基于免疫算法的網絡功能異構冗余部署方法

張青青，湯紅波，游偉，李英樂

基于免疫算法的網絡功能異構冗余部署方法

張青青，湯紅波，游偉，李英樂

（信息工程大學，河南 鄭州 450002）

針對現有安全防御手段無法抵御網絡功能虛擬化平臺中眾多未知的漏洞與后門的問題。運用擬態防御思想，提出一種網絡功能虛擬化的擬態防御架構，并針對其中的異構體池構建問題設計了一種基于免疫算法的網絡功能異構冗余部署方法。首先，結合熵值法對異構體之間的異構度進行量化評估；然后，以實現異構體之間異構度最大為優化目標將網絡功能異構冗余部署問題構建成極大極小問題；最后，基于免疫算法快速求解最優部署方案。仿真結果表明，該方法可以迅速收斂到最優部署方案，并保證異構體之間的異構度值整體分布在較高的水平，有效增加了異構體池的多樣性，提升了攻擊者的攻擊難度。

網絡功能虛擬化；擬態防御；異構冗余；免疫算法

1 引言

隨著移動通信的發展，數據流量的爆炸式增長給移動通信網絡的承載能力和運維成本帶來嚴峻的挑戰，同時隨著物聯網和垂直行業的快速發展，新的服務和應用層出不窮，客戶的應用需求越來越多樣化?，F有的移動通信系統采用專用設備進行組網，具有網絡改造升級困難、運營成本高等缺陷，無法滿足未來網絡在時延、成本以及速率等方面的指標要求。為提高網絡靈活性和資源利用率、降低運營開銷，5G技術在核心網中引入了網絡功能虛擬化（NFV，network function virtualization）技術。與傳統網絡體系結構相比，NFV技術具有降低運營成本、靈活部署網絡和優化資源配置等優點，但其開放共享的理念和云化架構設計給5G網絡安全帶來了新的挑戰[1]，如不安全接口導致的用戶數據泄露[2]、控制面開放誘發的攻擊表面增加[3]、共用物理網卡帶來的旁路監聽風險[4]、資源共享引發的側信道攻擊[5]等。傳統的網絡防御手段，如防火墻[6]、入侵檢測[7]等是依賴于已有漏洞、病毒的先驗知識的被動防御手段，在應對NFV網絡中大量未知的漏洞和后門時，由于不了解攻擊者的攻擊手段，無法起到相應的防御效果。

為進一步提高NFV網絡的安全性，彌補現有“打補丁”式防御手段無法抵御未知漏洞與后門的缺陷，本文基于擬態防御（MD，mimic defense）[8]思想提出一種網絡功能虛擬化的擬態防御架構，利用網絡系統環境的動態性和不確定性獲得防御功能或屬性，增加攻擊者的探測和攻擊難度。結合NFV的網絡特性針對該防御架構中的異構體池構建問題，本文提出了一種基于免疫算法（IA，immune algorithm）的網絡功能異構冗余部署方法。首先對組成異構體的軟硬件組件進行異構度評估，利用熵值法將組件的異構度進行加權和構成異構體之間的異構度；然后以異構體之間的最小異構度值為優化目標，將網絡功能的異構冗余部署問題建模為極大極小問題；最后利用免疫算法求出目標函數最大的部署方案。仿真結果顯示，該方法可以有效保證異構體之間的異構度，增加系統的多樣性，提升攻擊者的攻擊難度。同時，該方法是一種冗余部署方法，雖然增加了系統的安全性和可靠性，但存在無法避免的部署開銷增加問題，使請求接受率降低。

