可生存性網絡建模研究設計

薛輝，鄧軍，葉柏龍

（1.湖南涉外經濟學院，長沙 410205；2.湖南科技職業學院，長沙 410004；3.湖南大學，長沙 410082）

可生存性網絡建模研究設計

薛輝1，鄧軍2，3，葉柏龍3

（1.湖南涉外經濟學院，長沙 410205；2.湖南科技職業學院，長沙 410004；3.湖南大學，長沙 410082）

應用的角度論述當前可生存性網絡的狀況出現的問題,提出一種網絡可生存性模型，詳細分析模型的建立過程，并給出模型的使用情況和未來的研究方向。

可生存性；網絡協同；網絡流量；數據包

0 引言

可生存性網絡[1]是指受控網絡在受到攻擊、意外事故或故障時，仍然可以在規定時間內完成其主要功能的能力。在網絡安全的基本屬性中，網絡可生存性更加關注網絡系統的可用性。從信息安全學科的現狀和發展趨勢來看，提高網絡的可生存性，是目前和未來應付一切攻擊、入侵和破壞的最佳途徑之一。其主要技術手段是網絡控制和網絡監測，其中監測是基礎，控制是技術手段[2]。自上世紀90年代中期開始，國內外學術界就開始了對互聯網進行大量的監測研究[3-5]。目前，在對數據包、流量監測和流量建模的采樣以及流量壓縮方面的研究比較火熱，且取得了不少成果，但是綜合起來仍然還存在許多不足。

1 可生存性網絡現有的問題

（1）監測粒度不細。例如無法獲得高層協議流量指標，對流級特別是業務流級的相關特征無法捕獲，任然停留在數據包級和數據鏈路級。

（2）數據包級監測任然存在許多不足。特別是面對當前更高、更快的流量監測需求無法滿足[6]。

（3）當前業務流級對實時流量監測無法實施[7]。例如基于H.323的VoIP業務[8]由多個協議共同協調完成。根據目前的業務流監測方法[8]在一個完整的VoIP會話過程中會得到8個相互獨立的業務流，割裂了具體業務所產生的多個流之間的關系，這樣將極大影響流量模型分析方法，無法有效指導實時流量控制的實施。

基于上述問題的分析，本文提出一種基于協同式的面向業務流的可生存性網絡監測與控制系統模型。采用面向業務流級的監測、控制和監控協同等技術。從骨干網絡上就開始實施監控分析，在匯聚接入層監測中獲得來自終端的大量網絡運行狀態信息，直接對異常流量進行實時控制。

2 系統體系架構建模分析

可生存性網絡是一個綜合性的問題，例如在骨干層、匯聚層、接入層都存在不同分工，各個層次也有著不同的表征[9]，以此可在各層之間給予不同分工，它們相互獨立又相互協作，共同構成多層次、協同分工的綜合解決方案。如圖1所示。

由圖1可以看出，在不同網絡層次實現安全檢測和控制，各層之間由控制管理中心來實施配置管理、任務調度和協同通信等，它們完成的功能及協作關系可分為三個層次：

圖1 模型技術體系架構

（1）可生存性分析。在骨干網級別上可通過生存性分析監測整個網絡的宏觀流量的狀態，得到全網安全評估態勢；根據得到的具體業務信息實時調整受控網絡的流量分布情況。具體負責業務識別，分析新業務產生機理、協議演進過程和協議的鏈接過程，運用反向工程的方法，分析公開的、未公開的新業務的協議特征（例如應用層載荷特征字符串等），學習并自動提取出新業務流量特征；在此基礎上，將端口動態識別，有效載荷分析等手段結合神經網絡、支持向量機等人工智能方法，實現智能可擴展的新業務流量識別引擎。

（2）可生存性控制。位于匯聚接入層。是建模的核心部件；主要用于評估多個分布式網絡流量控制節點的協同控制和對業務的波及影響，設計面向業務的綜合控制效果評估函數，使用多個控制節點控制協同算法，減少多個控制任務的控制代價。根據業務監控需求，使用自適應流量控制方法將網絡測量獲得的流量信息進行反饋調節。

