本发明专利技术提出了一种拟态服务功能链的调度方法,具体为一种保证系统异构性以及选取执行体可以满足网络要求的调度方法,该方法根据调度周期中需要的服务功能以及SF执行体的可信赖度,选出新的SF执行体集合,并组合出所有满足服务功能的包含多个SF执行体的集合,计算每个组合的整体异构度,选择整体异构度最大的组合作为新的在线SF执行体集合。并且该调度方法对调度时间进行调整,以达到系统花费与安全性的最佳平衡。本发明专利技术与传统的调度方法相比,本发明专利技术以异常执行体信息、执行体的异构度以及系统的实际负载量作为调度影响因素,使得调度方法可以根据网络变化进行自适应的调整,从而提升了系统的安全性。
【技术实现步骤摘要】
一种拟态服务功能链的调度方法
本专利技术涉及拟态安全防御和服务功能领域,具体涉及一种拟态服务功能链的调度方法。
技术介绍
随着软件定义网络(SoftwareDefinedNetwork,SDN)技术和网络功能虚拟化(NetworkFunctionVirtualization,NFV)技术的出现和运用,服务功能链的部署又重新焕发出了生机。基于SDN/NFV技术进行服务功能链部署,NFV技术能够虚拟化常见的物理设备,并且能够为各种网络服务功能构建资源池。SDN技术通过将网络设备的控制与转发进行分离,可以动态的、集中地调度流量的路径,从而提供定制化和灵活的对接。SFC基于SDN和NFV技术构建,SF是SFC的关键组成部分,SFC域中的所有数据流必须经过特定的SF以完成特定的服务功能。如果SF被攻击者控制,可能会导致整个SFC域的崩溃。拟态安全防御(MimicSecurityDefense,MSD)就是在主动以及被动的触发条件下,动态的、随机的选择多个执行对应功能的硬件变体以及软件变体。因此,系统具备动态性、随机性、冗余性、异构性以及非持续性等特点,无论是内部攻击者还是外部攻击者都无法准确的获取系统内部元件的运行环境以及状态信息,也就无法根据后门以及漏洞建立稳定的攻击链,从而达到提升系统安全性的目的。攻击者根据网络攻击模式可以分为静态攻击者(staticattacker)与适应型攻击者(adaptiveattacker)。静态攻击者对任意目标每次攻击成功的概率相同,适应性攻击者存在记忆能力,能够对相同或相近的目标实施快速攻击。所以有:1)拟态系统的异构性越小,则该系统被攻击者成功攻击的概率越高。拟态系统的异构性越大,则该系统被攻击者成功攻击的概率越低,安全性越高。2)执行体被攻击的概率必然随着它暴露在网络中的时间增长而不断增加。并且,执行体只要被感染,攻击者就能对该执行体保持持续控制。基本的系统的调度过程就是以设定的时间间隔T_s为度量,每隔T_s从异构执行体池中选择异构度大的未上线执行体上线,并且将前一次的在线执行体下线的过程。定时的替换在线执行体,可以在保持系统异构性的同时降低每个执行体的暴露时间。因此,系统结构信息的不确定性必然提升,漏洞被发现的风险则降低了。因为系统处于不断更新的状态且一直保持较高的异构度,所以可以清除适应型攻击者的前期努力,也能清理一些潜在漏洞以及后门的状态跳转。并且在发现被感染的异常执行体后,系统可以通过调度直接将其下线,达到有效阻断攻击者对异常执行体的持续控制的目的。
技术实现思路
本专利技术目的在于针对现有技术的不足,提供一种拟态服务功能链的调度方法,该方法可以根据网络变化进行自适应的调整,从而提升了系统的安全性。本专利技术解决其技术问题所采用的技术方案如下:一种拟态服务功能链的调度方法,该方法包括如下步骤:(1)根据拟态服务功能(ServiceFunction,SF)执行体的可信赖度从异构SF执行体池中选出满足要求的SF执行体集合;所述异构SF执行体池中具有l种执行不同类型服务功能的SF执行体,具体如下:SF={S1,S2,…,Si,…,Sl}其中,Si表示执行第i类服务功能的SF执行体集合。(2)经过调度周期的时间间隔Ts,进入下一个调度周期,假设需要第i类服务功能,设置集合U表示集合Si中所有不属于前一个调度周期的SF执行体集合SFo的元素的集合;(3)对计算出U中第i个执行体SFi的可信赖度ζi,具体公式如下:其中,σi表示SFi的基础选择度,Δdl表示系统负载量,Δda表示异常执行体总数相对前一个调度周期对应值的增长量,ξl表示系统负载量的增长阈值,ξa表示异常执行体个数的增长阈值,γi表示SFi与集合SFo中所有元素的异构度,表示SFi自身的置信度,表示依据网络流量变化更新的SFi的执行速度影响值;(4)调度器根据步骤(3)计算的可信赖度值从集合U中选出新的SF执行体集合;(5)对步骤(4)得到的新的SF执行体集合中所有SF执行体进行遍历,组合出所有满足第i类服务功能的包含多个SF执行体的集合,计算每个组合的整体异构度ρ;(6)选取步骤(5)中整体异构度最大的组合作为新的在线SF执行体集合。进一步地,步骤(1)和步骤(4)中,对异构SF执行体池中的执行体根据可信赖度进行排序后,将可信赖度前15%的执行体选出,形成SF执行体集合。进一步地,SFi的基础选择度σi计算公式如下:其中,τbel表示置信度影响权值,表示SFi自身的置信度,τiso表示异构度影响权值,τv表示SF执行体执行速度影响权值,表示依据网络流量变化更新的SFi的执行速度影响值,δo表示异构度折扣因子。n表示集合SFo中的元素总数,SFoi和SFoj分别表示SFo执行体集合中的第i个和第就j个元素。α(SFoi,SFoj)表示SFoi和SFoj的异构度。进一步地,SFi与集合SFo中所有元素的异构度γi计算公式如下:其中,δo表示异构度折扣因子,SFoj表示SFo执行体集合中的第j个元素,n表示集合SFo中的元素总数。进一步地,所述组合的整体异构度ρ计算公式如下:其中,δo表示异构度折扣因子,SFoi和SFoj分别表示SFo执行体集合中的第i个和第就j个元素,n表示集合SFo中的元素总数。进一步地,异构度α(SFi,SFj)计算公式如下其中,lg表示SF执行体的第g类异构元素的异构因子种类数,δg表示第g类异构元素的权值,δgk表示第g类异构元素的第k类异构因子的权值,SFi和SFj表示SF执行体集合中的第i个和第j个元素。e表示组成SF执行体集合中元素的异构元素种类数。进一步地,所述调度周期的时间间隔Ts实时动态调整,具体为:假设ri表示内的异常SF执行体总数,Ts的最大取值为ξmax,τ代表异常执行体个数为零的次数,从第一次出现异常执行体个数为零的情况开始累加,一旦出现异常执行体不为零的情况立即将τ置零,待出现异常执行体个数为零时τ重新开始累加。调度周期的时间间隔调度时间更新函数如下:其中,δ是一个大于零的常数,由具体网络情况决定,表示第(i-1)次调度到第i次调度对应的时间间隔,ξn表示存在的异常SF执行体阈值,若异常SF执行体个数大于ξn则认为当前系统需要通过降低调度时间提升系统安全性以降低异常执行体个数。若异常SF执行体个数小于或者等于ξn则认为仅依靠调度算法本身的内部调节就可以降低异常执行体个数。本专利技术的有益效果:与传统的调度方法相比,本专利技术以异常执行体信息、执行体的异构度以及系统的实际负载量作为调度影响因素,使得调度方法可以根据网络变化进行自适应的调整,从而提升了系统的安全性。附图说明图1为一个调度周期内的调度方法流程图。具体实施方式为使本申请的调度方法更加清楚,下面将结合附图和本申请具体实施例对本申请技术方案进行清楚、完本文档来自技高网...
【技术保护点】
1.一种拟态服务功能链的调度方法,其特征在于,该方法包括如下步骤:/n(1)根据拟态服务功能执行体的可信赖度从异构SF执行体池中选出满足要求的SF执行体集合;所述异构SF执行体池中具有l种执行不同类型服务功能的SF执行体,具体如下:/nSF={S
【技术特征摘要】
1.一种拟态服务功能链的调度方法,其特征在于,该方法包括如下步骤:
(1)根据拟态服务功能执行体的可信赖度从异构SF执行体池中选出满足要求的SF执行体集合;所述异构SF执行体池中具有l种执行不同类型服务功能的SF执行体,具体如下:
SF={S1,S2,…,Si,…,Sl}
其中,Si表示执行第i类服务功能的SF执行体集合。
(2)经过调度周期的时间间隔Ts,进入下一个调度周期,假设需要第i类服务功能,设置集合U表示集合Si中所有不属于前一个调度周期的SF执行体集合SFo的元素的集合;
(3)对计算出U中第i个执行体SFi的可信赖度ζi,具体公式如下:
其中,σi表示SFi的基础选择度,Δdl表示系统负载量,Δda表示异常执行体总数相对前一个调度周期对应值的增长量,ξl表示系统负载量的增长阈值,ξa表示异常执行体个数的增长阈值,γi表示SFi与集合SFo中所有元素的异构度,表示SFi自身的置信度,表示依据网络流量变化更新的SFi的执行速度影响值;
(4)调度器根据步骤(3)计算的可信赖度值从集合U中选出新的SF执行体集合;
(5)对步骤(4)得到的新的SF执行体集合中所有SF执行体进行遍历,组合出所有满足第i类服务功能的包含多个SF执行体的集合,计算每个组合的整体异构度ρ;
(6)选取步骤(5)中整体异构度最大的组合作为新的在线SF执行体集合。
2.根据权利要求1所述的一种拟态服务功能链的调度方法,其特征在于,步骤(1)和步骤(4)中,对异构SF执行体池中的执行体根据可信赖度进行排序后,将可信赖度前15%的执行体选出,形成SF执行体集合。
3.根据权利要求1所述的一种拟态服务功能链的调度方法,其特征在于,SFi的基础选择度σi计算公式如下:
其中,τbel表示置信度影响权值,表示SFi自身的置信度,τiso表示异构度影响权值,v表示SF执行体执行速度影响权值,表示依据网络流量变化更新的SFi的执行速度影响值,δo表示异构度折扣因子。n表示集合SFo中的元素总数,SFoi和...
【专利技术属性】
技术研发人员:李传煌,唐晶晶,雷睿,王伟明,
申请(专利权)人:浙江工商大学,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。