CrossCheck: Input Validation for WAN Control Systems

Dit paper introduceert CrossCheck, een systeem dat invoer in SDN-controllers voor wide area networks valideert om netwerkauitval te voorkomen door fouten tijdig te detecteren met een nulprocent vals-positief tarief, zoals aangetoond door een succesvolle productie-implementatie en simulaties.

De kern

Stel je voor dat een groot computernetwerk (zoals het internet van een grote bedrijf) een gigantisch, levend organisme is. Om dit organisme gezond te houden, hebben ze een "hoofd" nodig: een slimme computer die beslist welke weg het verkeer moet nemen. Dit noemen ze een SDN-controller.

Het probleem is dat dit hoofd soms slecht advies krijgt. Stel je voor dat je een kok bent die een recept volgt, maar iemand in de keuken heeft per ongeluk de hoeveelheid suiker in het recept veranderd. De kok maakt dan een taart die niet smaakt, terwijl hij dacht dat hij het recept perfect volgde. In netwerken gebeurt dit vaak: de controller krijgt verkeerde informatie over hoeveel verkeer er is of welke kabels nog werken. Dit leidt tot crashes, net als een taart die in de oven verbrandt.

CrossCheck is de oplossing die de auteurs van dit paper hebben bedacht. Het is als een onafhankelijke keurmeester die in de keuken staat, maar niet meekookt.

Hier is hoe het werkt, vertaald naar alledaagse taal:

1. Het probleem: "Gekke instructies"

In het verleden bleek dat veel grote netwerkontwikkelingen (uitval) veroorzaakt werden door fouten in de data die de controller kreeg.

• Voorbeeld: De controller dacht dat er een brug open was, terwijl hij eigenlijk dicht was. Of hij dacht dat er 100 vrachtwagens op een weg reden, terwijl er er 1000 waren.
• De oorzaak: De systemen die deze data verzamelen zijn zo complex (miljoenen regels code, verschillende merken routers) dat er altijd wel ergens een bugje in zit.

2. De oplossing: CrossCheck als de "Tweede Oor"

CrossCheck is een systeem dat niet de beslissingen neemt, maar wel checkt of de instructies die de controller krijgt kloppen met de werkelijkheid.

Het doet dit door te luisteren naar de "lagere" signalen van het netwerk, zoals:

• Hoeveel data er daadwerkelijk over een kabel stroomt (de tellers op de routers).
• Of de kabel fysiek nog verbonden is.
• Of de routers onderweg het verkeer goed doorsturen.

CrossCheck vergelijkt de "hoofd-instructie" (wat de controller denkt) met de "werkelijke sensoren" (wat de routers meten).

3. De slimme truc: Het "Drie-ogen-principe"

Soms zijn de sensoren zelf ook kapot of geven ze ruis (zoals een slechte microfoon). Als CrossCheck alleen naar één sensor zou kijken, zou het misschien ten onrechte alarm slaan.

CrossCheck gebruikt een slimme methode die ze "Repair" noemen. Stel je voor dat je een groep vrienden vraagt hoeveel geld er in een potje zit:

• Vriend A zegt: "€10".
• Vriend B zegt: "€10".
• Vriend C (die een bug heeft) zegt: "€1000".

Als je alleen naar C luistert, denk je dat er €1000 in zit. Maar CrossCheck kijkt naar alle signalen samen. Omdat A en B het eens zijn, en C afwijkt, begrijpt CrossCheck dat C waarschijnlijk fout zit. Het "repareert" het beeld door te zeggen: "Oké, we vertrouwen A en B, dus er zit €10 in."

Ze gebruiken zelfs nog slimmere regels, zoals: "Als er €10 in de pot gaat, moet er ook €10 uitkomen." Als dat niet klopt, weet CrossCheck dat er iets mis is.

4. Waarom is dit zo goed?

• Geen valse alarmen: Het systeem is zo slim dat het weet wanneer een afwijking gewoon "ruis" is (bijvoorbeeld door een trilling in de kabel) en wanneer het echt een fout is. In de echte wereld hebben ze 0% valse alarmen gehad. Dat betekent dat operators niet worden gestoord door onzin.
• Snelheid: Het werkt in real-time. Het duurt slechts een paar seconden om te checken of de instructies kloppen, voordat de controller een beslissing neemt.
• Groei: Hoe groter het netwerk, hoe beter CrossCheck werkt. In een klein dorpje is het lastig om een leugenaar te ontdekken als iedereen elkaar kent. In een grote stad (een groot netwerk) vallen leugens (fouten) veel sneller op omdat er zoveel meer controles zijn.

