CN111835715B - 一种虚拟网络功能的安全值确定方法及装置 - Google Patents

一种虚拟网络功能的安全值确定方法及装置 Download PDF

Info

Publication number
CN111835715B
CN111835715B CN202010494623.4A CN202010494623A CN111835715B CN 111835715 B CN111835715 B CN 111835715B CN 202010494623 A CN202010494623 A CN 202010494623A CN 111835715 B CN111835715 B CN 111835715B
Authority
CN
China
Prior art keywords
virtual network
network function
security
safety
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010494623.4A
Other languages
English (en)
Other versions
CN111835715A (zh
Inventor
崔琪楣
范玮琪
陶小峰
张平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN202010494623.4A priority Critical patent/CN111835715B/zh
Publication of CN111835715A publication Critical patent/CN111835715A/zh
Application granted granted Critical
Publication of CN111835715B publication Critical patent/CN111835715B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种虚拟网络功能的安全值确定方法及装置,可以针对预设的每一虚拟网络功能VNF,获取该虚拟网络功能对应的第一权重向量,以及该虚拟网络功能对应的第一隶属度矩阵;计算第一权重向量和第一隶属度矩阵的乘积,得到该虚拟网络功能对应的第一隶属度向量;基于第一隶属度向量包含的该虚拟网络功能属于预设各安全级别的概率,以及预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值。基于上述处理,每一虚拟网络功能的安全值,是根据预设各安全级别各自对应的安全值范围确定出的,因此,该虚拟网络功能的安全值能够体现该虚拟网络功能所对应的安全级别,也就能体现该虚拟网络功能安全性的高低。

