CN109525418B - 一种拟态防御下服务部署执行体集合异构度保证的调度方法 - Google Patents

一种拟态防御下服务部署执行体集合异构度保证的调度方法 Download PDF

Info

Publication number
CN109525418B
CN109525418B CN201811184148.XA CN201811184148A CN109525418B CN 109525418 B CN109525418 B CN 109525418B CN 201811184148 A CN201811184148 A CN 201811184148A CN 109525418 B CN109525418 B CN 109525418B
Authority
CN
China
Prior art keywords
service deployment
service
heterogeneous
scheduling method
deployment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811184148.XA
Other languages
English (en)
Other versions
CN109525418A (zh
Inventor
汤中运
李传煌
王伟明
任云方
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Gongshang University
Original Assignee
Zhejiang Gongshang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Gongshang University filed Critical Zhejiang Gongshang University
Priority to CN201811184148.XA priority Critical patent/CN109525418B/zh
Publication of CN109525418A publication Critical patent/CN109525418A/zh
Application granted granted Critical
Publication of CN109525418B publication Critical patent/CN109525418B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Building Environments (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种拟态防御下服务部署执行体集合异构度保证的调度方法,该方法为:拟态防御架构中的调度器可以从服务部署执行体池中选择出异构度系数满足一定条件的服务部署执行体集合,从而保证服务部署执行体集合的异构度。相比于传统的随机调度方法,该方法能够选出异构度较大的服务部署执行体集合,增加了攻击者对服务部署过程的攻击难度和代价,使得服务部署系统更加安全可靠。

Description

一种拟态防御下服务部署执行体集合异构度保证的调度方法
技术领域
本发明涉及服务部署和拟态安全防御领域,具体涉及一种拟态防御下服务部署执行体集合异构度保证的调度方法。
背景技术
随着软件定义网络(Software Defined Network,SDN)技术和网络功能虚拟化(Network Function Virtualization,NFV)技术的出现和运用,服务功能链的部署又重新焕发出了生机。基于SDN/NFV技术进行服务功能链部署,NFV技术能够虚拟化常见的物理设备,并且能够为各种网络服务功能构建资源池。SDN技术通过将网络设备的控制与转发进行分离,可以动态的、集中地调度流量的路径,从而提供定制化和灵活的对接。用户和运营商可以通过NFV 技术识别业务的需求,创建服务功能链上的各个虚拟服务功能(VirtualNetwork Function, VNF),并且可以自动地配置这些虚拟服务功能的业务逻辑,再通过SDN自动地引导相关业务流量依次、有序的通过这些虚拟服务功能,来完成服务功能链的创建。
动态异构冗余(DHR)模型为拟态防御的基本模型,异构执行体集合进行处理这一重要环节,调度器将同一输入复制成M份,并将这M份消息发送到异构执行体集合,由异构执行体集合中的M个执行体对这M份消息进行处理,将处理的结果送到判决器中进行判决,得到唯一的相对正确的输出结果,调度器根据系统运行时的反馈控制消息,调度器将生成新的异构执行体集合来替代当前的集合。拟态防御是基于攻击的本质,通过系统架构的内生特征提供防御功能。因此,无论是对已知的和还是未知的安全威胁均可以起到较强的防御效果。
异构性是动态异构冗余架构的基础,要确保各个执行体在各种特征和属性上具有最大程度的差异。执行体具有的异构属性越多,它可以防御的漏洞就越多,攻击的成本和难度就越高。
动态性是由调度器的动态选择实现的,在不同时间段内生成新的异构执行体集合来替代当前被攻破的异构执行体集合,动态性使系统在不同的时间段对外界呈现出不同的特征,这给攻击者的攻击带来不确定性,这将进一步增大攻击者的攻击难度。
冗余性是意味着多个执行体处理同一请求,异构性和冗余性两者之间的协同工作实现了攻击所依赖的单一环境的改变,增加了攻击者的攻击代价和难度,提高了系统的安全性。
拟态防御下服务部署系统中的异构度是指拟态防御架构下的调度器从服务部署执行体池中选择出的服务部署执行体集合的异构程度,若异构度越大则黑客的攻击难度和代价越大,整个系统相对安全。拟态防御下的服务部署架构中主要的异构元素包括每个服务部署执行体的操作系统、SDN控制器和NFV服务编排器三个模块。若选择出的每个服务部署执行体之间上述的三个模块均不相同,则表示整个系统的异构度最大,是最理想的方案。在其他的拟态防御系统中,可选择的异构元素相比于服务部署要更多,甚至可以将整个执行体池设计成异构度最大化,因此,这些系统在调度时无需特殊机制,只需随机在执行体池中选择执行体即可满足一定的系统异构度。对于拟态防御下的服务部署系统而言,相对可选择的异构元素较少,服务部署执行体池无法设计成异构最大形式,两个服务部署执行体之间难免会有部分元素相似或者相同,若直接采用随机调度模式,很容易选择出异构度较小的服务部署执行体集合,使得整个系服务部署统不够安全可靠。
发明内容
本发明为了弥补传统的随机调度方法的不足,提出了一种拟态防御下服务部署执行体集合异构度保证的调度方法。
本发明解决其技术问题所采用的技术方案如下:一种拟态防御下服务部署执行体集合异构度保证的调度方法,该方法包括如下步骤:
(1)每个服务部署执行体表示为Ei=(Oi,Ci,Si),其中O表示操作系统,C表示SDN控制器,S表示NFV服务编排器;
(2)定义异构元素比较函数w,x元素与y元素相同时,w取值为1,而x元素与y元素不同时,w取值为0.1,即w表示为:
Figure BDA0001825768850000021
(3)从服务部署执行体池中随机选择M个服务部署执行体Ei构建服务部署执行体集合 A;
(4)两个服务部署执行体Ei和Ej之间的异构度系数用λ(i,j)表示,δ为权重(0<δ<1),则λ(i,j)表示为:
λ(i,j)=δOw(Oi,Oj)+δCw(Ci,Cj)+δSw(Si,Sj)
对服务部署执行体集合A中的服务部署执行体进行两两异构对比得出对应异构系数;
(5)将步骤(4)中所有异构系数累加得到服务部署执行体集合A的整体异构系数hA, hA表示为:
Figure BDA0001825768850000022
(6)若hA<((M-1)~)*0.4,则输出服务部署执行体集合A,否则返回步骤(3)。
与传统的随机调度方法相比,本发明的有益效果如下:对于拟态防御下服务部署而言,能够进行选择的异构元素较少,服务部署执行体池无法设计成异构度最大形式,若直接采用随机调度方法,很容易选调出异构度较小的服务部署执行体集合,攻击者容易攻击成功,使得整个服务部署系统不够安全可靠,本方法可以保证被选择出的服务部署执行体集合的异构度维持在较大水平,从而增加了攻击者的攻击难度和代价,使得服务部署系统更加安全可靠。
附图说明
图1为服务部署执行体异构调度方法流程图;
图2为拟态防御下的服务部署实现架构图。
具体实施方式
下面结合附图附表和实施例详细说明本发明。
本发明提出的一种拟态防御下服务部署执行体集合异构度保证的调度方法,该方法为:拟态防御架构中的调度器可以从服务部署执行体池中选择出异构度系数满足一定条件的服务部署执行体集合,从而保证服务部署执行体集合的异构度。
所述的异构度是指拟态防御架构下的调度器从执行体池中选调出的服务部署执行体集合的异构程度。该集合中每个服务部署执行体之间的相似程度越小,执行体集合的异构度越小,异构度越大被攻击的难度就越大,服务部署过程就越安全。
如图1所示,从服务部署执行体池中选择出异构度系数满足一定条件的服务部署执行体集合的步骤如下:
(1)每个服务部署执行体表示为Ei=(Oi,Ci,Si),其中O表示操作系统,C表示SDN控制器,S表示NFV服务编排器;
(2)自定义异构元素比较函数w,x元素与y元素相同时,w取值为1,而x元素与y 元素不同时,w取值为0.1,则w可表示为
Figure BDA0001825768850000031
(3)从服务部署执行体池中随机选择M个服务部署执行体Ei构建服务部署执行体集合 A;
(4)两个服务部署执行体Ei和Ej之间的异构度系数用λ(i,j)表示,δ为权重(0<δ<1),则λ(i,j)可表示为
λ(i,j)=δOw(Oi,Oj)+δCw(Ci,Cj)+δSw(Si,Sj)
λ(i,j)值越小表示两个服务部署执行体之间的异构度越大,λ(i,j)值越大表示两个服务部署执行体之间的异构度越小。
对服务部署执行体集合A中的服务部署执行体进行两两异构对比得出对应异构系数λ(i,j);
(5)将步骤(4)中所有异构系数累加得到服务部署执行体集合A的整体异构系数hA, hA可表示为
Figure BDA0001825768850000041
hA值越小表示选择出的服务部署执行体集合的异构度越大;
(6)若hA<((M-1)~)*0.4,则输出服务部署执行体集合A,否则返回步骤(3);
实施例:
下面结合实施例对本发明作进一步说明。
在本发明涉及到的保证服务部署执行体集合异构度的调度方法可以描述具体如下:
服务功能部署过程是采用基于Openflow的SDN控制器和实现服务编排功能的NFV服务编排器实现的,转发规则生产主要由基于Openflow的SDN控制器实现。常见的用于服务功能部署的SDN控制器有POX、RYU、Floodlight、Opendaylight,NFV服务编排器有Womano、Tacker、Mano。
如图2所示,本发明采用操作系统、SDN控制器以及NFV服务编排器的多样性来实现服务部署执行池中服务部署执行体的异构性。并且将不同的操作系统、SDN控制器以及NFV服务编排器通过不同方式的组合来增加服务部署执行体的异构性。一种操作系统、一种SDN控制器和一种NFV服务编排器可以组成一种服务部署执行体,并且这两个服务部署执行体每种异构元素均不相同,异构程度较高。操作系统、控制器以及服务编排器的多样性以及不同的组合方式共同构成了执行体的异构性,多个服务部署执行体构成了服务部署执行体池。
若采用传统的随机调度方法,很容易选择出异构度较小的服务部署执行体集合,攻击者容易攻击成功,使得整个服务部署系统不够安全可靠。如表1所示,采用传统随机调度方法选择出的服务部署执行体集合中的各个服务部署执行体之间相同或相似的异构元素较多,导致整个服务部署系统相同或相似的可攻击漏洞较多,攻击者容易攻击成功,使得整个服务部署系统不够安全可靠。而采用本发明的异构调度方法选择出的服务部署执行体集合中的服务部署执行体之间相同或相似的异构元素较少,整个服务部署系统相同或相似的可攻击漏洞较少,攻击者不容易攻击成功,使得服务部署系统更加安全可靠。
表1随机调度方法与本发明异构调度方法比较
Figure BDA0001825768850000042
Figure BDA0001825768850000051

