網(wǎng)絡(luò)功能虛擬化支持下的網(wǎng)絡(luò)安全技術(shù)研究

摘要：為了探索網(wǎng)絡(luò)功能虛擬化（Network Function Virtualization，NFV）環(huán)境下的網(wǎng)絡(luò)安全技術(shù)，解決網(wǎng)絡(luò)異常檢測(cè)及定位問題，文章通過采用矩陣差分分解，著眼于提升網(wǎng)絡(luò)異常情況下的檢測(cè)精確度與定位，在構(gòu)建的NFV網(wǎng)絡(luò)模型中利用不同強(qiáng)度的異常流場(chǎng)景，深入分析了網(wǎng)絡(luò)異常對(duì)系統(tǒng)性能的影響，測(cè)試了基于矩陣差分分解的MADEL（Matrix Analysis for Detection and Location）算法在不同場(chǎng)景下的表現(xiàn)。研究結(jié)果表明，MADEL算法能夠有效適應(yīng)不同異常環(huán)境，隨著異常流強(qiáng)度的增加，算法的檢測(cè)與定位效果為NFV環(huán)境下的網(wǎng)絡(luò)安全管理提供了有力的技術(shù)支持。

關(guān)鍵詞：NFV技術(shù)；網(wǎng)絡(luò)異常檢測(cè)；RTT網(wǎng)絡(luò)模型；差分分解

中圖分類號(hào)：TN92文獻(xiàn)標(biāo)志碼：A

0 引言

隨著網(wǎng)絡(luò)功能虛擬化（Network Function Virtualization，NFV）技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全成了研究的重點(diǎn)領(lǐng)域。該研究旨在探討NFV環(huán)境下網(wǎng)絡(luò)異常檢測(cè)及定位的有效策略，以應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全威脅。研究采用矩陣差分分解方法，深入分析網(wǎng)絡(luò)異常對(duì)系統(tǒng)性能的具體影響，進(jìn)而評(píng)估基于該方法的MADEL算法在不同網(wǎng)絡(luò)異常場(chǎng)景下的適應(yīng)性和效果。文章創(chuàng)新點(diǎn)在于結(jié)合NFV的特性，對(duì)MADEL算法進(jìn)行了優(yōu)化和調(diào)整，以提高其在動(dòng)態(tài)虛擬化網(wǎng)絡(luò)環(huán)境中的準(zhǔn)確性和效率，為網(wǎng)絡(luò)安全領(lǐng)域提供了新的研究視角和實(shí)用工具。

1 相關(guān)研究

1.1 NFV技術(shù)

NFV技術(shù)源自通信領(lǐng)域，該技術(shù)可將網(wǎng)絡(luò)服務(wù)從硬件設(shè)備中解耦，其可在標(biāo)準(zhǔn)化虛擬服務(wù)器上實(shí)現(xiàn)，大幅提升了網(wǎng)絡(luò)架構(gòu)的靈活性與擴(kuò)展性。NFV技術(shù)允許網(wǎng)絡(luò)運(yùn)營(yíng)商通過軟件來管理和擴(kuò)展網(wǎng)絡(luò)功能，而無需依賴于專用物理設(shè)備。該技術(shù)通過將網(wǎng)絡(luò)功能（如防火墻、負(fù)載均衡器等）封裝為獨(dú)立的虛擬網(wǎng)絡(luò)函數(shù)（Virtual Network Function， VNF），實(shí)現(xiàn)了對(duì)系統(tǒng)功能的快速部署與靈活管理［1］。

1.2 網(wǎng)絡(luò)異常檢測(cè)及定位技術(shù)

網(wǎng)絡(luò)異常檢測(cè)及定位技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵組成部分，能夠及時(shí)發(fā)現(xiàn)并定位網(wǎng)絡(luò)中的異常行為，保障網(wǎng)絡(luò)環(huán)境的安全與穩(wěn)定。該技術(shù)利用多種數(shù)據(jù)源，包括流量日志、系統(tǒng)日志及網(wǎng)絡(luò)拓?fù)湫畔?，通過綜合分析網(wǎng)絡(luò)數(shù)據(jù)來識(shí)別潛在的安全威脅或網(wǎng)絡(luò)故障。在NFV技術(shù)的應(yīng)用背景下，網(wǎng)絡(luò)異常檢測(cè)及定位技術(shù)面臨新的挑戰(zhàn)與機(jī)遇［2］。虛擬化環(huán)境下的動(dòng)態(tài)性要求檢測(cè)系統(tǒng)能夠適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)與流量的實(shí)時(shí)變化，確保檢測(cè)準(zhǔn)確性和效率。

2 基于矩陣差分分解的網(wǎng)絡(luò)異常檢測(cè)及定位

2.1 基于RTT網(wǎng)絡(luò)測(cè)量模型

基于往返時(shí)延（Round-Trip Time，RTT）網(wǎng)絡(luò)測(cè)量模型主要利用RTT值來評(píng)估網(wǎng)絡(luò)中各節(jié)點(diǎn)間的通信效率，進(jìn)而監(jiān)控網(wǎng)絡(luò)狀態(tài)，識(shí)別潛在的異?；蛐阅芷款i。RTT性能矩陣模型如圖1所示。矩陣元素i代表在第t個(gè)測(cè)量周期內(nèi)，邊界設(shè)備i到邊界設(shè)備j的RTT測(cè)量值。當(dāng)測(cè)量周期數(shù)T=16時(shí)，可構(gòu)建A16×6RTT矩陣，其中矩陣的行代表時(shí)間周期，列代表不同的邊界設(shè)備對(duì)［3］。

2.2 基于矩陣差分分解異常檢測(cè)及定位算法

基于矩陣差分分解（Matrix Differential Decomposition，MDD）的網(wǎng)絡(luò)異常檢測(cè)方法主要依托于RTT網(wǎng)絡(luò)測(cè)量模型，通過對(duì)RTT性能矩陣進(jìn)行深入分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常的有效檢測(cè)和精確定位。RTT性能矩陣A中的元素Atij代表在特定周期內(nèi)，網(wǎng)絡(luò)中2個(gè)邊界設(shè)備i、j之間的RTT值。在正常情況下，RTT值應(yīng)相對(duì)穩(wěn)定，而網(wǎng)絡(luò)中的異常事件，如故障或擁塞，會(huì)在RTT矩陣中引起明顯的波動(dòng)。當(dāng)網(wǎng)絡(luò)中出現(xiàn)異常時(shí)，RTT性能矩陣A的某些部分值會(huì)產(chǎn)生顯著變化，但變化也僅是影響矩陣中的少數(shù)元素［4］。

基于MDD的網(wǎng)絡(luò)異常檢測(cè)方法假設(shè)待分析的RTT矩陣A1為2個(gè)矩陣之和：接近正常狀態(tài)的低秩基準(zhǔn)矩陣Ao和稀疏的差異矩陣Ae。其中，Ao代表網(wǎng)絡(luò)在沒有異常時(shí)的RTT行為，而Ae則捕捉了由于異常所導(dǎo)致的RTT值的變化。通過將A1分解為Ao和Ae，可以利用Ae中的稀疏性來定位網(wǎng)絡(luò)中的異常。分解過程可以通過優(yōu)化問題實(shí)現(xiàn)，目標(biāo)是最小化基準(zhǔn)矩陣的秩和差異矩陣的元素?cái)?shù)量，以此表示為式（1）所示的優(yōu)化模型。

其中，rank（Ao）代表矩陣Ao的秩，‖Ae‖0表示矩陣Ae的L0范數(shù)，即非零元素的數(shù)量，而λ是平衡2個(gè)目標(biāo)的正則化參數(shù)。通過解決上述優(yōu)化問題，可以得到基準(zhǔn)矩陣Ao和差異矩陣Ae，后者揭示了網(wǎng)絡(luò)性能異常的位置和規(guī)模。

2.3 基于NFV技術(shù)的網(wǎng)絡(luò)測(cè)量系統(tǒng)及分析

2.3.1 基于NFV技術(shù)的網(wǎng)絡(luò)測(cè)量系統(tǒng)

該節(jié)聚焦于基于NFV技術(shù)的網(wǎng)絡(luò)測(cè)量系統(tǒng)，結(jié)合邊界設(shè)備（R1—R3）和內(nèi)部路由器（n1—n12）構(gòu)成了網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)，系統(tǒng)通過在每個(gè)邊界設(shè)備上部署虛擬網(wǎng)絡(luò)功能程序（AM1—AM3）實(shí)現(xiàn)主動(dòng)測(cè)量，并負(fù)責(zé)定期測(cè)量到其他邊界設(shè)備的RTT值，形成RTT性能矩陣A。

設(shè)置RTT性能矩陣A的生成基于邊界設(shè)備之間的RTT測(cè)量值，每5 s注入的泊松流背景流量模擬了網(wǎng)絡(luò)中的正常流量，而每條流由強(qiáng)度為1 Mbps的用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol，UDP）分組構(gòu)成。在實(shí)驗(yàn)階段，為了測(cè)試RTT性能矩陣的低秩性和網(wǎng)絡(luò)的異常檢測(cè)能力，向網(wǎng)絡(luò)中注入異常流量，每個(gè)異常流的強(qiáng)度約為50 Mbps，顯著高于背景流量。數(shù)據(jù)集的收集分為3個(gè)階段：第一階段（第1時(shí)隙—第30時(shí)隙）未注入異常流，收集的數(shù)據(jù)集Dataset1代表網(wǎng)絡(luò)的正常狀態(tài)；第二階段（第31時(shí)隙—第50時(shí)隙）注入第一個(gè)異常流，形成數(shù)據(jù)集Dataset2；第三階段（第61時(shí)隙—第80時(shí)隙）同時(shí)注入2個(gè)異常流，形成數(shù)據(jù)集Dataset3。在測(cè)量系統(tǒng)中，文章通過RTT性能矩陣揭示網(wǎng)絡(luò)狀態(tài)，進(jìn)一步分析矩陣性能以揭示網(wǎng)絡(luò)性能的關(guān)鍵特征?？蓪TT性能矩陣A表示為：

A=［aij］m×n（2）

其中，aij代表在給定時(shí)間周期內(nèi)，從邊界設(shè)備i到邊界設(shè)備j的RTT測(cè)量值。該矩陣能反映網(wǎng)絡(luò)的即時(shí)狀態(tài)，還能實(shí)現(xiàn)數(shù)學(xué)分析，比如奇異值分解（Singular Value Decomposition，SVD）或主成分分析（Principal Components Analysis，PCA），來檢測(cè)和定位網(wǎng)絡(luò)中的異常行為［5］。RTT性能矩陣主軸方差貢獻(xiàn)率如圖2所示，在3個(gè)數(shù)據(jù)集中，前3個(gè)奇異值可以獲取網(wǎng)絡(luò)96%的特征，進(jìn)而表明無論網(wǎng)絡(luò)是否在存在異常，RTT矩陣都具備低秩特性。

2.3.2 MADEL示例

MADEL（Matrix Analysis for Detection and Location）示例可通過分析RTT性能矩陣來檢測(cè)和定位網(wǎng)絡(luò)中的異常。該節(jié)將展示MADEL示例的核心方法和步驟以及如何利用該示例進(jìn)行網(wǎng)絡(luò)異常檢測(cè)和定位。MADEL示例依賴于精確構(gòu)建的RTT性能矩陣，基于邊界設(shè)備間的RTT測(cè)量值。設(shè)網(wǎng)絡(luò)中3個(gè)邊界設(shè)備為R1—R3，可構(gòu)建的RTT性能矩陣A如式（3）所示。

其中，RTTij代表從邊界設(shè)備i到邊界設(shè)備j的往返時(shí)延。

在MADEL示例中，關(guān)鍵步驟如下。

（1）構(gòu)建RTT性能矩陣：利用邊界設(shè)備上部署的VNF程序持續(xù)測(cè)量并更新RTT性能矩陣。

（2）異常檢測(cè)：對(duì)RTT性能矩陣進(jìn)行分析，使用矩陣分解或其他統(tǒng)計(jì)方法識(shí)別矩陣中的異常值。比如，利用SVD將RTT性能矩陣分解為多個(gè)矩陣的乘積，分析分量矩陣以識(shí)別異常。

（3）異常定位：一旦檢測(cè)到異常，通過分析RTT性能矩陣中異常值的位置，確定網(wǎng)絡(luò)中異常發(fā)生的具體位置。

為了展示MADEL示例的應(yīng)用，文章構(gòu)建數(shù)據(jù)表來表示RTT性能矩陣在不同時(shí)間點(diǎn)的值，如表1所示。

由表可知：時(shí)間T2中RTT12、RTT21值為50 ms，時(shí)間T3中RTT23與RTT32值為70 ms，可看出數(shù)值明顯異常，指示網(wǎng)絡(luò)存在問題。

2.4 實(shí)驗(yàn)結(jié)果分析

2.4.1 大規(guī)模網(wǎng)絡(luò)實(shí)驗(yàn)

聚焦于Prototype1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)建基于NFV的網(wǎng)絡(luò)測(cè)量系統(tǒng)，其中包含34個(gè)路由器，細(xì)分為10個(gè)AS邊界路由器（R1—R10）和24個(gè)內(nèi)部路由器（n1—n24），展現(xiàn)出冪律分布的特性，模擬真實(shí)世界網(wǎng)絡(luò)的復(fù)雜性。文章實(shí)驗(yàn)設(shè)計(jì)包括4種獨(dú)特的異常注入場(chǎng)景S1—S4：設(shè)在S1場(chǎng)景中向n3和n14 2個(gè)獨(dú)立內(nèi)部路由器注入異常；在S2場(chǎng)景中向相鄰的n17、n24路由器的不同端口注入異常；在S3場(chǎng)景中向單一路由器n6的2個(gè)端口注入異常；在S4場(chǎng)景中向nPMsqE5iWBhfAy224qtg1dg==9、n13和n173個(gè)路由器注入異常［6］。文章設(shè)計(jì)如下實(shí)驗(yàn)測(cè)試基于矩陣差分分解的方法在不同網(wǎng)絡(luò)異常注入場(chǎng)景下的檢測(cè)與定位能力：通過收集各場(chǎng)景下的RTT數(shù)據(jù)，構(gòu)建RTT性能矩陣，應(yīng)用矩陣差分分解技術(shù)來識(shí)別網(wǎng)絡(luò)中的異常情況。該方法通過MADEL算法比較各場(chǎng)景下的真正率（True Positive Rate，TPR）、真負(fù)率（True Negative Rate，TNR）和分類報(bào)告率（Categorical Reporting Rate，CRR）進(jìn)行評(píng)估。具體參數(shù)如表2所示。

2.4.2 網(wǎng)絡(luò)異常影響

實(shí)驗(yàn)通過構(gòu)建3種不同強(qiáng)度的異常泊松流場(chǎng)景，探索了異常流速率對(duì)網(wǎng)絡(luò)性能及MADEL算法檢測(cè)能力的影響。在圖3所示的基于NFV的網(wǎng)絡(luò)測(cè)試系統(tǒng)中，實(shí)驗(yàn)首先在第10個(gè)時(shí)隙注入平均速率為5 Mbps的異常流，繼而在第30個(gè)時(shí)隙注入20 Mbps的異常流，最后在第50個(gè)時(shí)隙注入50 Mbps的異常流，每次注入持續(xù)10個(gè)時(shí)隙。實(shí)驗(yàn)結(jié)果顯示，隨著異常流強(qiáng)度的增加，差分矩陣中的異常數(shù)據(jù)值增大，網(wǎng)絡(luò)擁塞現(xiàn)象更為明顯。圖3（a）直觀地揭示了異常流強(qiáng)度與網(wǎng)絡(luò)擁塞之間的關(guān)系。此外，通過對(duì)100多次試驗(yàn)的分析，圖3（b）—（d）展示了MADEL算法在不同異常流強(qiáng)度下的性能表現(xiàn)，具體體現(xiàn)在TPR、TNR和CLR的變化。

3 結(jié)語

綜上所述，該研究基于NFV對(duì)網(wǎng)絡(luò)安全技術(shù)（特別是網(wǎng)絡(luò)異常檢測(cè)及定位問題）進(jìn)行了深入探討。通過引入基于矩陣差分分解的MADEL算法，該研究不僅提高了對(duì)網(wǎng)絡(luò)異常的檢測(cè)準(zhǔn)確性和定位效率，還通過實(shí)驗(yàn)驗(yàn)證了算法在不同異常流強(qiáng)度下的穩(wěn)定性和可靠性。MADEL算法能夠有效適應(yīng)不同強(qiáng)度的網(wǎng)絡(luò)異常，及時(shí)響應(yīng)和處理網(wǎng)絡(luò)異常。研究成果為NFV環(huán)境下的網(wǎng)絡(luò)安全管理提供了新的方法論和實(shí)踐案例，對(duì)推動(dòng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展具有重要意義。未來的研究可以進(jìn)一步探索算法在更多元化網(wǎng)絡(luò)環(huán)境中的應(yīng)用，結(jié)合機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)提升網(wǎng)絡(luò)異常檢測(cè)和定位的智能化水平。

參考文獻(xiàn)

［1］林華，薛靜宜.軟件定義網(wǎng)絡(luò)（SDN）/網(wǎng)絡(luò)功能虛擬化（NFV）技術(shù)研究及部署［J］.廣播電視網(wǎng)絡(luò)，2022（1）：106-108.

［2］劉曉童.基于NFV的網(wǎng)絡(luò)安全技術(shù)研究［J］.無線互聯(lián)科技，2022（19）：153-155.

［3］陽勇，孟相如，康巧燕，等.拓?fù)渑c資源感知的虛擬網(wǎng)絡(luò)功能遷移方法［J］.計(jì)算機(jī)科學(xué)與探索，2021（11）：2161-2170.

［4］王偉.面向虛擬化網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取及安全態(tài)勢(shì)預(yù)測(cè)應(yīng)用［J］.電視技術(shù)，2023（1）：177-182.

［5］趙圣隆.5G背景下計(jì)算機(jī)網(wǎng)絡(luò)關(guān)鍵技術(shù)的應(yīng)用研究［J］.信息記錄材料，2023（8）：131-133.

［6］郝小鳳.基于大數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)研究［J］.信息與電腦，2023（15）：33-35.

Research on network security technology supported by network function virtualization

Abstract： This study aims to explore network security technologies in the context of NFV（Network Function Virtualization） and address issues related to network anomaly detection and localization. In the study， matrix differential decomposition is used to improve the detection accuracy and localization of network anomalies. In the constructed NFV network model， the different intensity anomaly flow scenarios are utilized to deeply analyze the impact of network anomalies on system performance. The performance of the MADEL（Matrix Analysis for Detection and Location）algorithm based on matrix differential decomposition is tested in different scenarios. The research results indicate that the MADEL algorithm can effectively adapt to different abnormal environments. As the intensity of abnormal flow increases， the detection and localization performance of the algorithm provides strong technical support for network security management in NFV environments.

Key words： NFV technology; network anomaly detection; RTT network model; differential decomposition