5. Het bewijs

De auteurs hebben CrossCheck vier weken lang laten draaien als een "spook-systeem" (shadow system) in een echt, groot netwerk van Google.

• Het systeem zag één echte fout opkomen (waarbij de hoeveelheid verkeer per ongeluk verdubbeld werd weergegeven). CrossCheck zag dit direct en waarschuwde.
• Het systeem zag geen fouten toen er geen fouten waren.

Conclusie

CrossCheck is als een onvermoeibare, super-slimme supervisor die in de achtergrond staat. Hij kijkt niet alleen naar wat er op papier staat (de instructies), maar kijkt ook naar wat er echt gebeurt (de sensoren). Als die twee niet matchen, slaat hij alarm voordat het netwerk crasht.

Dit voorkomt dat netwerkbureaucraten (operators) worden overspoeld met onzin, en zorgt ervoor dat ze alleen worden gewaarschuwd als er écht iets mis is. Het is een veilige, stille bewaker voor het digitale hart van onze wereld.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "CrossCheck: Input Validation for WAN Control Systems" in het Nederlands.

Probleemstelling

De auteurs identificeren onjuiste invoer als een leidende oorzaak van grote netwerkontregelingen (outages) in Software-Defined Networking (SDN) voor Wide Area Networks (WAN). Een analyse van post-mortem rapporten van een grote cloudprovider over een periode van vijf jaar toont aan dat meer dan een derde van de ernstige uitvalmomenten het gevolg was van invoer die de werkelijke staat van het netwerk niet correct weerspiegelde.

Deze onjuiste invoer (zoals verkeerde verkeersvraag-matrices of topologie-overzichten) ontstaat door de extreme complexiteit van productie-WANs, die bestaan uit miljoenen regels code, tientallen microservices en hardware van verschillende leveranciers. Fouten kunnen ontstaan in:

1. Externe bronnen: Bijvoorbeeld bugs in instrumentatie op eindhost-systemen die verkeerde vraagdata genereren.
2. Router-signalen: Bugs in router-OS of hardware die leiden tot verouderde, gemiste of corrupte telemetrie (bijv. verkeerde byte-tellers).
3. Control-plane infrastructuur: Bugs in de software die data aggregatie en verwerking uitvoert voordat deze de SDN-controller bereikt.

Bestaande oplossingen, zoals statische validatiechecks (controle op syntaxis of onmogelijke waarden), zijn ontoereikend omdat ze geen rekening houden met de consistentie tussen de invoer en de dynamische, real-time staat van het netwerk.

Methodologie: CrossCheck

CrossCheck is een systeem dat invoer voor de SDN-controller in real-time valideert tegen de huidige staat van het netwerk, afgeleid van laag-niveau dataplane signalen van routers. Het systeem werkt als een "shadow" (schaduw) systeem, losgekoppeld van de kritieke controlelus, om het risico op gedeelde fouten te minimaliseren.

Kernarchitectuur:
Het proces verloopt in drie fasen:

1. Collectie: Router-signalen en controller-invoer worden continu gestreamd naar een gespecialiseerde backend-database.
2. Reparatie (Repair): CrossCheck bouwt een betrouwbaar, netwerk-breed beeld van de huidige staat op, zelfs als individuele router-signalen ruis of fouten bevatten.
3. Validatie: De controller-invoer wordt vergeleken met dit gerepareerde beeld. Afwijkingen worden gemeld als mogelijke fouten.

Gebruikte Signalen:
CrossCheck verzamelt drie soorten signalen van routers:

• Link-status indicatoren: Fysieke en link-layer status (bijv. via BFD).
• Link-tellers: Hardware-tellers voor verzonden en ontvangen bytes.
• Forwarding entries: Routingtabellen om de paden van tunnels te reconstrueren.

Het "Repair"-algoritme:
Om te voorkomen dat ruis in router-signalen leidt tot vals-positieve alarmen, maakt CrossCheck gebruik van netwerk-invarianten (wiskundige relaties die in een correct netwerk altijd moeten gelden):

• Link-invarianten: De bytes die de ene kant van een link verlaten, moeten overeenkomen met de bytes die de andere kant binnenkomen ($l_{out} = l_{in}$).
• Router-invarianten: De totale inkomende traffic op een router moet gelijk zijn aan de totale uitgaande traffic.
• Pad-invarianten: De geschatte vraag (demand) moet overeenkomen met de gemeten belasting op de links.

Het algoritme gebruikt een meerderheidsstemming (voting) mechanisme. Omdat signalen van verschillende subsystemen binnen een router onafhankelijk zijn, kan CrossCheck fouten in één signaal detecteren en corrigeren door te kijken naar de consistentie met andere signalen en de invarianten. Het proces is iteratief: links met de hoogste betrouwbaarheid worden eerst vastgesteld en gebruikt om de betrouwbaarheid van andere links te bepalen.

Validatielogica:

• Vraag (Demand) Validatie: Als de invoer verkeerd is, zullen er wijdverspreide inconsistenties ontstaan in de pad-invarianten over het hele netwerk. Ruis in één router veroorzaakt echter slechts lokale inconsistenties. CrossCheck berekent het percentage links waar de invarianten gelden; als dit onder een bepaalde drempel valt, wordt de invoer als fout gemarkeerd.
• Topologie Validatie: CrossCheck gebruikt een eenvoudige meerderheidsstemming over vijf onafhankelijke signalen (fysieke status, link-layer status, en de gerepareerde belasting) om de status van een link te bepalen.

Belangrijkste Bijdragen

1. Eerste systeem voor real-time invoervalidatie: CrossCheck is het eerste systeem dat continu SDN-invoer valideert tegen de werkelijke dataplane-toestand in een productie-WAN.
2. Robuustheid tegen ruis en bugs: Door gebruik te maken van redundantie en invarianten, kan het systeem onderscheid maken tussen echte invoerfouten en ruis in router-telemetrie.
3. Schalbaarheid: Het systeem wordt nauwkeuriger naarmate het netwerk groter wordt, omdat grotere netwerken meer interafhankelijke signalen bieden die fouten makkelijker zichtbaar maken.
4. Praktische implementatie: Het systeem is succesvol gedeployed als een shadow-systeem in een grote cloud WAN zonder de productie-omgeving te verstoren.

Resultaten

De evaluatie omvatte een vier weken durende deploy in een productie-WAN en uitgebreide simulaties.

• Productie-deploy (Shadow):

  • 0% Vals-positieven (False Positive Rate - FPR): Het systeem gaf geen alarmen tijdens normale operatie, ondanks de inherente ruis in productie-data.
  • Detectie van echte fouten: CrossCheck detecteerde een incident waarbij een database-bug de verkeersvraag verdubbelde. Bestaande statische checks misten deze fout, maar CrossCheck gaf direct een alarm.
  • Performance: De validatie duurde minder dan 10 seconden per cyclus, wat goed past binnen de tijdschalen van SDN-besluitvorming (minuten).

• Simulatie-resultaten:

  • Detectie van vraag-perturbaties: CrossCheck detecteert met 100% zekerheid verkeerde vraag-matrices die met 5% of meer zijn gemanipuleerd.
  • Resilientie tegen corrupte telemetrie: Het systeem behield een FPR van 0% zelfs wanneer tot 30% van de router-tellers corrupt of gemist waren.
  • Correlatie: Het systeem bleef effectief zelfs bij gecorreleerde fouten (waarbij meerdere interfaces van dezelfde router tegelijkertijd fouten vertonen).

Betekenis en Conclusie

CrossCheck biedt een cruciale beveiligingslaag voor SDN-gebaseerde WANs. Het bewijst dat het mogelijk is om invoerfouten te detecteren voordat ze leiden tot netwerkontregelingen, zonder de operators te overweldigen met vals-positieve alarmen.

De kerninzichten zijn:

• Onjuiste invoer is een veelvoorkomende, maar vaak onopgeloste oorzaak van uitval.
• Door gebruik te maken van fundamentele netwerk-invarianten (stroombehoud) en redundantie in signalen, kunnen fouten in de invoer worden onderscheiden van fouten in de meetinstrumenten.
• De methode is niet beperkt tot SDN; het principe van het valideren van invoer tegen grondwaarheid (ground truth) via redundantie is toepasbaar op andere complexe controlesystemen, zoals energiebeheer of klimaatregeling.

Dit werk markeert een verschuiving van puur preventieve maatregelen (zoals testing) naar runtime-validatie, wat essentieel is voor de betrouwbaarheid van moderne, complexe netwerkinfrastructuur.