Claims (1)

1.一种拟态防御下服务部署执行体集合异构度保证的调度方法,其特征在于,该方法包括如下步骤:
(1)每个服务部署执行体表示为Ei=(Oi,Ci,Si),其中O表示操作系统,C表示SDN控制器,S表示NFV服务编排器,i为执行体的个数,1≤i≤n,n为正整数;
(2)定义异构元素比较函数w,x元素与y元素相同时,w取值为1,而x元素与y元素不同时,w取值为0.1,即w表示为:
Figure FDA0003045786070000011
(3)从服务部署执行体池中随机选择M个服务部署执行体Ei构建服务部署执行体集合A;
(4)两个服务部署执行体Ei和Ej之间的异构度系数用λ(i,j)表示,δ为权重,0<δ<1,则λ(i,j)表示为:
λ(i,j)=δOw(Oi,Oj)+δCw(Ci,Cj)+δSw(Si,Sj)
对服务部署执行体集合A中的服务部署执行体进行两两异构对比得出对应异构系数;
(5)将步骤(4)中所有异构系数累加得到服务部署执行体集合A的整体异构系数hA,hA表示为:
Figure FDA0003045786070000012
(6)若hA<((M-1)~)*0.4,则输出服务部署执行体集合A,否则返回步骤(3)。
CN201811184148.XA 2018-10-11 2018-10-11 一种拟态防御下服务部署执行体集合异构度保证的调度方法 Active CN109525418B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811184148.XA CN109525418B (zh) 2018-10-11 2018-10-11 一种拟态防御下服务部署执行体集合异构度保证的调度方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811184148.XA CN109525418B (zh) 2018-10-11 2018-10-11 一种拟态防御下服务部署执行体集合异构度保证的调度方法

Publications (2)

Publication Number Publication Date
CN109525418A CN109525418A (zh) 2019-03-26
CN109525418B true CN109525418B (zh) 2021-10-08

Family

ID=65772262

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811184148.XA Active CN109525418B (zh) 2018-10-11 2018-10-11 一种拟态防御下服务部署执行体集合异构度保证的调度方法

Country Status (1)