Description

一种虚拟网络功能的安全值确定方法及装置
技术领域
本发明涉及计算机技术领域,特别是涉及一种虚拟网络功能的安全值确定方法及装置。
背景技术
随着计算机网络技术的快速发展,用户可以通过终端向预设服务器集群中的一个服务器发送访问请求,进而,当该服务器接收到该访问请求时,可以确定该访问请求所请求的多个业务各自的业务类型,进而,针对每一业务类型,可以从预设的多个VNF(VirtualNetwork Function,虚拟网络功能)中,随机选择一个该业务类型对应的虚拟网络功能,然后,可以确定包含选择出的各虚拟网络功能的SFC(Service Function Chain,服务功能链),确定出的服务功能链用于响应该访问请求。进而,该服务器可以向确定出的服务功能链转发该访问请求。其中,一个虚拟网络功能可以表示一个服务器,则确定出的服务功能链可以表示包含多个服务器的服务器组。
如果一个虚拟网络功能的安全性较低,在受到恶意攻击时,该虚拟网络功能可能无法正常处理访问请求所请求的业务。为了保证基于服务功能链能够完成访问请求的处理,在生成服务功能链时,需要考虑各虚拟网络功能的安全性。
然而,现有技术中,并未提供相应的方法,能够确定虚拟网络功能的安全性。
发明内容
本发明实施例的目的在于提供一种虚拟网络功能的安全值确定方法及装置,可以确定虚拟网络功能安全性的高低。具体技术方案如下:
第一方面,为了达到上述目的,本发明实施例提供了一种虚拟网络功能的安全值确定方法,所述方法包括:
针对预设的每一虚拟网络功能VNF,获取该虚拟网络功能对应的第一权重向量,以及该虚拟网络功能对应的第一隶属度矩阵,其中,所述第一权重向量中的元素用于表示针对该虚拟网络功能,每一第一安全指标相对于其他第一安全指标的重要程度,所述第一隶属度矩阵包含针对该虚拟网络功能,各第一安全指标属于预设各安全级别的概率;
计算所述第一权重向量和所述第一隶属度矩阵的乘积,得到该虚拟网络功能对应的第一隶属度向量,其中,所述第一隶属度向量包含该虚拟网络功能属于所述预设各安全级别的概率;
基于所述第一隶属度向量包含的该虚拟网络功能属于所述预设各安全级别的概率,以及所述预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值。
第二方面,为了达到上述目的,本发明实施例提供了一种虚拟网络功能的安全值确定装置,所述装置包括:
获取模块,用于针对预设的每一虚拟网络功能VNF,获取该虚拟网络功能对应的第一权重向量,以及该虚拟网络功能对应的第一隶属度矩阵,其中,所述第一权重向量中的元素用于表示针对该虚拟网络功能,每一第一安全指标相对于其他第一安全指标的重要程度,所述第一隶属度矩阵包含针对该虚拟网络功能,各第一安全指标属于预设各安全级别的概率;
第一确定模块,用于计算所述第一权重向量和所述第一隶属度矩阵的乘积,得到该虚拟网络功能对应的第一隶属度向量,其中,所述第一隶属度向量包含该虚拟网络功能属于所述预设各安全级别的概率;
第二确定模块,用于基于所述第一隶属度向量包含的该虚拟网络功能属于所述预设各安全级别的概率,以及所述预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值。
本发明实施例还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一所述的虚拟网络功能的安全值确定方法步骤。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的虚拟网络功能的安全值确定方法步骤。
本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的虚拟网络功能的安全值确定方法。
本发明实施例提供的一种虚拟网络功能的安全值确定方法,可以针对预设的每一虚拟网络功能VNF,获取该虚拟网络功能对应的第一权重向量,以及该虚拟网络功能对应的第一隶属度矩阵,第一权重向量中的元素用于表示针对该虚拟网络功能,每一第一安全指标相对于其他第一安全指标的重要程度,第一隶属度矩阵包含针对该虚拟网络功能,各第一安全指标属于预设各安全级别的概率;计算第一权重向量和第一隶属度矩阵的乘积,得到该虚拟网络功能对应的第一隶属度向量,第一隶属度向量包含该虚拟网络功能属于预设各安全级别的概率;基于第一隶属度向量包含的该虚拟网络功能属于预设各安全级别的概率,以及预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值。
基于上述处理,每一虚拟网络功能的安全值,是根据预设各安全级别各自对应的安全值范围确定出的,因此,该虚拟网络功能的安全值能够体现该虚拟网络功能所对应的安全级别,也就能体现该虚拟网络功能安全性的高低。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明实施例提供的一种虚拟网络功能的安全值确定方法的流程图;
图2为本发明实施例提供的一种获取虚拟网络功能的第一权重向量的方法的流程图;
图3为本发明实施例提供的一种获取虚拟网络功能的第一隶属度矩阵的方法的流程图;
图4为本发明实施例提供的一种虚拟网络功能的安全值确定方法的流程图;
图5为本发明实施例提供的一种安全指标的示意图;
图6为本发明实施例提供的一种服务功能链的结构图;
图7为本发明实施例提供的一种虚拟网络功能的安全值确定装置的结构图;
图8为本发明实施例提供的一种电子设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如果一个虚拟网络功能的安全性较低,在受到恶意攻击时,该虚拟网络功能可能无法正常处理访问请求所请求的业务。为了保证基于服务功能链能够完成访问请求的处理,在生成服务功能链时,需要考虑各虚拟网络功能的安全性。然而,现有技术中,并未提供相应的方法,能够确定虚拟网络功能的安全性。
为了解决上述问题,参见图1,图1为本发明实施例提供的一种虚拟网络功能的安全值确定方法的流程图,该方法可以应用于服务器,该服务器用于确定虚拟网络功能的安全值。该方法可以包括以下步骤:
S101:针对预设的每一虚拟网络功能VNF,获取该虚拟网络功能对应的第一权重向量,以及该虚拟网络功能对应的第一隶属度矩阵。
其中,第一权重向量中的元素用于表示针对该虚拟网络功能,每一第一安全指标相对于其他第一安全指标的重要程度,第一隶属度矩阵包含针对该虚拟网络功能,各第一安全指标属于预设各安全级别的概率。
S102:计算第一权重向量和第一隶属度矩阵的乘积,得到该虚拟网络功能对应的第一隶属度向量。
其中,第一隶属度向量包含该虚拟网络功能属于预设各安全级别的概率。
S103:基于第一隶属度向量包含的该虚拟网络功能属于预设各安全级别的概率,以及预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值。
基于本发明实施例提供的虚拟网络功能的安全值确定方法,每一虚拟网络功能的安全值,是根据预设各安全级别各自对应的安全值范围确定出的,因此,该虚拟网络功能的安全值能够体现该虚拟网络功能所对应的安全级别,也就能体现该虚拟网络功能安全性的高低。
在发明实施例中,服务器可以基于层次分析算法,确定虚拟网络功能的安全值,例如,服务器可以确定各第一安全指标,以及各第一安全指标各自包含的第二安全指标,并将虚拟网络功能作为最高层,将各第一安全指标作为中间层,将各第一安全指标各自包含的第二安全指标作为最底层,得到虚拟网络功能对应的递阶层级结构。进而,服务器可以基于层次分析算法和各层指标,确定虚拟网络功能的安全值。
在步骤S101中,第一安全指标可以为预设的用于表示虚拟网络功能不同方面的安全性的指标。例如,第一安全指标可以包括:数据安全、虚拟化安全、网络安全、访问安全和物理安全。
