基于遺傳算法的計算機網絡安全路由

羅婷婷 鄒航菲

摘 ?要： 提出基于遺傳算法的計算機網絡安全路由優化方法，根據認證、接入控制和加密機制，多方向量化鏈路安全，結合服務質量參數構建多目標安全路由模型。根據公共緩沖池與最小預留帶寬的分配，選取多目標安全路由模型優化目標為：可行路徑平均時延最低、三類安全度量最低以及最大帶寬利用率最低等。采用自適應遺傳算法，以求解最優染色體編碼問題替代計算機網絡安全路由問題;設置適應度函數，將計算機網絡安全路由的目標函數最小化問題變換成最大化問題;選取算子進行交叉與變異，通過遺傳算法求解確定適應度值最優的個體，實現計算機網絡安全路由優化。仿真結果顯示：該方法確定路徑的平均時延為135 ms左右，平均最大帶寬利用率在0.5%左右，三類安全度量數值均低于其他兩種對比方法，說明該方法更能保障計算機網絡通暢與資源使用安全性。

關鍵詞： 遺傳算法; 計算機網絡; 安全路由; 安全度量; 帶寬鏈路; 適應度函數

中圖分類號： TN915.08?34; TP393.08 ? ? ? ? ? ? ? ?文獻標識碼： A ? ? ? ? ? ? ? ? 文章編號： 1004?373X（2020）07?0078?04

Computer network security routing based on genetic algorithm

LUO Tingting1， ZOU Hangfei2

（1. Department of Scientific Research and Development Planning， Jiangxi Police Institute， Nanchang 330103， China;

2. Department of Human Resource， Jiangxi Police Institute， Nanchang 330103， China）

Abstract： It is a new research idea in the field of computer network security routing to take security metrics as service quality parameter when optimizing network routing. An optimization method of computer network security routing based on genetic algorithm is proposed. According to the authentication， the access control and the encryption mechanism， the link security is quantified in multiple directions， and a multi?objective secure routing model is constructed with the reference of the service quality parameters. According to the allocation of common buffer pool and the minimum reserved bandwidth， the optimization goals of multi?objective security routing model is to achieve the lowest average delay of feasible path， the lowest security metrics of the three types and the lowest maximum bandwidth utilization rate. The adaptive genetic algorithm is adopted to make the optimal chromosome coding instead of the computer network security routing; the fitness function is set to transform the objective function minimization of computer network security routing into the objective function maximization; the operator is selected for crossover and mutation， and individuals with the best fitness value are determined by genetic algorithm to realize the optimization of computer network security routing. The simulation results show that the average delay of the path determination by the proposed method is about 135 ms， the average maximum bandwidth utilization rate is about 0.5%， and the three types of security metrics are lower than the other two methods. It is verified that the method can better guarantee the computer network access and resource security.

Keywords： genetic algorithm; computer network; security routing; security metrics; bandwidth link; fitness function

0 ?引 ?言

當代社會網絡信息技術在全球范圍內普遍使用，網絡資源合理利用是確保網絡資源暢通的基礎[1]。實現網絡資源合理利用的前提條件之一是計算機網絡安全路由選擇，將安全作為路由選取指標，是計算機網絡安全路由研究的新方向[2]。計算機網絡路由的安全性通過單一的安全度量難以準確描述，需要根據多種安全因素綜合確定[3]。因此，本文提出基于遺傳算法的計算機網絡安全路由優化方法，通過求解多目標安全路由模型為使用者提供安全性能更好的路由。

1 ?計算機網絡安全路由

1.1 ?多目標安全路由模型

將計算機網絡鏈路安全度量劃分為三類[4]：第一類安全度量根據認證機制定義;第二類安全度量根據接入控制定義;第三類安全度量根據加密機制定義。依照上述網絡鏈路安全度量的量化定義，在計算機網絡路由內引入安全度量定義[5]，構建多目標約束最優化模型。作為應用范圍較廣的區分服務模型之一，俄羅斯玩偶模型具有Inter?Serv的可擴展性、IP服務質量好、無需信令、簡單有效等優勢[6]，因此采用該模型構建多目標約束最優化模型。

多目標約束最優化模型內，以[K]描述計算機網絡對負載提供的服務種類，[P1，P2，…，PkkPk=1]表示各服務種類對應帶寬比例，優先級別根據下標判斷，下標值與優先級別呈反比。不同帶寬部分由最小預留帶寬和公共緩沖池共同組成[7]，分別用[xi]和[yi]表示，各級劃分路由帶寬中[xi]所占比例為[w]，由此得到：

[xi=Pi?w?Cijyi=Pi?1-w?Cij] （1）

式中[Cij]為鏈路[i，j]的帶寬。在第[i]類負載有數據流到達的條件下，由[xi]作為第一批次傳輸服務提供者，若[xi]無法達成傳輸目的，則公共緩沖池內的帶寬資源提供協助。為反映服務質量的差異，在模型中加入搶占制度，優先級別高的負載進行傳輸時可征用優先級別較低負載的公用緩沖池[8]。俄羅斯玩偶模型帶寬分配模型如圖1所示。

將圖1中的模型用[T]表示網絡拓撲描述。在[T=V，E，D，C]內，[V]和[E]分別表示節點和邊的集合，[D]和[C]分別表示鏈路上的時延和帶寬。到達第[k]類服務業務流所需帶寬、鏈路[i，j]上承載的第[k]類服務業務量所需帶寬和鏈路[i，j]上的整體負載分別用[δk]，[fkij]和[rij]表示。由上述描述確定鏈路[i，j]上的帶寬利用率，也就是鏈路[i，j]上已占用帶寬加上服務請求帶寬占用量同鏈路[i，j]整體帶寬間的比值為：

[a=rij+δkCij] （2）

到達的[k]類數據流占用的整體鏈路帶寬和其在鏈路上分配的帶寬分別用[δk+fkij]和[Pk?Cij]描述，由此得到到達的[k]類數據流在優先級別較低的公用緩沖池帶寬中所占比例為：

[β=maxi，j∈Pdδk+fkij-Pk?CijCij] （3）

由于服務等級有所差異，用[δkmax]表示各服務等級負載占用帶寬最大值，若服務等級為三級，則：

[δ1max=P1?Cij+1-w?P2+P3?Cij] （4）

[δ2max=P2?Cij+1-w?P3?Cij] （5）

[δ3max=P3?Cij] （6）

各鏈路上每一服務等級所用帶寬需小于等于上述公式中的上限。同時，優先級別較低負載無法占用優先級別較高負載的公用緩沖池帶寬[9]，公式描述為：

[rij+δk∈0，minδkmax，Cij-rij] （7）

基于上述分析，結合常規服務質量參數，選取多目標安全路由模型優化目標：可行路徑的平均時延最低;三類安全度量最低;最大帶寬利用率最低;到達[k]類數據流所占低優先級別公用緩沖池帶寬比值最低;設定安全閾值，確保三類安全度量低于安全閾值;為確保服務請求實現，且計算機網絡順暢，需滿足鏈路帶寬大于到達的[k]類數據流帶寬加上已有負載的值。

1.2 ?遺傳算法

針對計算機網絡安全路由多目標優化問題，需采用高效的優化策略確定最優解。遺傳算法是一種全局優化搜索算法，不受搜索空間限制，不限定所求解的連續性，具有較強魯棒性與并行性[10]。因此，在求解計算機網絡安全路由時，利用自適應遺傳算法，遺傳過程內各代中不同個體均依照其適應度高低自主確定有所差異的交叉概率與變異概率自適應規則[11]，使群體內不同個體具有自適應調節功能，適應環境波動。

1.2.1 ?問題編碼

依照遺傳算法，各染色體均能描述一個[n]位（bit）二進制編碼符號串，代表一個優化指標，染色體內每一位同一個指標狀態相對應：1和0分別表示該指標已優化和該指標未優化。由此，以利用自適應遺傳算法求解最優染色體編碼問題替代計算機網絡安全路由問題[12]。

1.2.2 ?確定適應度函數

根據式（8）設置適應度函數，將計算機網絡安全路由的目標函數最小化問題變換成最大化問題[13]：

[F=γ-Z=γ-αi=1mαiεi+βj=1nhjhmaxsj] （8）

式中：[F]為適應度函數;[γ]為大于1的常數;[α]與[β]為權重;[Z]為優化目標函數;[εi]為不安全性;[hmax]為不同優化目標費用中的最大值;優化目標[sj]需要費用[hj]。

1.2.3 ?確定遺傳算子

選取優異個體確定方法，用[N]和[Pe]分別表示種群規模和優異個體確定比例。判斷當前代內全部個體的適應度值，依照該值高度排列個體，確定排列靠前的[N×Pe]個個體，以這些個體作為下一代內的個體。在當前代剩余個體內通過賭輪選擇方式確定一對個體作為下一代個體[14]，不同個體的選擇概率同其適應度值成比例。循環個體確定過程至下一代個體數量為[N]時結束。

用[Pc]表示交叉概率，將賭輪選擇方式確定的各對個體依照[Pc]實施交叉，以個體符號串中點為交叉位。用[Pc0]和[Pc1]分別表示優先等級較低個體的交叉概率和優先等級較高個體的交叉概率，且[Pc0>Pc1]，那么自適應交叉概率[Pc]為：

[Pc=Pc0，f≤favePc1Pc0Pc1fmax-ffmax-fave，f>fave] （9）

式中：[f]，[fave]和[fmax]分別表示兩個實施交叉的個體內適應度較低的一個、群體的平均適應度和群體內適應度最高值。

各對個體交叉操作后需實施基本位概率變異，用[Pm]表示變異概率，根據[Pm]在個體1～[n]位的范圍中任意生成若干變異位實施變異。[Pm0]和[Pm1]分別表示優先等級較低和優先等級較高個體的變異概率，那么自適應變異概率[Pm]為：

[Pm=Pm0， ? ? ?f≤favePm1Pm0Pm1fmax-ffmax-fave， ? ? f>fave] ? （10）

式中[f]表示實施變異個體的適應度。根據式（10）可知，在群體內個體基本一致條件下，個體的適應度同群體平均適應度相似度越高，各個體的變異概率較高，能夠較快確定新個體，確保群體多樣性的同時避免早熟現象發生[15]。以初代為起始，循環上述過程獲取新的子代至獲取數個連續穩定的子代為止，這些子代的內適應度值最優個體適應度不存在明顯變化。

2 ?仿真實驗

2.1 ?實驗環境

為驗證本文提出的基于遺傳算法的計算機網絡安全路由優化方法的性能，采用Transit?Stub模型實施仿真。Transit類與Stub類共同促成該模型的AS域，其中，Transit節點相互連接形成節點群，數個Transit節點群可構建拓撲圖，Transit節點周圍分布Stub節點，各節點彼此相連。實驗證明Transit?Stub模型可最大限度地描述實際的網絡連接狀態。

選取仿真對象為河北省祥龍貨運有限公司計算機網絡，設定網絡服務質量等級為最高，不同時刻各鏈路均存在一定初始負載。計算機網絡結構圖如圖2所示。

2.2 ?結果與分析

采用本文方法與基于WSP的計算機網絡安全路由優化方法和基于BSP的計算機網絡安全路由優化方法對仿真對象實施安全路由優化，結果如圖3～圖5所示。

由圖3可知，通常情況下，本文方法確定路徑的平均時延低于其他兩種對比方法，平均時延為135 ms左右，說明本文方法在確定安全路由時，以時延較小的鏈路為目標。少數情況下，本文方法確定路徑的平均時延稍高于BSP方法，主要是受安全約束影響。

分析圖4可得：當到達流帶寬持續上升時，三種方法確定的路徑最大帶寬利用率也隨之持續上升，其中，本文方法確定的路徑最大帶寬利用率平均在0.5%左右，顯著低于其他兩種方法，實驗結果表明，本文方法確定的路徑與計算機網絡負載的需求匹配度更高，更能保障計算機網絡的通暢。

分析圖5可得：在第一等級流到達的條件下，本文方法確定的路徑所占用公共緩沖池帶寬比例低于另外兩種方法，這說明在服務質量等級較高時，本文方法通過降低低優先級別公共緩沖池的帶寬占用比例，來保障計算機網絡資源應用的公平性，可防止“類間效應”與均衡網絡負載現象的發生。

分析表1得到，在計算機網絡安全參數出現數次變化的條件下，本文方法確定的路徑三類安全度量數值均顯著低于其他兩種方法確定的路徑，這說明本文方法確定的路徑中安全性能更好。

綜合圖3～圖5和表1的結論可知，本文方法與其他兩種方法相比，更能保障計算機網絡的通暢與資源使用的公平性，且確定的路徑滿足三類安全性能要求，由此可知，本文方法具有較好的計算機網絡安全路由優化性能。

3 ?結 ?語

在網絡路由領域中，計算機網絡安全路由是一個值得研究的課題，在服務質量框架中引入安全度量是一個新的研究思路。當前現有的安全度量多著重一個目標或一種策略，路由安全性能無法保障。本文提出基于遺傳算法的計算機網絡安全路由優化方法，在服務質量框架中引入三類安全度量，同一般服務質量參數共同構建多目標安全路由模型，利用遺傳算法進行多目標求解。由于本文方法可顯著提升計算機網絡資源利用率，保障網絡通暢，滿足三類安全性能要求，因此具有較高的實際應用意義。

參考文獻

[1] 唐贊玉，劉宏.多階段大規模網絡攻擊下的網絡安全態勢評估方法研究[J].計算機科學，2018，45（1）：245?248.

[2] 耿新元，吳啟武，姜靈芝.基于人工免疫與信任度的多域光網絡安全組播路由算法[J].科學技術與工程，2017，17（33）：291?296.

[3] 秦丹陽，賈爽，楊松祥，等.基于信任感知的無線傳感器網絡安全路由機制研究[J].通信學報，2017，38（10）：60?70.

[4] 王飛，王能河，張瓊英，等.基于GA?PSO算法的ZigBee自組網最佳路由選擇[J].計算機工程，2017，43（7）：75?79.

[5] 盛瑞琨，高鴻峰.SDN環境下基于安全因子的路由調整方法研究[J].通信學報，2018，39（z1）：288?292.

[6] 蔣華，蔡振海，王鑫.基于蟻群的水下無線傳感器網絡能量路由協議[J].微電子學與計算機，2017，34（8）：12?16.

[7] 張敏，許渤，蔡怡，等.基于遺傳算法的大規模WDM光網絡RWA算法[J].光通信技術，2018，42（11）：5?8.

[8] 鐘頻，張志東，王勝正.采用遺傳算法和概率模型的機會網絡路由[J].中國科技論文，2018，13（14）：108?112.

[9] 蔚承英，王儲君，劉煥淋.基于光森林的彈性光網絡能效組播路由頻譜分配策略[J].半導體光電，2017，38（5）：719?724.

[10] 苗甫，王振興，郭毅，等.一種基于AS安全聯盟的域間路由系統擬態防護機制[J].計算機科學，2017，44（9）：148?155.

[11] 毛奇.基于遺傳算法的計算機通信網絡可靠性多目標優化設計[J].電子設計工程，2017，25（1）：75?77.

[12] 薛惠中，王興偉，李婕，等.一種支持QoS與信任值的啟發式重路由機制[J].小型微型計算機系統，2017，38（11）：2432?2436.

[13] 胡正偉，謝志遠，謝榮圓.基于遺傳算法的多QoS參數約束條件下的PLC路由搜索方法[J].電力自動化設備，2017，37（5）：162?169.

[14] 李伯中，陳芳，金廣祥，等.基于改進遺傳算法的電力通信網路由優化研究[J].自動化技術與應用，2019，38（3）：74?80.

[15] 李梅，武海燕，奚建清，等.基于改進的遺傳算法的MANET最優路由生成方法[J].電子技術應用，2017，43（8）：119?122.