面向時(shí)延優(yōu)化的級(jí)聯(lián)漏洞掃描引擎部署策略

谷允捷，吳長(zhǎng)禾，吳 慶，張 偉，呂天航，胡 琪，宋曉斌，閆吉宇

（1.中共人民解放軍61660 部隊(duì)，北京 100084；2.國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州 450002）

0 概述

網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展加快了工商業(yè)信息化速度，但也導(dǎo)致了愈演愈烈的網(wǎng)絡(luò)安全問(wèn)題。CVE Details［1］發(fā)布的數(shù)據(jù)顯示，自2017 年以來(lái)安全漏洞發(fā)布數(shù)量每年呈明顯增長(zhǎng)趨勢(shì)，2021 年首次突破20 000，達(dá)到20 141 個(gè)，其中5.8%的漏洞CVSS 評(píng)分超過(guò)了9.0，給計(jì)算機(jī)系統(tǒng)及互聯(lián)網(wǎng)用戶安全帶來(lái)極大威脅。由于用戶或管理員疏于及時(shí)保持軟件系統(tǒng)的維護(hù)與更新，導(dǎo)致安全隱患直接暴露給攻擊者，對(duì)數(shù)據(jù)隱私、系統(tǒng)安全構(gòu)成嚴(yán)重威脅［2］。漏洞掃描（簡(jiǎn)稱漏掃）技術(shù)［3-4］是一種通過(guò)遠(yuǎn)程探測(cè)目標(biāo)終端發(fā)現(xiàn)系統(tǒng)缺陷與安全隱患的安防手段，為用戶及時(shí)發(fā)現(xiàn)并處置系統(tǒng)漏洞提供了有效保障。隨著網(wǎng)絡(luò)規(guī)模和漏洞種類的不斷增加，集中式漏掃引擎控制節(jié)點(diǎn)的性能成為信息處理瓶頸［5］，由于無(wú)法在復(fù)雜網(wǎng)絡(luò)規(guī)模下實(shí)現(xiàn)有效擴(kuò)展，導(dǎo)致部分失去安全評(píng)估的終端成為易受攻擊的目標(biāo)。為解決上述問(wèn)題，業(yè)界相繼采用邏輯上集中、物理上分布的級(jí)聯(lián)漏掃引擎部署方案。級(jí)聯(lián)漏掃引擎不僅具備覆蓋網(wǎng)絡(luò)節(jié)點(diǎn)范圍更廣、可伸縮性更強(qiáng)的特點(diǎn)，而且極大節(jié)省了網(wǎng)絡(luò)帶寬資源［6］，在應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)下的網(wǎng)絡(luò)安全問(wèn)題上發(fā)揮了巨大作用。

盡管級(jí)聯(lián)漏掃方案解決了復(fù)雜網(wǎng)絡(luò)規(guī)模下漏掃引擎的可擴(kuò)展性問(wèn)題，但在實(shí)際網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)時(shí)延降低了級(jí)聯(lián)漏掃任務(wù)的執(zhí)行效率［3，7］。在執(zhí)行遠(yuǎn)程漏掃的過(guò)程中，局域掃描引擎需要向其管轄的目標(biāo)終端發(fā)送大量探測(cè)報(bào)文，并通過(guò)響應(yīng)報(bào)文確定漏掃結(jié)果，因此局域掃描引擎與目標(biāo)終端通信時(shí)延將直接影響掃描效率；同時(shí)，因?yàn)榫钟蚵咭嫘枰谥行目刂埔骖I(lǐng)取漏掃任務(wù)，并將掃描結(jié)果回傳至中心控制引擎數(shù)據(jù)庫(kù)中，所以控制引擎與漏掃引擎之間的時(shí)延也應(yīng)予以兼顧。

級(jí)聯(lián)漏掃引擎部署問(wèn)題是網(wǎng)絡(luò)安全研究領(lǐng)域的重要話題，近年來(lái)國(guó)內(nèi)外相關(guān)研究保持著持續(xù)的熱度。文獻(xiàn)［8］提出一種分布式入侵檢測(cè)與阻斷系統(tǒng)（Intrusion Detection System，IDS）［9-10］部署算法，綜合考慮流量、路由策略以及各類資源約束，通過(guò)線性規(guī)劃計(jì)算每個(gè)分布式節(jié)點(diǎn)的任務(wù)以實(shí)現(xiàn)系統(tǒng)負(fù)載均衡，文獻(xiàn)［11］設(shè)計(jì)一種基于智能調(diào)度算法實(shí)現(xiàn)負(fù)載均衡的分布式漏洞掃描系統(tǒng)，能夠依據(jù)掃描引擎消耗的系統(tǒng)資源進(jìn)行任務(wù)調(diào)度，但是相對(duì)于IDS 而言，漏掃引擎不需對(duì)大量的鏡像流量進(jìn)行分析，因此負(fù)載均衡并不是影響掃描效率的重要影響因素［12-13］。文獻(xiàn)［14］在大規(guī)模網(wǎng)絡(luò)環(huán)境下基于貪婪算法提出一種引擎部署算法，對(duì)減少引擎數(shù)量以及鏈路帶寬占用率有較好效果，但沒(méi)有考慮鏈路時(shí)延對(duì)探測(cè)報(bào)文的影響。文獻(xiàn)［15-17］注重網(wǎng)絡(luò)中局域控制節(jié)點(diǎn)與目標(biāo)終端之間的平均時(shí)延或累計(jì)時(shí)延，提出兩種面向時(shí)延優(yōu)化的部署算法，但算法缺乏對(duì)中心控制引擎與局域掃描引擎之間時(shí)延開銷的考慮。

現(xiàn)有的引擎部署策略能夠?qū)崿F(xiàn)局域掃描引擎的負(fù)載均衡，但隨著計(jì)算機(jī)處理性能與并發(fā)能力的提升，通用服務(wù)器已經(jīng)能夠滿足分布式漏掃的負(fù)載［18-20］，部分文獻(xiàn)考慮了通信時(shí)延對(duì)分布式漏掃引擎工作效率的影響，但沒(méi)有考慮中心控制引擎、局域掃描引擎以及目標(biāo)終端三者之間的級(jí)聯(lián)特性，算法容易陷入局部最優(yōu)。

針對(duì)上述研究中存在的問(wèn)題，本文提出一種面向時(shí)延優(yōu)化的級(jí)聯(lián)漏洞掃描引擎部署策略，通過(guò)建立級(jí)聯(lián)引擎部署數(shù)學(xué)模型，將真實(shí)網(wǎng)絡(luò)環(huán)境抽象為承載終端設(shè)備或漏掃引擎的底層網(wǎng)絡(luò)拓?fù)洌C合考慮“中心控制引擎”“局域漏掃引擎”“目標(biāo)終端”在底層網(wǎng)絡(luò)中受到節(jié)點(diǎn)承載能力、鏈接歸屬關(guān)系等條件的約束，將級(jí)聯(lián)漏掃引擎系統(tǒng)的網(wǎng)絡(luò)時(shí)延歸納為掃描時(shí)延與回傳時(shí)延兩個(gè)部分，提出級(jí)聯(lián)漏掃引擎部署時(shí)延優(yōu)化目標(biāo)。此外，將級(jí)聯(lián)漏掃系統(tǒng)時(shí)延優(yōu)化問(wèn)題轉(zhuǎn)化為求解系統(tǒng)自由能函數(shù)最小值問(wèn)題，并基于確定性退火算法求解。

1 模型建立

級(jí)聯(lián)漏掃方案的工作原理如圖1 所示。本節(jié)對(duì)級(jí)聯(lián)漏洞掃描引擎系統(tǒng)各元素進(jìn)行定義與闡述，建立數(shù)學(xué)模型，確定面向時(shí)延的優(yōu)化目標(biāo)。

圖1 級(jí)聯(lián)漏掃引擎及其部署Fig.1 Cascade vulnerability scanning engine and its deployment

1.1 系統(tǒng)模型

1.1.1 底層網(wǎng)絡(luò)