预设各安全级别用于表示虚拟网络功能的安全性的高低,每一安全级别可以对应一个安全值范围。例如,参见表1,表1为预设各安全级别与安全值范围对应表。
表1
安全级别 1级 2级 3级 4级 5级
安全值范围 (85,100] (70,85] (55,70] (40,55] [0,40]
例如,表1所示的安全级别可以包括:1级、2级、3级、4级、5级。1级安全级别可以表示虚拟网络功能的安全性很好,2级安全级别可以表示虚拟网络功能的安全性较好,3级安全级别可以表示虚拟网络功能的安全性一般,4级安全级别可以表示虚拟网络功能的安全性较差,5级安全级别可以表示虚拟网络功能的安全性很差。
1级安全级别对应的安全值范围可以为:(85,100]。2级安全级别对应的安全值范围可以为:(70,85]。3级安全级别对应的安全值范围可以为:(55,70]。4级安全级别对应的安全值范围可以为:(40,55]。5级安全级别对应的安全值范围可以为:[0,40]。
针对预设的每一虚拟网络功能,服务器可以获取该虚拟网络功能对应的第一权重向量,以及该虚拟网络功能的第一隶属度矩阵。
在本发明的一个实施例中,参见图2,针对每一虚拟网络功能,服务器获取该虚拟网络功能对应的第一权重向量的方法可以包括以下步骤:
S201:获取针对该虚拟网络功能,各第一安全指标对应的第一分位标度矩阵。
其中,第一分位标度矩阵包含针对该虚拟网络功能,预设的各第一安全指标各自的标度值。一个第一安全指标的标度值表示该第一安全指标相对于其他第一安全指标的重要程度。
一种实现方式中,针对每一虚拟网络功能,服务器可以比较各第一安全指标针对该虚拟网络功能的重要程度,并根据预设的标度值与安全指标的重要程度的对应关系,确定包含各第一安全指标的标度值的分位标度矩阵(即第一分位标度矩阵)。例如,参见表2,表2为安全指标的重要程度与标度值对应表。
表2
Figure BDA0002522360090000061
例如,第一安全指标可以包括:数据安全、虚拟化安全、网络安全、访问安全和物理安全。
服务器可以将数据安全与虚拟化安全进行重要程度比较,如果数据安全和虚拟化安全同样重要,则数据安全相对于虚拟化安全的标度值为“1”,虚拟化安全相对于数据安全的标度值,可以为数据安全相对于虚拟化安全的标度值的倒数,即“1”。服务器还可以将数据化安全与网络安全进行重要程度比较,如果数据安全比网络安全稍微重要,则数据安全相对于网络安全的标度值为“3”,网络安全相对于数据安全的标度值,可以为数据安全相对于网络安全的标度值的倒数,即1/3,以此类推,直至确定出各第一安全指标的标度值,可以得到行数和列数相同的第一分位标度矩阵。
在确定第一分位标度矩阵之后,服务器还可以对第一分位标度矩阵进行一致性检验,以确定第一分位标度矩阵的可靠性。
一种实现方式中,服务器可以计算第一分位标度矩阵的最大的特征值,并根据最大的特征值和第六预设公式,计算第一分位标度矩阵的一致性指标(可以称为实际一致性指标)。其中,第六预设公式为:
CI=(λmax-n)/(n-1) (1)
CI表示第一分位标度矩阵的实际一致性指标,λmax表示第一分位标度矩阵的最大的特征值,n表示第一分位标度矩阵的维度。由于第一分位标度矩阵的行数和列数相同,第一分位标度矩阵的维度可以为第一分位标度矩阵的行数,或者,也可以为第一分位标度矩阵的列数。
然后,服务器可以根据预设的矩阵维度与一致性指标的对应关系,确定第一分位标度矩阵对应的一致性指标(可以称为指定一致性指标)。例如,参见表3,表3为矩阵维度与一致性指标对应表。
表3
矩阵维度 1 2 3 4 5 6 7 8 9
一致性指标 0 0 0.58 0.90 1.12 1.24 1.32 1.41 1.45
例如,服务器可以查找表3所示的矩阵维度与一致性指标的对应关系,当第一分位标度矩阵的维度为5时,指定一致性指标为1.12。当第一分位标度矩阵的维度为6时,指定一致性指标为1.24。
进而,服务器可以计算第一分位标度矩阵的实际一致性指标与指定一致性指标的比值(可以称为一致性比值)。当一致性比值小于预设比值时,表明第一分位标度矩阵的可靠性较高,可以基于第一分位标度矩阵,确定第一权重向量。
当一致性比值大于或等于预设比值时,表明第一分位标度矩阵的可靠性较低,则服务器可以调整第一分位标度矩阵中的元素,直至确定出的第一分位标度矩阵对应的一致性比值小于预设比值。
其中,预设比值可以由技术人员根据经验设置,例如,预设比值可以为0.1,或者,预设比值也可以为0.01,但并不限于此。
一种实现方式中,当第一分位标度矩阵对应的一致性比值大于预设比值时,可以选择第一分位标度矩阵中的预设数目个元素,并将选择的元素增加第一数值,或者将选择的元素减少第二数值。例如,服务器可以将第一分位标度矩阵中第2行第1列和第4行第1列的元素增加第一数值,或者,也可以将第3行第2列和第1行第1列的元素减少第二数值。
其中,预设数目可以由技术人员根据经验设置。第一数值和第二数值均可以由技术人员根据经验设置,第一数值和第二数值可以为相同数值,例如,第一数值和第二数值均可以为2,或者,第一数值和第二数值也可以为不同数值,例如,第一数值可以为1,第二数值可以为2,但并不限于此。
S202:根据第一分位标度矩阵的特征向量和第一预设公式,计算该虚拟网络功能对应的第一权重向量。其中,第一预设公式为:
Figure BDA0002522360090000081
Wj表示第一权重向量中的第j个元素,uj表示第一分位标度矩阵的特征向量中的第j个元素,N表示第一分位标度矩阵的特征向量中的元素的数目,ui表示第一分位标度矩阵的特征向量中的第i个元素。
在确定第一分位标度矩阵之后,服务器可以计算第一分位标度矩阵的各特征值。然后,从各特征值中选择一个特征值,并计算选择的特征值对应的特征向量。进而,可以基于选择的特征值对应的特征向量和上述公式(2),计算该虚拟网络功能对应的第一权重向量。
一种实现方式中,由于确定出的第一分位标度矩阵对应的一致性比值小于预设比值,此时,第一分位标度矩阵的各特征值中,除最大的特征值外的其他特征值均为“0”,特征值“0”对应的特征向量是“0”向量。进而,服务器可以选择第一分位标度矩阵的最大的特征值,并计算最大的特征值对应的特征向量,并基于最大的特征值对应的特征向量和上述公式(2),计算该虚拟网络功能对应的第一权重向量。
在本发明的一个实施例中,参见图3,针对每一虚拟网络功能,服务器获取该虚拟网络功能对应的第一隶属度矩阵的方法可以包括以下步骤:
S301:针对每一第一安全指标,获取该第一安全指标包含的第二安全指标对应的第二权重向量。
其中,第二权重向量中的元素用于表示针对该虚拟网络功能,每一第二安全指标相对于该第一安全指标包含的其他第二安全指标的重要程度。
在本发明的一个实施例中,步骤S301可以包括以下步骤:
步骤一,获取针对该虚拟网络功能,该第一安全指标包含的第二安全指标对应的第二分位标度矩阵。
其中,第二分位标度矩阵中包含针对该虚拟网络功能,预设的该第一安全指标包含的第二安全指标各自的标度值,一个第二安全指标的标度值表示该第二安全指标相对于,该第一安全指标包含的其他第二安全指标的重要性。
步骤二,根据第二分位标度矩阵的特征向量和第二预设公式,计算该第一安全指标包含的第二安全指标对应的第二权重向量。其中,第二预设公式为:
Figure BDA0002522360090000091
Xc表示第二权重向量中的第c个元素,hc表示第二分位标度矩阵的特征向量中的第c个元素,M表示第二分位标度矩阵的特征向量中的元素的数目,hd表示第二分位标度矩阵的特征向量中的第d个元素。
一种实现方式中,针对每一第一安全指标,服务器可以确定该第一安全指标包含的第二安全指标,并获取该第一安全指标包含的第二安全指标对应的分位标度矩阵(即第二分位标度矩阵)。然后,服务器可以对第二分位标度矩阵进行一致性检验,确定第二分位标度矩阵的可靠性。
当确定出的第二分位标度矩阵的可靠性较高时,可以计算第二分位标度矩阵的最大的特征值,并计算最大的特征值对应的特征向量,进而,服务器可以根据最大的特征值对应的特征向量和上述公式(3),计算该第一安全指标包含的第二安全指标对应的第二权重向量。
例如,当第一安全指标为数据安全时,数据安全包含的第二安全指标可以包括:数据加密、数据完整性、数据备份、数据移植性和数据分级。
服务器可以比较数据加密和数据完整性针对该虚拟网络功能的重要程度,并根据上述表2,确定数据加密相对于数据完整性的标度值,以及数据完整性相对于数据加密的标度值,以此类推,可以确定数据加密包含的各第二安全指标各自的标度值,得到第二分位标度矩阵。
然后,服务器可以对第二分位标度矩阵进行一致性检验,确定第二分位标度矩阵的可靠性。对第二分位标度矩阵进行一致性检验的方法,与对第一位标度矩阵进行一致性检验的方法类似,可以参考上述实施例的详细介绍。
进而,当确定出的第二分位标度矩阵的可靠性较高时,可以计算第二分位标度矩阵的最大的特征值对应的特征向量,并根据最大的特征值对应的特征向量和上述公式(3),计算数据加密包含的第二安全指标对应的第二权重向量。
S302:获取该第一安全指标包含的第二安全指标对应的第二隶属度矩阵。
其中,第二隶属度矩阵包含针对该虚拟网络功能,该第一安全指标包含的第二安全指标属于预设各安全级别的概率。
在本发明的一个实施例中,步骤S302可以包括以下步骤:
根据第三预设公式,以及用于确定针对该虚拟网络功能,该第一安全指标包含的第二安全指标各自所属的各安全级别的神经网络,确定该第一安全指标包含的第二安全指标对应的第二隶属度矩阵。其中,第三预设公式为:
Figure BDA0002522360090000101
Rpq表示第二隶属度矩阵中的第p行第q列的元素,B表示神经网络的总数目,Apq表示神经网络中,确定第p个第二安全指标属于预设各安全级别中的第q个安全级别的神经网络的数目。
一种实现方式中,服务器可以包含多个用于确定各第二安全级别所属的安全级别的神经网络。针对该第一安全指标包含的每一第二安全指标,将该第二安全指标输入神经网络,可以得到神经网络输出的该第二安全指标属于预设各安全级别的概率,进而,可以确定概率最大的安全级别为该第二安全指标所属的安全级别。其中,神经网络可以为用于进行分类的神经网络。
然后,针对该第一安全指标包含的每一第二安全指标,服务器可以统计确定该第二安全指标属于各安全级别的神经网络的数目。
例如,服务器包含的神经网络可以为:神经网络1、神经网络2、神经网络3、神经网络4、神经网络5、神经网络6、神经网络7、神经网络8、神经网络9、神经网络10。预设各安全级别可以包括:1级、2级、3级、4级、5级。第一安全指标可以为数据安全,数据安全包含的第二安全指标可以包括:数据加密、数据完整性、数据备份、数据移植性和数据分级。
服务器可以将数据加密的相关信息(例如,进行数据加密所使用的加密算法)输入神经网络1,得到神经网络1输出的数据加密属于预设各安全级别的概率分别为:0.3,0.5,0.7,0.4,0.6,则可以表示神经网络1确定数据加密所属的安全级别为3级安全级别。将数据加密的相关信息输入神经网络2,得到神经网络2输出的数据加密属于预设各安全级别的概率分别为:0.1,0.7,0.3,0.8,0.2,则可以表示神经网络2确定数据加密所属的安全级别为4级安全级别,以此类推,直至得到10个神经网络各自确定出的各第二安全指标所属的安全级别。
然后,服务器可以统计确定每一第二安全指标属于各安全级别的神经网络的数目,可以得到如下表4,表示4包含确定每一第二安全指标属于各安全级别的神经网络的数目。
表4
Figure BDA0002522360090000111
Figure BDA0002522360090000121
进而,针对每一第一安全指标,服务器可以根据确定第一安全指标包含的各第二安全指标属于各安全级别的神经网络的数目,以及上述公式(4),计算该第一安全指标包含的第二安全指标对应的第二隶属度矩阵。第二隶属度矩阵中的一个行向量为一个第二安全指标的隶属度向量。一个第二安全指标的隶属度向量包含该第二安全属于预设各安全级别的概率。
另外,在确定该第一安全指标包含的第二安全指标对应的第二隶属度矩阵之后,针对该第一安全指标包含的每一第二安全指标,服务器还可以根据该第二安全指标的隶属度向量中包含的该第二安全属于预设各安全级别的概率,以及预设各安全级别各自对应的安全值范围,计算该第二安全指标的安全值。
计算第二安全指标的安全值的方法,与计算虚拟网络功能的安全值的方法类似,可以参考后续实施例中的详细介绍。
S303:计算第二权重向量与第二隶属度矩阵的乘积,作为该第一安全指标的第二隶属度向量。
其中,第二隶属度向量包含该第一安全指标属于预设各安全级别的概率。
一种实现方式中,针对每一第一安全指标,服务器在确定该第一安全指标包含的各第二安全指标对应的第二权重向量和第二隶属度矩阵之后,服务器可以计算第二权重向量和第二隶属度矩阵的乘积,得到该第一安全指标的隶属度向量(即第二隶属度向量)。
另外,在确定该第一安全指标的第二隶属度向量之后,服务器还可以根据第二隶属度向量中包含的该第一安全指标属于预设各安全级别的概率,以及预设各安全级别各自对应的安全值范围,计算该第一安全指标的安全值。
计算第一安全指标的安全值的方法,与计算虚拟网络功能的安全值的方法类似,可以参考后续实施例中的详细介绍。
S304:生成该虚拟网络功能对应的第一隶属度矩阵。
其中,该虚拟网络功能对应的第一隶属度矩阵包含各第一安全指标各自的第二隶属度向量。
在确定各第一安全指标的第二隶属度向量之后,服务器可以生成包含各第二隶属度向量的隶属度矩阵,即为该虚拟网络功能对应的第一隶属度矩阵。
例如,服务器可以将各个第二隶属度向量,作为第一隶属度矩阵的各个行向量,得到第一隶属度向量。
在步骤S102中,针对每一虚拟网络功能,在确定该虚拟网络功能对应的第一权重向量和第一隶属度矩阵之后,服务器可以计算第一权重向量和第一隶属度矩阵的乘积,可以得到该虚拟网络功能的隶属度向量(即第一隶属度向量)。
在步骤S103中,针对每一虚拟网络功能,在确定该虚拟网络功能的第一隶属度向量之后,服务器可以确定第一隶属度向量包含的该虚拟网络功能属于预设各安全级别的概率,并根据该虚拟网络功能属于预设各安全级别的概率,以及预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值。
在本发明的一个实施例中,步骤S103可以包括以下步骤:
基于第一隶属度向量包含的该虚拟网络功能属于预设各安全级别的概率、预设各安全级别各自对应的安全值范围,以及第四预设公式,计算用于表示该虚拟网络功能的安全性的安全值。其中,第四预设公式为:
Figure BDA0002522360090000131
θ表示该虚拟网络功能的安全值,rs表示第一隶属度向量中的第s个元素,vs表示预设各安全级别中的第s个安全级别对应的安全值范围包含的最大安全值,K表示预设各安全级别的数目。
在本发明的一个实施例中,参见图4,该方法还可以包括以下步骤:
S104:当接收到访问请求时,确定访问请求所请求的多个业务各自的业务类型。
当接收到访问请求时,服务器可以确定接收到的访问请求所请求的多个业务,并确定多个业务各自的业务类型。
例如,服务器可以确定访问请求1所请求的业务包括:业务1、业务2、业务3,业务1的业务类型为类型A,业务2的业务类型为类型B,业务3的业务类型为类型C。
S105:针对每一业务类型,如果当前空闲的各虚拟网络功能中,不存在该业务类型对应的安全值属于第一安全值范围的第一虚拟网络功能,从当前空闲的各虚拟网络功能中,确定该业务类型对应的安全值属于第二安全值范围的第二虚拟网络功能。
其中,第二安全值范围所包含的安全值小于第一安全值范围所包含的安全值。第一安全值范围可以由技术人员根据经验设置的,访问请求中可以携带有第一安全值范围。例如,第一安全值范围可以为(85,100],则第二安全值范围可以为(70,85],或者,第一安全值范围可以为(55,70],则第二安全值范围可以为(40,55],但并不限于此。
由于服务器可以接收多个访问请求,在每一次接收到访问请求时,服务器可以从预设的多个虚拟网络功能中,确定用于响应接收到的访问请求的虚拟网络功能,并将访问请求转发至确定出的虚拟网络功能进行处理。当服务器接收到新的访问请求时,可以确定当前未处理访问请求的虚拟网络功能,即为当前空闲的各虚拟网络功能。
针对每一业务类型,服务器可以从当前空闲的虚拟网络功能中,确定该业务类型对应的虚拟网络功能。然后,服务器可以判断该业务类型对应的虚拟网络功能中,是否存在对应的安全值属于第一安全值范围的第一虚拟网络功能,如果服务器判定该业务类型对应的虚拟网络功能中,不存在第一虚拟网络功能,则服务器可以确定对应的安全值属于第二安全值范围的第二虚拟网络功能。
如果该业务类型对应的虚拟网络功能中,不存在第二虚拟网络功能,则可以在其他访问请求处理完成后,出现新的空闲的虚拟网络功能,并且新的空闲的虚拟网络功能的安全值也不属于第一安全值范围的情况下,再次确定第二虚拟网络功能。
S106:基于第五预设公式,计算每两个第二虚拟网络功能的整体安全值。
其中,第五预设公式为:
Figure BDA0002522360090000151
Figure BDA0002522360090000152
表示第二虚拟网络功能中,第f个虚拟网络功能和第g个虚拟网络功能的整体安全值,E表示预设归一化参数,θf表示第f个虚拟网络功能的安全值,
Figure BDA0002522360090000153
表示对第f个虚拟网络功能的安全值进行归一化得到的安全值,θg表示第g个虚拟网络功能的安全值,
Figure BDA0002522360090000154
表示对第g个虚拟网络功能的安全值进行归一化得到的安全值。
例如,P可以为100,第f个虚拟网络功能的安全值θf可以为60,则可以按照100对θf进行归一化,可以得到
Figure BDA0002522360090000155
为0.6,第g个虚拟网络功能的安全值θg可以为40,则可以按照100对θg进行归一化,则可以得到
Figure BDA0002522360090000156
为0.4。然后,可以基于上述公式(6),计算得到第f个虚拟网络功能和第g个虚拟网络功能的整体安全值
Figure BDA0002522360090000157
为76。
S107:从第二虚拟网络功能中,选择整体安全值属于第一安全值范围的两个虚拟网络功能,作为目标虚拟网络功能。
在确定出每两个第二虚拟网络功能的整体安全值之后,服务器可以从第二虚拟网络功能中,选择整体安全值属于第一安全值范围的两个虚拟网络功能,作为目标虚拟网络功能。后续,在确定包含目标虚拟网络功能的服务功能链时,可以将目标虚拟网络功能中的一个虚拟网络功能,作为另一个虚拟网络功能的备用虚拟网络功能。
例如,目标虚拟网络功能可以包括:虚拟网络功能1和虚拟网络功能2。服务器可以将虚拟网络功能1,作为虚拟网络功能2的备用虚拟网络功能。当虚拟网络功能2无法正常处理业务时,由虚拟网络功能1代替虚拟网络功能2处理业务。
另外,如果计算得到的每两个第二虚拟网络功能的整体安全值,均不属于第一安全值范围,则可以不从当前空闲的虚拟网络功能中选择目标虚拟网络功能。可以在其他访问请求处理完成后,出现新的空闲的虚拟网络功能,并且新的空闲的虚拟网络功能的安全值也不属于第一安全值范围的情况下,再次确定第二虚拟网络功能,并重新计算每个第二虚拟网络功能的整体安全值。然后,服务器可以从再次确定出的第二虚拟网络功能中,选择整体安全值属于第一安全值范围的两个虚拟网络功能,作为目标虚拟网络功能。
S108:如果当前空闲的各虚拟网络功能中,存在该业务类型对应的安全值属于第一安全值范围的第一虚拟网络功能,从第一虚拟网络功能中选择一个虚拟网络功能,作为目标虚拟网络功能。
S109:向包含目标虚拟网络功能的服务功能链转发访问请求。
在确定各业务类型对应的目标虚拟网络功能之后,可以确定包含目标虚拟网络功能的服务功能链,进而,可以向确定出的服务功能链转发接收到的访问请求。
另外,在确定包含目标虚拟网络功能的服务功能链之后,服务器还可以计算各目标虚拟网络功能的安全值的平均值,可以得到确定出的服务功能链的安全值,计算得到的安全值可以表示该服务功能链的安全性的高低。
参见图5,图5为本发明实施例提供的一种安全指标的示意图,图5所示虚拟网络功能的第一安全指标包括:数据安全、虚拟化安全、网络安全、访问安全和物理安全。
数据安全包含的二级指标包括:数据加密、数据完整性、数据备份、数据移植性、数据分级。
数据加密可以表示对数据进行加密,防止数据被盗取。
数据完整性可以表示防止数据在传输过程中遭到破坏,而导致数据丢失。
数据备份可以表示将重要数据进行复制,并存储至预设存储位置。
数据移植性可以表示程序的语言类型不进行修改可以在任一虚拟网络功能运行,以及移植数据的可行性和便捷性。
数据分级可以表示基于数据的相关信息(例如,数据类型、数据值、数据的重要程度等),对数据和包含数据的对象进行分级。
虚拟化安全包含的二级指标包括:虚拟资源监控、虚拟资源隔离、用户数据隔离、多用户管理、虚拟防火墙。
当虚拟网络功能为虚拟机时,虚拟资源监控可以表示对虚拟机的运行状态、资源占用、迁移等信息的监控,以及对虚拟机物理资源和网络资源被滥用、虚拟机故障等异常情况的处理。
虚拟资源隔离可以表示每个虚拟机都具有独立的CPU(central processingunit,中央处理器)、内存、存储等资源,每一虚拟机只能访问该虚拟机的资源,实现不同虚拟机的资源、程序和数据的互相隔离。
用户数据隔离可以表示将每个用户的数据互相进行隔离。
多用户管理可以表示虚拟机根据各用户的需求为各用户分配资源,并同时处理多个用户的业务。
虚拟防火墙可以表示虚拟机防范木马等病毒的能力和流量监控的能力。
网络安全包含的二级指标包括:网络结构安全、网络访问控制、边界完整性检查、漏洞与补丁管理、入侵及恶意代码防范。
当虚拟网络功能为虚拟机时,网络结构安全可以表示虚拟机的结构是否存在安全隐患。
网络访问控制可以表示虚拟机访问每一资源的权限。
边界完整性检查可以表示虚拟机的网络与外部网络、服务器的网络、其他虚拟机的网络的边界是否完整。
漏洞与补丁管理可以表示虚拟机对漏洞和补丁的鉴别与管理能力。
入侵及恶意代码防范可以表示虚拟机检测和抵御恶意代码的能力。
访问安全包含的二级指标包括:身份鉴别、用户访问控制、管理平台访问、物理网络访问、虚拟机访问。
身份鉴别可以表示用户登录虚拟网络功能时,对用户进行身份鉴别。
用户访问控制可以表示用户访问每一资源的权限。
管理平台访问可以表示服务器访问虚拟机的权限。
物理网络访问可以表示由各种物理设备(如主机,路由器,交换机等)和介质(光缆,电缆,双绞线等)连接构成的物理网络访问虚拟机的权限。
虚拟机访问可以表示支持用户设置虚拟机管理机制,并允许用户设置不同虚拟机之间的访问控制策略。
物理安全包括:物理位置、物理访问、电力供应、电磁防护及温湿度控制、防盗窃及防破坏。
当虚拟网络功能表示服务器时,物理位置可以表示服务器的物理位置。
物理访问可以表示虚拟机是否可以直接在该虚拟机对应的服务器上运行。
电力供应可以表示对服务器的电力供应。
电磁防护及温湿度控制可以表示对服务器进行电磁防护,以及对服务器所在的环境的温度和湿度的控制。
防盗窃及防破坏可以表示对服务器进行物理防护,以避免服务器被盗窃或者被破坏。
参见图6,图6为本发明实施例提供的一种服务功能链的结构图。
图6中,可以用服务器表示虚拟网络功能,则图6中的服务功能链可以包括:服务器A、服务器B、服务器C、服务器D、服务器E。每一服务器用于处理一个访问请求所请求的各个业务中,业务类型与该服务器对应的业务,服务器D为服务器C的备用服务器,即服务器D和服务器C用于处理同一业务。当服务器C出现故障,无法正常处理业务时,服务器D可以代替服务器C处理对应的业务。
与图1的方法实施例相对应,参见图7,图7为本发明实施例提供的一种虚拟网络功能的安全值确定装置的结构图,所述装置包括:
获取模块701,用于针对预设的每一虚拟网络功能VNF,获取该虚拟网络功能对应的第一权重向量,以及该虚拟网络功能对应的第一隶属度矩阵,其中,所述第一权重向量中的元素用于表示针对该虚拟网络功能,每一第一安全指标相对于其他第一安全指标的重要程度,所述第一隶属度矩阵包含针对该虚拟网络功能,各第一安全指标属于预设各安全级别的概率;
第一确定模块702,用于计算所述第一权重向量和所述第一隶属度矩阵的乘积,得到该虚拟网络功能对应的第一隶属度向量,其中,所述第一隶属度向量包含该虚拟网络功能属于所述预设各安全级别的概率;
第二确定模块703,用于基于所述第一隶属度向量包含的该虚拟网络功能属于所述预设各安全级别的概率,以及所述预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值。
可选的,所述获取模块701,具体用于获取针对该虚拟网络功能,所述各第一安全指标对应的第一分位标度矩阵,其中,所述第一分位标度矩阵包含针对该虚拟网络功能,预设的所述各第一安全指标各自的标度值;一个第一安全指标的标度值表示该第一安全指标相对于其他第一安全指标的重要程度;
根据所述第一分位标度矩阵的特征向量和第一预设公式,计算该虚拟网络功能对应的第一权重向量,其中,所述第一预设公式为:
Figure BDA0002522360090000191
Wj表示所述第一权重向量中的第j个元素,uj表示所述第一分位标度矩阵的特征向量中的第j个元素,N表示所述第一分位标度矩阵的特征向量中的元素的数目,ui表示所述第一分位标度矩阵的特征向量中的第i个元素。
可选的,所述获取模块701,具体用于针对每一所述第一安全指标,获取该第一安全指标包含的第二安全指标对应的第二权重向量,其中,所述第二权重向量中的元素用于表示针对该虚拟网络功能,每一所述第二安全指标相对于该第一安全指标包含的其他第二安全指标的重要程度;
获取该第一安全指标包含的第二安全指标对应的第二隶属度矩阵,其中,所述第二隶属度矩阵包含针对该虚拟网络功能,该第一安全指标包含的第二安全指标属于所述预设各安全级别的概率;
计算所述第二权重向量与所述第二隶属度矩阵的乘积,作为该第一安全指标的第二隶属度向量;
生成该虚拟网络功能对应的第一隶属度矩阵,其中,该虚拟网络功能对应的第一隶属度矩阵包含所述各第一安全指标各自的第二隶属度向量。
可选的,所述获取模块701,具体用于获取针对该虚拟网络功能,该第一安全指标包含的第二安全指标对应的第二分位标度矩阵,其中,所述第二分位标度矩阵中包含针对该虚拟网络功能,预设的该第一安全指标包含的第二安全指标各自的标度值,一个第二安全指标的标度值表示该第二安全指标相对于,该第一安全指标包含的其他第二安全指标的重要性;
根据所述第二分位标度矩阵的特征向量和第二预设公式,计算该第一安全指标包含的第二安全指标对应的第二权重向量,其中,所述第二预设公式为:
Figure BDA0002522360090000201
Xc表示所述第二权重向量中的第c个元素,hc表示所述第二分位标度矩阵的特征向量中的第c个元素,M表示所述第二分位标度矩阵的特征向量中的元素的数目,hd表示所述第二分位标度矩阵的特征向量中的第d个元素。
可选的,所述获取模块701,具体用于根据第三预设公式,以及用于确定针对该虚拟网络功能,该第一安全指标包含的第二安全指标各自所属的安全级别的神经网络,确定该第一安全指标包含的第二安全指标对应的第二隶属度矩阵,其中,所述第三预设公式为:
Figure BDA0002522360090000202
Rpq表示所述第二隶属度矩阵中的第p行第q列的元素,B表示所述神经网络的总数目,Apq表示所述神经网络中,确定第p个第二安全指标属于所述预设各安全级别中的第q个安全级别的神经网络的数目。
可选的,所述第二确定模块703,具体用于基于所述第一隶属度向量包含的该虚拟网络功能属于所述预设各安全级别的概率、所述预设各安全级别各自对应的安全值范围,以及第四预设公式,计算用于表示该虚拟网络功能的安全性的安全值,其中,所述第四预设公式为:
Figure BDA0002522360090000211
θ表示该虚拟网络功能的安全值,rs表示所述第一隶属度向量中的第s个元素,vs表示所述预设各安全级别中的第s个安全级别对应的安全值范围包含的最大安全值,K表示所述预设各安全级别的数目。
可选的,所述装置还包括:
处理模块,用于当接收到访问请求时,确定所述访问请求所请求的多个业务各自的业务类型;
针对每一所述业务类型,如果当前空闲的各虚拟网络功能中,不存在该业务类型对应的安全值属于第一安全值范围的第一虚拟网络功能,从所述当前空闲的各虚拟网络功能中,确定该业务类型对应的安全值属于第二安全值范围的第二虚拟网络功能,其中,所述第二安全值范围所包含的安全值小于所述第一安全值范围所包含的安全值;
基于第五预设公式,计算每两个所述第二虚拟网络功能的整体安全值,其中,所述第五预设公式为:
Figure BDA0002522360090000212
Figure BDA0002522360090000213
表示所述第二虚拟网络功能中,第f个虚拟网络功能和第g个虚拟网络功能的整体安全值,E表示预设归一化参数,θf表示所述第f个虚拟网络功能的安全值,
Figure BDA0002522360090000214
表示对所述第f个虚拟网络功能的安全值进行归一化得到的安全值,θg表示所述第g个虚拟网络功能的安全值,
Figure BDA0002522360090000215
表示对所述第g个虚拟网络功能的安全值进行归一化得到的安全值;
从所述第二虚拟网络功能中,选择整体安全值属于所述第一安全值范围的两个虚拟网络功能,作为目标虚拟网络功能;
如果当前空闲的各虚拟网络功能中,存在该业务类型对应的安全值属于第一安全值范围的第一虚拟网络功能,从所述第一虚拟网络功能中选择一个虚拟网络功能,作为所述目标虚拟网络功能;
向包含所述目标虚拟网络功能的服务功能链转发所述访问请求。
基于本发明实施例提供的虚拟网络功能的安全值确定装置,每一虚拟网络功能的安全值,是根据预设各安全级别各自对应的安全值范围确定出的,因此,该虚拟网络功能的安全值能够体现该虚拟网络功能所对应的安全级别,也就能体现该虚拟网络功能安全性的高低。
本发明实施例还提供了一种电子设备,如图8所示,包括处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信,
存储器803,用于存放计算机程序;
处理器801,用于执行存储器803上所存放的程序时,实现上述任一虚拟网络功能的安全值确定方法的步骤。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一虚拟网络功能的安全值确定方法的步骤。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一虚拟网络功能的安全值确定方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、计算机可读存储介质,以及计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (9)

1.一种虚拟网络功能的安全值确定方法,其特征在于,所述方法包括:
针对预设的每一虚拟网络功能VNF,获取该虚拟网络功能对应的第一权重向量,以及该虚拟网络功能对应的第一隶属度矩阵,其中,所述第一权重向量中的元素用于表示针对该虚拟网络功能,每一第一安全指标相对于其他第一安全指标的重要程度,所述第一隶属度矩阵包含针对该虚拟网络功能,各第一安全指标属于预设各安全级别的概率;
计算所述第一权重向量和所述第一隶属度矩阵的乘积,得到该虚拟网络功能对应的第一隶属度向量,其中,所述第一隶属度向量包含该虚拟网络功能属于所述预设各安全级别的概率;
基于所述第一隶属度向量包含的该虚拟网络功能属于所述预设各安全级别的概率,以及所述预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值;
所述方法还包括:
当接收到访问请求时,确定所述访问请求所请求的多个业务各自的业务类型;
针对每一所述业务类型,如果当前空闲的各虚拟网络功能中,不存在该业务类型对应的安全值属于第一安全值范围的第一虚拟网络功能,从所述当前空闲的各虚拟网络功能中,确定该业务类型对应的安全值属于第二安全值范围的第二虚拟网络功能,其中,所述第二安全值范围所包含的安全值小于所述第一安全值范围所包含的安全值;
基于第五预设公式,计算每两个所述第二虚拟网络功能的整体安全值,其中,所述第五预设公式为:
Figure FDA0002986111270000011
Figure FDA0002986111270000012
表示所述第二虚拟网络功能中,第f个虚拟网络功能和第g个虚拟网络功能的整体安全值,E表示预设归一化参数,θf表示所述第f个虚拟网络功能的安全值,
Figure FDA0002986111270000013
表示对所述第f个虚拟网络功能的安全值进行归一化得到的安全值,θg表示所述第g个虚拟网络功能的安全值,
Figure FDA0002986111270000021
表示对所述第g个虚拟网络功能的安全值进行归一化得到的安全值;
从所述第二虚拟网络功能中,选择整体安全值属于所述第一安全值范围的两个虚拟网络功能,作为目标虚拟网络功能;
如果当前空闲的各虚拟网络功能中,存在该业务类型对应的安全值属于第一安全值范围的第一虚拟网络功能,从所述第一虚拟网络功能中选择一个虚拟网络功能,作为所述目标虚拟网络功能;
向包含所述目标虚拟网络功能的服务功能链转发所述访问请求。
2.根据权利要求1所述的方法,其特征在于,所述获取该虚拟网络功能对应的第一权重向量,包括:
获取针对该虚拟网络功能,所述各第一安全指标对应的第一分位标度矩阵,其中,所述第一分位标度矩阵包含针对该虚拟网络功能,预设的所述各第一安全指标各自的标度值;一个第一安全指标的标度值表示该第一安全指标相对于其他第一安全指标的重要程度;
根据所述第一分位标度矩阵的特征向量和第一预设公式,计算该虚拟网络功能对应的第一权重向量,其中,所述第一预设公式为:
Figure FDA0002986111270000022
Wj表示所述第一权重向量中的第j个元素,uj表示所述第一 分位标度矩阵的特征向量中的第j个元素,N表示所述第一分位标度矩阵的特征向量中的元素的数目,ui表示所述第一分位标度矩阵的特征向量中的第i个元素。
3.根据权利要求1所述的方法,其特征在于,所述获取该虚拟网络功能对应的第一隶属度矩阵,包括:
针对每一所述第一安全指标,获取该第一安全指标包含的第二安全指标对应的第二权重向量,其中,所述第二权重向量中的元素用于表示针对该虚拟网络功能,每一所述第二安全指标相对于该第一安全指标包含的其他第二安全指标的重要程度;
获取该第一安全指标包含的第二安全指标对应的第二隶属度矩阵,其中,所述第二隶属度矩阵包含针对该虚拟网络功能,该第一安全指标包含的第二安全指标属于所述预设各安全级别的概率;
计算所述第二权重向量与所述第二隶属度矩阵的乘积,作为该第一安全指标的第二隶属度向量;
生成该虚拟网络功能对应的第一隶属度矩阵,其中,该虚拟网络功能对应的第一隶属度矩阵包含所述各第一安全指标各自的第二隶属度向量。
4.根据权利要求3所述的方法,其特征在于,所述针对每一所述第一安全指标,获取该第一安全指标包含的第二安全指标对应的第二权重向量,包括:
获取针对该虚拟网络功能,该第一安全指标包含的第二安全指标对应的第二分位标度矩阵,其中,所述第二分位标度矩阵中包含针对该虚拟网络功能,预设的该第一安全指标包含的第二安全指标各自的标度值,一个第二安全指标的标度值表示该第二安全指标相对于,该第一安全指标包含的其他第二安全指标的重要性;
根据所述第二分位标度矩阵的特征向量和第二预设公式,计算该第一安全指标包含的第二安全指标对应的第二权重向量,其中,所述第二预设公式为:
Figure FDA0002986111270000031
Xc表示所述第二权重向量中的第c个元素,hc表示所述第二分位标度矩阵的特征向量中的第c个元素,M表示所述第二分位标度矩阵的特征向量中的元素的数目,hd表示所述第二分位标度矩阵的特征向量中的第d个元素。
5.根据权利要求3所述的方法,其特征在于,所述获取该第一安全指标包含的第二安全指标对应的第二隶属度矩阵,包括:
根据第三预设公式,以及用于确定针对该虚拟网络功能,该第一安全指标包含的第二安全指标各自所属的安全级别的神经网络,确定该第一安全指标包含的第二安全指标对应的第二隶属度矩阵,其中,所述第三预设公式为:
Figure FDA0002986111270000041
Rpq表示所述第二隶属度矩阵中的第p行第q列的元素,B表示所述神经网络的总数目,Apq表示所述神经网络中,确定第p个第二安全指标属于所述预设各安全级别中的第q个安全级别的神经网络的数目。
6.根据权利要求1所述的方法,其特征在于,所述基于所述第一隶属度向量包含的该虚拟网络功能属于所述预设各安全级别的概率,以及所述预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值,包括:
基于所述第一隶属度向量包含的该虚拟网络功能属于所述预设各安全级别的概率、所述预设各安全级别各自对应的安全值范围,以及第四预设公式,计算用于表示该虚拟网络功能的安全性的安全值,其中,所述第四预设公式为:
Figure FDA0002986111270000042
θ表示该虚拟网络功能的安全值,rs表示所述第一隶属度向量中的第s个元素,vs表示所述预设各安全级别中的第s个安全级别对应的安全值范围包含的最大安全值,K表示所述预设各安全级别的数目。
7.一种虚拟网络功能的安全值确定装置,其特征在于,所述装置包括:
获取模块,用于针对预设的每一虚拟网络功能VNF,获取该虚拟网络功能对应的第一权重向量,以及该虚拟网络功能对应的第一隶属度矩阵,其中,所述第一权重向量中的元素用于表示针对该虚拟网络功能,每一第一安全指标相对于其他第一安全指标的重要程度,所述第一隶属度矩阵包含针对该虚拟网络功能,各第一安全指标属于预设各安全级别的概率;
第一确定模块,用于计算所述第一权重向量和所述第一隶属度矩阵的乘积,得到该虚拟网络功能对应的第一隶属度向量,其中,所述第一隶属度向量包含该虚拟网络功能属于所述预设各安全级别的概率;
第二确定模块,用于基于所述第一隶属度向量包含的该虚拟网络功能属于所述预设各安全级别的概率,以及所述预设各安全级别各自对应的安全值范围,计算用于表示该虚拟网络功能的安全性的安全值;
所述装置还包括:
处理模块,用于当接收到访问请求时,确定所述访问请求所请求的多个业务各自的业务类型;
针对每一所述业务类型,如果当前空闲的各虚拟网络功能中,不存在该业务类型对应的安全值属于第一安全值范围的第一虚拟网络功能,从所述当前空闲的各虚拟网络功能中,确定该业务类型对应的安全值属于第二安全值范围的第二虚拟网络功能,其中,所述第二安全值范围所包含的安全值小于所述第一安全值范围所包含的安全值;
基于第五预设公式,计算每两个所述第二虚拟网络功能的整体安全值,其中,所述第五预设公式为:
Figure FDA0002986111270000051
Figure FDA0002986111270000052
表示所述第二虚拟网络功能中,第f个虚拟网络功能和第g个虚拟网络功能的整体安全值,E表示预设归一化参数,θf表示所述第f个虚拟网络功能的安全值,
Figure FDA0002986111270000053
表示对所述第f个虚拟网络功能的安全值进行归一化得到的安全值,θg表示所述第g个虚拟网络功能的安全值,
Figure FDA0002986111270000054
表示对所述第g个虚拟网络功能的安全值进行归一化得到的安全值;
从所述第二虚拟网络功能中,选择整体安全值属于所述第一安全值范围的两个虚拟网络功能,作为目标虚拟网络功能;
如果当前空闲的各虚拟网络功能中,存在该业务类型对应的安全值属于第一安全值范围的第一虚拟网络功能,从所述第一虚拟网络功能中选择一个虚拟网络功能,作为所述目标虚拟网络功能;
向包含所述目标虚拟网络功能的服务功能链转发所述访问请求。
8.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一所述的方法步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
CN202010494623.4A 2020-06-03 2020-06-03 一种虚拟网络功能的安全值确定方法及装置 Active CN111835715B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010494623.4A CN111835715B (zh) 2020-06-03 2020-06-03 一种虚拟网络功能的安全值确定方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010494623.4A CN111835715B (zh) 2020-06-03 2020-06-03 一种虚拟网络功能的安全值确定方法及装置