對于網絡監控協同結構，借鑒自動控制中反饋控制的理論和技術，評估階層式架構和直接式架構，制定以分布式網絡監測為基礎的網絡流量監控協同結構。

在網絡監控協同同步調度時，采用監測協同、控制協同中同步技術及網絡時間協議(Network Time Protocol,NTP)等時間同步和減少時間誤差的方法，實現綜合面向網絡監測協同、控制協同的同步需求。

（3）可生存性監測。用于監測用戶終端和服務器，負責網絡可生存性監測調度及協同。在面對復雜的網絡拓撲覆蓋時，可結合業務監測需求和業務邏輯拓撲特征，利用網絡最優覆蓋或冗余覆蓋的流量監測調度算法和協同算法，找出最佳鏈路和節點；再根據得到的網絡拓撲圖中的節點和鏈路按其重要性進行評估和分析，綜合節點合并和鏈路合并情況，采取最優或冗余的流量監測節點部署算法，捕獲最佳監測點；當網絡拓撲發生動態變化時，可使用流量監測節點的遷移機制及遷移技術動態實現。

由上可以看出，在三個層面上，每層都負有各自的職能，但彼此都必須協同和相互依賴才能完成，這樣做的目的就是根據網絡流量實時情況，相互協同參考，使受控網絡系統在遭受攻擊、故障和意外時仍能及時、高效地完成其主要任務。

3 模型的設計與實現

3.1 可生存性網絡監測和可生存性分析子系統設計

本子系統采用三層的結構方式，即流量監測模塊、控制協同模塊和可生存性分析模塊。分別負責對來自網絡的業務數據進行采集、協同控制和網絡可生存性分析等，為用戶提供更優級的服務。如圖2所示。

圖2 流量監測和可生存性分析系統框架結構圖

流量監測模塊：受控網絡在每個測量點部署專門的探針（Probe），其功能負責對業務數據的采集、測量和導入。將測量的結果經過數據加密后再傳入可生存性控制子系統，如果測量的結果未及時上傳則保留在本地的探針中。探針工具主要包括路由器、流量捕獲器、業務仿真器和端到端測量器等。

控制協同模塊：負責收集來自監測模塊的業務數據和發送調度任務及測量命令；這些任務的收集、調度、控制以及數據的分析和可視化工作都由控制協同模塊負責完成。由于流量監測時捕獲的數據量大，因此要求將清洗后的各種業務數據和指令實時存入到業務數據庫中，供以后分析控制使用。

可生存性分析模塊：主要負責去掉與測量行為不相關的初始級業務數據，構造出各種行為指標數據集合。業務數據按任務進行分類，整體分析出受控網絡的路由、流量狀況、應用行為、性能和各種故障，最終以查詢、可視化和告警的形式實時告知用戶。

由上設計可以看出：網絡可生存性監測與可行性分析分別由網絡監測管理探針和監測管理分析子系統組成；根據監測管理任務部署與測試點部署算法，監測管理分析子系統可以向信息采集探針加載監測管理任務。而如何控制管理任務調度是本次設計的核心技術之一（詳見3.2可生存性網絡控制子系統）。本系統采用集中式控制和分布式測量的方式主要體現在采用分布式測量可以根據不同用戶的需求部署實施時采用不同類型的探針方式可以增加系統的靈活性、可擴展性和開放性。使用可行性分析模塊便于集中控制管理，通過該平臺可以綜合分析整個網絡流量數據，評估系統整體性能，這也是本次建模的創新之處。

3.2 可生存性網絡控制子系統設計

圖3 控制系統體系結構圖

可生存性網絡控制系統負責管理日常管理業務調度，結構設計如圖3所示。由圖可以看出：系統設計成兩個部分：業務控制樣機和用戶管理端，前者是受控系統，后者由用戶操作管理。用戶管理端負責業務控制樣機的啟動、配置信息的設置和管理策略的制定，以及日志的自動生成。業務控制樣機部分主要負責數據包的捕獲、識別、打標簽，并進行流量整型和啟動可生存性流量監測子系統。

業務控制樣機主要包括數據幀過濾和標記模塊、流量整形模塊和控制命令解析模塊。系統根據來自用戶管理端的管理策略和配置信息，以指令的形式調用數據幀過濾和標記模塊和流量整形模塊分別進行數據包過濾、打標簽和流量整形。首先來自網卡的原始數據幀進入控制系統后，分解成一個個數據包，再以數據包的形式捕獲，網絡數據包捕獲是實現流量控制的基礎。只有獲得數據包才能進行下一步處理。然后當獲取到數據包后，還需要對不同的包進行區分和過濾，打上不同的標記，形成不同的分類。不同分類有不同的帶寬限制，再進入流量整形模塊對不同隊列進行調度和整形。不同的整形算法各有優缺點，綜合比較后網絡流量控制器調度合適的算法作為最終的整形算法。大量的網絡流量控制命令構成控制規則庫。控制規則庫的實現方式將影響網絡流量的響應時間和處理時間，采用基于XML的控制規則庫配置模塊負責完成，這樣還可以方便記錄、跟蹤和修改。

用戶在實際操作網絡流量控制器時，用戶管理端和流量控制器樣機必然存在數據交互和指令發送，所以兩者之間的通信通過通信模塊進行加密，增加其安全性。在用戶端的前臺軟件中由策略管理模塊對可能發生沖突的流量控制策略進行合并，在流量控制樣機上用心跳檢測法控制流量進程的狀態。

4 結語

該模型是在響應湖南省教育廳基金項目的要求下，由多家高校和企業共同完成研發。目前已經成功運行在多個企業或政府網絡安全平臺上，用戶只需在管理端點擊控制器按鈕就可監控整個受控網絡，因此具有較大的理論研究價值和廣泛的市場前景。但是，隨著網絡規模的不斷增大，特別是大數據時代的到來，當前網絡還面臨著許多挑戰，如何將網絡監測協同和控制協同更好地結合是我們課題組今后研究的重點。

[1]趙成麗.網絡信息系統可生存性的若干關鍵技術研究[D].吉林大學,2013.

[2]楊威;謝永強;熊煥.網絡可生存性技術研究綜述[J].計算機工程與設計,2011,32(7)2298-2230.

[3]曾彬，張大方，黎文偉,等.面向網絡行為特征分析的網絡監測系統設計及實現[J].計算機科學2009,36（1）86-91.

[4]Katz D,Ward D.Bidirectional Forwarding Detection[R].Draft IETF-Bfd Base 02.Txt,2010

[5]鄧軍.一種多功能網絡監控與防御平臺設計與實現[J].網絡安全技術與應用，2011,5(5):67-70.

[6]薛輝,鄧軍,葉柏龍,陸蘭.一種分布式網絡入侵防御系統[J].計算機系統應用，2011,20（7）22-25.

[7]曾彬.基于主動測試的網絡性能監測技術研究[D].湖南大學，2009.

[8]畢夏安,張大方.基于H.323協議的VoIP語音流量識別[J].計算機應用,2014,9:23-25.

[9]鄧軍.一種分布式網站安全防護系統[J].計算機系統應用，2012,(21)3:42-45.

Research and Design of Survivability Network Modeling

XUE Hui1，DENG Jun2，3，YE Bai-long3
（1.Hunan International Economics University,Changsha 410205；2.Hunan Vocational College of Science and Technology, Changsha 410004；3.Hu'nan University,Changsha 410082）

Discusses the problems in current network survivability situation from the angle of application，proposes a network survivability model and detailed analysis of the establishing process of the model,presents the usage of the model and the future research direction.

Survivability;Network Coordination;Network Traffic;Network Packet

1007-1423（2017）05-0044-04

10.3969/j.issn.1007-1423.2017.05.011

薛輝（1974-），女，湖南益陽人，碩士，副教授，研究方向為軟件方向、軟件工程、網絡安全

鄧軍（1973-），男，湖南永州人，碩士，副教授，研究方向為軟件工程、網絡安全、機器學習

葉柏龍（1964-），男，浙江諸暨人，碩士，教授，主要研究領域為軟件工程、網絡安全、大數據

2016-11-29

2017-02-10

湖南省教育廳一般基金資助項目（No.14C0651）