1.1.2 部署關(guān)系

1.1.3 網(wǎng)絡(luò)時(shí)延

在級(jí)聯(lián)漏掃引擎環(huán)境下，局域掃描引擎的掃描范圍需要覆蓋所轄范圍內(nèi)全部目標(biāo)終端設(shè)備，根據(jù)底層網(wǎng)絡(luò)以及級(jí)聯(lián)漏掃引擎與終端之間的部署關(guān)系，局部掃描引擎與目標(biāo)終端之間的時(shí)延α可表示為式（1）所示：

所有局部掃描引擎均從中心控制引擎獲取掃描任務(wù)并將掃描數(shù)據(jù)進(jìn)行回傳，因此中心控制引擎與局部掃描引擎之間的時(shí)延β可表示如下：

1.2 優(yōu)化目標(biāo)

綜合考慮中心控制引擎、局部掃描引擎與目標(biāo)終端之間的通信時(shí)延對(duì)漏掃效率的影響，面向時(shí)延的優(yōu)化目標(biāo)可表示為，其中參數(shù)γ＞0 用于衡量α與β兩種時(shí)延之間的重要程度，N=Card(N)用于權(quán)衡底層網(wǎng)絡(luò)規(guī)模影響，同時(shí)應(yīng)滿足式（4）～式（9）的約束關(guān)系。

其中：式（4）表示任意目標(biāo)終端有且僅有一個(gè)局域漏掃引擎對(duì)應(yīng)管轄；式（5）表示建模過(guò)程中節(jié)點(diǎn)m，n之間的時(shí)延等價(jià)于兩者之間的歐氏距離；式（6）表示有且僅有一個(gè)中心控制引擎；式（7）表示局域掃描引擎數(shù)量不多于能承載掃描引擎的節(jié)點(diǎn)集合基數(shù)，且不多于局域漏掃引擎數(shù)量上限；式（8）約束了一個(gè)目標(biāo)終端只能位于一個(gè)節(jié)點(diǎn)，一個(gè)掃描引擎僅能部署在一個(gè)節(jié)點(diǎn)上；式（9）=1 表示所有局域漏掃引擎均與中心控制引擎鏈接且受其管轄。

2 算法設(shè)計(jì)

分布式漏掃引擎部署過(guò)程與基于軟件定義網(wǎng)絡(luò)的控制器部署過(guò)程類似。在級(jí)聯(lián)漏掃探針系統(tǒng)中，局域漏掃引擎需要覆蓋所有目標(biāo)終端。同樣地，在SDN 環(huán)境下，多個(gè)控制器需要與網(wǎng)絡(luò)拓?fù)渲兴薪粨Q機(jī)建立映射關(guān)系。此類多域規(guī)劃問(wèn)題可歸約為典型的設(shè)施選址問(wèn)題［22］，是運(yùn)籌學(xué)中經(jīng)典的問(wèn)題之一。隨著問(wèn)題規(guī)模N的增加，無(wú)法在多項(xiàng)式的時(shí)間復(fù)雜度O(Nk)內(nèi)尋求最優(yōu)的控制器數(shù)量以及部署位置［16］。由于級(jí)聯(lián)漏掃引擎部署問(wèn)題包含局域漏掃引擎部署問(wèn)題，同樣可規(guī)約為設(shè)施選址問(wèn)題，因此也是NP 難問(wèn)題（NP-hard problem）。為降低問(wèn)題求解復(fù)雜度，確保任意目標(biāo)終端均有漏掃引擎管轄，同時(shí)降低級(jí)聯(lián)漏掃引擎通信時(shí)延以提升全網(wǎng)漏掃效率，本文在級(jí)聯(lián)引擎部署數(shù)學(xué)模型的基礎(chǔ)上，設(shè)計(jì)了一種啟發(fā)式級(jí)聯(lián)協(xié)同部署算法（Cascade Coordinate Deployment Algorithm，CCDA）。首先構(gòu)造合適的級(jí)聯(lián)系統(tǒng)能量函數(shù)，將面向時(shí)延優(yōu)化的級(jí)聯(lián)引擎部署問(wèn)題轉(zhuǎn)化為級(jí)聯(lián)系統(tǒng)自由能函數(shù)最小值問(wèn)題，在此基礎(chǔ)上，基于確定性退火思想設(shè)計(jì)的級(jí)聯(lián)協(xié)同部署算法進(jìn)行求解，避免求解過(guò)程陷入局部極小值，實(shí)現(xiàn)級(jí)聯(lián)引擎部署策略全局快速尋優(yōu)。

2.1 級(jí)聯(lián)系統(tǒng)能量函數(shù)的構(gòu)建

確定性退火算法利用統(tǒng)計(jì)物理的退火過(guò)程，將求解優(yōu)化問(wèn)題的最優(yōu)解轉(zhuǎn)化為求一系列隨溫度變化而變化的物理系統(tǒng)自由能函數(shù)的最小值問(wèn)題［23］。對(duì)于級(jí)聯(lián)引擎系統(tǒng)，可以基于上述退火過(guò)程將求解面向時(shí)延優(yōu)化的引擎部署問(wèn)題視為級(jí)聯(lián)系統(tǒng)能量期望函數(shù)最小值問(wèn)題。設(shè)=1，?n∈N，即底層網(wǎng)絡(luò)任意一點(diǎn)至少具備承載目標(biāo)終端的能力。定義級(jí)聯(lián)系統(tǒng)能量期望函數(shù)如下所示：

根據(jù)式（9）可知所有局域漏掃引擎均與中心控制引擎鏈接，因此級(jí)聯(lián)系統(tǒng)能量期望可表示為：

結(jié)合式（13），可得式（3）與如下式（14）等價(jià)。

2.2 級(jí)聯(lián)協(xié)同部署算法

依據(jù)自由能減小定律，溫度不變的封閉系統(tǒng)狀態(tài)總是朝著自由能減小的方向轉(zhuǎn)換，當(dāng)自由能最小時(shí)達(dá)到系統(tǒng)平衡態(tài)。當(dāng)級(jí)聯(lián)系統(tǒng)能量期望函數(shù)確定時(shí)，需要定義級(jí)聯(lián)系統(tǒng)的自由能函數(shù)F(δ，T)。為確保級(jí)聯(lián)協(xié)同部署算法的收斂性，F(xiàn)(δ，T)至少需要滿足確定性退火技術(shù)的兩項(xiàng)條件：當(dāng)系統(tǒng)溫度T→∞時(shí)，F(xiàn)(δ，T)關(guān)于δ的全局極小值易求出；當(dāng)T=0 時(shí)，F(xiàn)(δ，T)=E(δ)。參考文獻(xiàn)［24］，系統(tǒng)自由能函數(shù)可定義為：

其中H為級(jí)聯(lián)系統(tǒng)的系統(tǒng)熵，可表示為式（16）所示：

將式（19）代入式（18）即可求解υm及υm*。

結(jié)合確定性退火算法進(jìn)行迭代尋優(yōu)，級(jí)聯(lián)協(xié)同部署算法可總結(jié)為算法1。

算法1級(jí)聯(lián)協(xié)同部署算法

2.3 算法復(fù)雜度分析

級(jí)聯(lián)協(xié)同部署算法的復(fù)雜度取決于4 個(gè)因素：

1）終端節(jié)點(diǎn)分布χn以及漏掃引擎分布υm，其中n∈{1，2，…，N}，m∈{1，2，…，c}；

2）中心控制節(jié)點(diǎn)與局域控制節(jié)點(diǎn)之間的歐式距離計(jì)算；

3）針對(duì)聯(lián)合概率p(υm|χn)的求解過(guò)程；

4）確定性退火算法迭代次數(shù)τ。

綜上可得級(jí)聯(lián)協(xié)同部署算法的復(fù)雜度為O(NCτ)+O(C2τ)+O((N+C)τ)，由于C＜，且有?N，則當(dāng)網(wǎng)絡(luò)具有一定規(guī)模時(shí)，算法復(fù)雜度為O(NCτ)。

3 仿真分析

本文在實(shí)驗(yàn)中首先分析級(jí)聯(lián)協(xié)同部署算法的有效性，然后分析各項(xiàng)指標(biāo)對(duì)級(jí)聯(lián)協(xié)同部署算法的影響，最后與Greedy 算法［25］、K-means 算法［26］進(jìn)行對(duì)比分析。仿真實(shí)驗(yàn)平臺(tái)為Inter Core i7-9750，2.6 GHz CPU，16 GB 內(nèi)存，Linux 系統(tǒng)個(gè)人電腦，采用python語(yǔ)言搭建仿真環(huán)境并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行對(duì)比分析。實(shí)驗(yàn)使用兩種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)數(shù)據(jù)集，分別是服從高斯分布的隨機(jī)網(wǎng)絡(luò)拓?fù)洹?lái)自Pajek［27］與Stanford 大學(xué)［28］的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)集。其中隨機(jī)網(wǎng)絡(luò)拓?fù)涞囊?guī)模為N，高斯集群數(shù)量為K。

3.1 級(jí)聯(lián)協(xié)同部署算法的有效性驗(yàn)證

本實(shí)驗(yàn)主要驗(yàn)證級(jí)聯(lián)協(xié)同部署算法的有效性，實(shí)驗(yàn)使用服從高斯混合分布的隨機(jī)網(wǎng)絡(luò)拓?fù)洌撏貥闶褂胮ython 腳本生成，網(wǎng)絡(luò)規(guī)模N=80，代表可承載目標(biāo)終端和漏掃引擎的底層網(wǎng)絡(luò)節(jié)點(diǎn)，集群數(shù)量K=4，且γ=0.1，用于協(xié)調(diào)時(shí)延α與時(shí)延β。當(dāng)==1，?n∈N時(shí)，任意節(jié)點(diǎn)具備部署目標(biāo)終端以及探針引擎的能力。依據(jù)級(jí)聯(lián)協(xié)同部署算法，首先構(gòu)建滿足收斂條件的自由能函數(shù)F，并由υm0=初始化局域漏掃探針初始分布，然后進(jìn)入確定性退火算法循環(huán)過(guò)程，通過(guò)貝葉斯分布求解聯(lián)合概率p(υm|χn)，并結(jié)合式（17）和式（18）對(duì)局域漏掃分布結(jié)果進(jìn)行迭代尋優(yōu)，同時(shí)以系數(shù)ω降低系統(tǒng)當(dāng)前溫度T。當(dāng)系統(tǒng)溫度小于初始設(shè)定的最小溫度Tmin時(shí)停止迭代，輸出漏掃引擎分布結(jié)果υm。

圖2 展示了不同迭代次數(shù)下局域漏掃引擎與中心控制引擎對(duì)應(yīng)的部署位置，以及局域漏掃引擎覆蓋的目標(biāo)終端集群。可見(jiàn)隨著迭代次數(shù)的增加，局域漏掃引擎的數(shù)量，部署位置，以及管轄目標(biāo)終端集群均在不斷變化。當(dāng)?shù)?5 次時(shí)，局域漏掃引擎的部署數(shù)量為3，而當(dāng)?shù)?2 次時(shí)，局域漏掃引擎的部署數(shù)量為6，局域漏掃引擎與目標(biāo)終端之間的映射關(guān)系變化較大，中心控制引擎的部署位置也隨局域漏掃引擎的部署變化而發(fā)生改變。產(chǎn)生這一現(xiàn)象的原因是當(dāng)前系統(tǒng)溫度處于較高水平，部署狀態(tài)變化較為劇烈，該特性有效避免了求解過(guò)程陷入局部最優(yōu)。中心控制引擎的部署位置也在變化，但總體位于多個(gè)局域漏掃引擎之間，且數(shù)量始終為一。當(dāng)?shù)?5 次以上時(shí)，局域漏掃引擎的部署位置及其管轄終端范圍逐漸趨于穩(wěn)定。受參數(shù)γ取值的影響，局域漏掃引擎位于目標(biāo)終端集群中較靠近中心控制引擎的一側(cè)。

圖2 退火過(guò)程中部署策略的變化Fig.2 Change of deployment strategy during annealing

3.2 各參數(shù)對(duì)級(jí)聯(lián)協(xié)同部署算法的影響

本實(shí)驗(yàn)分別改變網(wǎng)絡(luò)規(guī)模N、參數(shù)γ的值來(lái)對(duì)比求解效果，從而分析各項(xiàng)指標(biāo)對(duì)級(jí)聯(lián)協(xié)同部署算法的影響。首先分析當(dāng)網(wǎng)絡(luò)規(guī)模N確定的情況下，改變衡量時(shí)延權(quán)重的參數(shù)γ對(duì)算法求解的影響。實(shí)驗(yàn)使用規(guī)模N=2 000，集群數(shù)量K=5 的高斯混合分布網(wǎng)絡(luò)，γ分別取值0.05，0.10，0.15，0.40 進(jìn)行求解，實(shí)驗(yàn)過(guò)程中改變了網(wǎng)絡(luò)規(guī)模、集群數(shù)量以及參數(shù)γ的取值，其余求解步驟與實(shí)驗(yàn)1 相同，效果如圖3 所示。可見(jiàn)隨著γ的變化，局域漏掃引擎的部署將會(huì)受到直接影響，當(dāng)γ逐漸增加時(shí)，局域漏掃引擎逐漸向中心控制引擎靠攏，且局域漏掃引擎的管轄范圍逐漸呈現(xiàn)向中心控制引擎擴(kuò)張的趨勢(shì)。造成這一現(xiàn)象的原因是隨著γ的增加，局域漏掃引擎與中心控制引擎之間的通信時(shí)延在優(yōu)化目標(biāo)中的權(quán)重占比增加，為了減小全局時(shí)延優(yōu)化目標(biāo)，級(jí)聯(lián)協(xié)同部署算法將盡可能減少中心控制引擎與局域漏掃引擎之間的距離，從而降低掃描結(jié)果回傳的通信時(shí)延。由圖3（d）可知，當(dāng)γ取值較大時(shí)，將會(huì)以減少局域漏掃引擎數(shù)量的方式降低引擎之間的通信時(shí)延。

圖3 參數(shù)γ 對(duì)算法求解的影響Fig.3 Influence of parameter γ on algorithm solution

分析網(wǎng)絡(luò)規(guī)模N發(fā)生改變時(shí)對(duì)算法求解產(chǎn)生的影響。實(shí)驗(yàn)使用來(lái)自Pajek 與Stanford 大學(xué)的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)集，N取值分別為124，234，311，451，581。在γ取不同值的情況下分別采用級(jí)聯(lián)協(xié)同部署算法進(jìn)行求解，可得級(jí)聯(lián)系統(tǒng)自由能（代表時(shí)延優(yōu)化目標(biāo)）隨網(wǎng)絡(luò)規(guī)模N以及參數(shù)γ的變化效果，結(jié)果如圖4所示。

圖4 級(jí)聯(lián)系統(tǒng)自由能的變化Fig.4 Change of free energy of cascade system

由圖4 可知，隨著γ的增加，級(jí)聯(lián)系統(tǒng)自由能函數(shù)趨于平穩(wěn)，代表時(shí)延優(yōu)化效果趨于平穩(wěn)。原因在于γ增加會(huì)導(dǎo)致局域漏掃引擎部署時(shí)向中心控制引擎靠攏，當(dāng)距離較近時(shí)級(jí)聯(lián)引擎之間的通信時(shí)延已經(jīng)不再是影響優(yōu)化目標(biāo)的主要因素。同時(shí)可以觀察到隨著網(wǎng)絡(luò)規(guī)模的增加，自由能函數(shù)趨于平穩(wěn)時(shí)對(duì)應(yīng)的γ是逐漸后移的，導(dǎo)致該現(xiàn)象的原因是當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，級(jí)聯(lián)引擎具備更寬裕的距離分布調(diào)整空間。

3.3 CDA 算法的級(jí)聯(lián)引擎部署時(shí)延優(yōu)化性能驗(yàn)證

為驗(yàn)證CCDA 算法的級(jí)聯(lián)引擎部署時(shí)延優(yōu)化性能，將K-means 部署算法［26］及Greedy 算法［25］與本文算法進(jìn)行對(duì)比分析。其中K-means 算法依據(jù)平均距離原則對(duì)目標(biāo)終端進(jìn)行聚類，將聚類中心作為漏掃引擎節(jié)點(diǎn)；Greedy 算法基于分級(jí)處理思想，首先以局部掃描引擎與目標(biāo)終端之間的時(shí)延為優(yōu)化目標(biāo)，決策局域漏掃引擎的部署，然后以級(jí)聯(lián)引擎之間的時(shí)延為優(yōu)化目標(biāo)決策中心控制引擎的部署。實(shí)驗(yàn)使用網(wǎng)絡(luò)規(guī)模為100～1 000、集群數(shù)量K=6 的高斯混合分布網(wǎng)絡(luò)，γ取值0.05，實(shí)驗(yàn)結(jié)果如圖5 所示。由圖5可知，隨著網(wǎng)絡(luò)規(guī)模的增加，3 種算法的級(jí)聯(lián)系統(tǒng)自由能（代表時(shí)延）均會(huì)增加，相同網(wǎng)絡(luò)規(guī)模下，使用K-means 部署算法所得的時(shí)延最大，這是因?yàn)樵撍惴ㄔ谝?guī)劃過(guò)程中僅依據(jù)目標(biāo)終端平均距離原則進(jìn)行聚類，對(duì)局域漏掃引擎所管轄的目標(biāo)終端數(shù)量缺乏規(guī)劃。Greedy 算法在網(wǎng)絡(luò)規(guī)模較小的情況與K-means部署算法相比存在優(yōu)勢(shì)，但隨著網(wǎng)絡(luò)規(guī)模增長(zhǎng)，時(shí)延優(yōu)化效果與CCDA 算法差距逐漸增大。這是因?yàn)镚reedy 算法將兩部分時(shí)延優(yōu)化目標(biāo)分離并逐步尋求最優(yōu)，導(dǎo)致局域漏掃引擎的部署策略僅取決于目標(biāo)終端，算法容易陷入局部最優(yōu)，因此當(dāng)網(wǎng)絡(luò)規(guī)模增大時(shí)，級(jí)聯(lián)引擎之間的通信時(shí)延難以得到優(yōu)化。相比之下，基于CCDA 算法的時(shí)延開銷相對(duì)Greedy 與K-means 部署算法平均降低16.2%與33.7%。

圖5 不同算法的時(shí)延優(yōu)化性能對(duì)比Fig.5 Performance comparison of delay optimization of different algorithms

4 結(jié)束語(yǔ)

本文針對(duì)現(xiàn)有級(jí)聯(lián)漏掃引擎部署研究中未考慮通信時(shí)延，導(dǎo)致掃描效率有待提高的問(wèn)題，提出一種面向時(shí)延優(yōu)化的級(jí)聯(lián)漏掃引擎部署策略。通過(guò)構(gòu)造級(jí)聯(lián)系統(tǒng)能量函數(shù)，將面向時(shí)延優(yōu)化的級(jí)聯(lián)引擎部署問(wèn)題轉(zhuǎn)化為系統(tǒng)自由能函數(shù)最小值問(wèn)題，并設(shè)計(jì)算法實(shí)現(xiàn)部署策略快速尋優(yōu)。實(shí)驗(yàn)結(jié)果表明，該算法有效降低了級(jí)聯(lián)引擎的通信時(shí)延，驗(yàn)證了其在處理復(fù)雜網(wǎng)絡(luò)環(huán)境下級(jí)聯(lián)漏掃引擎部署的有效性與優(yōu)越性。由于大規(guī)模復(fù)雜網(wǎng)絡(luò)環(huán)境下存在大量防火墻［29］、入侵檢測(cè)等網(wǎng)絡(luò)安全設(shè)備，導(dǎo)致網(wǎng)絡(luò)通聯(lián)情況受到訪問(wèn)控制的限制，影響局域漏掃引擎的部署，因此下一步將考慮訪問(wèn)控制的因素，研究在訪問(wèn)策略影響下的級(jí)聯(lián)漏掃引擎部署問(wèn)題。