何贊園 王凱 牛犇 游偉 湯紅波

摘 要：隨著虛擬化技術的發(fā)展，同駐攻擊成為竊取用戶敏感信息的重要攻擊手段。針對現(xiàn)有虛擬機動態(tài)遷移方法對同駐攻擊反應的滯后性，在5G網絡切片背景下，提出了一種基于安全威脅預測的虛擬網絡功能遷移策略。首先，通過隱馬爾可夫模型（HMM）對網絡切片運行安全進行建模，利用多源異構數(shù)據信息對網絡安全威脅進行威脅預測;然后，根據安全預測結果，采用相應的虛擬網絡功能遷移策略遷移以使遷移開銷最小。仿真實驗結果表明：利用HMM能對安全威脅進行有效的預測，同時該遷移策略能夠有效減少遷移開銷與信息泄漏時間，具有較好的同駐攻擊防御效果。

關鍵詞：網絡切片;安全威脅;遷移;同駐攻擊

中圖分類號： TN915.81

文獻標志碼：A

Abstract： With the development of virtualization technology， co-resident attack becomes a common means to steal sensitive information from users. Aiming at the hysteresis of existing virtual machine dynamic migration method reacting to co-resident attacks， a virtual network function migration strategy based on security threat prediction in the context of 5G network slicing was proposed. Firstly， network slicing operation security was modeled based on Hidden Markov Model （HMM）， and the network security threats were predicted by multi-source heterogeneous data. Then according to the security prediction results， the migration cost was minimized by adopting the corresponding virtual network function migration strategy. Simulation experimental results show that the proposed strategy can effectively predict the security threats and effectively reduce the migration overhead and information leakage time by using HMM， which has a better defense effect against co-resident attack.

Key words： network slicing; security threat; migration;co-resident attack

0 引言

隨著移動通信網絡的發(fā)展，爆炸式的流量增長以及多樣化業(yè)務需求的出現(xiàn)，現(xiàn)行的網絡架構EPC（Evolved Packet Core）難以滿足多樣化的應用場景，第五代移動通信（5G）應運而生。網絡切片技術是5G中解決多樣化應用場景的關鍵技術之一，是在網絡功能虛擬化技術的基礎上，將多個虛擬網絡功能（Virtual Network Function， VNF）根據用戶需求進行動態(tài)裁剪、編排并部署，形成相互獨立的虛擬網絡，進而為用戶提供定制化的網絡服務[1-2]。網絡功能虛擬化技術可有效增強5G網絡的靈活性和彈性，有效降低資本支出和運營成本，但由于不同的網絡切片共享相同的網絡基礎設施，導致網絡切片容易受到嗅探攻擊[3]、跨虛擬機攻擊[4]和側信道攻擊[5-7]等同駐攻擊的威脅，從而引發(fā)用戶敏感信息泄露等問題。

面對虛擬化中的同駐攻擊威脅，一般的應對策略有三種：1）修改物理主機硬件，將CPU、內存等資源單獨使用，實現(xiàn)物理隔離。這種方式從根本上解決了同駐攻擊的威脅，但由于物理隔離使資源不再共享，違背了虛擬化的初衷，同時導致大量的資源浪費和網絡僵化等問題。2）通過設置超級管理者防御、操作系統(tǒng)防御等方法[8-9]來防御和消除側信道攻擊等安全威脅。文獻[10-11]中提出了對側信道攻擊威脅的消除方法，但這些方法需要對當前云平臺進行修改，無法立即部署，并且往往只能防御特定類型的側信道攻擊。3）利用移動目標防御的思想，將虛擬網絡功能或虛擬機（Virtual Machine， VM）進行遷移。文獻[12]中證明，利用虛擬機遷移可以有效對同駐攻擊進行防御，同時增加攻擊者進行同駐攻擊的難度。

目前在云計算和互聯(lián)網中，針對虛擬機安全的遷移方法主要有：通過動態(tài)遷移虛擬機來減少虛擬機共存時間，減少攻擊者可能竊取的信息量，使攻擊者無法成功獲取目標的完整信息[9];遷移前對虛擬機設置安全等級，在發(fā)生安全問題時，只對高安全和中安全等級的虛擬機進行遷移，可以有效減少虛擬機遷移數(shù)量，降低虛擬機遷移算法的收斂時間和遷移開銷[13];通過計算虛擬機受到側信道攻擊的可能性，提出一種虛擬機受攻擊可能性最低的部署策略，以實現(xiàn)虛擬機對側信道攻擊的防御[14]?，F(xiàn)有的虛擬機動態(tài)遷移方法雖然在一定程度上能對同駐攻擊進行防御，但都是在安全攻擊發(fā)生后對虛擬機進行遷移，這種對安全威脅反應的滯后性，往往造成被攻擊對象的部分信息已被竊取，防御效果不理想。針對現(xiàn)有方法的局限性，本文在5G網絡切片中提出一種基于安全威脅預測的虛擬網絡功能遷移策略，該方法通過對網絡切片的運行安全狀態(tài)進行預測，在攻擊到來之前及時對虛擬網絡功能進行遷移，有效避免了由于同駐攻擊帶來的信息泄露的問題，與其他動態(tài)遷移策略相比具有更高的安全性和前瞻性。

