Construção de caminhos causais em redes definidas por software

Abstract

As redes corporativas atuais são compostas de diversos equipamentos e aplicações. O aumento da escala de uma rede corporativa faz com que as interações entre as aplicações se tornem mais complexas e envolvam diversos elementos de hardware e software, como: enlaces, switches, roteadores, servidores e sistemas operacionais. Consequentemente, determinar corretamente quais elementos foram utilizados no processamento de uma requisição nesse ambiente se torna uma tarefa extremamente desafiadora. Diferentes técnicas de como determinar os elementos de hardware e software utilizados no processamento das requisições foram propostas na literatura. Esses elementos são agrupados em um conjunto denominado caminho causal. As técnicas de construção de caminhos causais são incorporadas em ferramentas de detecção de anomalias. Essas ferramentas detectam falhas ou sobrecargas nos elementos dos caminhos causais. Além disso, essas ferramentas são divididas em dois grandes grupos: as intrusivas e as não intrusivas. A principal diferença entre os grupos é que nas intrusivas as aplicações precisam ser modificadas para se inserir informações de controle, enquanto nas não intrusivas não há essa necessidade. O objetivo comum, entretanto, é mapear o caminho causal de uma requisição. Todas as ferramentas de construção de caminhos causais e, consequentemente, para detecção de anomalias até então conhecidas foram concebidas para a arquitetura atual da Internet. Essa arquitetura tem sido fortemente criticada por ser de difícil alteração e evolução, sendo inclusive rotulada de ossificada por alguns pesquisadores. O novo paradigma de Rede Definida por Software (SDN - Software Defined Network) foi proposto para contornar os problemas da arquitetura atual da Internet. SDN proporciona a dissociação entre o plano de controle e o plano de dados, permitindo que elementos externos de software exerçam funções do plano de controle e alterem o comportamento do plano de dados. Este trabalho propõe S-Trace, uma ferramenta não intrusiva de construção de caminhos causais que explora aspectos positivos das ferramentas de construção de caminhos causais e de detecção de anomalias intrusivas e não intrusivas, além da separação de planos fornecida por SDN. S-Trace intercepta chamadas de função de bibliotecas para correlacionar os eventos de comunicação inter-processo (IPC - Inter-Process Communication) utilizados ao processar uma requisição. Além disso, S-Trace explora a separação de planos de SDN para realizar a reprodução de tráfego de rede e, assim, aprimorar os caminhos causais construídos. Os resultados da avaliação mostram que S-Trace constrói caminhos causais corretamente, capturando o comportamento das aplicações ao processar as requisições. A avaliação utilizou duas aplicações que abrangem grande parte dos diferentes modelos de implementação utilizados pelas aplicações distribuídas de rede. Durante a avaliação, S-Trace foi capaz de construir caminhos causais mesmo na presença de falhas e de dispositivos NAT que modificam os endereços IP das conexões das requisições, fatores que dificultam significativamente a construção dos caminhos.

ABSTRACT - Today’s enterprise networks are composed of several devices and applications. The increase in scale of an enterprise network makes the interactions between applications more complex because they may include a significantly large number of hardware and software elements, such as links, switches, routers, servers and operating systems. Consequently, correctly determining the elements used in processing a request in this environment becomes an extremely challenging task. Several techniques to determine the hardware and software elements used to process a request have been proposed in the literature. These elements are grouped into a set called causal path. Techniques for building causal paths are incorporated in anomaly detection tools in order to detect faults and overloads on elements of the causal paths. These tools are divided into two major groups: intrusive and non-intrusive. The main difference between the groups is that the intrusive tools modify applications to insert control information, while non-intrusive ones do not. However, the common goal is to build the causal path of a request. Tools for building causal paths and, consequently, detecting anomalies were designed for the current Internet architecture. This architecture has been heavily criticized for being difficult to change and evolve, even being labeled as “ossified” by some researchers. The new paradigm of Software Defined Networking (SDN) was proposed to overcome the problems of the current Internet architecture. SDN provides a decoupling between control and data planes, allowing external software elements to perform functions of the control plane and to modify the behavior of the data plane. This paper proposes S-Trace, a non-intrusive tool for building causal paths that explores the positive features of intrusive and non-intrusive tools for anomaly detection and the separation of planes provided by SDN. S-Trace intercepts library function calls to correlate Inter-Process Communication (IPC) events used to process a request. Moreover, S-Trace explores the control and data plane decoupling of SDN to replay network traffic for improving the causal paths constructed. The evaluation results show that S-Trace builds correct causal paths which capture the behavior of the applications during the processing of a request. The evaluation uses two applications that cover a large spectrum of implementation models used for building distributed applications. During evaluation, S-Trace was able to build the causal paths even with fault injection and in the presence of techniques that modify the IP addresses of a connection like NAT, issues that make the building process much harder.