软件定义网络中基于拟态防御的网络功能部署方法技术

本发明专利技术提供一种软件定义网络中基于拟态防御的网络功能部署方法，包括以下步骤：步骤1，通过虚拟化技术在数据平面部署虚拟网络功能；步骤2，基于拟态架构在控制平面构建异构执行体池、调度器和裁决器部件；步骤3，调度器基于应用平面的业务需求对异构执行体池中的异构执行体进行动态调度，生成业务部署策略流表文件；步骤4，裁决器对业务部署策略流表文件进行裁决，向异构执行体池输出被选择的异构执行体编号；步骤5，异构执行体池根据被选择的异构执行体编号控制被选择的异构执行体下发业务部署策略流表文件至数据平面，引导业务部署策略流表文件通过所述虚拟网络功能，完成网络功能的部署。

Network Function Deployment Method Based on Mimetic Defense in Software Definition Networks

The invention provides a method for deploying network functions based on mimetic defense in software definition network, which includes the following steps: step 1, deploying virtual network functions in data plane through virtualization technology; step 2, constructing heterogeneous execution pool, dispatcher and verdict components in control plane based on mimetic architecture; step 3, dispatcher adheres to heterogeneity based on business requirements of application plane. Heterogeneous executives in the row pool are scheduled dynamically to generate business deployment strategy flow table files; step 4, the decision maker decides the business deployment strategy flow table files and outputs the selected heterogeneous execution number to the heterogeneous execution pool; step 5, the heterogeneous execution pool controls the selected heterogeneous execution to send the business deployment strategy flow according to the selected heterogeneous execution number. Tables file to the data plane, guide the business deployment strategy flow table file through the virtual network functions, complete the deployment of network functions.

【技术实现步骤摘要】
软件定义网络中基于拟态防御的网络功能部署方法
本专利技术涉及计算机网络领域，具体的说，涉及一种软件定义网络中基于拟态防御的网络功能部署方法。
技术介绍
软件定义网络（SoftwareDefinedNetworking，SDN）是一种新型的开放网络架构，具有三大特征：控制和转发分离、设备资源虚拟化和通用硬件及软件可编程，受到学术界和产业界的广泛关注。近年来，随着网络功能虚拟化（NetworkFunctionVirtualization，NFV）技术的出现和运用，通常使用NFV技术实现各类网络功能设备，并且能够为各种网络服务功能构建资源池。通过结合SDN和NFV技术，用户和运营商可以通过NFV技术识别业务的需求，创建服务功能链上的各个虚拟网络功能（VirtualNetworkFunction，VNF）,并且可以自动地配置这些虚拟服务功能的业务逻辑，再通过SDN自动地引导相关业务流量依次、有序的通过这些虚拟服务功能，来完成网络功能的部署。随着网络技术的发展，网络空间的威胁也越来越多，各种网络系统被攻击与信息泄露事件屡见不鲜。在SDN网络中，结合NFV技术对网络功能进行虚拟化并完成部署是实现网络业务的关键。如果该过程被黑客攻击，将对网络产生严重影响，造成服务瘫痪以及经济损失。为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。
技术实现思路
本专利技术的目的是针对现有技术的不足，从而提供了一种软件定义网络中基于拟态防御的网络功能部署方法，提升了网络功能运行过程中的鲁棒性，同时也增大了攻击者的攻击代价和难度。为了实现上述目的，本专利技术所采用的技术方案是：一种软件定义网络中基于拟态防御的网络功能部署方法，包括以下步骤：步骤1，通过虚拟化技术在数据平面部署虚拟网络功能；步骤2，基于拟态架构在控制平面构建异构执行体池、调度器和裁决器部件，所述异构执行体池包括多个异构执行体，每个异构执行体均包括控制器和功能编排器；步骤3，调度器基于应用平面的业务需求对异构执行体池中的异构执行体进行动态调度，生成业务部署策略流表文件；步骤4，裁决器对业务部署策略流表文件进行裁决，向异构执行体池输出被选择的异构执行体编号；步骤5，异构执行体池根据被选择的异构执行体编号控制被选择的异构执行体下发业务部署策略流表文件至数据平面，引导业务部署策略流表文件通过所述虚拟网络功能，完成网络功能的部署。基于上述，所述异构执行体包括功能编排器和控制器，所述功能编排器用于根据业务需求生成包含网络功能的服务功能链，所述控制器用于根据服务功能链生成业务部署策略流表文件。基于上述，步骤3包括：步骤3.1，调度器监听应用平面发送的业务需求，在接收到业务需求后，将业务需求复制成N份随机下发至异构执行体池中的N个异构执行体；步骤3.2，所述异构执行体的功能编排器根据业务需求生成服务功能链；步骤3.3，所述异构执行体的控制器根据所述服务功能链生成业务部署策略流表文件，并将其加密发送至裁决器。基于上述，步骤4包括：步骤4.1，裁决器对N份加密的业务部署策略流表文件逐一进行裁决，并统计裁决结果；步骤4.2，裁决器根据统计的裁决结果，将N个异构执行体划分为正常异构执行体和异常异构执行体；步骤4.3，裁决器在正常异构执行体集合中随机选择一个异构执行体，并输出被选择的异构执行体编号至异构执行体池。基于上述，步骤4.3还包括：所述裁决器将异常异构执行体信息作为裁决结果发送给调度器。基于上述，调度器根据裁决器的裁决结果对异常异构执行体进行清洗处理。本专利技术相对现有技术具有突出的实质性特点和显著的进步，具体的说，本专利技术在控制平面基于拟态思想，利用动态异构冗余的特点对控制平面进行拟态构造，构建包括异构执行体池、裁决器和调度器在内的拟态部件。结合网络功能部署的特点，调度器基于业务需求对异构执行体池中的资源进行动态调度编排，建立多维动态的运行空间，检测并定位攻击行为，并能防止单一攻击手段在多个异构执行体中扩散，实现了对网络功能部署过程中的各类攻击手段的主动防御，极大地增加了攻击者的攻击难度和攻击代价；同时依据裁决器的反馈信息对执行异构执行体池中的资源进行清洗恢复操作，也进一步增强了调度器动态调度的安全性。附图说明图1为本专利技术实施例1中软件定义网络中基于拟态防御的网络功能部署方法的总体框架图。图2为本专利技术实施例1中调度器的流程图。图3为本专利技术实施例1中裁决器的流程图。图4为本专利技术实施例1中异构执行体池的流程图。图5为本专利技术实施例3中调度器的流程图。图6为本专利技术实施例3中裁决器的流程图。具体实施方式为了便于理解，现对本专利技术具体实施方式中出现的部分名词做以下解释：拟态防御：是由邬江兴院士为解决传统防御方法安全性不足而带来的严重网络安全问题，而提出额一种主动防御方法，通过组织多个冗余的异构功能等价体来共同处理外部相同的请求，并在多个冗余体之间做基于负反馈的动态调度，以此来弥补目前网络空间信息系统或防御技术中静态、相似、单一的安全缺陷。服务功能链（ServiceFunctionChain，SFC）：是一组有序的服务功能的集合，根据用户下发的业务需求得出具体的服务功能需求（例如，网络地址转换NAT、入侵检测IDS等），然后进行按需部署。下面通过具体实施方式，对本专利技术的技术方案做进一步的详细描述。实施例1提升软件定义网络架构下网络功能部署的可靠性和鲁棒性，根据上述拟态防御技术，如图1所示，本专利技术提供了一种软件定义网络中基于拟态防御的网络功能部署方法，包括以下步骤：步骤1，通过虚拟化技术在数据平面部署虚拟网络功能。优选的，所述数据平面包括由OpenFlow交换机构建的物理设备层和由不同网络功能如网络地址转换、防火墙、负载均衡等构建的虚拟功能层。步骤2，基于拟态架构在控制平面构建异构执行体池、调度器和裁决器部件。优选的，如图2所示，调度器有一个输入参数和一个输出参数，所述输入参数为应用平面的业务需求，所述输出参数为N个复制的业务需求；其工作流程为：调度器接收业务需求S后，将业务需求S复制成N份输出。优选的，如图3所示，裁决器有一个输入参数和一个输出参数，所述输入参数为加密后的业务部署策略流表文件，所述输出参数为被选择的执行体编号；其工作流程为：裁决器运行裁决算法对N个执行体的N份加密的业务部署策略流表文件逐一进行裁决，并统计裁决结果，优选的，所述裁决算法为大数判决算法，即半数以上一致结果判定为正确结果。这种裁决算法是基于假设：攻击者难以对多数异构执行体成功实施攻击，并造成相同的错误输出。裁决器根据统计的裁决结果，将N个执行体划分为正常执行体和异常执行体，并在正常执行体集合中随机选择一个执行体Ni作为被选择的执行体，并输出该执行体编号。异构执行体池是对异构执行体资源池化后的结果，由多个实现网络功能部署的逻辑功能等价异构执行体组成，其中每个异构执行体均包括控制器和功能编排器，所述功能编排器用于根据业务需求生成包含网络功能的服务功能链，所述控制器用于根据服务功能链生成业务部署策略流表文件。优选的，如图4所示，异构执行体池共有两个输入参数和两个输出参数，所述输出参数分别为N个复制的业务需求以及被选择的异构执行体编号；所述输出参数分别为N个加密的业务部署策略流表文件以及被选择的异构执行体生成的业务部署策略流表文本文档来自技高网...

【技术保护点】
1.一种软件定义网络中基于拟态防御的网络功能部署方法，其特征在于，包括以下步骤：步骤1，通过虚拟化技术在数据平面部署虚拟网络功能；步骤2，基于拟态架构在控制平面构建异构执行体池、调度器和裁决器部件；步骤3，调度器基于应用平面的业务需求对异构执行体池中的异构执行体进行动态调度，生成业务部署策略流表文件；步骤4，裁决器对业务部署策略流表文件进行裁决，向异构执行体池输出被选择的异构执行体编号；步骤5，异构执行体池根据被选择的异构执行体编号控制被选择的异构执行体下发业务部署策略流表文件至数据平面，引导业务部署策略流表文件通过所述虚拟网络功能，完成网络功能的部署。

【技术特征摘要】
1.一种软件定义网络中基于拟态防御的网络功能部署方法，其特征在于，包括以下步骤：步骤1，通过虚拟化技术在数据平面部署虚拟网络功能；步骤2，基于拟态架构在控制平面构建异构执行体池、调度器和裁决器部件；步骤3，调度器基于应用平面的业务需求对异构执行体池中的异构执行体进行动态调度，生成业务部署策略流表文件；步骤4，裁决器对业务部署策略流表文件进行裁决，向异构执行体池输出被选择的异构执行体编号；步骤5，异构执行体池根据被选择的异构执行体编号控制被选择的异构执行体下发业务部署策略流表文件至数据平面，引导业务部署策略流表文件通过所述虚拟网络功能，完成网络功能的部署。2.根据权利要求1所述的软件定义网络中基于拟态防御的网络功能部署方法，其特征在于：所述异构执行体包括功能编排器和控制器，所述功能编排器用于根据业务需求生成包含网络功能的服务功能链，所述控制器用于根据服务功能链生成业务部署策略流表文件。3.根据权利要求2所述的软件定义网络中基于拟态防御的网络功能部署方法，其特征在于，步骤3包括：步骤3.1，调度器监听应用平面发送的业务需求，在接收到业务需求后，将业务需求复制成N份随机下发至异构执行体池中的N个异构执行体；步骤3.2，所述异构执行体的功能编排器根据业务需求生成服务功能链；步骤3.3，所述异构执行体的控制器根据所述服务功能链生成业务部署策略流表文件，并将其加密发送至裁决器。4.根据权利要求1所述的软件定义网络中基于拟态防御的网络功能部署方法，其特征在于，步骤4包括：步骤4.1，裁决器...

【专利技术属性】
技术研发人员：郭义伟，鲍尚策，张建军，冯志峰，李兴龙，杨树村，邵文超，
申请(专利权)人：河南信大网御科技有限公司，
类型：发明
国别省市：河南,41