基于安全策略的負載感知動態(tài)調(diào)度機制

顧澤宇，張興明，林森杰

(國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州 450002)

基于安全策略的負載感知動態(tài)調(diào)度機制

顧澤宇*，張興明，林森杰

(國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州 450002)

針對軟件定義網(wǎng)絡(luò)(SDN)網(wǎng)絡(luò)控制器流規(guī)則篡改攻擊等單點脆弱性威脅，傳統(tǒng)安全解決方案如備份、容錯機制等存在被動防御缺陷，無法從根本上解決控制層安全問題。結(jié)合目前移動目標防御、網(wǎng)絡(luò)空間擬態(tài)防御等主動防御技術(shù)研究現(xiàn)狀，提出一種基于異構(gòu)冗余結(jié)構(gòu)的動態(tài)安全調(diào)度機制。建立控制器執(zhí)行體與調(diào)度體調(diào)度模型，根據(jù)系統(tǒng)攻擊異常、異構(gòu)度等指標，以安全性為原則設(shè)計動態(tài)調(diào)度策略；同時考慮系統(tǒng)負載因素,通過設(shè)計調(diào)度算法LA-SSA將調(diào)度問題轉(zhuǎn)化為動態(tài)雙目標優(yōu)化問題，以實現(xiàn)優(yōu)化的調(diào)度方案。仿真結(jié)果表明，對比靜態(tài)結(jié)構(gòu)，動態(tài)調(diào)度機制在累積異常值、輸出安全率等指標上有明顯優(yōu)勢，說明安全調(diào)度機制中的動態(tài)性與多樣性能夠顯著提高系統(tǒng)抵御攻擊能力，LA-SSA機制負載方差較安全優(yōu)先調(diào)度更平穩(wěn)，在實現(xiàn)安全調(diào)度的同時避免了負載失衡問題，驗證了安全調(diào)度機制的有效性。

單點脆弱性；主動防御技術(shù)；動態(tài)調(diào)度機制；安全策略；負載感知

0 引言

近年來，網(wǎng)絡(luò)安全受到越來越多的重視。一方面，傳統(tǒng)網(wǎng)絡(luò)安全手段，像防火墻、網(wǎng)絡(luò)入侵檢測系統(tǒng)(Network Intrusion Detection System, NIDS)等，多基于已知的攻擊行為建立特征庫進行匹配，以阻止或檢測當前正在發(fā)生的惡意攻擊或未授權(quán)行為。對于未知惡意代碼、0-day攻擊、系統(tǒng)陷門等攻擊方式，傳統(tǒng)方法尚不能進行有效防御。另一方面，網(wǎng)絡(luò)安全領(lǐng)域中的攻擊與防御是極其不對稱的。攻擊者能夠以較少的資源開銷對目標系統(tǒng)進行探測、提權(quán)以及控制等攻擊行為，相反，防御方為彌補系統(tǒng)不安全因素需要付出昂貴的代價。同時，基于現(xiàn)有開發(fā)模式下的軟件、操作系統(tǒng)以及驅(qū)動程序等無法完全避免設(shè)計缺陷或者漏洞的存在，為攻擊者提供了必要的攻擊條件。綜上，網(wǎng)絡(luò)安全形勢不容樂觀。

為徹底改變這一被動的網(wǎng)絡(luò)安全局面，國內(nèi)外安全領(lǐng)域的相關(guān)研究者提出諸多主動防御新思路，其中在國外的相關(guān)研究中具有代表性的是美國提出的移動目標防御(Moving Target Defense, MTD)思想。MTD通過隨機化、多樣性等技術(shù)，動態(tài)地改變系統(tǒng)的相關(guān)屬性以達到增加攻擊復(fù)雜度的目的，這些屬性包括系統(tǒng)平臺參數(shù)、網(wǎng)絡(luò)配置、運行時環(huán)境、軟件和數(shù)據(jù)等[1-2]。國內(nèi)學(xué)者提出網(wǎng)絡(luò)擬態(tài)防御(Cyber Mimic Defense, CMD)思想，認為網(wǎng)絡(luò)攻擊事件的本質(zhì)在于系統(tǒng)漏洞、缺陷的存在必然性以及系統(tǒng)的靜態(tài)與確定性為攻擊者的探測與利用創(chuàng)造了條件，針對未知病毒、漏洞等不確定威脅，基于動態(tài)異構(gòu)冗余原理以及“去協(xié)同化”的多模裁決與動態(tài)重構(gòu)機制，可以非線性地提高攻擊者攻擊難度[3]。

本文受軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN)中控制器威脅模型[4-5]啟發(fā)，在針對控制器的網(wǎng)絡(luò)攻擊中，攻擊者通過控制網(wǎng)絡(luò)操作系統(tǒng)實現(xiàn)對控制網(wǎng)域內(nèi)網(wǎng)絡(luò)數(shù)據(jù)流的惡意操縱，如典型的流規(guī)則篡改攻擊，攻擊者通過控制控制器產(chǎn)生非法的流規(guī)則，將網(wǎng)絡(luò)數(shù)據(jù)流按指定路線通行，從而繞過安全設(shè)備的檢測，這種攻擊將造成極其嚴重的后果。在現(xiàn)有針對控制層安全的相關(guān)研究中，文獻[5]提出應(yīng)通過備份、多樣性、自清洗與動態(tài)互連等技術(shù)提高控制層安全性能。傳統(tǒng)方案如入侵檢測、安全與控制分離思想[6]以及備份機制[7-8]僅僅考慮系統(tǒng)良性故障，對惡意的流行為以及洪泛攻擊、拒絕服務(wù)(Denial of Service, DoS)攻擊有效，但無法解決控制器被惡意控制的問題；基于入侵容忍[9]與容錯的多控制器架構(gòu)[10-12]能夠通過冗余屬性檢測惡意節(jié)點，大幅提高安全性，但其本質(zhì)仍為靜態(tài)結(jié)構(gòu)；而其他控制器動態(tài)分配機制的相關(guān)研究[10-11]未考慮安全問題。目前，相關(guān)研究[15-16]將移動目標防御思想應(yīng)用于SDN控制器安全防御中：文獻[15]利用控制器對當前網(wǎng)絡(luò)狀態(tài)進行抽象，通過適配引擎以規(guī)律的時間間隔進行隨機網(wǎng)絡(luò)調(diào)整，并獲取實時數(shù)據(jù)評估攻擊行為；文獻[16]針對MT6D(Moving Target IPv6 Defense)[17]無法應(yīng)用于單端可跳變數(shù)據(jù)鏈路的問題，提出一種基于主機的防御方式以抵御針對SDN控制器的惡意偵測行為?；贛TD的解決方案多針對攻擊者的信息嗅探行為，即攻擊鏈的第一階段[17]，無法有效防御節(jié)點受控后的惡意行為，系統(tǒng)屬性動態(tài)性多依賴于跳變圖案，在系統(tǒng)性能、擴展性等方面仍存在諸多局限。文獻[18-19]結(jié)合擬態(tài)防御思想，提出一種異構(gòu)冗余控制器架構(gòu)模型，引入調(diào)度層實現(xiàn)決策表決與調(diào)度機制，大幅提高數(shù)據(jù)輸出可靠性，同時證實了動態(tài)因素的引入非線性地增加了攻擊者攻擊難度。實際上，現(xiàn)階段對安全架構(gòu)的研究集中于從系統(tǒng)工程角度出發(fā)，而通過有效的策略實現(xiàn)動態(tài)系統(tǒng)的優(yōu)化部署能夠更大限度地提高系統(tǒng)目標性能。本文在現(xiàn)有安全機制研究的基礎(chǔ)上，基于控制器動態(tài)異構(gòu)冗余架構(gòu)[18]，提出基于安全性能的動態(tài)調(diào)度模型，通過系統(tǒng)安全閾值與異構(gòu)度確定多種動態(tài)調(diào)度策略，并在考慮系統(tǒng)計算性能即負載因素的情況下，將調(diào)度問題轉(zhuǎn)化為動態(tài)優(yōu)化問題，并給出適應(yīng)性調(diào)度算法LA-SSA(Load-Aware Security Scheduling Algorithm)實現(xiàn)調(diào)度體選擇，在優(yōu)化系統(tǒng)安全系數(shù)的動態(tài)過程中避免負載失衡的影響。最后，對包括LA-SSA在內(nèi)的多種調(diào)度策略性能進行了仿真評估與對比分析。通過綜合多因素的安全調(diào)度機制是一種新的嘗試，為網(wǎng)絡(luò)主動防御技術(shù)研究提供了新的數(shù)學(xué)模型與解決思路。

1 系統(tǒng)架構(gòu)模型

與文獻[18]類似，本文基于擬態(tài)防御思想,即動態(tài)異構(gòu)冗余(Dynamic Heterogeneous Redundancy, DHR)模型[3]，其本質(zhì)為多控制器架構(gòu)類型，多個控制器服務(wù)器實現(xiàn)對一個交換機客戶端協(xié)同控制，其中，系統(tǒng)整體框架如圖1所示(虛連接線為調(diào)度連接)。系統(tǒng)關(guān)鍵模塊包括以下幾個部分：

控制層 控制層基于異構(gòu)冗余結(jié)構(gòu)，即針對一個確定的交換機客戶端，存在多個控制器執(zhí)行體進行協(xié)同控制，執(zhí)行體間存在不同級別的異構(gòu)度。

服務(wù)代理中間件 實現(xiàn)交換機數(shù)據(jù)請求的同步分發(fā)，將來自冗余控制器的處理結(jié)果進行表決后輸出至交換機。代理中間件同時實現(xiàn)執(zhí)行體安全檢測，觸發(fā)調(diào)度功能。

擬態(tài)調(diào)度器 調(diào)度器完成執(zhí)行體與調(diào)度體的調(diào)度。根據(jù)服務(wù)代理反饋信息執(zhí)行調(diào)度算法，實現(xiàn)執(zhí)行體集元素的重選擇，其實現(xiàn)機制如圖2。

圖1 系統(tǒng)架構(gòu)模型Fig.1 System architecture model

圖2 擬態(tài)DHR實現(xiàn)機制Fig.2 DHR implementation mechanism of CMD

本文架構(gòu)模型中，異構(gòu)冗余執(zhí)行體的協(xié)同控制與一致性表決確保少數(shù)節(jié)點被控制情況下的系統(tǒng)輸出正確性，即攻擊者通過攻擊實現(xiàn)網(wǎng)絡(luò)行為控制，如流規(guī)則篡改攻擊，需要控制執(zhí)行體集群中的大多數(shù)節(jié)點，即被控制節(jié)點數(shù)η≥(N+1)/2，N為執(zhí)行體集規(guī)模，而異構(gòu)屬性降低了節(jié)點間存在相同脆弱點的概率，減少了協(xié)同攻擊可能性，而異常節(jié)點將會被檢測。通過調(diào)度機制提供安全防御中系統(tǒng)動態(tài)性與多樣性，以進一步增加攻擊者攻擊難度。然而，不同的調(diào)度策略所帶來的安全增益不同；同時，考慮實際應(yīng)用場景，最大化安全性能的調(diào)度并不是沒有限制的，在調(diào)度過程中需要考慮的一個最重要的因素即系統(tǒng)的計算性能，在本模型中基于安全性單因素可能造成調(diào)度體過于集中，從而導(dǎo)致負載過大。調(diào)度算法的設(shè)計在于感知系統(tǒng)性能因素下實現(xiàn)優(yōu)化的安全調(diào)度。

2 威脅模型

威脅模型的建立依賴于網(wǎng)絡(luò)應(yīng)用環(huán)境、攻擊類型等多種因素。對于本文而言，針對SDN控制層的威脅模型具備針對網(wǎng)絡(luò)安全大多數(shù)研究的普遍性，控制器與交換機間的工作模式在一定程度上可以看作服務(wù)器與客戶端模式，OpenFlow交換機作為客戶端向控制器提交數(shù)據(jù)請求，控制器又作為服務(wù)端將數(shù)據(jù)處理結(jié)果下發(fā)給交換機；同時對于控制器而言同樣存在針對其資源與功能的攻擊類型。另一方面，相對傳統(tǒng)網(wǎng)絡(luò)攻擊而言，這種威脅模型存在一定的特殊性，考慮工作模式的差異，控制器與交換機間的數(shù)據(jù)通信不能完全等價于傳統(tǒng)C/S模式。

模型假設(shè) 威脅模型針對由0-day威脅以及未知病毒、系統(tǒng)漏洞、后門等引發(fā)的功能型攻擊，即攻擊造成系統(tǒng)輸出錯誤、系統(tǒng)異?；蛘甙凑展粽咭鈭D對輸出數(shù)據(jù)的惡意更改等，如典型的流規(guī)則篡改攻擊(圖3所示)；處于正常工作狀態(tài)的控制器(這里指輸出結(jié)果正常)并非絕對安全，即存在一定的概率處于攻擊者控制之下；導(dǎo)致控制器輸出異常的因素中不考慮非攻擊因素，如環(huán)境等原因?qū)е碌南到y(tǒng)崩潰；不考慮資源耗盡型攻擊，如DoS、分布式拒絕服務(wù)(Distributed Denial of Service, DDoS)等。

基于以上假設(shè)，定義本文所針對的威脅模型為：SDN中，攻擊者通過攻擊OpenFlow控制器系統(tǒng)實現(xiàn)對某一個或多個控制器的控制，攻擊者實現(xiàn)攻擊成功之后能夠進行惡意的修改操作，即對控制器輸出結(jié)果進行任意修改或使其不產(chǎn)生數(shù)據(jù)輸出；對于多控制器架構(gòu)模型而言，攻擊者能夠通過進一步的滲透實現(xiàn)同一控制器集間的攻擊感染，直觀地講，異構(gòu)度較低的系統(tǒng)間實現(xiàn)攻擊感染的可能性更高。

圖3 流規(guī)則篡改攻擊Fig.3 Flow rule tampering attack

3 安全模型建立與調(diào)度算法

本章針對威脅模型分析影響安全調(diào)度機制中的幾個關(guān)鍵因素，建立調(diào)度問題優(yōu)化模型，最后給出負載感知安全調(diào)度算法LA-SSA及其復(fù)雜度分析。

3.1 安全調(diào)度問題分析

結(jié)合上文威脅模型，本節(jié)給出安全調(diào)度模型中幾個關(guān)鍵問題分析。

定義1 執(zhí)行體集。CeS={Ce1,Ce2, …,Cem}。對于一個客戶端即OpenFlow交換機S，由多個功能相同但存在存在異構(gòu)性的執(zhí)行體Cei所構(gòu)成的集合。針對一個OpenFlow交換機Si而言其執(zhí)行體集元素具有完全相同的網(wǎng)絡(luò)狀態(tài)與控制視圖。執(zhí)行體集CeS輸出經(jīng)過多數(shù)判決得到一致性表決結(jié)果，客戶端即OpenFlow交換機Si所接收的輸出響應(yīng)為執(zhí)行體集CeS判決后的輸出。

定義2 調(diào)度體集。CsS={Cs1,Cs2, …,Csn}。對于一個客戶端即OpenFlow交換機S，存在可供動態(tài)調(diào)度的控制器空間。類似于備份控制器選擇策略，調(diào)度體空間規(guī)模的確定取決于OpenFlow交換機安全需求Se。

通過提高異構(gòu)度以增加攻擊者的攻擊難度是網(wǎng)絡(luò)安全防御的一種重要手段，在多控制器架構(gòu)中，定義系統(tǒng)異構(gòu)度的方式包括多個層面，如硬件架構(gòu)層、操作系統(tǒng)層、編程語言層等?？紤]SDN控制層安全威脅模型，對于控制權(quán)限型攻擊者，目標系統(tǒng)的可利用攻擊面依賴于攻擊代碼與其核心代碼層匹配度以及系統(tǒng)層存儲空間的訪問方式。系統(tǒng)內(nèi)核代碼相似度是描述不同操作系統(tǒng)類型異構(gòu)程度的一種異構(gòu)指標量化參數(shù)，通過MOSS(Measures Of Software Similarity)工具計算以下幾種基于Linux的不同操作系統(tǒng)內(nèi)核代碼相似度[20]可以得到相似值矩陣M:

M{CentOS,Fedora,Debian,Gentoo,FreeBSD}=

因此，采用相似度參數(shù)δ描述系統(tǒng)間異構(gòu)程度，那么系統(tǒng)異構(gòu)程度越大，δ值越小，且δ∈(0,1]。

定義3 攻擊概率模型。根據(jù)網(wǎng)絡(luò)攻擊模式不同，可以將攻擊者分為靜態(tài)攻擊者(static attacker)與適應(yīng)型攻擊者(adaptive attacker)。靜態(tài)攻擊者無記憶能力，針對目標的每次攻擊成功概率相同；適應(yīng)型攻擊者存在記憶能力，能夠?qū)ο嗤蛳嘟哪繕藢嵤┛焖俟?。為便于分析，本模型不考慮適應(yīng)型攻擊者類型。直觀地講，異構(gòu)冗余模型中異構(gòu)程度越大的系統(tǒng)其相應(yīng)攻擊成功概率越低。本文通過常用的凹形指數(shù)函數(shù)描述攻擊者攻擊概率密度函數(shù)[22]，即：

v(Cei,t)=λexp(-λt)

(1)

攻擊者攻擊執(zhí)行時間越長，其成功概率越大，那么攻擊成功概率為:

(2)

由凹函數(shù)性質(zhì)，攻擊成功概率隨時間增長趨近于1。

對于一個執(zhí)行體集而言，在前文所描述的威脅模型下，由于各個執(zhí)行體間功能等價但存在一定的異構(gòu)度δ，攻擊者針對有限的系統(tǒng)資源(攻擊面)進行網(wǎng)絡(luò)攻擊，勢必造成針對不同執(zhí)行體間攻擊成功概率的差異性。這種差異一定程度上取決于執(zhí)行體間的異構(gòu)度，而通過攻擊成功概率或者單純地將執(zhí)行體異構(gòu)度作為評判一個執(zhí)行體，即OpenFlow控制器安全性能的標準是片面、非量化的?；谇拔闹型{模型的假設(shè)，考慮在執(zhí)行體集工作過程中，客戶端接收的響應(yīng)結(jié)果取決但不完全取決于單個執(zhí)行體輸出結(jié)果，那么在一次數(shù)據(jù)請求的處理過程中，網(wǎng)絡(luò)攻擊所造成的某個或多個執(zhí)行體輸出異常能夠被擬態(tài)判決感知，因此針對執(zhí)行體即OpenFlow控制器Cei而言，其在當前時間段τ、執(zhí)行體集CeS中的輸出異常次數(shù)反映了控制器Cei在執(zhí)行體集中當前的安全系數(shù)。因此，本文考慮離散時間模型下，執(zhí)行體集中針對某一執(zhí)行體的攻擊是隨機的，即認為初始時刻攻擊者選擇的攻擊目標是隨機的，且滿足各執(zhí)行體間發(fā)生被攻擊事件相互獨立，任意時刻發(fā)生被攻擊成功事件的概率很小，為p(v(Cei,t))，而在動態(tài)的調(diào)度過程中，當前時刻執(zhí)行體被攻擊成功的概率與調(diào)度體異構(gòu)度有關(guān)，直觀地講，異構(gòu)度越大，被攻擊成功的概率越小。同時每一個執(zhí)行體在確定的時間間隔內(nèi)所遭受的攻擊(產(chǎn)生輸出異常)次數(shù)是可確定的。綜上，本文定義當前時間執(zhí)行體i因攻擊而產(chǎn)生系統(tǒng)異常累積次數(shù)為：

E(t)i=θp(v(Cei,t))τδ

(3)

其中：θ為折扣因子，τ為當前時刻t的時間間隔。一旦攻擊者針對某一執(zhí)行體的攻擊成功，那么該執(zhí)行體所產(chǎn)生的異常次數(shù)隨時間線性增長。本文定義執(zhí)行體集安全系數(shù)模型為：對于集合CeSi中的任意元素Cei，當前時間段τ內(nèi)Cei的安全系數(shù)為：

ζ(t)i=exp(-αE′(t)i)

(4)

其中：α為折扣因子，即執(zhí)行體異常次數(shù)沒有變化時其安全系數(shù)為1，且安全系數(shù)隨異常累積次數(shù)增長速率非線性負相關(guān)。

3.2 調(diào)度策略

調(diào)度策略包括執(zhí)行體集與調(diào)度體集間的相互調(diào)度，即調(diào)入策略與調(diào)出策略：

對于執(zhí)行體集C中的任意執(zhí)行體c，通過其安全系數(shù)判斷是否滿足調(diào)度條件。當單個執(zhí)行體安全系數(shù)超出既定閾值γ時，即滿足調(diào)度條件，執(zhí)行調(diào)出策略，將其移出執(zhí)行體集，即：

(5)

另一方面，在實際網(wǎng)絡(luò)場景中考慮攻擊感染的情況下，當執(zhí)行體集中各執(zhí)行體間異構(gòu)度較低(如系統(tǒng)初始化的一段時間內(nèi))時，存在多個執(zhí)行體被攻擊控制的可能，為保證系統(tǒng)輸出的正確性，需要對多個滿足調(diào)出條件的執(zhí)行體執(zhí)行調(diào)出策略。

調(diào)入策略的執(zhí)行緊接在調(diào)出策略之后，通過選擇調(diào)度體集中的元素調(diào)入執(zhí)行體集。對于被調(diào)出的執(zhí)行體Cei，調(diào)入執(zhí)行體需要考慮以下幾種策略選擇條件：

1)異構(gòu)度?；谕{模型假設(shè)，執(zhí)行體安全系數(shù)的降低歸因于攻擊者的攻擊與控制，那么執(zhí)行調(diào)入策略時，考慮盡可能地提高調(diào)入執(zhí)行體與調(diào)出執(zhí)行體間異構(gòu)度以最大化攻擊者攻擊難度，即：

(6)

其中：in-h表示基于異構(gòu)度因素的調(diào)入策略。結(jié)合動態(tài)異構(gòu)冗余(Dynamical Heterogeneous Redundancy, DHR)的安全思想，基于異構(gòu)的調(diào)度策略目的在于通過系統(tǒng)調(diào)度對攻擊者呈現(xiàn)系統(tǒng)的不確定性，以提高整體安全度。根據(jù)威脅模型以及多控制器安全架構(gòu)，針對一個服務(wù)客戶端即OpenFlow交換機所對應(yīng)控制器集的安全性能度量依賴于該控制器集整體的安全性，通過執(zhí)行體異常度刻畫當前執(zhí)行體集安全系數(shù)為：

(7)

2)負載因素?；诋斍岸嗫刂破骷軜?gòu)模型與網(wǎng)域拓撲，一個確定的交換機對其執(zhí)行體集所產(chǎn)生的處理負載是等量的，而負載失衡的一個重要原因產(chǎn)生于調(diào)度策略造成的交換機遷移，使得單個控制器控制較多的交換機而引起數(shù)據(jù)處理負載過重。為避免異構(gòu)度原則調(diào)度所導(dǎo)致的控制器集負載失衡嚴重的問題，根據(jù)當前負載低者優(yōu)先原則對調(diào)度體集中控制器形成調(diào)度優(yōu)先權(quán)排序，即：

(8)

其中：in-l表示基于負載因素的調(diào)入策略;load為衡量調(diào)度體集的負載因素，抽象為輸入一個調(diào)度體集，輸出集合中元素負載值。考慮負載因素的調(diào)度策略目的在于盡可能地避免基于安全調(diào)度或其他情形下交換機遷移造成單個控制器負載過重影響，以達到調(diào)度體集負載均衡，其目標函數(shù)可以通過當前時間段內(nèi)調(diào)度體集負載方差描述，即：

(9)

對于當前執(zhí)行體集及調(diào)度體集，根據(jù)以上調(diào)度策略對兩個集合中的元素進行調(diào)度，實現(xiàn)考慮控制器負載均衡下的安全性能最大化。調(diào)度問題可以描述為目標函數(shù)為安全性能與負載均衡的動態(tài)雙目標優(yōu)化問題，安全性能指標依賴于對執(zhí)行體集中執(zhí)行體的安全系數(shù)的評估，即：

s.t. (3)(4)(7)(8)(9)

(10)

3.3 調(diào)度算法

本節(jié)介紹負載感知安全調(diào)度算法LA-SSA。算法LA-SSA Ⅰ中，首先根據(jù)異常次數(shù)統(tǒng)計對執(zhí)行體集元素進行排序(第1)行)，排序方式為降序；選擇一場次數(shù)超出系統(tǒng)安全閾值的執(zhí)行體元素作為當前時間調(diào)出元素；然后針對當前調(diào)出執(zhí)行體元素，計算調(diào)度體集中元素相對該調(diào)出執(zhí)行體異構(gòu)度(第4)行)；執(zhí)行算法Ⅱ(第7)行)；輸出結(jié)果確定調(diào)入的調(diào)度體元素，執(zhí)行調(diào)入策略。至此整個調(diào)度算法結(jié)束。

算法Ⅰ LA-SSA Ⅰ。

Begin:

Input: 執(zhí)行體集CeS,E(t)i, 調(diào)度體集CsS;

Output:δi&load(t)ito LA-SSA Ⅱ;

1) Perform sorting according to ↓E(t)iand calculate ranks;

2) while (E(t)i≥γ)

3) fori=1: |CsS|

4) calculateδi&load(t)i;

5) endfor

6) endwhile

伴隨著經(jīng)濟的發(fā)展，輸變電工程在我國社會的現(xiàn)代化進程中占據(jù)著愈來愈關(guān)鍵的位置，科學(xué)技術(shù)的發(fā)展對輸變電工程建設(shè)提供了更多的資金支持和技術(shù)保障。但與此同時市場化發(fā)展的同時也帶來了電力施工成本的提高，電力行業(yè)的不斷發(fā)展，更加需要對施工成本進行有效控制，改變傳統(tǒng)的成本管理理念，不斷完善成本管理體系，克服并解決電力施工中的潛在問題，提升對成本的管理和控制能力，只有這樣，才能夠提升電力企業(yè)的經(jīng)濟效益，推動我國電力工業(yè)的健康、可持續(xù)發(fā)展。

7) perform LA-SSA Ⅱ and update

8) end

算法LA-SSA Ⅱ是基于非支配排序算法(Non-dominated sorting algorithm)的一種雙目標優(yōu)化算法。算法的主要流程為在當前時間t，首先對調(diào)度體集合個體進行預(yù)排序(第1)行)，排序按照δ升序排序，當該值相同時按照負載函數(shù)升序排序，預(yù)排序結(jié)果列入解集構(gòu)造集(第2)行)；每次采取前向比較的方式進行非支配前沿分層，即每次迭代時，如果當前個體優(yōu)于前一個個體，則將其列入當前非支配前沿(第12)行)；否則列入被支配集(第10)行)，直到執(zhí)行個體數(shù)達到調(diào)度體集合規(guī)模；算法輸出為非支配前沿集，即優(yōu)化后的目標調(diào)度體。

算法Ⅱ LA-SSA Ⅱ。

Begin:

Input: 調(diào)度體集CsS,N(|CsS|),δi,load(t)i,Fi=?(輸出方案前沿集)；

1)

2)

L=presort(CsS);

3)

i=1;

4)

count=0;

5)

while(count

6)

Fi={L[0]};

/*首個體列入非支配集*/

7)

Q=?;

/*暫存被支配個體*/

8)

forj=1:L.size()

9)

if (L[pre]L[j])

10)

Q=Q∪L[j];

11)

else {

12)

Fi=Fi∪L[j];

13)

count=count+1;

14)

endif

15)

endfor

16)

i=i+1;

17)

L=Q;

18)

endwhile

19)

returnFi

20)

end

3.4 算法復(fù)雜度分析

假設(shè)控制器執(zhí)行體集規(guī)模為M，調(diào)度體集規(guī)模為N，下面進行算法時間復(fù)雜度分析。

LA-SSA Ⅰ首先執(zhí)行執(zhí)行體集異常統(tǒng)計排序，采用快速排序的時間復(fù)雜度為O(MlogM)；針對調(diào)度體集的異構(gòu)度與負載統(tǒng)計計算時間復(fù)雜度均為O(M)；LA-SSA Ⅱ基于雙目標非支配排序算法(BNSA)，其時間復(fù)雜度為排序復(fù)雜度，即O(NlogN)；由于執(zhí)行體集與調(diào)度體集規(guī)模取決于交換機客戶端安全需求與網(wǎng)絡(luò)拓撲，兩者大小關(guān)系不能確定。綜上，調(diào)度算法時間復(fù)雜度為O(NlogN),N=max(M,N)。

另一方面，算法Ⅰ執(zhí)行排序的空間復(fù)雜度不超過O(M)，對于算法Ⅱ，其空間復(fù)雜度為O(N)。因此，調(diào)度算法空間復(fù)雜度為O(N),N=max(M,N)。

4 仿真分析

4.1 仿真建立

由于相關(guān)領(lǐng)域文獻較少，本文仿真方案參考文獻[21]，為實現(xiàn)系統(tǒng)異構(gòu)性，采用5種不同操作系統(tǒng)類型的主機作為控制器異構(gòu)調(diào)度資源池，分別為CentOS、Debian、Fedora、FreeBSD和Gentoo，其異構(gòu)參數(shù)在本文第3章已經(jīng)說明，且不同類型系統(tǒng)在控制器執(zhí)行體集與調(diào)度體集間隨機分布。仿真過程基于蒙特卡洛模擬(Monte Carlo Simulation)方法，運行平臺為NetLogo模型工具與Matlab R2014a。

為了突出說明不同調(diào)度策略對安全性能的影響，本文結(jié)合傳統(tǒng)解決方案，對以下5種策略進行仿真評估，并分析比較。

1)單控制器(Single Controller, SC)。傳統(tǒng)單控制器模型、備份機制，不存在調(diào)度機制。數(shù)據(jù)請求的處理與輸出均由一個控制器決定。

2)靜態(tài)異構(gòu)冗余結(jié)構(gòu)(Static Structure, SS)。多控制器架構(gòu)，包括入侵容忍[9]、拜占庭容錯(Byzantine Fault Tolerance, BFT)機制[10-11]等。在結(jié)構(gòu)上，控制器集群中各控制器間存在一定異構(gòu)度(BFT容錯機制不存在異構(gòu)度)，包括控制器類型、編程語言、操作系統(tǒng)以及硬件結(jié)構(gòu)等，在本仿真中僅考慮操作系統(tǒng)類型即內(nèi)核層異構(gòu)性。在數(shù)據(jù)處理方式上，類似但不同于簡單的備份與BFT機制，數(shù)據(jù)請求的處理由控制集群中所有控制器同步執(zhí)行，輸出結(jié)果存在判決機制，取多數(shù)一致性輸出作為系統(tǒng)輸出?？刂破骷翰淮嬖谡{(diào)度機制，即為確定、靜態(tài)屬性。

3)隨機調(diào)度(基于時間)算法(Time-Random Scheduling Algorithm, TRSA)?？刂破骷軜?gòu)類型為動態(tài)異構(gòu)冗余模型，與SS模型的不同之處在于本策略中執(zhí)行體集群存在動態(tài)調(diào)度機制。調(diào)度策略為基于時間的隨機調(diào)度，即固定的時間間隔執(zhí)行調(diào)出策略與調(diào)入策略，并隨機選擇目標個體，不考慮異構(gòu)度與負載因素。

4)安全優(yōu)先調(diào)度算法(Security Priority Scheduling Algorithm, SPSA)?？刂破骷軜?gòu)類型為動態(tài)異構(gòu)冗余模型，調(diào)度策略基于執(zhí)行體安全因素，即調(diào)出策略根據(jù)執(zhí)行體集中系統(tǒng)異常參數(shù)閾值確定，調(diào)入策略僅考慮調(diào)度體與調(diào)出執(zhí)行間異構(gòu)度，不考慮調(diào)度體集群負載均衡因素，為最大安全調(diào)度策略。

5)算法調(diào)度(LA-SSA)?？刂破骷軜?gòu)類型為動態(tài)異構(gòu)冗余模型，調(diào)度策略為本文算法所描述的調(diào)度機制，即考慮調(diào)度體集群負載因素的安全調(diào)度策略。

仿真過程中的詳細參數(shù)設(shè)置如表1所示，其中執(zhí)行體集群規(guī)模為N=5，調(diào)度策略安全閾值均為γ=5，單次執(zhí)行時間長度為80個通信處理周期，數(shù)據(jù)統(tǒng)計結(jié)果均為100次MC模擬平均值?？紤]實際網(wǎng)絡(luò)場景中控制器節(jié)點與交換機客戶端節(jié)點比例約為0.2時控制安全性能較優(yōu)[23]，在分析負載因素時設(shè)置控制器所連接交換機客戶端初始值均為25。

表1 參數(shù)設(shè)置Tab.1 Parameter settings

4.2 結(jié)果分析

針對以上5種安全解決方案及調(diào)度策略，本文從攻擊異常統(tǒng)計、安全系數(shù)、負載均衡性能以及系統(tǒng)安全可靠性方面進行分析對比?；谇拔耐{模型與調(diào)度模型，攻擊異常度量通過執(zhí)行體運行時間內(nèi)所發(fā)生的系統(tǒng)異常次數(shù)衡量。具體仿真結(jié)果如下。

仿真過程首先選擇三種典型安全控制器解決方案：SS、TRSA與SPSA。通過統(tǒng)計執(zhí)行體運行時間內(nèi)平均累積異常值CNE(Comulative Number of Exceptions)可以發(fā)現(xiàn)，如圖4所示，無調(diào)度機制的靜態(tài)結(jié)構(gòu)累積異常值體現(xiàn)了靜態(tài)攻擊者對目標系統(tǒng)攻擊曲線，曲線增長速率刻畫攻擊者對當前系統(tǒng)的攻擊能力，在初始的一段時間內(nèi)攻擊所致系統(tǒng)累積異常值增長緩慢，但后期隨時間呈近似線性增長。

圖4 多種安全策略下累積異常值對比Fig.4 Comparison of CNE under different security strategies

圖4說明靜態(tài)多控制器架構(gòu)如入侵容忍、BFT容錯等機制能夠在其容忍范圍內(nèi)對惡意行為有效抑制，但隨著攻擊的持續(xù)，這種防御能力逐步下降；而存在調(diào)度機制的動態(tài)系統(tǒng)中，累積異常值曲線多次經(jīng)歷緩慢增長階段，但其累積異常值均遠低于無調(diào)度靜態(tài)方案。相比基于時間隨機調(diào)度機制，安全優(yōu)先調(diào)度策略能夠?qū)⒗鄯e異常值維持在更低的增長率，原因在于后者每次調(diào)度策略選擇系統(tǒng)異構(gòu)度最大調(diào)度體，系統(tǒng)差異造成一定時間內(nèi)攻擊者攻擊成功概率的下降；同時基于閾值的調(diào)度策略相比時間隨機調(diào)度需要更少的調(diào)度次數(shù)。

安全優(yōu)先調(diào)度SPSA與算法調(diào)度LA-SSA均為基于攻擊異常閾值γ的安全調(diào)度機制，不同之處在于算法調(diào)度為負載感知的優(yōu)化的調(diào)度策略，其調(diào)度過程并不一定保證安全最大化。通過圖4(b)所示數(shù)據(jù)結(jié)果證實了這一區(qū)別，LA-SSA調(diào)度模式下，執(zhí)行體集累積異常值增長略高于安全優(yōu)先調(diào)度，但這一結(jié)果并非確定。仍存在少數(shù)情況下兩者增長率相同或出現(xiàn)相反的結(jié)果，然而最終的異常值峰值均出現(xiàn)在LA-SSA方案。對比圖4(a)，LA-SSA調(diào)度機制在降低累積異常值上同樣優(yōu)于靜態(tài)方案，相比SPSA而言，前者對于控制累積異常值增長率即攻擊者攻擊能力存在不確定性，無法保證安全性最優(yōu)的調(diào)度策略，但總體而言穩(wěn)定在較低的水平。

接著針對系統(tǒng)輸出可靠性對執(zhí)行體集安全率進行對比分析，評估方案包括傳統(tǒng)單控制器模型SC、靜態(tài)無調(diào)度模型SS與動態(tài)調(diào)度模型SPSA機制，數(shù)據(jù)結(jié)果如圖5所示。根據(jù)系統(tǒng)架構(gòu)模型部分說明，系統(tǒng)安全率體現(xiàn)系統(tǒng)整體輸出數(shù)據(jù)的可靠性。其中，單控制器架構(gòu)模型，包括備份機制由于其執(zhí)行體僅有一個，無法實現(xiàn)執(zhí)行體受控所導(dǎo)致的惡意流行為檢測，致使系統(tǒng)安全率被動地隨攻擊過程逐步降低，一旦系統(tǒng)被攻擊成功其系統(tǒng)安全率降為0；而在冗余控制器方案中，多模判決機制使得存在少數(shù)執(zhí)行體被攻擊成功的情況下仍能保證輸出的正確性。分析圖5可以看出，從整體上系統(tǒng)安全率均隨時間呈下降趨勢，這與攻擊者攻擊概率模型是吻合的；冗余控制器結(jié)構(gòu)SS與SPSA安全可靠性明顯優(yōu)于單控制器結(jié)構(gòu)，其中，靜態(tài)冗余結(jié)構(gòu)SS在初始的一段時間內(nèi)緩解了系統(tǒng)安全率下降速率，但最終仍接近單控制器模型的較低水平。而在動態(tài)系統(tǒng)中，系統(tǒng)安全率曲線隨調(diào)度策略的執(zhí)行呈現(xiàn)階段性的跳躍性，不會出現(xiàn)靜態(tài)系統(tǒng)中較低的值域。

圖5 多種安全策略系統(tǒng)安全率對比Fig.5 Comparison of security rate under different strategies

本文對調(diào)度過程中系統(tǒng)的一個重要的非安全因素——負載性能進行了仿真分析，如圖6所示，安全調(diào)度過程對系統(tǒng)負載產(chǎn)生了非常重要的影響。本文選擇安全優(yōu)先調(diào)度SPSA與算法調(diào)度LA-SSA兩種方案，并通過對其調(diào)度體集負載方差var(load)作為評估參數(shù)進行對比分析，結(jié)果表明在最大化安全性能SPSA機制運行中，var(load)隨調(diào)度過程的進行逐漸升高且趨于不穩(wěn)定，即負載失衡問題逐步嚴重；后者負載性能呈現(xiàn)不確定性，但總體而言其負載均衡性優(yōu)于安全優(yōu)先調(diào)度SPSA。

表2給出不同機制安全屬性差異，通過上述數(shù)據(jù)分析及對比可以得出：

1)單控制器模型以及備份機制無法實現(xiàn)錯誤執(zhí)行體的檢測; 相比單控制器模型，基于冗余結(jié)構(gòu)與多數(shù)判決機制的控制器解決方案能夠提高系統(tǒng)輸出結(jié)果的安全可靠性。

2)通過動態(tài)調(diào)度能夠顯著降低系統(tǒng)因攻擊導(dǎo)致異常的次數(shù)，其根本原因在于，相比靜態(tài)系統(tǒng)，動態(tài)調(diào)度機制增加了系統(tǒng)異構(gòu)度，即引入多樣性。對攻擊者而言，其針對確定系統(tǒng)的探測、攻擊過程被動態(tài)調(diào)度機制不斷擾亂，從而降低了對整個系統(tǒng)的攻擊成功概率。

圖6 動態(tài)調(diào)度對負載性能影響對比Fig.6 Comparison of load effect of dynamic scheduling mechanism

3)通過適應(yīng)性地調(diào)度策略能夠獲得顯著的安全增益。在本文中，安全優(yōu)先調(diào)度策略所帶來的安全收益最大，但相對靜態(tài)系統(tǒng)而言，基于時間隨機調(diào)度、安全優(yōu)先調(diào)度以及算法調(diào)度均能提供較高的安全性。

4)通過對非安全因素負載性能的分析，可以得出僅考慮安全的調(diào)度策略可能將引起負載失衡問題。實際上，安全防御手段通常具有雙面性，安全性的提升往往意味著其他性能的下降。本文中的感知負載因素的安全調(diào)度機制LA-SSA，能夠在考慮實際網(wǎng)絡(luò)場景下，針對負載性能這一重要的非安全因素，實現(xiàn)優(yōu)化的調(diào)度。

表2 不同解決方案安全屬性對比Tab.2 Comparison of security attributes for different solutions

5 結(jié)語

針對網(wǎng)絡(luò)安全領(lǐng)域被動防御的現(xiàn)狀，本文基于目前國內(nèi)外學(xué)者對于主動防御技術(shù)MTD、CMD等的研究，以SDN核心設(shè)備控制器安全威脅模型為啟迪，建立控制器調(diào)度模型，并提出一種感知負載因素的安全調(diào)度算法LA-SSA，將調(diào)度問題轉(zhuǎn)化為安全與負載的動態(tài)雙目標優(yōu)化問題，以實現(xiàn)優(yōu)化的調(diào)度策略選擇。

不同于從系統(tǒng)工程角度對安全架構(gòu)的研究，本文首次探索分析冗余結(jié)構(gòu)中不同的安全策略所帶來的安全性能，通過對幾種安全調(diào)度策略的評估分析可以得出，相比傳統(tǒng)的靜態(tài)防御機制，基于時間隨機調(diào)度機制TRSA、安全優(yōu)先調(diào)度SPSA以及算法調(diào)度LA-SSA機制均大幅降低攻擊者攻擊成功概率，說明主動防御技術(shù)中的動態(tài)性、多樣性能夠顯著提高系統(tǒng)安全性，而這一過程依賴于適應(yīng)性的調(diào)度策略選擇；在考慮系統(tǒng)負載因素的情況下， 安全優(yōu)先調(diào)度將引起負載失衡問題，通過優(yōu)化的調(diào)度算法LA-SSA實現(xiàn)了負載均衡條件下的動態(tài)調(diào)度，解決了安全與計算性能沖突問題。本文威脅與調(diào)度模型針對單個節(jié)點攻擊的一般場景，而調(diào)度算法在多個節(jié)點同時攻擊的情況同樣適用。對于考慮較為復(fù)雜的適應(yīng)型攻擊者場景，將在下一步的工作中繼續(xù)研究。

[1] OKHRAVI H, HOBSON T, BIGELOW D, et al. Finding focus in the blur of moving-target techniques[J]. IEEE Security & Privacy, 2014, 12(2):16-26.

[2] XU J, GUO P, ZHAO M, et al. Comparing different moving target defense techniques[C]// Proceedings of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014:97-107.

[3] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報, 2016, 1(4):1-10.(WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4):1-10.)

[4] 王蒙蒙,劉建偉,陳杰,等.軟件定義網(wǎng)絡(luò):安全模型、機制及研究進展[J].軟件學(xué)報,2016,27(4):969-992. (WANG M M, LIU J W, CHEN J, et al. Software defined networking: security model, threats and mechanism[J].Journal of Software, 2016, 27(4):969-992.)

[5] KREUTZ D, RAMOS F M V, VERISSIMO P. Towards secure and dependable software-defined networks[C]// Proceedings of the 2nd ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking. New York: ACM, 2013:55-60.

[6] 劉文懋, 裘曉峰, 陳鵬程,等. 面向SDN環(huán)境的軟件定義安全架構(gòu)[J]. 計算機科學(xué)與探索, 2015, 9(1):63-70. (LIU W M, QIU X F, CHEN P C, et al. SDN oriented software-defined security architecture[J]. Journal of Frontiers of Computer Science and Technology， 2015, 9(1):63-70.)

[7] VAN RENESSE R, SCHNEIDER F B. Chain replication for supporting high throughput and availability[C]// Proceedings of the 6th Conference on Symposium on Opearting Systems Design & Implementation. Berkeley: USENIX Association, 2004: 7.

[8] SPALLA E S, MAFIOLETTI D R, LIBERATO A B, et al. AR2C2: actively replicated controllers for SDN resilient control plane[C]// Proceedings of the 2016 IEEE/IFIP Network Operations and Management Symposium. Piscataway, NJ: IEEE, 2016:189-196.

[9] 黃亮, 姜帆, 荀浩,等. 面向軟件定義網(wǎng)絡(luò)的入侵容忍控制器架構(gòu)及實現(xiàn)[J]. 計算機應(yīng)用, 2015, 35(12):3429-3436. (HUANG L, JIANG F, XUN H, et al. Software-defined networking-oriented intrusion tolerance controller architecture and its implementation [J]. Journal of Computer Applications, 2015, 35(12):3429-3436.)

[10] 薛聰, 馬存慶, 劉宗斌,等. 一種安全SDN控制器架構(gòu)設(shè)計[J]. 信息網(wǎng)絡(luò)安全, 2014(9):34-38. (XUE C, MA C Q, LIU Z B, et al. Design of secure SDN controller architecture[J]. Netinfo Security， 2014(9):34-38.)

[11] ELDEFRAWY K, KACZMAREK T. Byzantine fault tolerant Software-Defined Networking (SDN) controllers[C]// Proceedings of the 2016 IEEE 40th Annual Computers Software and Applications Conference. Piscataway: IEEE, 2016:208-213.

[12] LI H, LI P, GUO S, et al. Byzantine-resilient secure software-defined networks with multiple controllers in cloud [J]. IEEE Transactions on Cloud Computing, 2015, 2(4):436-447.

[13] DIXIT A, HAO F, MUKHERJEE S, et al. Towards an elastic distributed SDN controller[J]. ACM SIGCOMM Computer Communication Review, 2013, 43(4):7-12.

[14] WANG T, LIU F, GUO J, et al. Dynamic SDN controller assignment in data center networks: stable matching with transfers[C]// Proceedings of the 35th Annual IEEE International Conference on Computer Communications. Piscataway, NJ: IEEE, 2016:1-9.

[15] KAMPANAKIS P, PERROS H, BEYENE T. SDN-based solutions for moving target defense network protection[C]// Proceedings of the 2014 IEEE 15th International Symposium on a World of Wireless, Mobile and Multimedia Networks. Piscataway, NJ: IEEE,2014:1-6.

[16] MACFARLAND D C, SHUE C A. The SDN shuffle: creating a moving-target defense using host-based software-defined networking[C]// Proceedings of the 2nd ACM Workshop on Moving Target Defense. New York: ACM, 2015:37-41.

[17] DUNLOP M, GROAT S, URBANSKI W, et al. MT6D: a moving target IPv6 defense[C]// Proceedings of the 2011 Military Communications Conference. Piscataway: IEEE, 2011:1321-1326.

[18] QI C, WU J, HU H, et al. An intensive security architecture with multi-controller for SDN[C]// Proceedings of the 2016 IEEE Conference on Computer Communications Workshops. Piscataway, NJ: IEEE, 2016:401-402.

[19] QI C, WU J, HU H, et al. Dynamic-scheduling mechanism of controllers based on security policy in software-defined network[J]. Electronics Letters, 2016, 52(23):1918-1920.

[20] WINTERROSE M L, CARTER K M, WAGNER N, et al. Adaptive attacker strategy development against moving target cyber defenses[EB/OL]. [2017- 05- 01]. http://www.nealwagner.org/research/articles/1472_MITLincolnLabs_MSW2014.pdf.

[21] CARTER K M, RIORDAN J F, OKHRAVI H. A game theoretic approach to strategy determination for dynamic platform defenses[C]// Proceedings of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 21-30.

[22] 扈紅超, 陳福才, 王禛鵬. 擬態(tài)防御DHR模型若干問題探討和性能評估[J]. 信息安全學(xué)報, 2016, 1(4):40-51. (HU H C, CHEN F C, WANG Z P. Performance evaluations on DHR for cyberspace mimic defense[J]. Journal of Cyber Security, 2016, 1(4): 40-51.)

[23] HU Y, WANG W, GONG X, et al. On reliability-optimized controller placement for software-defined networks[J]. Communications China, 2014, 11(2): 38-54.

This work is partially supported by the National Natural Science Foundation of China (61572520, 61521003), the Shanghai Science and Technology Research Project (14DZ1104800).

GUZeyu, born in 1993, M. S. candidate. His research interests include cyber security, active cyber defense.

ZHANGXingming, born in 1963, Ph. D., professor. His research interests include switching and mimic technology, mimic security.

LINSenjie, born in 1992, M. S. candidate. His research interests include mimic security.

Load-awaredynamicschedulingmechanismbasedonsecuritystrategies

GU Zeyu*, ZHANG Xingming, LIN Senjie

(NationalDigitalSwitchingSystemEngineering&TechnologicalR&DCenter,ZhengzhouHenan450002,China)

Concerning the flow rule tampering attacks and other single point vulnerability threats towards Software Defined Network (SDN) controller, traditional security solutions such as backup and fault-tolerant mechanisms which are based on passive defense defects, cannot fundamentally solve the control layer security issues. Combined with the current moving target defense and cyberspace mimic defense, a dynamic security scheduling mechanism based on heterogeneous redundant structure was proposed. A controller scheduling model was established in which the dynamic scheduling strategy was designed based on security principle combined with attack exception and heterogeneity. By considering the system load, the scheduling problem was transformed into a dynamic two-objective optimization problem by LA-SSA (Load-Aware Security Scheduling Algorithm) to achieve an optimal scheduling scheme. Simulation results show that compared with static structure, the dynamic scheduling mechanism has obvious advantages in cumulative number of exceptions and output safety rate, and the dynamic and diversity in the security scheduling mechanism can significantly improve the system’s ability to resist attacks.The load variance of LA-SSA is more stable than that of safety priority scheduling, and the security imbalance is avoided, and the effectiveness of the security scheduling mechanism is verified.

single point vulnerability; active defense technology; dynamic scheduling mechanism; security strategy; load-awareness

2017- 05- 16;

2017- 06- 30。

國家自然科學(xué)基金資助項目(61572520, 61521003)；上海市科研計劃項目(14DZ1104800)。

顧澤宇(1993—)，男，遼寧沈陽人，碩士研究生，主要研究方向：網(wǎng)絡(luò)安全、網(wǎng)絡(luò)主動防御； 張興明(1963—)，男，河南新鄉(xiāng)人，教授，博士，主要研究方向：交換及擬態(tài)技術(shù)、擬態(tài)安全； 林森杰(1992—)，男，廣東汕頭人，碩士研究生，主要研究方向：擬態(tài)安全。

1001- 9081(2017)11- 3304- 07

10.11772/j.issn.1001- 9081.2017.11.3304

(*通信作者電子郵箱guzeyu2012@163.com)

TP393.08

A