2 網絡功能虛擬化的擬態防御架構

圖1 DHR架構

Figure 1 DHR architecture

圖2 網絡功能虛擬化的擬態防御架構

Figure 2 Mimic defense architecture for network function virtualization

3 問題描述與模型構建

3.1 問題描述

要實現網絡功能虛擬化的擬態防御架構，首先要解決的問題是異構體池的構建。異構體作為處理服務請求的功能主體，其關鍵特征在于異構，異構是擬態防御架構的基礎，異構性越大，發生共模故障的可能性越小?，F有的擬態相關文獻[11-14]中，異構體是固定的物理設備，并且異構體的個數較少，所以異構體池的構建相對簡單。在NFV環境下，虛擬化技術將軟件功能與硬件平臺分離，改變了運營商的組網方式。網絡虛擬化后，傳統通信網絡中的網絡功能以虛擬網絡功能（VNF，virtual network function）的形式運行在物理網絡中的高性能服務器上。如圖3所示，不同的VNF按照一定的邏輯順序連接起來構成一條服務功能鏈（SFC，service function chaining），為用戶提供有效的端到端服務。在NFV網絡中，構建異構體池就變成更為復雜的將多個功能相同的VNF部署到底層大量物理服務器上的問題。若不針對NFV網絡特性設計相應的部署方法，可能會發生異構體之間相似性較高的情況，此時動態調度和多模裁決機制的防御效果也會大打折扣。

圖3 服務鏈請求部署

Figure 3 Service chain request deployment

3.2 系統模型

本文提出的網絡功能異構冗余部署方法就是結合NFV網絡功能軟件化、資源共享化和部署動態化的網絡特性，在部署SFC時針對每一個網絡功能通過使用不同的編程語言或算法實現多個功能等價的VNF，然后以異構度為優化目標將這些VNF部署到不同的服務器上得到一個功能等價的異構體池。這些異構體由3層異構元素組成，上層采用不同編程語言或算法實現的VNF是組成異構體的軟件層異構元素，底層的通用服務器包含虛擬化層和物理硬件兩層異構元素。虛擬化層包含不同的操作系統和虛擬化軟件，操作系統可以采用Windows、Ubuntu、Centos等，虛擬化軟件可以采用VMware、VirtualBox、XEN等；物理硬件層可以使用不同廠商的服務器。如圖4所示，為SFC中的每一個網絡功能構建包含3個異構體的異構體池，異構體池中的各異構體具有相同的網絡功能，但其軟硬件組成是不同的。

3.3 異構度量化

異構體由各層異構元素組成，同一層的異構元素之間由于種類的不同，它們之間的差異大小也不同。各層異構元素的差異決定了異構體之間的差異性，因此可以通過對各層異構元素的異構度進行量化評估，進而得到異構體之間的異構度指標。本文借鑒了文獻[15]對異構體間差異性的評價方法，并利用熵值法對其進行了改進。

針對同一層異構元素不同種類之間的差異，采用異構矩陣進行量化。

圖4 網絡功能異構冗余部署

Figure 4 Heterogeneous redundant deployment of network functions

各層異構元素的異構度加權和構成了兩個異構體之間的異構度。

步驟3 計算第層元素異構度的熵值。

步驟4 計算各層異構度指標的權重。

3.4 數學模型構建

基于異構度指標的定義，本節以最大化異構體之間的異構度為目標，以底層網絡中物理服務器可提供的計算資源、存儲資源和網絡資源為約束，將網絡功能異構冗余部署問題建模為多目標優化模型，具體數學模型如下。

目標函數

約束條件

表1對本節涉及的相關符號和含義進行了梳理。

4 算法描述

網絡功能的部署問題已被證明是一個NP難問題[20]，該問題的求解時間會隨著網絡規模的擴大呈指數級增長。本文將網絡功能的異構冗余部署問題建模為極大極小問題。極大極小問題是一種典型的不可微優化問題[21]，由于目標函數的梯度不連續，現行的基于梯度概念的優化算法失效。為在盡可能短的時間內求出一個相對較優的解，本文使用免疫算法對上述優化模型進行求解。免疫算法[22]是受生物免疫系統啟發而提出的一種智能算法，它在遺傳算法的基礎上加入了免疫的概念，在保留原算法優良特性的前提下，利用待求問題中的一些特征信息來抑制優化過程中出現的退化現象。

（1）產生初始抗體群

72360536

Figure 5 Antibody code

（2）解的多樣性評價

抗體與抗原間親和力用于表示抗體對抗原的識別程度，本文使用目標函數來表示。

表1 符號及其含義

（3）免疫操作

①選擇

本文使用輪盤賭選擇機制，它是一種放回式隨機采樣方法。每個抗體進入下一代的概率就是它的期望繁殖概率，期望繁殖概率越高，被選進下一代的概率越大。

②交叉

采用單點交叉法，具體過程為：從群體中隨機選擇兩個抗體進行配對，隨機設置某一編碼之后的位置為交叉點，依設定的交叉概率交換兩個抗體交叉點后的編碼。圖6為單點交叉示意。

圖6 單點交叉示意

Figure 6 Single point crossover

②變異

利用變異算子對抗體中的部分編碼值進行調整，可以從局部出發使抗體更加逼近最優解，提高局部搜索能力，防止“早熟”現象。本文采用常用的變異方法，即隨機選擇一個抗體，從抗體編碼串中隨機選擇一位為變異位，依設定的變異概率改變變異位的編碼值。

具體算法步驟如算法1所示。

算法1 基于免疫算法的網絡功能異構部署算法

4) end

8) 對抗體中的每一位編碼進行資源容量約束檢查；

9) 對不滿足資源容量約束的編碼進行修正；

10) 如果沒有節點滿足資源約束，則部署失敗

11) end

13) end

16) if sum(fit)=0

17) 網絡功能部署失??；

18) end；

23) /*形成父代群 */

27) 采用輪盤賭策略對父代群進行選擇操作；

29) 對父代群中的抗體進行交叉操作；

30) end

32) 對父代群中的抗體進行變異操作；

33) end

34) 重復步驟5)~步驟12)，進行可行性檢查；

35) 將記憶庫中的抗體加入抗體群中；

36) end

37) 更新服務器中的剩余資源；

5 仿真結果及分析

5.1 仿真設置

Figure 7 Probability density plot of Beta distribution with parameters (8,6)

5.2 仿真結果分析

圖8 控制參數對免疫算法收斂性影響

Figure 8 The influence of control parameters on the convergence of immune algorithm

圖9 免疫算法與遺傳算法性能對比

Figure 9 Performance comparison between immune algorithm and genetic algorithm

圖10 minimax、mean和random異構度離散分布對比

Figure 10 Comparison of the heterogeneity discrete distribution of minimax, mean and random

圖11 異構體池異構性與異構體數量的關系

Figure 11 The relationship between the heterogeneity of the heterogeneous entities pool and the number

異構體池的差異性量化采用rao二次熵[24]的方法，具體的計算公式如下。

6 結束語

網絡功能虛擬化技術實現了網絡功能的軟硬件解耦，云化環境使傳統的物理安全邊界消失，帶來許多新的安全問題。本文利用擬態防御思想提出一種網絡功能虛擬化的擬態防御架構，并針對其中異構體池的構建問題，結合網絡功能虛擬化的網絡特性提出了基于免疫算法的網絡功能異構冗余部署方法。結合熵值法對異構體之間的異構度進行量化評估，以異構度的最小值為優化目標，將網絡功能異構冗余部署問題建模為極大極小值問題，利用免疫算法對優化模型進行求解。仿真結果表明，本文提出的方法可以在較短時間內求解出異構度較大的部署方案，有效保證異構體之間的多樣性，增加攻擊者的攻擊難度，提升系統的安全性。存在的不足是：該方法是一種冗余部署方法，會造成一定的部署開銷增加。在接下來的工作中，將針對部署開銷與系統安全性之間的平衡問題展開進一步研究，希望在保證系統安全性的同時盡量減少相應的開銷。

[1]劉宇濤, 陳海波. 虛擬化安全: 機遇, 挑戰與未來[J]. 網絡與信息安全學報, 2016, 2(10): 17-28.

LIU Y T, CHEN H B. Virtualization security: the good, the bad and the ugly[J]. Chinese Journal of Network and Information Security, 2016, 2(10): 17-28.

[2]LAL S, TALEB T, DUTTA A. NFV: security threats and best practices[J]. IEEE Communications Magazine, 2017, 55(8): 211-217.

[3]高麗華, 董飛, 任新宇, 等. NFV網絡的安全威脅及防護方案探討[C]// 5G網絡創新研討會(2018)論文集. 2018.

GAO L H, DONG F, REN X Y, et al. Discussion on NFV network security threats and protection schemes[C]//Proceedings of 5G Network Innovation Seminar (2018). 2018

[4]吳宏建, 張如意, 蘆玥. NFV安全風險分析及應對建議[J]. 信息通信技術與政策, 2018, 293(11): 75-79.

WU H J, ZHANG R Y, LU Y. Analysis of NFV risks and protection concerns[J]. Information and Communication Technology and Policy, 2018, 293(11): 75-79.

[5]潘啟潤, 黃開枝, 游偉. 基于隔離等級的網絡切片部署方法[J]. 網絡與信息安全學報, 2020, 6(2): 96-105.

PAN Q R, HUANG K Z, YOU W. Network slicing deployment method based on isolation level[J]. Chinese Journal of Network and Information Security, 2020, 6(2): 96-105.

[6]CHRISTOPHER D C, RALPH E W. Firewall system for protecting network elements connected to a public network[S]. US 2000.

[7]LI G X, GAO W M. Research on network security system based on intrusion detection[C]//IEEE International Conference on E-business & E-government. 2010: 2096-2100.

[8]鄔江興. 網絡空間擬態防御研究[J]. 信息安全學報, 2016, 1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4): 1-10.

[9]張晨, 黃韜, 張嬌, 等. 網絡編排技術進展研究[J]. 信息通信技術, 2016(1): 68-76.

ZHANG C, HUANG T, ZHANG J, et al. A technology research of network orchestration[J]. Information and Communications Technologies, 2016(1): 68-76.

[10]ETSI. Network function virtualization: architectural framework[EB].

[11]馬海龍, 伊鵬, 江逸茗, 等. 基于動態異構冗余機制的路由器擬態防御體系結構[J]. 信息安全學報, 2017, 2(1): 29-42.

MA H L, YI P, JIANG Y M, et al. Dynamic heterogeneous redundancy based router architecture with mimic defenses[J]. Journal of Cyber Security, 2017, 2(1): 29-42.

[12]仝青, 張錚, 張為華, 等. 擬態防御Web服務器設計與實現[J]. 軟件學報, 2017, 28(4): 883-897.

TONG Q, ZHANG Z, ZHANG W H, et al. Design and implementation of mimic defense web server[J]. Journal of Software, 2017, 28(4): 883-897.

[13]王禛鵬, 扈紅超, 程國振. 一種基于擬態安全防御的DNS框架設計[J]. 電子學報, 2017, 45(11): 2705-2714.

WANGZ P, HU H C, CHENG G Z. A DNS architecture based onmimic security defense[J]. Acta Electronica Sinica, 2017, 45(11): 2705-2714.

[14]魏帥, 于洪, 顧澤宇, 等. 面向工控領域的擬態安全處理機架構[J]. 信息安全學報, 2017, 2(1): 54-73.

WEI S, YU H, GU Z Y, et al. Mimic security processor architecture oriented to the industrial control field[J]. Journal of Cyber Security, 2017, 2(1): 54-73.

[15]劉勤讓, 林森杰, 顧澤宇. 面向擬態安全防御的異構功能等價體調度算法[J]. 通信學報, 2018, 373(7): 192-202.

LIU Q R, LIN S J, GU Z Y. Heterogeneous redundancies scheduling algorithm for mimic security defense[J]. Journal on Communications, 2018, 373(7): 192-202.

[16]李亮. 評價中權系數理論與方法比較[D]. 上海: 上海交通大學, 2009.

LI L. Weights theory and weighting methods comparison in the evaluation[D]. Shanghai: Shanghai Jiao Tong University, 2009.

[17]公茂果, 焦李成, 楊咚咚, 等. 進化多目標優化算法研究[J]. 軟件學報, 2009, 20(2): 271-289.