Publications (2)

Publication Number Publication Date
CN111835715A CN111835715A (zh) 2020-10-27
CN111835715B true CN111835715B (zh) 2021-06-04

Family

ID=72899070

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010494623.4A Active CN111835715B (zh) 2020-06-03 2020-06-03 一种虚拟网络功能的安全值确定方法及装置

Country Status (1)

Country Link
CN (1) CN111835715B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113672923A (zh) * 2021-08-20 2021-11-19 北京安天网络安全技术有限公司 一种安全检测方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108228310A (zh) * 2016-12-22 2018-06-29 中国移动通信集团上海有限公司 虚拟网络功能的均衡部署方法及装置
CN109572706A (zh) * 2018-12-12 2019-04-05 西北工业大学 一种驾驶安全评价方法及装置
CN110135746A (zh) * 2019-05-21 2019-08-16 北京起重运输机械设计研究院有限公司 一种安全状态评估方法、装置、电子设备及可读存储介质
CN111223206A (zh) * 2019-12-26 2020-06-02 北京航天测控技术有限公司 一种装置评估方法、装置、终端及计算机可读介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102722989B (zh) * 2012-06-29 2014-05-07 山东交通学院 基于模糊神经网络的高速公路微气象交通预警方法
CN104766433A (zh) * 2015-04-23 2015-07-08 河南理工大学 基于数据融合的电气火灾报警系统
ES2870457T3 (es) * 2016-09-20 2021-10-27 Huawei Tech Co Ltd Método y dispositivo para el despliegue de políticas de seguridad

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108228310A (zh) * 2016-12-22 2018-06-29 中国移动通信集团上海有限公司 虚拟网络功能的均衡部署方法及装置
CN109572706A (zh) * 2018-12-12 2019-04-05 西北工业大学 一种驾驶安全评价方法及装置
CN110135746A (zh) * 2019-05-21 2019-08-16 北京起重运输机械设计研究院有限公司 一种安全状态评估方法、装置、电子设备及可读存储介质
CN111223206A (zh) * 2019-12-26 2020-06-02 北京航天测控技术有限公司 一种装置评估方法、装置、终端及计算机可读介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Roadmap to 5G success: Influencing factors and an innovative business model;Ioannis Neokosmidis;《IEEE》;20180118;第1-8页 *
基于NFV的虚拟化CPE模板推荐部署系统的设计与实现;董峥;《中国优秀硕士学位论文全文数据库(电子期刊)》;20190815;第3.2.2小节 *
董峥.基于NFV的虚拟化CPE模板推荐部署系统的设计与实现.《中国优秀硕士学位论文全文数据库(电子期刊)》.2019,第3.2.2小节. *

Also Published As

Publication number Publication date
CN111835715A (zh) 2020-10-27

Similar Documents

Publication Publication Date Title
US10999311B2 (en) Risk score generation for assets of an enterprise system utilizing user authentication activity
CN110298188B (zh) 动态访问权限的控制方法及系统
US8832840B2 (en) Mobile application security and management service
US20200213324A1 (en) Discovering and evaluating privileged entities in a network environment
US20160241576A1 (en) Detection of anomalous network activity
CN111866162B (zh) 一种业务分配方法及装置
US11784974B2 (en) Method and system for intrusion detection and prevention
CN112087469A (zh) 面向电力物联网设备和用户的零信任动态访问控制方法
CN111562884B (zh) 一种数据存储方法、装置及电子设备
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
CN111835715B (zh) 一种虚拟网络功能的安全值确定方法及装置
CN113010897A (zh) 云计算安全管理方法及其系统
CN115065512B (zh) 一种账号登录方法、系统、装置、电子设备以及存储介质
CN111309978A (zh) 变电站系统安全防护方法、装置、计算机设备和存储介质
WO2023163826A1 (en) Anomalous behavior detection with respect to control plane operations
EP4261723A1 (en) Data desensitization method and apparatus, and storage system
CN117254918A (zh) 零信任动态授权方法、装置、电子设备及可读存储介质
Neto et al. Untrustworthiness: A trust-based security metric
US11870818B1 (en) Enforcing security policies in a zero trust security framework using a behavioral score
Neelakantan A secure framework for the cloud to protect the virtual machine from malicious events
CN115080960A (zh) 一种安全策略检测的方法、相关装置及存储介质
CN118153059A (zh) 一种数据库安全审计方法、装置、电子设备及存储介质
CN117708802A (zh) 请求处理方法、装置、计算机设备及可读存储介质
CN114900330A (zh) 一种页面防护的方法和装置
CN116170154A (zh) 访问行为控制方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant