基于聚類的安全分級虛擬網(wǎng)絡(luò)映射方法

陸勰，徐雷，張曼君

（中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司研究院，北京 100048）

1 引言

1.1 虛擬網(wǎng)絡(luò)映射的概念

隨著5G網(wǎng)絡(luò)的快速發(fā)展，三大應(yīng)用場景增強型移動寬帶（enhanced mobile broad，eMBB）、低時延高可靠通信[1]（ultra-reliable and low-latency communication，uRLLC）以及大連接物聯(lián)網(wǎng)（massive machine-type communication，mMTC）與垂直行業(yè)的深度融合，對網(wǎng)絡(luò)需求不斷升級，為了更好地服務(wù)行業(yè)與用戶，5G網(wǎng)絡(luò)軟、硬件分離，SDN與NFV技術(shù)順勢而出，5G網(wǎng)絡(luò)虛擬化提高了網(wǎng)絡(luò)的靈活性、多樣性，釋放了更多網(wǎng)絡(luò)資源的能力，但是由于底層的物理基礎(chǔ)設(shè)施是共享的，當其中一個物理服務(wù)器發(fā)生故障或受到攻擊時會導(dǎo)致其上所承載的虛擬機失效，影響網(wǎng)絡(luò)與業(yè)務(wù)的連續(xù)性。針對虛擬化帶來的安全風險，虛擬網(wǎng)絡(luò)映射作為解決虛擬化安全的重要關(guān)鍵技術(shù)，成為當下領(lǐng)域研究的熱點。虛擬網(wǎng)絡(luò)由虛擬節(jié)點與虛擬鏈路的映射兩部分組成，為虛擬網(wǎng)絡(luò)分配底層物理資源稱為虛擬網(wǎng)絡(luò)映射[2]，虛擬網(wǎng)絡(luò)映射主要解決虛擬節(jié)點到物理節(jié)點的映射以及虛擬鏈路到對應(yīng)的物理鏈路的路徑問題。

1.2 虛擬網(wǎng)絡(luò)映射研究現(xiàn)狀

面對虛擬化網(wǎng)絡(luò)映射問題，現(xiàn)有的解決措施是可生存性的虛擬網(wǎng)映射[3]（survivable virtual network embedding，SVNE），也就是對異常的虛擬機節(jié)點備份和重映射。備份主要針對對網(wǎng)絡(luò)有高要求的環(huán)境，網(wǎng)絡(luò)節(jié)點需要有備份策略，該種方式資源占用較大、成本較高，如高需求的網(wǎng)絡(luò)切片[4]。而重映射屬于針對動態(tài)網(wǎng)絡(luò)環(huán)境下采取的映射方法相對的備份方式，資源靈活度高、成本較低，因此重映射的適用場景較廣。就目前來看重映射采取的具體映射方法，主要圍繞系統(tǒng)的特性、節(jié)點的重要程度、節(jié)點映射的順序以及節(jié)點之間的信任度等方向。如季新生[4]等提出一種基于操作系統(tǒng)異構(gòu)的虛擬網(wǎng)映射方法，該種方法主要側(cè)重虛擬網(wǎng)絡(luò)節(jié)點與物理服務(wù)器的系統(tǒng)異構(gòu)性，如果虛擬節(jié)點與物理服務(wù)器的操作系統(tǒng)一樣，惡意攻擊者會通過探測原物理服務(wù)器的系統(tǒng)類型，挖掘系統(tǒng)漏洞從而發(fā)動攻擊，促使虛擬機請求映射，如果映射到的物理服務(wù)器也是同系統(tǒng)，則默認具有同樣的漏洞，這樣攻擊者就能輕而易舉地再次攻擊對映射后的物理服務(wù)器。這種方法較局限，只考慮到系統(tǒng)的異構(gòu)帶來的風險，未能從全局出發(fā)，考慮節(jié)點其他屬性的安全性，無法從根本上達到映射的目的。劉新波等[5]提出一種基于多屬性節(jié)點重要性排序的映射方法，該方法主要側(cè)重考慮虛擬節(jié)點的資源能力，如主要考慮自身CPU資源和鄰近的鏈路資源，按照重要性排序并以此為標準來尋找符合的物理機，這樣的后果是節(jié)點排序未考慮其拓撲結(jié)構(gòu)，容易造成虛擬節(jié)點映射到較遠的物理機上，導(dǎo)致映射效率低下、資源浪費。龔水清[6]等提出一種基于信任度的安全虛擬網(wǎng)絡(luò)映射，該方法是對虛擬節(jié)點與物理節(jié)點之間的信任評估，確保映射發(fā)生在二者相互信任的情況下，其次，按照節(jié)點屬性的重要程度排序，保障較為重要的虛擬節(jié)點能夠映射到較為重要的物理機上，同時采用K最短路徑算法完成鏈路映射，該方法一定程度上把安全作為映射的基礎(chǔ)，根據(jù)CPU約束及節(jié)點位置約束篩選物理節(jié)點集合，根據(jù)信任度選擇最佳物理節(jié)點，但該方法沒有減少鏈路映射時K最小路徑算法的迭代次數(shù)，且節(jié)點映射的算法先在全網(wǎng)篩選符合條件的物理節(jié)點集合，算法的復(fù)雜度較高。

1.3 現(xiàn)有技術(shù)缺陷

綜上，以上研究主要考慮映射發(fā)生時采取的解決方案，未從全局出發(fā)，采取的解決方法局限在某一方面，很多沒有重點考慮映射最重要的基礎(chǔ)與目標，故以上研究存在著兩方面的缺陷，首先，沒有把節(jié)點的安全性作為一個映射屬性加以考慮，因為當出現(xiàn)把一個安全級別較高的虛擬節(jié)點映射到較低安全級別的物理節(jié)點上時，受到攻擊的風險加大，尤其是處于網(wǎng)絡(luò)核心的節(jié)點一旦遭受攻擊，后果不堪設(shè)想；其次，映射效率低下，現(xiàn)有算法的映射從全網(wǎng)視角，虛擬節(jié)點映射需要遍歷整個網(wǎng)絡(luò)中的物理節(jié)點，挑選符合映射條件的節(jié)點，再映射鏈路，鏈路映射通常利用K最短路徑算法找到最短路徑，當業(yè)務(wù)發(fā)生時，這種方法會耗費大量的時間尋找符合要求的物理節(jié)點，且時延作為檢驗網(wǎng)絡(luò)性能的關(guān)鍵指標，如果映射時間過長，導(dǎo)致時延的增加，就會造成業(yè)務(wù)“失聯(lián)”、網(wǎng)絡(luò)擁塞等重大問題。

1.4 基于聚類的安全分級虛擬網(wǎng)絡(luò)映射方法的思想及意義

為了克服上述現(xiàn)有技術(shù)的不足，本文提出了一種基于聚類的安全虛擬網(wǎng)絡(luò)映射方法?？傮w思想主要包括3個方面，首先，對虛擬和物理節(jié)點量化、安全分級，保障虛擬節(jié)點與物理節(jié)點的映射是同安全等級，然后利用K-means[7]聚類完成相似程度最大的節(jié)點分類，摸清網(wǎng)絡(luò)節(jié)點安全現(xiàn)狀；其次，當異常事件發(fā)生時，利用事前掌握的網(wǎng)絡(luò)節(jié)點情況，與歐氏距離[8]相結(jié)合尋找異常節(jié)點最佳映射節(jié)點，完成事中異常虛擬節(jié)點安全映射，最后利用K最短路徑算法[9]找出最短路徑完成鏈路映射，可依據(jù)此業(yè)務(wù)鏈完成事后對異常事關(guān)聯(lián)分析、追蹤溯源。該方法具有兩方面的重要意義，一方面通過節(jié)點安全分級、聚類等方式縮小了映射范圍，提高了映射的效率與成功率；另一方面通過歐氏距離計算同一類簇中虛擬節(jié)點與物理節(jié)點的距離，減少了鏈路算法迭代的次數(shù)，降低了算法的復(fù)雜度[10]。

2 基于聚類的安全分級虛擬網(wǎng)絡(luò)映射方案

2.1 系統(tǒng)架構(gòu)

按照本文提出的對虛擬節(jié)點的安全分級與映射前聚類、同類簇中利用歐氏距離尋找最佳映射的物理節(jié)點，最后利用最短路徑算法完成鏈路映射的思想，所提出的原型系統(tǒng)框架如圖1所示。

圖1 基于K-means聚類的安全分級虛擬網(wǎng)絡(luò)映射方法的原型系統(tǒng)框架

圖1中事前、事中和事后3個階段縱向聯(lián)動，完成對異常節(jié)點的映射。具體來說，事前做到對各節(jié)點“心中有數(shù)”，通過建立量化模型，把各節(jié)點的屬性參數(shù)值進行量化、安全分級，然后進行K-means聚類，找出各節(jié)點間的相似性，形成K個類簇，并對各個節(jié)點進行類簇標識，形成各節(jié)點的鍵值對；事中快速響應(yīng)，當虛擬節(jié)點發(fā)生異常需要映射時，優(yōu)先從與該節(jié)點處于同一類簇中的物理節(jié)點集合中選擇最佳節(jié)點（查看標識很快篩選出相應(yīng)的類簇），因為同一簇中的節(jié)點具有更大的相似性，這樣的映射能更好地保障網(wǎng)絡(luò)運行的可靠性與穩(wěn)定性，且是對資源的合理有效利用，這樣的映射類似“假備份”，在同一類簇中利用歐氏距離算法選擇符合要求的物理節(jié)點，再利用K最短路徑算法找出最短路徑完成鏈路映射；事后定位溯源，由于前期做了聚類標識，當出現(xiàn)故障時，能夠快速定位故障點，各節(jié)點關(guān)聯(lián)分析，縮短故障排查時間、提高運維效率。

2.2 虛擬節(jié)點映射流程

按照系統(tǒng)的總體框架，虛擬節(jié)點映射系統(tǒng)流程如圖2所示，主要有以下4個步驟。

圖2 基于聚類的安全分級虛擬節(jié)點映射系統(tǒng)流程

（1）采集節(jié)點資源數(shù)據(jù)

通過采集軟件或采集器等采集或?qū)訑?shù)據(jù)庫讀取網(wǎng)絡(luò)中的虛擬節(jié)點和物理節(jié)點的基本信息，包括CPU、存儲、帶寬、位置、功能等關(guān)鍵信息，具體讀取哪些屬性參數(shù)可依據(jù)自身網(wǎng)絡(luò)環(huán)境的側(cè)重點有所調(diào)整，信息采集完畢后存儲。

（2）節(jié)點參數(shù)量化、安全分級

傳統(tǒng)的網(wǎng)絡(luò)沒有把內(nèi)生安全作為考察網(wǎng)絡(luò)魯棒性的重要指標，結(jié)合本文研究的重點，無論是虛擬節(jié)點還是物理節(jié)點，需要對它進行安全分級，事先把安全“內(nèi)生”于網(wǎng)絡(luò)環(huán)境，減少使用“亡羊補牢”或“煙囪式”的安全手段，雖然安全分級自身沒有絕對的標準，但最終目標都是為了保障網(wǎng)絡(luò)的韌性和業(yè)務(wù)的可靠性。

首先建立一個安全可行的評估模型，針對步驟（1）中的節(jié)點信息，分別對各個屬性進行量化評估，主要目的是計算每一個節(jié)點的安全等級，采取的分級標準主要依據(jù)節(jié)點CPU大小、位置、所鏈接鏈路的帶寬之和、物理資源需求等，節(jié)點的屬性參數(shù)可表示虛擬節(jié)點nvi={cvi,lvi,bvi,rvi}，物理節(jié)點nj={cj,lj,bj,rj}，節(jié)點集合n={nvi,nj}，其中，c表示為CPU大小，l表示位置，b表示節(jié)點所鏈接的鏈路帶寬總和，r表示其他一些關(guān)鍵資源，i的最大值是網(wǎng)絡(luò)中虛擬節(jié)點的數(shù)量，j的最大值是網(wǎng)絡(luò)中物理節(jié)點數(shù)量（以下涉及的地方均是相同定義范圍）。安全需求的評估本身沒有一個絕對的界限與標準，可根據(jù)各自所處的環(huán)境結(jié)合實際建立恰當?shù)脑u估模型，本評估模型系統(tǒng)中對虛擬節(jié)點的安全需求和物理節(jié)點的安全作出相應(yīng)的評估，并給出合理的安全評分，且評分滿足均勻分布，節(jié)點安全值等于各個屬性對應(yīng)參數(shù)值量化評估后的總和，各個屬性評分范圍限定在（0,1），如CPU的評分范圍是（0,0.3），針對節(jié)點CPU的大小，劃定評估線，如CPU主頻是[2,3] GHz評分0.2，低于[2,3] GHz評分0.1，高于[2,3] GHz評分0.3等；節(jié)點位置評分范圍是（0,0.4），根據(jù)節(jié)點位置給予評分，如根據(jù)網(wǎng)絡(luò)域的劃分，處于安全域的評分高于非安全域，如果沒有劃分網(wǎng)絡(luò)域的網(wǎng)絡(luò)，可按照網(wǎng)絡(luò)節(jié)點處的位置評分，如處于控制面的節(jié)點安全性高于數(shù)據(jù)面的節(jié)點安全性；節(jié)點鏈路帶寬值評分范圍是（0,0.6）等，通過劃定各個量化參數(shù)值完成對各個參數(shù)的安全量化評估，最后節(jié)點的安全值s為各個屬性對應(yīng)參數(shù)值量化評估總和，如虛擬節(jié)點安全值sv1=svc1+svl1+svb1+svr1，物理節(jié)點安全值s1=sc1+sl1+sb1+sr1，節(jié)點集合的安全值集合記作S{sv1,sv2,sv3,···,svi,s1,s2,s3,···,sj}，根據(jù)S集合中各個安全值的分布特點，確定安全劃線參考參數(shù)d，如d=1，svi或sj>d為高安全等級，svi或sj=d為中安全等級，svi或sj

（3）基于K-means算法的節(jié)點聚類

在步驟（2）完成后，對所有的節(jié)點，根據(jù)K-means聚類思想按照距離的遠近劃分，輸入k值和k個初始聚類中心，對于節(jié)點集合n={nvi,nj}，其中每一個節(jié)點都是一個多維的屬性集合，按照K-means算法原理，采用歐氏距離計算兩個節(jié)點間距離，經(jīng)過多次迭代計算把n個節(jié)點按照距離聚類中心的遠近劃分到k個類簇中，標識為k={k1,k2,···,ku}，u=[1,k]，并把標識添加到各節(jié)點參數(shù)集合中，把每一個節(jié)點寫成鍵值對后存儲，其鍵值表達式為Nvi=和Nj=，其中，u=[1,k]。

（4）物理節(jié)點選擇及K值最短路徑鏈路映射

當某個虛擬節(jié)點發(fā)生異常請求映射，異常情況包括但不限于故障、受到攻擊，根據(jù)步驟（3）中最后得到的鍵值對中的k值查出異常節(jié)點所處的類簇，然后根據(jù)如下原則篩選出符合要求的物理節(jié)點，完成虛擬節(jié)點Nvi=到Nj=的映射。

· 物理節(jié)點與虛擬節(jié)點同安全等級。

· 物理節(jié)點所承載的虛擬節(jié)點的帶寬之和不超過該物理節(jié)點的總帶寬。

· 物理節(jié)點相關(guān)鏈路不通過虛擬節(jié)點所對應(yīng)的物理服務(wù)器，目的是避免同時失效。

· 同一虛擬網(wǎng)中的不同虛擬機不能映射到同一物理服務(wù)器上。

經(jīng)過篩選形成候選物理節(jié)點集合，即G={n1,n2,···,nt}，其中，t的值小于或等于該類簇（異常節(jié)點所在類簇）中物理節(jié)點數(shù)量，然后根據(jù)歐氏距離計算異常虛擬節(jié)點與集合G中各物理節(jié)點的距離，也就是尋找進一步的最大相似性，選擇歐氏距離最小值對應(yīng)的物理節(jié)點作為最佳映射的節(jié)點，完成異常虛擬節(jié)點到最佳物理節(jié)點的映射。傳統(tǒng)模式下，異常虛擬節(jié)點的映射需要從全網(wǎng)絡(luò)尋找合適的物理節(jié)點，這種模式無疑會增加網(wǎng)絡(luò)響應(yīng)時間、提高業(yè)務(wù)時延，而本文提出的方法通過篩選得到了縮小范圍的物理節(jié)點集合G，可極大縮短網(wǎng)絡(luò)響應(yīng)時間，且由于G中節(jié)點之間的相似性提高了映射的成功率與網(wǎng)絡(luò)運行的穩(wěn)定性，最大限度地保障了資源的合理利用，這種“假備份”的方式增加了網(wǎng)絡(luò)的韌性。虛擬網(wǎng)絡(luò)的映射包括節(jié)點和鏈路的映射。最后，根據(jù)鏈路映射算法原理，完成鏈路映射，根據(jù)K值最短路徑算法，按照路徑跳數(shù)大小升序排列，選出符合要求的最短路徑，完成整個虛擬節(jié)點到物理節(jié)點的可靠映射。

2.3 性能分析

本節(jié)主要針對在異常虛擬節(jié)點映射時采取的方法進行復(fù)雜度分析，選取一個有n個虛擬節(jié)點，m個物理節(jié)點的網(wǎng)絡(luò)，在傳統(tǒng)模式下，n個虛擬節(jié)點映射的算法復(fù)雜度是O(nm2)，但如果使用本文提出的方法，在m個物理節(jié)點中，安全分級確定了同等級的虛擬節(jié)點與物理節(jié)點，聚類確保了在同一類簇中虛擬節(jié)點與物理節(jié)點的最大相似性，歐氏距離計算進一步提高了異常節(jié)點與物理節(jié)點的相似性，當使用K最短路徑算法尋找映射鏈路時，縮小了鏈路選擇的范圍，減少了路徑迭代算法的次數(shù)，因此，經(jīng)過篩選得出的t個符合映射要求的物理節(jié)點一定小于m，即t

通過本方法事前、事中的協(xié)作運行，為事后的關(guān)聯(lián)分析提供了可靠的支撐，由于經(jīng)過虛擬網(wǎng)絡(luò)節(jié)點的映射，在各個節(jié)點上都添加了聚類標識，形成鍵值對，當網(wǎng)絡(luò)中出現(xiàn)異常時，可根據(jù)聚類進一步進行關(guān)聯(lián)分析，如當多個虛擬節(jié)點同時發(fā)起映射請求時，可通過查看各個虛擬節(jié)點所在類簇，尋找之間的關(guān)聯(lián)關(guān)系，定位異常點，迅速排除故障。

3 結(jié)束語

本研究方法相比較傳統(tǒng)的映射策略，首先，把安全作為一個重要的映射首要條件，增強了網(wǎng)絡(luò)的魯棒性；其次，從映射的效率來看，傳統(tǒng)的虛擬節(jié)點映射時，對于一個虛擬節(jié)點數(shù)量為n，物理節(jié)點為m的網(wǎng)絡(luò)，映射時的計算復(fù)雜度是O(nm2)，而經(jīng)過本研究中先聚類后映射的思想，對于虛擬節(jié)點數(shù)量n的集合，優(yōu)先選擇同類簇中的物理節(jié)點映射，降低了算法的復(fù)雜度，提升了映射的效率，更好地保障了業(yè)務(wù)的連續(xù)性。該研究方法的特點在于在業(yè)務(wù)發(fā)生前也就是事前對虛擬節(jié)點和物理節(jié)點的安全性和相關(guān)性進行了分析，做到“心中有數(shù)”，當產(chǎn)生業(yè)務(wù)時，能夠按照事前的分析，快速做出響應(yīng)，提高了業(yè)務(wù)的連續(xù)性，同時增強了網(wǎng)絡(luò)韌性，事后還可根據(jù)聚類進行關(guān)聯(lián)分析，為運維提供可靠支撐。

5G網(wǎng)絡(luò)的高速發(fā)展，千行百業(yè)對網(wǎng)絡(luò)需求差異化、精細化要求越來越高，伴隨的安全差異化需求也不斷提高，5G網(wǎng)絡(luò)切片技術(shù)、邊緣云技術(shù)等新技術(shù)的廣泛應(yīng)用將會加大5G網(wǎng)絡(luò)各方面的需求，而虛擬化作為5G網(wǎng)絡(luò)的典型特征，虛擬化網(wǎng)絡(luò)的安全將是保障各種新技術(shù)、新應(yīng)用、新業(yè)務(wù)等的基礎(chǔ)支撐，只有不斷筑牢虛擬網(wǎng)絡(luò)安全基礎(chǔ)防線，提高網(wǎng)絡(luò)映射的成功率與速率，以此增強網(wǎng)絡(luò)韌性，才能更大地釋放5G網(wǎng)絡(luò)的“能量”，更好地服務(wù)用戶、服務(wù)行業(yè)。