GONG M G, JIAO L C, YANG D D, et al. Research on evolutionary multi-objective optimization algorithms[J]. Journal of Software, 2009, 20(2): 271-289.

[18]DEB K. Multi-objective optimization[M]//Search Methodologies. Brlim: Springer, 2014: 403-449.

[19]金中. 最優化算法中極小極大問題的教學思考[J]. 創新教育研究, 2019, 7(5): 628-634.

JIN Z. Teaching thoughts on minimax problems in optimization algorithms[J]. Innovation Education Research, 2019, 7(5): 628-634.

[20]KHEBBACHE S, HADJI M, ZEGHLACHE D. Scalable and cost-efficient algorithms for VNF chaining and placement problem[C]//IEEE Conference Innovations in Cloud. 2017: 92-99.

[21]趙雨. 一類求解無約束極大極小問題的新算法[D]. 西安: 西安科技大學, 2011.

ZHAO Y. An efficient method for solving nonlinear unconstrained min-max problem[D]. Xi'an: Xi'an University of Science and Technology, 2011.

[22]焦李成, 杜海峰. 人工免疫系統進展與展望[J]. 電子學報, 2003(10): 1540-1548.

JIAO L C, DU H F. Development and prospect of the artificial immune system[J]. Acta Electronica Sinica, 2003(10): 1540-1548.

[23]TWU P, MOSTOFI Y, EGERSTEDT M. A measure of heterogeneity in multi-agent systems[C]//IEEE 2014 American Control Conference. 2014: 3972-3977.

[24]RAOC R. Diversity and dissimilarity coefficients: a unified approach[J]. theoretical population biology, 1982, 21(1): 30-43.

Network function heterogeneous redundancy deployment method based on immune algorithm

ZHANG Qingqing, TANG Hongbo, YOU Wei, LI Yingle

Information Engineering University, Zhengzhou 450002, China

Aiming at the problem that the existing security defense methods cannot resist many unknown vulnerabilities and backdoors in the network function virtualization platform, a mimic defense architecture for network function virtualization using mimic defense ideas was proposed, a heterogeneous redundant deployment method based on an immune algorithm for the construction of heterogeneous pools was proposed. Firstly, the degree of heterogeneity between heterogeneous entities was quantitatively evaluated in combination with the entropy value method, then the network function heterogeneous redundant deployment problem was constructed into a minimax problem with the optimization goal of maximizing the degree of heterogeneity between heterogeneous entities, and finally the immune algorithm was used to quickly solve the optimal deployment solution of network functions. Simulation results show that the proposed method can quickly converge to an optimal deployment scheme and ensure that the overall distribution of heterogeneity between heterogeneous bodies is at a high level, effectively increasing the diversity between heterogeneous bodies and improving the attacker's difficulty.

network function virtualization, mimic defense, heterogeneous redundancy, immune algorithm

TP393

A

10.11959/j.issn.2096?109x.2021005

2020?07?17；

2020?11?08

湯紅波，tahobo@sina.com

國家自然科學基金（61941114，61521003，61801515）

The National Natural Science Foundation of China (61941114, 61521003, 61801515)

張青青, 湯紅波, 游偉, 等. 基于免疫算法的網絡功能異構冗余部署方法[J]. 網絡與信息安全學報, 2021, 7(1): 46-56.

ZHANG Q Q, TANG H B, YOU W, et al. Network function heterogeneous redundancy deployment method based on immune algorithm[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 46-56.

張青青（1995?），女，河北張家口人，信息工程大學碩士生，主要研究方向為網絡功能虛擬化和網絡安全。

湯紅波（1968? ），男，湖北孝感人，信息工程大學教授、博士生導師，主要研究方向為移動通信網絡和新型網絡體系結構。

游偉（1984? ），男，江西豐城人，信息工程大學助理研究員，主要研究方向為新一代移動通信系統、移動通信網安全。

李英樂（1985? ），男，河北衡水人，信息工程大學副研究員，主要研究方向為移動通信網安全。