1 網絡模型與問題描述

1.1 網絡模型

基于軟件定義網絡和網絡功能虛擬化的5G網絡架構，將原EPC架構中的網元功能進一步細化拆分，并以軟件化的形式運行在通用服務器之上，有效地提高了網絡的靈活性，同時降低了運維成本。本文主要研究虛擬網絡功能遷移的數(shù)學問題，在不失一般性的前提下，將底層網絡抽象為物理節(jié)點資源和鏈路資源。

1.2 遷移問題描述

為提高資源利用率，網絡切片在部署過程中往往將屬于不同網絡切片的虛擬節(jié)點部署在同一個網絡資源節(jié)點上。圖1為簡化的網絡切片部署示例，QV1、QV2分別為不同網絡切片部署請求，VNF旁邊的方框代表CPU資源需求（即CV），鏈路上的數(shù)字表示虛擬鏈路的帶寬需求（即BV），網絡資源節(jié)點旁邊的方框代表其CPU能力（即CP），網絡資源鏈路上的數(shù)字表示其具有的帶寬能力（即BP），在對虛擬鏈路和節(jié)點部署時，其資源需求和不能超過網絡資源具有的資源提供能力。

同駐攻擊是由于用戶和攻擊者共享同一個服務器或云節(jié)點，攻擊者利用惡意虛擬機構造不同類型的側通道，對用戶的目標虛擬機發(fā)動攻擊，竊取目標虛擬機中運行的VNF數(shù)據。針對圖1（a）中的網絡切片部署方案，不同網絡切片的虛擬網絡功能VNF1和VNF4共享網絡資源節(jié)點D，假如VNF4是一個惡意VNF，攻擊者即可通過網絡資源GP中的云節(jié)點D對VNF1發(fā)動側信道攻擊來獲取VNF1的數(shù)據信息。通過遷移，可將VNF1遷至節(jié)點B，將VNF4遷至節(jié)點G，由于側信道攻擊具有指定性和特定性，VNF4遷移至節(jié)點G后很難再利用側信道竊取節(jié)點G上的用戶隱私。

2 基于隱馬爾可夫模型的網絡安全威脅預測

在移動通信網絡中，有害的VNF可通過同駐相同的物理服務器對目標虛擬機發(fā)起虛擬機串通和信息復制，從而獲取目標虛擬機的相關信息（如信令處理時間、功率消耗等）來破解信令傳遞中的密鑰。5G網絡支持異構接入，導致利用單一數(shù)據源進行安全預測已不可靠。在5G網絡中，利用軟件定義網絡（Software Defined Network， SDN）技術可獲取多源異構數(shù)據信息，進而通過隱馬爾可夫模型（Hidden Markov Model， HMM）能夠對服務器中可能發(fā)生的安全威脅進行預測。

2.1 隱馬爾可夫模型建立

隱馬爾可夫模型是一個表示可觀測變量O與隱藏變量S之間關系的隨機過程。網絡中服務器內部的安全狀態(tài)（隱藏變量）是不可知的，而大量多源異構的狀態(tài)信息（如服務器中VM狀態(tài)信息、VM請求信息、入侵檢測系統(tǒng)（Intrusion Detection System， IDS）報警信息等）是可觀測的（可觀測變量），因而移動通信網中的安全具有隱馬爾可夫特性，利用隱馬爾可夫模型可以很好地解決網絡的安全問題。圖2為隱馬爾可夫預測流程。

3 基于安全威脅預測的網絡功能遷移算法

3.1 遷移說明

為保證網絡切片的虛擬網絡功能遷移后的安全性，防止頻繁地進行功能遷移，在遷移中引入安全信任值[17]的概念。信任安全作為網絡安全中的“軟安全”技術相比傳統(tǒng)安全技術（如加密技術、防火墻）具有更高的靈活性以及前瞻性，本文利用安全信任值來量化網絡資源的安全可信程度[18-19]，安全信任值在0～1，值越大，表明越安全可信。網絡資源在具有越安全的資源鏈接管理、越高水平的安全映射機制、越多的安全保護機制等安全條件下，其安全信任值就越高。SPi表示底層資源節(jié)點nPi上的安全信任值，RVi和SVi分別表示虛擬網絡功能fVi對網絡資源的安全信任需求和自身的安全信任值（VNF漏洞、后門出現(xiàn)的可能性越小，安全信任值就越高）。為保證VNF遷移的安全性，在遷移時應滿足以下兩點安全約束條件：

1）網絡資源節(jié)點的安全信任值不能低于遷移在其上的VNF安全信任值需求，防止VNF遷移到安全性較低的資源節(jié)點上;

2）在已部署VNF的網絡資源節(jié)點上遷移新的VNF，新的VNF自身的安全信任值不得低于已部署VNF的安全信任值，防止不安全的VNF利用共享的網絡資源對其他VNF進行攻擊。

利用二元數(shù)值ρ∈{0，1}作為決策變量來描述VNF和虛擬鏈路與底層網絡資源之間的遷移關系：ρt（fVi， j）=1表示虛擬網絡功能fVi在t時刻遷移到底層網絡資源節(jié)點nPj上，否則為0;ρt（eVst，lv）=1表示虛擬鏈路eVst在t時刻遷移到底層網絡資源鏈路ePlv上，否則為0。

3.2 優(yōu)化目標和約束條件

在對網絡安全成功預測后，為保證網絡切片提供商的利潤最大化，要使遷移成本最小化。在進行虛擬網絡功能遷移時，以最小化遷移成本作為遷移目標，引入了資源和安全信任值的遷移約束條件，建立虛擬網絡功能遷移的數(shù)學模型。

5 結語

在5G網絡切片背景下，針對現(xiàn)有的虛擬機動態(tài)遷移方法對同駐攻擊防御的滯后性，提出了一種基于安全威脅預測的虛擬網絡功能遷移策略。該遷移策略首先利用隱馬爾可夫模型對網絡切片運行進行預測建模，通過可觀測的多源異構信息對網絡切片安全進行有效預測。通過安全威脅預測后，以最小化遷移成本作為優(yōu)化目標建立了虛擬網絡功能遷移模型，同時設計了一種NSFM算法進行求解。仿真實驗結果表明，所提的隱馬爾可夫模型能有效預測網絡切片的安全狀態(tài);NSFM算法相比其他算法，能提前對虛擬網絡功能進行遷移，同時在保證安全的前提下，能有效降低遷移開銷，具有較好的同駐攻擊防御效果。此外，實際應用的結果表明，本文提出的遷移策略能夠滿足電信級的指標要求，且能夠滿足未來5G的相關指標要求。

參考文獻：

[1] FOUKAS X， PATOUNAS G， ELMOKASHFI A， et al. Network slicing in 5G： survey and challenges [J]. IEEE Communications Magazine， 2017， 55（5）： 94-100.

[2] ORDONEZ-LUCENA J， AMEIGEIRAS P， LOPEZ D， et al. Network slicing for 5G with SDN/NFV： concepts， architectures， and challenges [J]. IEEE Communications Magazine， 2017， 55（5）： 80-87.

[3] FISCHER A， de MEER H. Position paper： secure virtual network embedding [J]. Praxis der Informationsverarbeitung und Kommunikation， 2011， 34（4）： 190-193.

[4] ALJUHANI A， ALHARBI T. Virtualized network functions security attacks and vulnerabilities [C]// Proceedings of the 2017 IEEE 7th Annual Computing and Communication Workshop and Conference. Piscataway， NJ： IEEE， 2017： 1-4.

[5] IRAZOQUI G， EISENBARTH T， SUNAR B. SMYMA： a shared cache attack that works across cores and defies VM sandboxing — and its application to AES [C]// Proceedings of the 2015 IEEE Symposium on Security and Privacy. Piscataway， NJ： IEEE， 2015： 591-604.【未查到

[6] LIU F， YAROM Y， GE Q， et al. Last-level cache side-channel attacks are practical [C]// Proceedings of the 2015 IEEE Symposium on Security and Privacy. Piscataway， NJ IEEE， 2015： 605-622.

DOI： 10.1109/SP.2015.43

[7] NAHAPETIAN A. Side-channel attacks on mobile and wearable systems [C]// Proceedings of the 2016 IEEE 13th Consumer Communications & Networking Conference. Piscataway， NJ： IEEE， 2016： 243-247.

[8] VARADARAJAN V， RISTENPART T， SWIFT M. Scheduler-based defenses against cross-VM side-channels [C]// Proceedings of the 23rd USENIX Conference on Security Symposium. Berkeley， CA： USENIX Association， 2014： 687-702.

[9] MOON S-J， SEKAR V， REITER M K. NOMAD： mitigating arbitrary cloud side channels via provider-assisted migration [C]// Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. New York： ACM， 2015： 1595-1606.

[10] VATTIKONDA B C， DAS S， SHACHAM H. Eliminating fine grained timers in Xen [C]// Proceedings of the 3rd ACM Workshop on Cloud Computing Security Workshop. New York： ACM， 2011： 41-46.

[11] WU J， DING L， LIN Y， et al. XenPump： a new method to mitigate timing channel in cloud computing [C]// Proceedings of the 2012 IEEE Fifth International Conference on Cloud Computing. Washington， DC： IEEE Computer Society， 2012： 678-685.

[12] HAN Y， CHAN J， ALPCAN T， et al. Using virtual machine allocation policies to defend against co-resident attacks in cloud computing [J]. IEEE Transactions on Dependable & Secure Computing， 2017， 14（1）： 95-108.

[13] 趙碩，季新生，毛宇星，等.基于安全等級的虛擬機動態(tài)遷移方法[J].通信學報，2017，38（7）：165-174. （ZHAO S， JI X S， MAO Y X， et al. Research on dynamic migration of virtual machine based on security level [J]. Journal on Communications， 2017， 38（7）： 165-174.）

[14] BASS T. Intrusion detection systems and multisensor data fusion [J]. Communications of the ACM， 2000， 43（4）： 99-105.

[15] 龔正虎，卓瑩.網絡態(tài)勢感知研究[J].軟件學報，2010，21（7）：1605-1619. （GONG Z H， ZHUO Y. Research on cyberspace situational awareness [J]. Journal of Software， 2010， 21（7）： 1605-1619.）

[16] HUO Q， CHAN C， LEE C H. Bayesian adaptive learning of the parameters of hidden Markov model for speech recognition [J]. IEEE Transactions on Speech and Audio Processing， 1995， 3（5）： 334-345.

[17] 牛犇，游偉，湯洪波.基于安全信任的網絡切片部署策略研究[J/OL].計算機應用研究，2019 [2018-04-06]. http：//www.arocmag.com/article/02-2019-02-043.html. （NIU B， YOU W， TANG H B. Research on network slicing deployment strategy based on security trust [J/OL]. Application Research of Computers， 2009 [2018-04-06]. http：//www.arocmag.com/article/02-2019-02-043.html.

[18] 汪京培，孫斌，鈕心忻，等.基于可信建模過程的信任模型評估算法[J].清華大學學報（自然科學版），2013，53（12）：1699-1707. （WANG J P， SUN B， NIU X X， et al. A trust model evaluation algorithm based on trusted modeling process [J]. Journal of Tsinghua University （Science and Technology）， 2013， 53（12）： 1699-1707.

[19] 孟順梅.云計算環(huán)境下可信服務組合及其關鍵技術研究[D].南京：南京大學，2016：20-43. （MENG S M. Trusted service composition and its key technologies in cloud environment [D]. Nanjing： Nanjing University， 2016： 20-43.）

[20] SHAO W， HU W， HUANG X. A new implicit enumeration method for linear 0-1 programming [C]// Proceedings of the 2008 International Workshop on Modelling， Simulation and Optimization. Washington， DC： IEEE Computer Society， 2008： 298-301.

[21] GEOFFRION A M. An improved implicit enumeration approach for integer programming [J]. Operations Research， 1969， 17（3）：437-454.

[22] 王軍，李端.多項式0-1規(guī)劃中隱枚舉算法的改進及應用[J].系統(tǒng)工程理論與實踐，2007，27（3）：21-27. （WANG J， LI D. A new implicit enumeration method for polynomial 0-1 programming and applications [J]. System Engineering — Theory & Practice， 2007， 27（3）： 21-27.）

[23] HARRINGTON P. Machine learning in Action [M]. Greenwich， CT： Manning Publications Co.， 2012： 15-31.

[24] ZHAO Y M， LO S， ZEGURA E， et al. Virtual network migration on the GENI wide-area SDN-enabled infrastructure [C]// Proceedings of the 2017 IEEE Conference on Computer Communications Workshops. Piscataway， NJ： IEEE， 2017：265-270.