云外包NFV网络异常检查

外包到云的NFV网络服务中的异常检查穆巴拉克·祖尔引用此版本：穆巴拉克·祖雷。检查外包到云的NFV网络服务中的异常。编程语言[cs.PL]。波尔多大学，2022年。法语。NNT：2022BORD0075。电话：03633869HAL ID：电话：03633869https://theses.hal.science/tel-036338692022年4月7日提交HAL是一个多学科的开放存取档案馆，用于存放和传播科学研究论文，无论它们是否被公开。论文可以来自法国或国外的教学和研究机构，也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire为获得学位而提交的论文博士L’UNIVERSITÉ DE数学与计算机科学博士学院（EDMI）计算机科学专业[美]穆巴拉克·祖尔著外包到云的NFV网络服务中的异常检查导演：Toufik AHMED联合导演：Laurent REVEILLERE支持日期：2022年3月18日评审团成员：M. DRIRA，Khalil图卢兹CNRS研究总监主席/审查员M. André-Luc BEYLOT INP-ENSEEIHT教授报告员M. BROMBERG，David雷恩大学教授1报告员M. AHMED，波尔多大学Toufik教授博士生导师M. Réveillère，Laurent波尔多大学教授论文联合主任iii标题：云外包NFV网络服务中的异常检查摘要网络功能虚拟化（NFV）正在改变企业部署、维护和发展网络服务的方式。借助NFV，企业可以将各种网络功能（如路由器、防火墙、负载平衡器）部署为在廉价标准服务器上运行的软件实例。通过采用这种新方法，公司越来越多地将其网络服务外包到云，最终获得云计算的好处，包括高可用性、降低成本和然而，由于对云缺乏信心，许多公司对采用这种新方法犹豫不决这种不情愿的原因是云的不透明性因此，考虑将违反网络服务规范会严重损害公司的业务成功和因此，将在本文中，我们认为系统的网络服务验证仍然是解决企业对云缺乏信任的关键。验证包括检查网络服务的状态以检测网络服务异常或评估网络服务的状态是否符合其规范。因此，通过验证机制，组织可以预测和检测规范违规（也称为网络服务异常），进行补救，并向云提供商（NFV）索赔。本文在云外包网络服务验证的背景下提供了几个贡献 结合此分类法，我们还分析了网络服务异常对关键服务属性（如机密性、完整性和性能）的负面影响作为第二个贡献，我们引入了VeriNeS，这是一个检查系统，用于观察NFV Orchestra的行为通过拦截NFV Orchestrator发出的configures命令，VeriNeS构建所有网络服务的全局状态，而不是每个网络服务的状态。通过这种方法，VeriNeS克服了NFV体系结构的主要限制VeriNeSivs’intègre à l’architecture NFV sans besoin de modifier les composants existants et répond aux requêtesde vérification en un temps acceptable pour des scénarios réels de关键词：NFV，验证，异常，网络服务，外包，编排，云计算。v基于NFV的网络服务外包到云的异常验证摘要网络功能虚拟化（NFV）正在颠覆企业部署、维护和扩展其网络服务的方式。借助NFV，企业可以将各种网络功能（如路由器、防火墙和负载平衡器）部署为在商用现成服务器上运行的软件实例通过采用这种新方法，企业越来越多地将其网络服务外包给云，最终获得了云计算的回报，其中包括高可用性、低成本和理论上无限的资源。然而，由于缺乏对云的信任，许多公司不愿意采用这种新方法这种不情愿源于云的不透明性、云提供商的不诚实行为风险以及来自内部或外部的攻击风险。因此，考虑将其网络服务外包到云的公司很遗憾地无法保证其网络服务将满足其规范。违反网络服务规范会对企业的业务成功和形象造成极大的损害，因为这些违反会危及其安全性、服务质量和弹性目标。因此，将网络服务外包到云首先需要在企业和云之间建立信任。在本文中，我们认为网络服务的系统验证仍然是解决企业对云缺乏信任的关键。验证涉及面对网络服务状态以检测网络服务异常或评估网络服务状态与其规范的符合性。因此，通过验证机制，公司可以预测和检测规范违规行为，即网络服务异常，修复它们，并向云NFV提供商索赔。本文在验证面向云的外包网络服务的背景下提出了几点贡献。首先，我们提出了一种可能在NFV环境中出现的网络服务异常的分类法结合该分类法，我们分析了网络服务异常对关键服务属性（如机密性、完整性和性能）的负面影响。作为第二个贡献，我们引入了VeriNeS，这是一个检查系统，可以观察NFV Orchestator的行为，以检测网络服务异常。通过拦截NFVOrchestator发出的配置命令，VeriNeS构建所有网络服务的全局状态，而不是每个网络服务的单个状态通过这种方法，VeriNeS克服了NFV体系结构的主要限制，包括缺乏将网络服务的状态与其各自的所有者相关联的细节。VeriNeS与NFV架构集成，无需修改现有组件，并在现实世界部署场景的可接受时间框架内响应验证请求。vi关键词：NFV、验证、异常、网络服务、外包、编排、云计算。研究单位LaBRI（波尔多计算机科学研究实验室）UMR 5800 - 351 Cours de Libération，33405Talencevii谢谢你我把这篇论文献给Micheline，我感谢所有以这样或那样的方式为完成这篇论文做出贡献的人感谢我的两位论文共同导师Laurent Réveillère教授和Toufik AHMED教授感谢Micheline YAGO，我的未婚妻，她给了感谢我的家人在我攻读博士学位的这些感谢Kabongo MAMBA先生，他在我的论文过程中一直是我的精神支持。感谢Tidiane SYLLA谢谢大家。viiiix目录摘要三摘要V图十二表表十三列表首字母缩略词xiv出版物列表十六1引言11.1将网络功能外包到云11.2采用NFV 2的障碍.......................................................................................................................1.3系统验证31.4贡献41.5论文的组织52将网络服务外包到云72.1传统网络及其局限性72.1.1传统网络的特点72.1.2传统网络的局限性82.2网络功能虚拟化（NFV）：一种新的网络范式......................................................................2.3NFV 12的架构框架.....................................................................................................................2.4NFV需要13个性能2.5NFV 14网络服务的规范和编排2.6当NFV与云计算2.6.1云计算简介162.6.2云计算作为NFV 18的2.6.3云：网络功能的新竞争环境192.7将................................................................................................................................................2.8结论213NFV 23中的网络服务异常3.1导言233.2网络服务异常的潜在原因243.2.1NFV环境中网络服务异常的作者......................................................................................3.2.2NFV 26的攻击面.................................................................................................................3.2.3网络服务异常的一般定义273.3NFV 28中的网络服务异常分类x3.3.1拓扑异常283.3.2路由图异常........................................................................................................................3.3.3VNF的异常323.3.4流量过滤异常343.3.5SLA 34的异常3.3.6资源分配异常....................................................................................................................3.3.7缩放异常37个3.3.8网络服务异常及其影响摘要373.4NFV中的网络服务验证：最新技术水平..................................................................................3.4.1验证技术的选择标准393.4.2传输路径验证403.4.3VNF 43的软件完整性验证.................................................................................................3.4.4验证....................................................................................................................................3.4.5SLA 49的验证3.4.6VNF 50的地理位置验证.....................................................................................................3.5差距分析和未来研究方向523.6结论554VeriNeS：验证...................................................................................................................................4.1导言584.2网络服务的供应604.2.1场景604.2.2服务的部署614.3威胁模型634.4VeriNeS 65的设计4.4.1问题的形式化654.4.2接近VeriNeS 674.5验证模型684.6VeriNeS 70的设计与实现4.6.1系统设计704.6.2VeriNeS 70的实施4.7评估714.7.1验证模型的验证724.7.2验证时间734.8相关工作74xi4.8.1上下文外验证NFV744.8.2NFV 76背景下的验证4.9结论765一般结论和展望795.1贡献摘要795.2观点806参考书目83xii图表图2.1：企业中使用的网络功能类型分布[25] 7图2.2：网络设备的通用架构8图2.3：传统网络方法在整个网络服务生命周期中的缺点................................................................. 8图2.4：传统网络方法与NFV方法的比较............................................................................................ 11图2.5：NFV的体系结构参考框架 [36]................................................................................................. 12图2.6：云堆栈上的用户责任级别，取决于服务模型....................................................................... 16图2.7：AWS的全球云基础设施图2.8：MicrosoftAZURE的云网络服务产品 [62]................................................................................. 20图3.1：NFV中........................................................................................................................................ 28图3.2：四种拓扑................................................................................................................................... 29图3.3：传输路径异常30图3.4：流分类器异常31图3.5：不同Docker映像版本的Nginx攻击面差异.............................................................................. 33图3.6：验证的一般示意图39图4.1：将企业网络服务外包到云的示例部署方案来自桌面用户和远程用户的流量遵循不同的传输路径。............................................................................................................................................ 60图4.2：遵循ETSI定义的标准并由开源MANO实现的网络服务规范摘录。..................................... 61图4.3：网络服务............................................................................................................................................................... 62图4.4：NFV Orchestra（OpenSourceMano）和虚拟化基础架构管理器（OpenStack）之间为部署网络服务而交换的HTTP消息示例。............................................................................................................................................................... 64图4.5：部署网络服务拓扑的示例工作流66图4.6：VeriNeS...................................................................................................................................... 67图4.7：网络服务拓扑表示模型68图4.8：路由图图4.9：VeriNeS架构及其与NFV 71架构的集成图4.10：验证时间74xiii表列表表1.1：每份稿件中涉及的研究问题5表3.1：网络服务异常对安全和服务质量目标的负面影响............................................................... 38表3.2：参考文献表3.3：传输路径验证的代表性工作比较43表3.4：软件完整性验证的代表性工作比较表3.5：SLA 50表3.6：NFV网络服务异常验证领域的差距分析。............................................................................ 52表4.1：OpenStack API公开的配置命令示例.......................................................................................表4.2：VeriNeS验证的7个异常列表。................................................................................................ 66表4.3：ω =1000的网络服务异常检测率 72xiv首字母缩略词首字母缩略词含义翻译成法语ACL访问控制列表访问控制列表AMD SEVAMD安全加密虚拟化AMD的安全加密虚拟化API应用程序编程接口应用程序编程接口应用程序澳大利亚隐私原则澳大利亚隐私保护原则ASIC特定应用集成电路特定于应用的AWSAmazon Web服务BSS业务支持系统商业支持系统CCPA加州消费者隐私法加利福尼亚州消费者核心排名澳大拉西亚计算机研究与教育协会排名协会的分类系统澳大利亚计算机科学CVE常见漏洞和暴露当前的脆弱性和风险CVSS通用漏洞评分系统常见漏洞的评级系统DPDK数据平面开发套件数据计划开发工具包ERP企业资源规划公司资源的规划ETSI欧洲电信标准协会欧洲电信标准协会ETSI GSETSI组规范ETSI规范组FPGA现场可编程光栅现场可编程门网络GCPGoogle云平台GPU图形处理单元图形处理HIPAA《健康保险流通和责任法》关于健康国际会计准则基础架构即服务基础架构即服务IDS入侵检测系统入侵检测系统的设计IMALinux完整性测量体系结构Linux完整性度量体系结构英特尔SGX英特尔软件防护扩展英特尔软件保护的扩展IPS入侵防护系统入侵防御系统的设计ISO国际标准化国际标准化KVM基于内核的虚拟机基于内核纳阿斯网络即服务网络即服务NAT网络地址转换网络地址转换NFV网络功能虚拟化网络功能的虚拟化NFV MANONFV管理和编排NFV的管理和编排NfviNFV基础设施NFV基础架构NFVONFV管弦乐器NFV管弦乐器NIST美国国家标准与技术研究国家标准与技术研究所NPU网络处理单元网络计算单元绿洲结构化信息标准促进结构xvPDOOpenDataPlanexvi操作系统操作系统操作系统操作系统OSM开源MANOOSS操作支持系统操作支持系统PAAS平台即服务平台即服务PCI DSS信用卡行业数据安全标准支付卡行业的安全标准聚合酶平台配置寄存器平台配置寄存器QoS服务质量服务质量其余代表性状态转移表征状态的转移GDPR《一般数据萨斯软件即服务软件即服务SAS 70审计准则声明第70号审计准则声明第70号SDN软件定义的网络软件定义的网络SLA服务水平协议服务级别合同SMT可满足性模理论理论的模可满足性TCAM三元内容可寻址存储器具有三元托斯卡云应用程序云应用程序的拓扑规范和规范TPM可信平台模块可信平台模块VIM虚拟化基础架构管理器虚拟化基础架构经理VM虚拟机虚拟机VNF虚拟化网络功能虚拟化网络功能VNFMVNF管理器VNF经理XSS跨站点脚本站点间脚本xvii出版物列表国际出版物o穆巴 拉克·祖雷、图菲克·艾哈迈德和洛朗 ·雷韦耶尔。（2021年3月）。VeriNeS：外包网络服务编排的运行时验证。在第36届ACM应用计算年度研讨会论文集（第1138-1146）。https://doi.org/10.1145/3412841.3441988o穆巴拉克·祖雷、图菲克·艾哈迈德和洛朗·雷韦耶尔。（2022年1月）。NFV中的网 络 服 务 异 常 ： 调 查 、 分 类 和验 证 方 法 。 IEEE 网 络 和 服 务 管 理 学 报 。https://doi.org/10.1109/TNSM.2022.3144582国家出版物o穆巴拉克·祖雷、图菲克·艾哈迈德和洛朗·雷韦耶尔。（2019年）。云环境中服务功能链的完整性认证摘要文件，指南针2019。o穆巴拉克·祖雷、图菲克·艾哈迈德和洛朗·雷韦耶尔。（2019年）。云环境中的网络服务完整性证书。海报，指南针2019xviii1第一章1 简介1.1 将网络功能外包到云云的大规模采用云迁移正在加速[1]。这是一种    L’exemple emblématique en la matière est celui de Netflixqui a misé sur la stratégie du «2016年1月，这家跨国公司宣布关闭其最后一个数据中心，并在AWS基础设施中运行云[5]提供了一系列计算资源（计算、存储、网络），这些资源已成为水、电和天然气等商品[6]换句话说，企业从云提供商处按需采购资源，同时将管理这些资源的责任从自己身上转移开，因此，通过利用云，企业可以将其资本支出替换此外，云提供了高可用性服务，推动并加速了创新，并使企业能够在几分钟内在全球范围内Gartner预测，到2025年，85%的大型企业将把应用程序外包给云提供商[8]。D’ici 2026, 45 % du budget informatiquedes entreprises sera alloué aux investissements dans le cloud public, contre moins de 17 % en 2021将网络服务外包到云早在2012年，AT T、Orange和Verizon等主要电信公司就通过将云计算和虚拟化的概念推向极致，彻底改变了IT网络架构。这些运营商希望摆脱传统网络的局限性，这些网络僵化、难以配置、需要大量投资、依赖供应商，并需要快速发展的专业知识。与欧洲电信标准协会（ETSI）一起，他们引入了网络功能虚拟化（NFV）[10]，这是一种以软件形式实现物理网络功能[11]的范例，如路由器、负载平衡器和防火墙。虚拟化网络功能（VNF）在部署在私有云或公共云基础架构中的虚拟机（VM）中运行，例如AWS、AZURE、GCP。在这种模式下，企业正在将其虚拟机对于云提供商，NFV为业务模式铺平了道路2高度创新和盈利的[14]，如网络即服务（NaaS）[15]。AWS等大型云提供商已经提供了广泛的即插即用型VNF，例如AWS ELB（负载平衡器）、AWS传输网关（路由器）、AWS网络防火墙、AWS Route 53（DNS）和AWS Shield（拒绝服务攻击缓解器）、AWS云前端（内容交付 ） 。 因 此 ， 企 业 可 以 通 过 链 接 各 种 VNF 来 快 速 创 建 高 性 能 的 网 络 服 务 。 根 据MeticulousResearch的一项研究，到2027年，全球NFV市场预计将以每年34.9%的速度增长，达到1220亿美元1.2 采用NFV的障碍企业一致认识到通过NFV将网络功能外包到云的好处。但是，在采用这种外包之前例如，内部云程序、配置和日志文件对企业仍然不透明。因此，他们无法保证在云中部署的网络服务符合其规范。 假设一家电子商务公司要求云提供商在欧洲地区托管其VNF，以遵守GDPR（通用数据保护条例）。为了降低运营成本，云提供商可能会谨慎地将虚拟主机网络迁移到欧洲以外的数据中心。当VNF被重新安置到用户数据保护立法宽松和限制自由的地区时，这种违规行为可能会危及用户数据的隐私。此外，当欧洲法院发现这种违规行为时，他们可能会对该公司处以由于存在此类漏洞的风险，许多公司都不愿意将关键任务虚拟机外包到云。以下因素会增加违规风险，是基于云的NFV环境的典型因素：o大攻击面NFV平台依赖于从虚拟机管理程序（例如，Xen、KVM、Docker）到自动化和管理工具（例如，OpenStack、Cloudify、Chef、Ansible），包括网络隔离和数据计划加速软件OpenVswitch、DPDK、FD.io）。它的每个软件都有各种漏洞（例如，CVE-2018-15402和CVE-2020-3236），增加了对手违反公司网络服务规范的可能性