決策翻譯為數(shù)據(jù)面的轉發(fā)規(guī)則，一旦被攻擊或劫持，可導致信息泄露，甚至使整個SDN網絡癱瘓[1]。

圖1 SDN架構

一般地，針對控制器的攻擊來自2個方向。首先，攻擊可能來自上層應用或管理員，惡意應用或管理員利用控制器漏洞發(fā)動攻擊。例如，一個簡單的exit命令可致使Floodlight退出造成網絡癱瘓[2]。其次，攻擊可能來自底層數(shù)據(jù)面。攻擊者通過南向接口發(fā)送探測報文，探測控制器的狀態(tài)和身份信息，然后利用其掌握的控制器漏洞，進一步地發(fā)動劫持、信息篡改、甚至DoS等攻擊[3]。例如，文獻[4]通過開放的OpenFlow協(xié)議，控制SDN網絡中的1臺主機，發(fā)送探測報文，獲取控制器的狀態(tài)信息，為后續(xù)利用控制器的漏洞發(fā)動攻擊提供了有效信息?？傊?，利用控制器的漏洞發(fā)動攻擊是控制器面臨的主要威脅之一[5]。

為了應對控制器面臨的潛在威脅，研究人員提出了大量方法。從架構上，由單控制器[2,6,7]轉變?yōu)榉植际娇刂芠8~11]、彈性分布式控制[12,13]。該類方法可有效抵御控制器的單點失效問題，尤其是彈性分布式控制器可以通過調整控制器實例數(shù)量，應對動態(tài)變化的網絡負載。但是主流的分布式架構中不同控制器實例仍是同構的，因此，包含的漏洞也是重疊的，當某個重疊漏洞被利用時，攻擊事件可影響整個分布式控制平面。利用拜占庭容錯機制的控制層[14,15]避免了單點失效，然而，由于控制器之間是相互交互的，有可能造成攻擊感染。從防御機制上，約束南向和北向2個接口，通過北向應用接口的分級調用[16]、南向接口的限制訪問[17]，有效避免了接口的濫用，但是該方法具有侵入性，需要重新設計接口，甚至開發(fā)新的控制器內核，仍無法避免控制器內部的漏洞利用。目前，已有研究未從防御控制器安全漏洞的角度出發(fā)，無法避免漏洞利用攻擊。

本文基于動態(tài)異構冗余的思想，設計出一種動態(tài)調度多樣控制器的控制層，包括多個異構控制器集合以及調度器等核心組件，通過調度器從集合中動態(tài)地選擇控制器，以改變傳統(tǒng)控制平面相對靜態(tài)的特性，從而降低控制器脆弱點被利用的影響。鑒于攻防特點，為了最大化策略的有效性，將控制器的選擇問題建模為貝葉斯?斯坦科爾伯格博弈模型，攻擊者和防御者作為博弈雙方參與者，刻畫收益函數(shù)，求得均衡解，從而指導調度控制器；其次，為了進一步提高防御者的安全性，引入自清洗機制，從而形成一個閉環(huán)的防御機制。

2 相關工作

SDN“三層兩接口”結構在方便管理的同時也引入了新的脆弱性，控制器安全問題作為SDN典型安全威脅重要的一環(huán)，逐漸成為制約 SDN 發(fā)展的關鍵因素[18]。目前，學術界針對控制層的脆弱點研究主要分為兩方面。

1) 傳統(tǒng)加固式安全

Phillip Porras將開源控制器Floodlight擴展為SE-Floodlight[8]，增加應用程序證書管理模塊、安全審計子防御者、權限管理等新的安全模塊，對控制器安全進行審計和跟蹤。FortNOX[19]架構是針對開源控制器NOX設計的一種安全內核，在NOX控制器上分別增加了基于角色的數(shù)據(jù)源認證模塊、狀態(tài)表管理模塊、流規(guī)則沖突分析模塊和流規(guī)則超時回調模塊等安全功能，提高流規(guī)則轉發(fā)的安全性。Shin等[7]通過對常見控制器的安全性進行測試和分析后，設計了一種新型、內嵌安全機制的集中式控制器Rosemary。其內核將所有應用程序封裝在一個應用程序區(qū)內，實時監(jiān)控應用程序的行為，并通過檢查各個應用程序的簽名信息判定其是否合法。OFX[20]是一種新的網絡安全應用模型，在現(xiàn)存OpenFlow架構下，通過將安全應用機制打包下放至底層網絡設備，實現(xiàn)更高效的安全應用的開發(fā)。這些單純的加固式安全無法應對不斷爆出的安全漏洞導致的單點失效，也無法保證控制層與數(shù)據(jù)層之間數(shù)據(jù)完整性、機密性等。

2) 分布式控制器

分布式控制平面解決了單控制器情況下單點失效的威脅，主要包括靜態(tài)分布式控制平面和動態(tài)分布式控制平面。其中，靜態(tài)分布式控制平面交換機和控制器的映射是靜態(tài)配置的。HyperFlow[8]是OpenFlow的首個分布式控制平面，作為應用程序運行于安裝NOX的控制器之上，負責控制器網絡狀態(tài)視圖的同步（通過傳播本地產生的控制事件），將到達其他控制器管理的交換機的OpeFlow命令重定向到目標控制器上，并重定向來自交換機的響應到發(fā)起請求的控制器。FlowVisor[9]在轉發(fā)平面與控制平面之間引入了一個軟件切片層，并采用OpenFlow實現(xiàn)了該切片層，用以切分控制消息。Kandoo[10]以及Onix[11]也屬于靜態(tài)分布式控制平面。

由于靜態(tài)配置導致負載均衡分布不均，Advait Dixit等設計了ElastiCon[12]，一種彈性分布式控制器體系，在該體系中，控制器池中控制器的數(shù)量可以根據(jù)流量狀態(tài)和負載動態(tài)地增加或減少。ElastiCon為了完成負載遷移，提出了一種新的交換遷移協(xié)議，在分布式控制器與交換機之間采用動態(tài)映射以更大程度地增強網絡的擴展性。在ONOS[13]和ODL[21]分布式體系結構中，當一個組件或實例失敗，且有其他剩余實例，允許重新分配，保障防御者仍能繼續(xù)工作。

然而，這些分布式控制器實例的同構性可能存在共有的安全漏洞，一旦被攻擊者探測利用便可以發(fā)動持續(xù)地攻擊，劫持控制平面，進而破壞整個網絡。因此，文獻[14,15]提出基于拜占庭容錯機制的控制器安全解決方案。文獻[14]中每個底層交換機由多個控制器控制，控制器數(shù)量根據(jù)不同的容錯需求變化，能夠抵抗對控制器的拜占庭攻擊以及控制器和交換機通信之間的攻擊，避免了單點失效，保證了網絡的正常運行。文獻[15]設計出一種拜占庭容錯的分布式控制器，使網絡能夠容忍控制平面以及數(shù)據(jù)平面的錯誤，并整合了現(xiàn)有2種易受拜占庭錯誤攻擊的開源控制器，實現(xiàn)了容錯機制。然而這種方法一旦一個控制器被攻擊成功，有可能造成攻擊感染。文獻[22]提出了一種控制器和交換機的動態(tài)分配算法以最小化控制平面的響應時間，然而，該動態(tài)分配控制器是為了更優(yōu)的負載均衡，并未考慮安全。

本文借鑒已有的研究成果，針對SDN中控制器漏洞的典型安全威脅，為了解決控制器本身脆弱性帶來的安全問題，提出一種動態(tài)調度控制器的SDN安全控制層[23]，綜合考慮通過動態(tài)調度相互隔離的異構控制器降低攻擊者探測成功的概率，并且避免了利用控制器漏洞和后門，進而持續(xù)高效地進行惡意攻擊。

3 防御模型及原理分析

3.1 SDN安全控制層模型

本文設計了一種SDN安全控制層，在控制平面引入動態(tài)異構冗余因子，在多個不同的防御者維度上，開發(fā)、分析和部署防御者可控的、隨時間動態(tài)地移動和變化的機制和策略，以限制自身脆弱性的暴露，增加攻擊者的攻擊成本，降低被攻擊機會。

圖2給出了動態(tài)調度SDN控制器的基本結構。在應用層和數(shù)據(jù)層，與現(xiàn)有的SDN架構的數(shù)據(jù)平面功能一致。在動態(tài)控制層，包含功能等價結構相異的個控制器執(zhí)行體集合。

控制器異構度：各類控制器采用的語言各不相同，Ryu采用Python語言實現(xiàn)，ONOS以及Floodlight采用Java語言實現(xiàn)，但ONOS基于OSGI框架實現(xiàn)，這與Floodlight相異。語言相異以及實現(xiàn)方式的不同是衡量異構的指標。

控制器實例在角色上包括兩類：一類是Master（主）控制器，有且僅有一個，是實際上管理網絡的控制器；一類是Slave（備）控制器，作為備選的資源池。數(shù)據(jù)代理將底層的網絡請求通過此分發(fā)至控制器集合，控制器的管理控制數(shù)據(jù)也經此下發(fā)給底層網絡等；感知器感知數(shù)據(jù)平面的網絡安全狀態(tài)并將信息交互到調度器。調度器包含所有控制器的注冊信息，接受感知器的信息，內有倒計時功能，一旦計時器清零，調度器啟動調度策略選擇主控制器。

如圖2所示，控制平面包括個相互獨立異構的控制器，依據(jù)調度策略從備選資源池選一個主控制器控制底層網絡，本文設計了2種不同的調度周期設置機制，流程如圖3所示。

1) 主動式調度機制：調度器在時間軸上的調度間隔一致，調度器定時自發(fā)地對控制器進行切換。

2) 反應式調度機制：感知器模塊感知控制層的安全狀態(tài)，若發(fā)現(xiàn)異常情況，則立即依據(jù)調度策略進行調度。

圖3 動態(tài)調度控制器流程

圖4為安全架構的閉環(huán)防御機制。調度器指導控制層切換控制器之后，控制層會依據(jù)歷史攻擊信息，評估控制層的安全狀態(tài)[24]，利用本身的安全資源開始自清洗，修復脆弱點，再進行新一輪的調度。以一個簡單的用例說明動態(tài)調度的安全效果。

圖4 閉環(huán)防御機制

攻擊行動：使用Java語言基于OSGI框架的ONOS控制器也帶來了OSGI的脆弱性。如圖5所示，當交換機收到一個沒有匹配項的數(shù)據(jù)分組時，交換機就會把這個數(shù)據(jù)分組發(fā)送給控制器。當處理不規(guī)則、不完整、惡意制定的數(shù)據(jù)分組時，ONOS的解串器會引發(fā)異常，如果不及時發(fā)現(xiàn)并處理這個異常，那么相關交換機就會與ONOS斷開連接。遠程攻擊者可以利用這個漏洞實施DoS攻擊造成ONOS與交換機斷開連接。攻擊者只需要發(fā)送惡意數(shù)據(jù)分組就可以利用這個漏洞，這是一個通過數(shù)據(jù)層面利用控制器漏洞的典型案例。

防御機制：在動態(tài)調度的控制器架構中，啟用調度機制，Ryu或Floodlight成為主控制器時，遠程攻擊者利用此ONOS的漏洞失效，即攻擊行動無效。攻擊者必須重新探測階段獲取新的脆弱點組織攻擊。

隨機選擇備選資源池里的控制器是最簡單的策略形式。然而，隨機策略相對盲目，沒有考慮執(zhí)行體獲取的攻擊的歷史信息，如不同能力的攻擊組織以及攻擊的傾向性。實際上，攻防雙方均對對方有一定的信息支撐[25]。所以，在攻防雙方均有一定先驗知識的情況下，防御者選擇主控制器的調度策略與整個控制層的安全性休戚相關。接下來，在3.2節(jié)研究控制器調度策略問題，在3.3節(jié)詳述自清洗機制。

圖5 ONOS控制器攻擊實例

3.2 博弈論分析

貝葉斯?斯坦科爾伯格博弈[26]是一種典型的解決探測以及攻擊不確定性的安全博弈方法，本節(jié)將攻防過程建模為貝葉斯?斯坦科爾伯格博弈模型，獲得最佳的控制器調度策略。

3.2.1 博弈預備知識

1) 斯坦科爾伯格博弈：通常用來刻畫安全領域的攻防探測場景，包括先采取行動的領導者以及隨后行動的追隨者。由于領導者首先采取行動，所以領導者在此博弈中占優(yōu)[26]。以一個簡單的博弈例子說明。

追隨者領導者cd a2，14，0 b1，03，2

2) 貝葉斯博弈：參與者包括個代理，每個代理都可能有多種不同的類型。

3.2.2 模型映射

動態(tài)調度控制器的防御者看作領導者（單一類型），攻擊者為追隨者（多種類型，如不同的攻擊組織）。控制層的調度過程即選擇策略的過程：控制層以一個時間周期在各個控制器之間進行切換，從一種控制器到另外一種控制器可以看作是防御者的策略。另一方面，攻擊方包括很多攻擊類型，選擇攻擊行動是博弈中追隨者的一種策略。表1是本文模型的符號說明。

表1 變量說明

假設 攻擊者和防御者的目標都是最大化自己的收益

攻擊者的攻擊行動包括2種：1) 針對目前控制器已知的未解決的脆弱點的攻擊；2) 依據(jù)已知的信息預測控制器的脆弱點的攻擊。一種攻擊行動對應一個漏洞，每種攻擊類型包含若干種攻擊行動。攻擊者確定攻擊行動依賴于以下2點。

①攻擊難度。例如，一段任意的代碼造成遠程代碼執(zhí)行攻擊比利用控制器的數(shù)據(jù)庫漏洞更難；代碼量更少的Ryu比ONOS曝出的安全漏洞更少[27]。

②控制器流行度。在商業(yè)網絡中部署越廣泛的控制器，則攻擊者對其的攻擊傾向性更高。例如，相比于小范圍部署的控制器，攻擊者青睞于諸如對谷歌數(shù)據(jù)中心部署的Onix控制器的漏洞挖掘等攻擊。

防御者與攻擊者收益依賴于以下2點。

①對目標控制器造成的影響，包括攻擊者探測數(shù)據(jù)的探針數(shù)量以及這些數(shù)據(jù)的關鍵性。例如，利用 ONOS曝出的Root權限的漏洞攻擊獲取權限之后比中間人竊取數(shù)據(jù)更為嚴重。

②攻擊是否被檢測。攻擊之前探測的數(shù)量越多，被防御者檢測到的概率越大。

在本博弈中，參與者雙方需要滿足約束條件。

1) 防御者策略約束

防御者以概率分布選擇控制器，概率和為1。

2) 攻擊策略約束

對于防御者確定的混合策略部署控制層，每個攻擊類型面對的是同一個線性收益問題，攻擊者存在一個最優(yōu)策略，故每種攻擊類型都會選擇同一種純策略回應[26]。

3) 攻擊者收益約束

3.3 自清洗機制

防御者在一次博弈之后利用3.2節(jié)獲得的混合策略部署控制層，攻防過程并沒有結束，防御者根據(jù)歷史博弈信息，進入自清洗階段。一次博弈之后的防御者根據(jù)搜集的攻擊行動信息，分析控制器脆弱點，自清洗即防御者利用安全資源修復這些脆弱點[24]，更新收益矩陣，繼續(xù)下一次博弈，每一次博弈是獨立的，存在唯一的強斯坦科爾伯格均衡，這種閉環(huán)防御機制，使防御者一直維持在一個較高的安全狀態(tài)。本節(jié)研究的問題是，在防御者的安全資源有限的條件下，自清洗過程首先應該解決哪些力所能及的漏洞。

假設攻擊者的安全資源僅能修復一個清洗出的漏洞，該漏洞修復后，對應的攻擊行動則需要從收益矩陣中去除，之后在新的收益矩陣下進行下一次博弈，移除某種攻擊行動之后最收益增益大所對應的漏洞，即關鍵的漏洞，該脆弱點應該首先被修復。據(jù)此，本文提出一種自清洗算法，該自清洗算法通過從收益矩陣中去除若干攻擊行動之后獲得新的收益矩陣，計算防御者增益，進而比較衡量各種漏洞的關鍵性。若將某個攻擊行動移除時計算收益最高，則認為對應的安全漏洞應該首先被修復。而且漏洞被修復的收益矩陣作為下一次博弈的輸入。

算法1 自清洗算法

3) 計算移除每種排列組合后的防御者增益益。

4 仿真評估

4.1 仿真環(huán)境

本次實驗在配置Intel(R) Core(TM) i7-4790 CPU 3.6 GHz，16 GB RAM的主機上進行，優(yōu)化問題的求解以及自清洗算法均通過Python編程實現(xiàn)，利用Gurobi優(yōu)化器求解式(6)的博弈優(yōu)化問題，獲得控制器最優(yōu)調度策略，并定量地計算出相比隨機策略和純策略的收益增益。

本文以在控制層中部署4種多樣的控制器為實例，說明如下。

防御者可以選擇Ryu、ODL、ONOS、Floodlight這4種控制器作為4種策略，攻擊者可能會有9種攻擊行動。記A1、A2、A3、A4是針對4種控制器安全漏洞的攻擊行動，其中，A1、A2是以探測和獲取數(shù)據(jù)為目的，A3、A4則是以劫持控制器破壞網絡防御者為目的。A5~A8表示具有2種攻擊的效果，A9表示攻擊行動無效。收益表中前者代表防御者收益，后者代表攻擊收益。顯然，2種以劫持破壞控制器的攻擊行動攻擊者比獲取數(shù)據(jù)的收益更高。如果兩方的收益都為正，代表雖然攻擊者企圖攻擊成功，但是對防御者關鍵數(shù)據(jù)和服務并沒有造成實質的破壞，而且防御者可以從此次攻擊獲得一些有效信息。例如，攻擊行動沒有匹配防御者的漏洞，所以攻擊不會成功，可攻擊者仍然可以獲得防御者某些配置信息，進而開始建立一個新的成功的攻擊，但同時，防御者也會從未成功的攻擊中獲益。通過蒙特卡羅抽樣以及分段常值函數(shù)近似方法[25,28]對攻防收益矩陣評估，如表2所示，攻擊類型以及對應的攻擊能力先驗概率如表3所示。

表2 防御者策略和攻擊策略對應的收益關系

表3 攻擊者類型的攻擊能力以及攻擊概率

表3表示每種攻擊類型的攻擊概率以及攻擊行動集合。這里包括4種攻擊類型：黑客1~黑客4，每一個攻擊類型可能有一種或者多種攻擊行動，并且每種類型的攻擊行動存在交集。

4.2 策略分析評估

本實驗利用分解式最優(yōu)貝葉斯?斯坦科爾伯格解決器求解貝葉斯?斯坦科爾伯格博弈問題，使用8個線程，迭代了1 589次，用時3 ms，優(yōu)化誤差在1×10?4以內。通過求解優(yōu)化問題，得到最優(yōu)的混合策略（0.3，0.16，0.27，0.27），即防御者以此概率分布選擇控制器Ryu、ODL、ONOS、Floodlight作為主控制器部署控制層，所獲的收益最大，最大收益是?0.62。當使用隨機策略時，即以（0.25，0.25，0.25，0.25）部署所獲得的收益是?1.25。以純策略部署控制器Ryu、ODL、ONOS，F(xiàn)loodlight，收益分別為?6、?3、?5.6、?6。從而表明貝葉斯?斯坦科爾伯格博弈獲得的調度策略優(yōu)于隨機策略和純策略。

進一步地，通過改變攻擊概率分布，觀察防御者在2種情況的收益變化，比較均衡策略與隨機策略所獲收益的優(yōu)劣，進而證明博弈均衡策略占優(yōu)的一般性。為了方便比較，只考慮3種攻擊類型：黑客1、黑客2和黑客3，結果如表4所示。

表4 博弈策略和隨機策略的收益對比

一般來說，基于該博弈模型的混合策略不會劣于隨機策略和純策略。本節(jié)則進一步定量地刻畫該博弈相比隨機策略和純策略的增益值。在表5中，防御者采用隨機策略平均收益是?1.45，而使用貝葉斯?斯坦科爾伯格博弈均衡策略的平均收益是0.37。因此，無論攻擊類型的概率如何分布，貝葉斯?斯坦科爾伯格博弈均衡策略一般優(yōu)于隨機策略。

4.3 自清洗機制分析

表5和表6分別是選取解決1到2個關鍵漏洞之后的收益關鍵結果。由表6可看出，如果防御者只有修復一個安全漏洞的資源能力，4為最關鍵的漏洞，4修復之后，收益增益最大，為1.163。如表7所示，如果資源能力可以修復2個安全漏洞，則解決的關鍵漏洞為3、4，修復3、4之后防御者的收益最高，收益增益為1.449，因此采取自清洗機制之后，根據(jù)防御者的安全資源修復關鍵漏洞之后采取該博弈策略之后，收益遠高于最初的?0.62。

表5 解決一個關鍵漏洞的收益更新（關鍵部分）

表6 解決2個關鍵漏洞的收益更新（關鍵部分）

5 結束語

分布式異構控制器架構針對控制器本身以及開放的南北接口有可能被攻擊者利用的脆弱點，能夠有效地防止利用這些脆弱點實施APT攻擊，尤其在一些關鍵的已商業(yè)部署的SDN網絡等。同時，在提高安全性的同時，異構控制器的動態(tài)調度不可避免地引入了額外的開銷代價，如動態(tài)調度控制器之后，控制器需要重新學習底層網絡的端口、主機信息等，以重新部署網絡功能，從而導致用戶在此期間產生新的流請求服務無法上交到控制器處理，造成損失。

控制器作為SDN架構的核心，安全地位與日俱增。本文創(chuàng)新地設計了一種SDN安全控制層架構防御安全漏洞威脅，通過基于貝葉斯?斯坦科爾伯格博弈求得防御者最優(yōu)調度方案，進而指導動態(tài)調度控制器。同時，為了更進一步提高控制層的安全性，本文提出了一種自清洗算法。通過實驗定量地說明了博弈策略方案相比于純策略和隨機策略安全增益，自清洗機制使控制層一直維持在較高的安全狀態(tài)。本文證明了動態(tài)調度控制器的應用概念，未來工作將以研究計算調度周期的問題模型，均衡成本和安全需求的最優(yōu)調度周期為重點。

[1] KREUTZ D,RAMOS F M V, VERISSIMO P. Towards secure and dependable software-defined networks[C]//ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. 2013: 55-60.

[2] SHIN S, SONG Y, LEE T, et al. Rosemary: a robust, secure, and high-performance network operating system[C]//ACM Conference on Computer and Communications Security. 2014:78-89.

[3] LENG J, ZHOU Y, ZHANG J, et al. An inference attack model for flow table capacity and usage: exploiting the vulnerability of flow table overflow in software-defined network[J]. Water Air & Soil Pollution, 2015, 85(3):1413-1418.

[4] SONCHACK J, AVIV A J, KELLER E. Timing SDN control planes to infer network configurations[C]//ACM International Workshop on Security in Software Defined Networks & Network Function Virtualization. 2016.

[5] LEE S, YOON C, SHIN S. The smaller, the shrewder: a simple malicious application can kill an entire SDN environment[C]//ACM International Workshop on Security in Software Defined Networks & Network Function Virtualization. 2016.

[6] MORZHOV S, ALEKSEEV I, NIKITINSKIY M. Firewall application for Floodlight SDN controller[C]//The International Siberian Conference on Control and Communications. 2016.

[7] SHIN S, SNOS Y LEE T, et al. Rosemary: a robust, secure, and high-performance network operating system[J]. 2014: 78-89.

[8] TOOTOONCHIAN A, GANJALI Y. HyperFlow: a distributed control plane for OpenFlow[C]//Internet Network Management Conference on Research on Enterprise Networking. 2010:3.

[9] SHERWOOD R, GIBB G, YAP K K, et al. FlowVisor: a network virtualization layer[J]. 2009.

[10] YEGANEH S H, GANJALI Y. Kandoo: a framework for efficient and scalable offloading of control applications[C]//The Workshop on Hot Topics in Software Defined Networks. 2012:19-24.

[11] KOPONEN T, CASADO M, GUDE N, et al. Onix: a distributed control platform for large-scale production networks[C]//Usenix Symposium on Operating Systems Design and Implementation(OSDI 2010). 2010:351-364.

[12] DIXIT A, FANG H, MUKHERJEE S, et al. Towards an elastic distributed SDN controller[C]//The 1st Workshop on Hot Topics in Software Defined Networking (HotSDN 2013). 2013: 7-12.

[13] BERDE P, GEROLA M, and HART J, et al. ONOS: towards an open, distributed SDN OS[C]//The Workshop on Hot Topics in Software Defined Networking. 2014:1-6.

[14] LI H, LI P, GUO S, et al. Byzantine-resilient secure software- defined networks with multiple controllers in cloud[C]//2014 IEEE International Conference on Communications (ICC 2014). 2014: 695-700.

[15] ELDEFRAWY K, KACZMAREK T. Byzantine fault tolerant software-defined networking (SDN) controllers[C]//IEEE Computer Society International Conference on Computers, Software & Applications. 2016:208-213.

[16] LEE C, SHIN S. SHIELD: an automated framework for static analysis of SDN applications[C]//ACM International Workshop on Security in Software Defined Networks & Network Function Virtualization. 2016:29-34.

[17] WILCZEWSKI. Security considerations for equipment controllers and SDN[C]//2016 IEEE International Telecommunications Energy Conference (INTELEC). 2016:1-5.

[18] AHMAD I, NAMAL S, YLIANTTILA M, et al. Security in software defined networks: a survey[J]. IEEE Communications Surveys & Tutorials, 2015, 17(4): 1.

[19] PORRAS P, SHIN S, YEGNESWARAN V, et al. A security enforcement kernel for OpenFlow networks[C]//The First Workshop on Hot Topics in Software Defined Networks. 2012. 121-126

[20] SONCHACK J, AVIV A J, KELLER E, et al. Enabling practical software-defined networking security applications with OFX[C]// Network and Distributed System Security Symposium. 2016.

[21] MEDVED J, VARGA R, TKACIK A, et al. OpenDaylight: towards a model-driven SDN controller architecture[C]//IEEE International Symposium on World of Wireless, Mobile and Multimedia Networks. 2014:1-6.

[22] WANG T, LIU F, GUO J, et al. Dynamic SDN controller assignment in data center networks: Stable matching with transfers[C]// IEEE Conference on Computer Communications. 2016:1-9.

[23] LU Z P, CHEN F C, et al. Poster: a secure control plane with dynamic multi-NOS for SDN[C]//NDSS Posters. 2017.

[24] LEE S, YOON C. DELTA: a security assessment framework for software-defined networks[C]//Network and Distributed System Security Symposium. 2017.

[25] KIEKINTVELD C, MARECKI J, TAMBE M. Approximation methods for infinite bayesian stackelberg games: Modeling distributional payoff uncertainty[C]//The 10th International Conference on Autonomous Agents and Multiagent Systems. 2011:1005–1012.

[26] PARUCHURI P , PEARCE J P. Playing games for security: an efficient exact algorithm for solving bayesian stackelberg games[C]//The 7th International Joint Conference on Autonomous Agents and Multiagent Systems (AAMAS’08). 2008: 895?902.

[27] DAVID Jorm. 44CON LONDON 2015 Presentations[EB/OL]. https:// 44con.com/44con-london-2015/44con-london-2015-presentations/

[28] PITA J, JAIN M, TAMBE M, et al. Robust solutions to stackelberg games: addressing bounded rationality and limited observations in human cognition[J]. Artificial Intelligence, 2010, 174(15): 1142-1171.

Secure control plane for SDN using Bayesian Stackelberg games

LU Zhen-ping, CHEN Fu-cai, CHENG Guo-zhen

(National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450002, China)

A dynamic scheduling controller in SDN control layer was proposed by dynamically transform heterogeneous controlled in order to increase the difficulty of the attacker. Firstly, a dynamic scheduling method based on Bayesian Stackelberg games the attacker and defender were game participation on both sides, obtained the equilibrium, which guided the scheduling strategy. Secondly, introducing a self-cleaning mechanism, it improved the gain of the control layer security combined with game strategy form closed-loop defense mechanism. The experiments described quantitatively based on the game strategy compared with traditional safety control layer to deploy a single controller and adopt the strategy of random scheduling profit gain of the controller, and self-cleaning mechanism could make the control plane to be in a higher level of security.

software defined networking, network security, Bayesian Stackelberg games, controller

TP309

A

10.11959/j.issn.2096-109x.2017.00211

盧振平（1992-），男，河南商丘人，國家數(shù)字程控交換系統(tǒng)工程技術研究中心碩士生，主要研究方向為軟件定義網絡、網絡先進防御。

陳福才（1974-），男，江西南昌人，碩士，國家數(shù)字程控交換系統(tǒng)工程技術研究中心研究員，主要研究方向為電信網關防、網絡安全。

程國振（1986-），男，山東菏澤人，博士，國家數(shù)字程控交換系統(tǒng)工程技術研究中心助理研究員，主要研究方向為云數(shù)據(jù)中心、軟件定義網絡、網絡安全。

2017-05-10；

2017-09-20。

盧振平，13203728376@163.com

國家自然科學基金創(chuàng)新群體基金資助項目（No.61521003）；國家重點研發(fā)計劃基金資助項目（No.2016YFB0800100, No.2016YFB0800101）；國家自然科學基金青年基金資助項目（No.61309020）；國家自然科學基金青年基金資助項目（No.61602509）

The Foundation for Innovative Research Groups of the National Natural Science Foundation of China (No.61521003), The National Key R&D Program of China (No.2016YFB0800100, No.2016YFB0800101), The National Natural Science Foundation of China (No.61309020), The National Natural Science Foundation of China (No.61602509)