Country Link
CN (1) CN109525418B (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110557437B (zh) * 2019-08-05 2021-11-19 上海拟态数据技术有限公司 基于自定义协议的普适性拟态分发表决调度装置及方法
CN111163070A (zh) * 2019-12-18 2020-05-15 浙江工商大学 一种拟态防御下服务链安全部署的正确链路判决方法、装置、设备及介质
CN111556030B (zh) * 2020-04-13 2022-06-10 南京理工大学 一种基于多级队列的拟态防御动态调度方法
CN111786946B (zh) * 2020-05-18 2022-12-09 中国电子科技集团公司电子科学研究院 拟态云服务异构执行体调度方法和装置
CN111698234B (zh) * 2020-06-03 2022-11-25 北京润通丰华科技有限公司 一种dns防御系统中异构体的调用方法
CN111698235B (zh) * 2020-06-03 2023-04-18 北京润通丰华科技有限公司 一种拟态dns防御系统控制单元中的异构体调度方法
CN111431946B (zh) * 2020-06-10 2020-09-04 网络通信与安全紫金山实验室 一种拟态路由器执行体调度方法和拟态路由器
CN112134841B (zh) * 2020-08-18 2022-12-13 河南信大网御科技有限公司 异构执行体动态可重组方法、拟态防御架构及介质
CN112153024B (zh) * 2020-09-11 2022-11-11 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于SaaS平台的拟态防御系统
CN112511593A (zh) * 2020-11-03 2021-03-16 浙江大学 拟态waf中的流量分发方法
CN112866277B (zh) * 2021-02-02 2022-06-17 浙江工商大学 一种拟态服务功能链的调度方法
CN113079169B (zh) * 2021-04-13 2022-09-13 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 一种面向拟态防御的两级多层资源调度方法及系统
CN114257519B (zh) * 2021-11-02 2023-05-16 中国人民解放军战略支援部队信息工程大学 多功能等价执行体系统的异构度评估方法及装置
CN115941320A (zh) * 2022-12-06 2023-04-07 中国联合网络通信集团有限公司 一种Kubernetes集群拟态防护方法和系统
CN116318945B (zh) * 2023-03-09 2023-10-20 南京航空航天大学 一种基于内生动态防御架构的多目标服务功能链部署方法
CN117271424B (zh) * 2023-11-24 2024-02-06 北京中星微人工智能芯片技术有限公司 基于多模融合计算框架的处理装置和处理方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107347066A (zh) * 2017-07-05 2017-11-14 中国人民解放军信息工程大学 一种功能等价体异构度最大化调度方法及装置
WO2018077376A1 (en) * 2016-10-24 2018-05-03 NEC Laboratories Europe GmbH Method for managing data traffic within a network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018077376A1 (en) * 2016-10-24 2018-05-03 NEC Laboratories Europe GmbH Method for managing data traffic within a network
CN107347066A (zh) * 2017-07-05 2017-11-14 中国人民解放军信息工程大学 一种功能等价体异构度最大化调度方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Mimic defense:a designed-in cybersecurity defense framework;Hongchao Hu等;《IET Information Securiy》;20180501;全文 *
SDN中服务部署的拟态防御方法;李传煌等;《通信学报》;20181130;全文 *
拟态防御下服务链部署关键技术研究与实现;任云方;《中国优秀硕士学位论文全文数据库(电子期刊)》;20200515;全文 *
面对拟态安全防御的异构功能等价体调度算法;刘勤让等;《通信学报》;20180725;全文 *

Also Published As

Publication number Publication date
CN109525418A (zh) 2019-03-26

Similar Documents

Publication Publication Date Title
CN109525418B (zh) 一种拟态防御下服务部署执行体集合异构度保证的调度方法
CN109587168B (zh) 软件定义网络中基于拟态防御的网络功能部署方法
CN108762896B (zh) 一种基于Hadoop集群任务调度方法及计算机设备
CN109491668B (zh) 一种sdn/nfv服务部署的拟态防御构架及方法
Mehraghdam et al. Specifying and placing chains of virtual network functions
CN106992982B (zh) 一种基于sdn的动态路由协议执行体实现装置及方法
Navimipour Task scheduling in the cloud environments based on an artificial bee colony algorithm
Xu et al. A multiple priority queueing genetic algorithm for task scheduling on heterogeneous computing systems
Letteri et al. Security in the internet of things: botnet detection in software-defined networks by deep learning techniques
Georgiou et al. Evaluating scalability and efficiency of the resource and job management system on large HPC clusters
US20160226794A1 (en) Software defined visibility fabric
CN113098882B (zh) 基于博弈论的网络空间拟态防御方法、装置、介质及终端
JP6303613B2 (ja) 経路データ生成装置、経路データ生成方法及び経路データ生成プログラム
CN110995651B (zh) 一种对异构执行体池可靠性进行判决的方法
CN113490231B (zh) 一种网络切片的可用性保障方法及装置
CN112347519B (zh) 一种拟态OpenStack组件和拟态OpenStack云平台
Divya et al. ReTra: reinforcement based traffic load balancer in fog based network
EP3970045A1 (en) Minimizing production disruption through a scan rule engine
Chatwattanasiri et al. Dynamic k-out-of-n system reliability for redundant local area networks
CN114257510B (zh) 一种面向多播路由的网络功能链优化方法
CN113079169B (zh) 一种面向拟态防御的两级多层资源调度方法及系统
Behrouzi-Far et al. Scheduling in the presence of data intensive compute jobs
Manu et al. Intrusion tolerant architecture for SDN networks through flow monitoring
CN116318945B (zh) 一种基于内生动态防御架构的多目标服务功能链部署方法
Chen et al. Network-aware coordination of virtual machine migrations in enterprise data centers and clouds

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant