CN115361169B

CN115361169B - 一种网络安全资源调度方法和装置

Info

Publication number: CN115361169B
Application number: CN202210840409.9A
Authority: CN
Inventors: 郭超; 于江平; 韩妍妍; 魏占祯; 虎光宇; 潘成磊
Original assignee: BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE
Current assignee: BEIJING ELECTRONIC SCIENCE AND TECHNOLOGY INSTITUTE
Priority date: 2022-07-18
Filing date: 2022-07-18
Publication date: 2024-08-20
Anticipated expiration: 2042-07-18
Also published as: CN115361169A

Abstract

本发明涉及资源调度技术领域，特别是指一种网络安全资源调度方法及装置。方法包括：根据用户的安全需求构建虚拟网络；进行初始资源映射域的选择；根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OSILP‑NSRS算法进行基于子图同构理论的节点映射，当最大单位带宽无法满足虚拟链路的单位带宽需求，基于链路分割理论进行多链路映射；比对虚拟网络和映射后的物理网络的结构，若是相同的结构，符合子图同构的理论，映射成功。采用本发明，明显提高了长期平均收益开销比和虚拟网络映射成功率，并在网络资源安全调度的特殊场景下具有优势。

Description

一种网络安全资源调度方法和装置

技术领域

本发明涉及资源调度技术领域，特别是指一种网络安全资源调度方法和装置。

背景技术

现有虚拟网络映射技术是资源调度的重要技术，合理的虚拟网络映射方法是高效调度的重要组成部分。近年来，随着互联网技术的飞速发展，网络带给人们方便快捷服务的同时，安全问题也日益突出。现有的互联网架构已经难以满足互联网新型应用发展的安全需求，在一定程度上呈现出僵化现象。网络虚拟化与虚拟网络映射技术被认为是解决网络僵化问题的重要途径，为网络安全资源高效调度创造了条件。

由于调度方式更加灵活可控，虚拟网络映射技术对网络安全资源调度有着直接重要的影响。但是在现有虚拟网络映射技术的研究中，映射与安全资源结合的研究相对较少，可靠性和资源利用率低、负载不均衡的问题依然突出，且效率低下与资源浪费。

发明内容

本发明提供了一种网络安全资源调度方法和装置，用于解决现有技术存在的问题。

一方面，提供了一种网络安全资源调度方法，所述方法包括：

根据用户的安全需求构建虚拟网络；

进行初始资源映射域的选择；

根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OS I LP-NSRS算法进行基于子图同构理论的节点映射，当最大单位带宽无法满足虚拟链路的单位带宽需求，基于链路分割理论进行多链路映射；

比对虚拟网络和映射后的物理网络的结构，若是相同的结构，符合子图同构的理论，映射成功。

可选地，所述方法从节点资源和拓扑资源两大方面综合评估节点的综合资源能力，每个物理节点的综合资源能力定义为：

式中，节点的综合资源能力由节点自身的资源、邻接节点对节点自身的影响以及与已映射节点的平均距离三部分组成，其中cpu(n_i)表示节点的CPU资源，值越大资源越丰富节点重要性越高；

节点的邻接链路带宽和α可表示为：

式中，L(n_i)表示节点n_i邻接链路的集合，节点邻接链路带宽和越大，周围资源越丰富，节点越重要；d(n_i)表示节点的度，即临近聚集度，临近聚集度越大，邻接节点数目越多，可以拥有更多连通性，更易于找到与其他节点之间较短的通路，使得该节点周围的资源越集中，节点越重要；

节点的中心度β可表示为：

式中，为已映射成功的虚拟节点对应物理节点的集合，d(n_i,n′)为物理节点之间的最短路径跳数。节点中心度β越大，表示节点越靠近网络中心，节点越重要；

邻接节点对节点自身的影响χ可表示为：

式中，N表示节点n_i的邻接节点集合，n_i′表示节点n_i的邻接节点；

邻接节点的自身资源能力与节点最短距离的比值TR(n_i′)可表示为：

该值越大表示邻接节点对节点自身影响越大，即该节点的邻接节点更重要，故该节点更重要，在映射过程中应优先考虑。

可选地，所述进行初始资源映射域的选择包括：计算每个物理节点周围子区域的综合资源能力之和，第一个虚拟节点选择区域综合资源总量最大值所对应的物理节点进行映射。

可选地，所述根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OSILP-NSRS算法进行基于子图同构理论的节点映射包括：

