SDN-RDCD: A Real-Time and Reliable Method for Detecting Compromised SDN Devices

abstract

SDN 面临很多安全挑战，例如SDN控制器和交换机劫持。本文提出了在交换机和控制器都不可信的环境下实时监测受损SDN设备。本文的主要思想就是设置一个审计控制器，用于①审计从主控制器交换机收集到的更新事件；②检测异常事件从而判断出受损的设备。异常事件就是主控制器审计控制器以及交换机行为和期待（计算）的不同。
另外heterogeneous审计控制器这个概念提出用于避免和主控制器一样的脆弱性问题（单点故障）。

I. introduction

现在的SDN架构可能会遭受安全攻击，受损设备存在监控可信通信，阻碍正常管理，破坏基础架构这些问题。因此有必要实时监测受损的SDN设备。

首先基于原有的两种角色-master 和 slave上，提出一个新的角色auditor控制器，auditor是从slave中选出。

从master controller和switch中分别收集信息。
master：update request。一个合法的更新请求分配一个唯一ID。master对应ID的执行结果镜像到对应的审计控制器。

switch：发送①来自master的网络更新指令②state update。

审计控制器会创造审计记录：包含ID,请求，执行结果，审计控制器自己执行的结果（re-execute result）交换机给的两种消息。

创新点：
①提出了交换机和控制器都不可信环境下检测受损SDN设备。
②提出了审计控制器，收集网络信息，低负载实现检测
③基于现在SDN设备提出了假设，展示了相应的算法，介绍了实现细节。
④使用理论证明以及实验结果验证假设方法。

II. detection of compromised SDN devices.

A. SDN paradigm-不多介绍
B. 受损设备导致的安全威胁
C Problem Definition and Motivation

SDN device is compromised or not: 传统网络中需要判断是否他的转发行为偏离路由协议。但是SDN可编程介入使得他的行为模型不只是有限的几种，SDN中一个判断方法就是验证网络事件是否按照期待的方式处理。所有的网络事件都可以被解耦成一系列的网络更新事件。

网络更新时间开始于一个请求，控制器执行请求，下发指令给交换机，我们可以对比执行结果和期待结果发现受损设备。难点在于如何获取期待数据。

III. the proposed method: SDN-RDCD

A. threat model

交换机和控制器都不可信，假定攻击者可能劫持一组交换机和控制器的结合，并且完全控制了设备。
攻击者可以指示受损设备以及劫持的控制器下的交换机随意改变状态，
既定至少一个交换机以及至少一个相关的审计控制器是诚实的。

B. principles

需要收集（1）网络更新请求，（2）master关于请求的执行结果（3）交换机收到的网络更新指令（4）交换机的每个状态更新。