将每个物理节点根据综合资源能力进行排序；

依次从综合资源能力最丰富的节点开始，判断是否满足CPU需求、安全需求以及链路带宽需求，进行物理节点的映射。

可选地，所述基于链路分割理论进行多链路映射包括:将具有容量约束的虚拟链路映射到物理网络中的多条路径，沿多条路径预留的端到端带宽总和等于虚拟链路的总带宽需求。

另一方面，提供了一种网络安全资源调度装置，所述方法包括：

构建模块，用于根据用户的安全需求构建虚拟网络；

选择模块，用于进行初始资源映射域的选择；

映射模块，用于根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OSILP-NSRS算法进行基于子图同构理论的节点映射，当最大单位带宽无法满足虚拟链路的单位带宽需求，基于链路分割理论进行多链路映射；

比对模块，用于比对虚拟网络和映射后的物理网络的结构，若是相同的结构，符合子图同构的理论，映射成功。

可选地，所述装置从节点资源和拓扑资源两大方面综合评估节点的综合资源能力，每个物理节点的综合资源能力定义为：

节点的邻接链路带宽和α可表示为：

节点的中心度β可表示为：

邻接节点对节点自身的影响χ可表示为：

可选地，所述选择模块，具体用于：计算每个物理节点周围子区域的综合资源能力之和，第一个虚拟节点选择区域综合资源总量最大值所对应的物理节点进行映射。

可选地，所映射模块，具体用于：

将每个物理节点根据综合资源能力进行排序；

可选地，所述映射模块还用于:将具有容量约束的虚拟链路映射到物理网络中的多条路径，沿多条路径预留的端到端带宽总和等于虚拟链路的总带宽需求。

另一方面，提供了一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令，所述至少一条指令由所述处理器加载并执行以实现上述网络安全资源调度方法。

另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述至少一条指令由处理器加载并执行以实现上述网络安全资源调度方法。

本发明提供的技术方案带来的有益效果至少包括：明显提高了长期平均收益开销比和虚拟网络映射成功率，并在网络资源安全调度的特殊场景下具有如下优势：

(1)使调度与安全资源相结合，通过提前部署例如防火墙、入侵检测系统、DOS攻击检测器、病毒扫描检测器、垃圾邮件过滤器等安全资源以实现相应的安全功能，通过安全资源合理高效调度可以满足用户特定的安全需求。

(2)调度过程中引入图论技术，并对节点约束条件进行了优化，添加了安全属性，基于优化的子图同构映射技术是资源调度效率更加快速高效。

(3)对节点的评价指标进行多角度丰富，节点排序时考虑节点的资源度、中心度、就近度、临近聚集度、邻接节点对节点自身的影响等指标，既考虑资源属性，又考虑拓扑属性，使节点映射和链路映射过程更加合理，降低了链路映射的开销，提高了收益。

(4)映射前预先计算映射域，为了避免多余的带宽损耗，链路映射距离长度有一定的限制，故映射一般都集中于物理网络的某个子区域，第一个虚拟节点选择区域综合资源总量最大值所对应的物理节点进行映射，能够起到负载均衡的作用，提高映射成功率。

(5)映射过程中应用链路分割理论，可以充分利用小块带宽，回收资源碎片，接受原本不能接受的请求，提高资源利用率，均衡网络负载并提高网络整体可靠性。

附图说明

为了更清楚地说明本发明实施例中的技术方法，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种网络安全资源调度方法流程图；

图2是本发明实施例提供的基于优化子图同构与链路分割的网络安全资源调度方法流程示意图；

图3是本发明实施例提供的链路分割实例示意图；

图4是本发明实施例提供的一种网络安全资源调度方法的实例示意图；

图5是本发明实施例提供的一种网络安全资源调度装置的结构示意图；

图6是本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方法和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

如图1所示，本发明实施例提供了一种网络安全资源调度方法，所述方法包括：

S1、根据用户的安全需求构建虚拟网络；

S2、进行初始资源映射域的选择；

S3、根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法(Network Security Resource Scheduling Algorithm Based onOptimized Subgraph Isomorphism and Link Partition，OSILP-NSRS)算法进行基于子图同构理论的节点映射，当最大单位带宽无法满足虚拟链路的单位带宽需求，基于链路分割理论进行多链路映射；

S4、比对虚拟网络和映射后的物理网络的结构，若是相同的结构，符合子图同构的理论，映射成功。

节点的邻接链路带宽和α可表示为：

节点的中心度β可表示为：

邻接节点对节点自身的影响χ可表示为：

将每个物理节点根据综合资源能力进行排序；

下面对本发明实施例的一种网络安全资源调度方法进行详细的说明：

虚拟网络映射是指虚拟网络G_v＝(N_v,L_v,C_v)到物理网络e∈N∪L C(e)＝{C₁(e),...,C_m(e)}G_p＝(N_p,L_p,C_p)的虚拟网络映射，被定义为G_v到G_p子集的映射，其中N是一组虚拟/物理节点，L是一组虚拟/物理链路，C是网络约束条件集合，每个链路或节点都与一组约束相关联。路径长度不能超过限定值，避免链路带宽的多余损耗。P_p表示G_p中无环路径的子集，M被称为一个有效的映射，可以被分解成节点映射及链路映射。

节点映射：M_N:N_v→N_p，需满足

cpu(n_v)≤cpu(n_p)

链路映射：M_L:L_v→P_p，需满足

bw(l_v)≤bw(l_p)

本发明实施例对现有的虚拟网络映射模型进行针对性改进，并提出了一种基于优化子图同构与链路分割的网络安全资源调度方法。首先对节点约束条件和评价指标进行了优化和丰富，之后预先计算映射域，考虑区域综合资源能力以均衡负载，最后结合图论技术子图同构与链路分割理论进行映射，实现了针对网络中的安全服务请求，对提供安全服务所需占用的网络资源进行高效分配的功能。仿真结果表明，所提算法明显提高了映射成功率和长期平均收益开销比。

本发明实施例在映射过程中应用子图同构与链路分割理论，并对节点的资源属性和拓扑属性进行了综合的评估。图2为本发明实施例的基于优化子图同构与链路分割的网络安全资源调度方法流程示意图，其中：

节点的拓扑综合评估

本发明实施例丰富了节点的评价指标，从节点资源和拓扑资源两大方面综合评估节点的综合资源能力，从而节省链路映射过程中的资源损耗，提高映射效率和资源利用率。每个物理节点的综合资源能力定义为：

节点的邻接链路带宽和α可表示为：

节点的中心度β可表示为：

邻接节点对节点自身的影响χ可表示为：

初始资源映射域的选择

计算每个物理节点周围子区域的综合资源能力之和(以G_v平均距离的一半为半径)，和值越大表示该区域资源总量最大。为了避免多余的带宽损耗，链路映射距离长度有一定的限制，故映射一般都集中于物理网络的某个子区域，第一个虚拟节点选择区域综合资源总量最大值所对应的物理节点进行映射，能够起到负载均衡的作用，也有助于提高映射成功率。

生成“虚拟节点-物理节点”节点对集合

综合资源能力满足要求的物理节点可能很多，可以将它们按综合资源能力大小进行排序，和虚拟节点组合生成“虚拟节点-物理节点”节点对集合，后面在节点映射时，按序从节点对集合中依次选取物理节点进行判断是否满足CPU需求、安全需求以及链路带宽需求，进行物理节点的映射。

基于子图同构理论的优化映射

虚拟网络映射问题能够与子图同构问题进行转化，所谓子图同构是指一个图与某一图的一个子图的关联关系完全相同。给定一个数据图G＝(N′,E′,L′)和一个查询图Q＝(N,E,L),其中N表示节点集合，E表示边集合，L表示节点权值集合。如果存在一个单射函数M:Q→G使得且(M(n_i),M(n_j))∈E′，则Q与G的一个子图是同构的，记为即Q可以映射至G上。

根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OSILP-NSRS算法进行基于子图同构理论的节点映射，当最大单位带宽无法满足虚拟链路的单位带宽需求，基于链路分割理论进行多链路映射。

所述根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OSILP-NSRS算法进行基于子图同构理论的节点映射具体包括：将每个物理节点根据综合资源能力进行排序；依次从综合资源能力最丰富的节点开始，判断是否满足CPU需求、安全需求以及链路带宽需求，进行物理节点的映射。

基于链路分割理论的多链路映射

基于链路分割理论进行多链路映射包括:将具有容量约束的虚拟链路映射到物理网络中的多条路径，沿多条路径预留的端到端带宽总和等于虚拟链路的总带宽需求。

链路分割可以充分利用小块带宽，回收资源碎片，提高资源利用率。此外，灵活的链路分割使虚拟网络映射问题在计算上很容易处理。链路分割使具有容量约束的虚拟链路被映射到物理网络中的多条路径，沿多条路径预留的端到端带宽总和等于虚拟链路的总带宽需求。

应用链路分割，还可以均衡网络负载并提高网络整体可靠性。事实上，与将流量限制为单条路径的传统解决方法相比，可以显著降低物理网络上的最大负载，分割为多条路径还可以更快地恢复网络故障。相比传统的单路径设置，故障需要建立新的端到端路径，从而导致更严重的服务中断。由于计算、性能和可靠性等方面的优势，灵活的链路分割应该是未来虚拟网络基础设施的关键功能。

例如图3所示，示出了本发明实施例提供的链路分割实例示意图；现在有一个由五个节点组成的物理网络G_p和一个由两个节点组成的虚拟网络G_v。由于虚拟链路的带宽需求为30个带宽单位，物理链路能够提供的最大带宽资源为20个带宽单位，物理链路提供的资源量无法满足新的需求，很遗憾，应用传统的映射方法无法对此虚拟网络进行映射。此时如果进行链路分割，由两条链路共同承担虚拟链路的需求，在上面一条直接相连的链路分担三分之二即20个带宽单位的业务量，在下面一条跨越两个物理节点的链路分担三分之一即10个带宽单位的业务量，即可接受该请求。通过这种方式可以看出，在映射过程中应用链路分割理论，可以减少资源碎片的数量，接受更多请求。

如图4所示，示出了本发明实施例的一种网络安全资源调度方法的实例示意图，整个过程可以分为以下几个步骤：

第一步：根据用户的安全需求构建虚拟网络；

在图4的例子中根据用户的安全需求抽象生成一条具有逻辑顺序的安全服务链，依次经过的安全服务功能是防火墙-深度包检测-编码器--数据检测器-解码器；

第二步：进行初始资源映射域的选择；

计算每个物理节点周围子区域的综合资源能力之和，第一个虚拟节点选择区域综合资源总量最大值所对应的物理节点进行映射，节点{3}为中心的区域资源最为丰富，则第一个虚拟节点映射至节点{3}；

第三步：根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OSILP-NSRS算法进行基于子图同构理论的节点映射，当最大单位带宽无法满足虚拟链路的单位带宽需求，基于链路分割理论进行多链路映射；

经过公式(1)的计算，将每个物理节点根据综合资源能力进行排序，此时节点{1}的综合资源能力最丰富，判断且满足CPU需求、安全需求、及链路带宽需求，则第二个虚拟节点映射至节点{1}；

经过公式(1)的计算，此时节点{2}的综合资源能力最丰富，首先判断能够满足CPU需求和安全需求，再判断节点{1}{2}不能直连，即不存在链路距离为1的情况，但可以跨越中间节点{0}来实现连接，满足3个单位的带宽需求，则第三个虚拟节点映射至节点{2}；

经过公式(1)的计算，此时节点{4}的综合资源能力最丰富，首先判断能够满足CPU需求和安全需求，再判断节点{2}{4}可以直连，但最大能够提供的5个单位带宽资源无法满足虚拟链路的9个单位带宽需求，其他链路也同样不能满足，此时考虑链路分割进行多链路映射，否则将无法接受该请求。将9个单位的带宽需求按照5:4的分流比依次分为{2}-{4}5个单位带宽和{2}-{3}-{4}4个单位带宽。经过链路分割的链路在子图同构中还是看成一条可以成功映射的链路，则第四个虚拟节点映射至节点{4}；

继续依次从综合资源能力最丰富的节点开始，判断是否满足CPU需求、安全需求以及链路带宽需求，进行物理节点的映射，则第五个虚拟节点映射至节点{5}。

第四步：比对虚拟网络和映射后构成物理网络的结构，都是相同的链式结构，符合子图同构的理论，映射成功。

这个实例两者都是链式结构，本发明实施例对两者的具体结构并不限制，只要两者是相同的结构，符合子图同构的理论，就认为映射成功。

由于映射后底层链路距离越大意味着越多带宽资源的损耗，本发明实施例中设定的映射后最大距离约束为2，即距离大于2的将不在考虑范围之内。本发明实施例执行流程图如图4所示，整个过程是一个迭代的过程，包含好多轮，每一轮映射一个虚拟节点，如果某个节点经过所有轮次都无法被成功映射，映射失败，该请求不会被接受。

本发明实施例具体流程可以如算法1所示，q为虚拟节点数量，k为物理节点数量，计算每个节点SNC_p(n_i)值的复杂度为O(k)，根据SNC_p(n_i)值生成位置数组d[i]的复杂度为O(k²)，判断是否满足映射约束的计算量为1+k+k×(1+k×q+k×q)，复杂度为O(k²q)，由于每次进行虚拟节点映射之前都需要计算所有的SNC_p(n_i)值，故算法总复杂度为O(k³+k²q)。

如图5所示，本发明实施例还提供了一种网络安全资源调度装置，所述方法包括：

构建模块510，用于根据用户的安全需求构建虚拟网络；

选择模块520，用于进行初始资源映射域的选择；

映射模块530，用于根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OSILP-NSRS算法进行基于子图同构理论的节点映射，当最大单位带宽无法满足虚拟链路的单位带宽需求，基于链路分割理论进行多链路映射；

比对模块540，用于比对虚拟网络和映射后的物理网络的结构，若是相同的结构，符合子图同构的理论，映射成功。

节点的邻接链路带宽和α可表示为：

节点的中心度β可表示为：

邻接节点对节点自身的影响χ可表示为：

可选地，所映射模块，具体用于：

将每个物理节点根据综合资源能力进行排序；

图6是本发明实施例提供的一种电子设备600的结构示意图，该电子设备600可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(centralprocessing units，CPU)601和一个或一个以上的存储器602，其中，所述存储器602中存储有至少一条指令，所述至少一条指令由所述处理器601加载并执行以实现上述网络安全资源调度方法的步骤。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括指令的存储器，上述指令可由终端中的处理器执行以完成上述网络安全资源调度方法。例如，所述计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种网络安全资源调度方法，其特征在于，所述方法包括：

根据用户的安全需求构建虚拟网络；

进行初始资源映射域的选择；

根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OSILP-NSRS算法进行基于子图同构理论的节点映射，当最大单位带宽无法满足虚拟链路的单位带宽需求，基于链路分割理论进行多链路映射；

比对虚拟网络和映射后的物理网络的结构，若是相同的结构，符合子图同构的理论，映射成功；

所述方法从节点资源和拓扑资源两大方面综合评估节点的综合资源能力，每个物理节点的综合资源能力定义为：

节点的邻接链路带宽和α表示为：

式中，L(n_i)表示节点n_i邻接链路的集合，节点邻接链路带宽和越大，周围资源越丰富，节点越重要；d(n_i)表示节点的度，也就是临近聚集度，临近聚集度越大，邻接节点数目越多，可以拥有更多连通性，更易于找到与其他节点之间较短的通路，使得节点周围的资源越集中，节点越重要；

节点的中心度β表示为：

式中，为已映射成功的虚拟节点对应物理节点的集合，d(n_i,n′)为物理节点之间的最短路径跳数，节点中心度β越大，表示节点越靠近网络中心，节点越重要；

邻接节点对节点自身的影响χ表示为：

邻接节点的自身资源能力与节点最短距离的比值TR(n_i′)表示为：

值越大表示邻接节点对节点自身影响越大，节点的邻接节点更重要，在映射过程中应优先考虑；

所述进行初始资源映射域的选择包括：计算每个物理节点周围子区域的综合资源能力之和，第一个虚拟节点选择区域综合资源总量最大值所对应的物理节点进行映射；

所述根据每个物理节点的综合资源能力，利用基于优化子图同构与链路分割的网络安全资源调度算法OSILP-NSRS算法进行基于子图同构理论的节点映射包括：

将每个物理节点根据综合资源能力进行排序；

2.根据权利要求1所述的方法，其特征在于，所述基于链路分割理论进行多链路映射包括:将具有容量约束的虚拟链路映射到物理网络中的多条路径，沿多条路径预留的端到端带宽总和等于虚拟链路的总带宽需求。

3.一种网络安全资源调度装置，其特征在于，所述装置包括：

构建模块，用于根据用户的安全需求构建虚拟网络；

选择模块，用于进行初始资源映射域的选择；

比对模块，用于比对虚拟网络和映射后的物理网络的结构，若是相同的结构，符合子图同构的理论，映射成功；

所述装置从节点资源和拓扑资源两大方面综合评估节点的综合资源能力，每个物理节点的综合资源能力定义为：

节点的邻接链路带宽和α表示为：

节点的中心度β表示为：

邻接节点对节点自身的影响χ可表示为：

所述选择模块，具体用于：计算每个物理节点周围子区域的综合资源能力之和，第一个虚拟节点选择区域综合资源总量最大值所对应的物理节点进行映射；

所映射模块，具体用于：

将每个物理节点根据综合资源能力进行排序；

4.根据权利要求3述的装置，其特征在于，所述映射模块还用于:将具有容量约束的虚拟链路映射到物理网络中的多条路径，沿多条路径预留的端到端带宽总和等于虚拟链路的总带宽需求。