基于異構備份與重映射的服務功能鏈部署方案

謝記超，伊鵬，張震，張傳浩,2，谷允捷

?

基于異構備份與重映射的服務功能鏈部署方案

謝記超1，伊鵬1，張震1，張傳浩1,2，谷允捷1

（1. 國家數字交換系統工程技術研究中心，河南 鄭州 450002；2. 鐵道警察學院公安技術系，河南 鄭州 450053）

網絡功能虛擬化技術提高了服務功能鏈部署的靈活性，然而虛擬網絡功能面臨著不確定失效和惡意攻擊問題，現有的冗余備份部署方法能在一定程度上解決虛擬網絡功能的失效問題，但未考慮節點同構性在面臨惡意攻擊時的缺陷。為此提出一種考慮節點異構性的部署方法，在進行冗余備份和重映射時保證節點的異構性。實驗表明，相比于同構備份方法，所提方法在請求接受率下降3.8%，帶寬消耗增加9.2%的情況下，顯著提高了攻擊者的攻擊時間成本。

網絡功能虛擬化；服務功能鏈；虛擬網絡功能；可靠性；備份；同構性；異構性

1 引言

一般的網絡服務都需要其流量經過一系列特定順序的網絡功能（NF, network function）處理，這些有序的網絡功能序列被稱為服務功能鏈（SFC, service function chaining）[1]。傳統的網絡服務提供方式需要在網絡中部署大量的專有硬件，如防火墻、入侵檢測系統、代理服務器等。企業網絡和數據中心網絡中部署的專有硬件數量已和轉發設備數量相當[2]，這些專有硬件在提升網絡性能以及安全性方面發揮著不可或缺的作用，但也存在功能與硬件緊耦合、管理復雜、成本昂貴等缺點，使網絡服務面臨彈性擴展能力差、難以靈活部署、運維成本過高等問題[3]。

網絡功能虛擬化（NFV, network function virtualization）技術是一種解決方案，旨在利用虛擬化和云計算技術實現相關的NF，將虛擬網絡功能（VNF, virtualized network function）以軟件的形式運行在商用服務器、交換機和存儲器上[4]，并基于VNF構建網絡服務所需的SFC，極大地提高了網絡服務部署的靈活性和效率，降低了網絡的運維成本，促進了新服務的部署。當前國內外各大電信運營商都在積極地推進NFV技術的應用及部署，AT&T計劃到2020年底將其75%的大型網絡虛擬化[5]，國內三大運營商也在積極推進NFV技術的應用。

然而相比于高可靠的電信級網絡設備，“軟化VNF”的脆弱性也給網絡帶來了一定的可靠性風險[6]，導致VNF發生失效的因素復雜多樣，如硬件（處理器、內存、存儲、網絡接口等）故障和軟件（主機操作系統、管理程序、虛擬機、VNF軟件等）故障。此外，NFV的開放市場環境，第三方供應商的軟、硬件解決方案，也使軟、硬件面臨不可能徹底管控和消除后門、陷門和漏洞問題，這些潛在的風險使VNF面臨一系列威脅。任何一個NF節點的失效都將導致相關SFC的故障[7]，造成服務中斷、數據丟失和資源浪費。NF節點面臨的不確定失效和不確定威脅問題，給網絡服務的穩定性和可靠性帶來了極大的挑戰。亞馬遜和谷歌的數據中心都曾發生過因軟件問題而造成服務中斷的事件[8-9]。因此，設計一定的故障恢復和容錯機制是必不可少的，以確保網絡服務滿足簽訂的服務級別協議（SLA, service level agreement）。

為了應對網絡功能節點的失效問題，現有的研究主要通過冗余備份方式增強SFC服務提供的可靠性。在工程實踐方面，文獻[10]在真實的工程實驗環境中實現了具有自動恢復能力的VNF部署系統，當出現單個VNF失效時，通過將失效節點的流量重新路由到備份節點以實現故障恢復。

在理論研究方面，文獻[11-12]均采用對整條SFC進行備份的方式來提高網絡服務的可靠性，其中，文獻[12]設計了一種迭代部署算法，為已部署的SFC主鏈路迭代地添加備份鏈路，當達到所需的可靠性要求或最大鏈路備份數量時停止算法，此外著重研究了不同數據中心架構對SFC冗余備份部署方案的適用性，研究結果表明，以交換機為中心的雙層樹和三層樹結構最適宜SFC的備份部署。

針對備份整條SFC存在資源開銷過大的問題，文獻[13-16]對VNF采取了針對性的備份策略。文獻[13]通過在不同的服務器集群為VNF提供冗余備份的方式來提高服務的可靠性，并設計了一個可變領域搜索部署算法，但未考慮VNF的成鏈問題，僅考慮了單一VNF的可靠性部署。文獻[14]針對NFV基礎設施（NFVI）存在的節點和鏈路失效問題以及SFC映射成功率低問題，設計了一種基于廣度優先搜索的回溯式部署算法，但該方法隨機地選擇節點和鏈路進行備份，在備份選擇策略上存在一定的缺陷。文獻[15]考慮到備份的VNF可以被不同的SFC共用，設計了一個篩選模型，迭代地選擇成本效率最高VNF進行備份，避免了過度備份導致的資源利用率急劇下降問題。文獻[16]考慮到底層服務器節點的可靠性不同，通過將VNF從低可靠的服務器遷移到高可靠的服務器，以及為部分VNF提供冗余備份的方式來提高SFC的可靠性，但是這種方式會導致一定的負載不均衡問題，可靠性較高的底層服務器節點業務繁重，一旦失效，將造成較大范圍的影響。

考慮到即使采用有針對性的冗余備份策略也存在備份鏈路資源開銷過大問題，文獻[17-19]分別采取一定的方法以節約鏈路資源。其中，文獻[17]迭代地選擇可靠性最低的VNF進行串聯式冗余備份，雖然節約了一定的鏈路資源，但是隨著備份節點數量增多，將導致鏈路過長、服務延遲過大。該作者在隨后的研究[18]中改進了算法，采用串聯與并聯共存的混合備份方式，僅在延遲允許范圍內采用串聯備份方式，以實現備份鏈路資源節約與引入延遲的權衡。文獻[19]考慮到一條SFC上的相鄰VNF部署在同一服務器可以節約帶寬資源這一特點，使用關鍵子拓撲映射的反饋信息來優化VNF組合，聯合優化SFC拓撲設計和映射部署，并使用共享備份的方式進行冗余備份，使資源消耗最小化。

針對VNF的脆弱性問題，當前的SFC可靠性部署方案在應對VNF隨機失效方面有很好的效果，但是在面對利用漏洞后門的惡意攻擊時存在巨大的風險。由于未考慮節點間的同構性問題，原VNF與備份VNF是同構的（如同一種軟件），原物理服務器節點與備份物理服務器也是同構的（如同一種CPU或同一種操作系統），使原節點與備份節點存在潛在的共性缺陷[20]。惡意攻擊者在成功攻擊相關節點后不需要重新挖掘和探測系統缺陷，即可對備份節點進行新的攻擊，造成備份VNF的再次失效，導致相關SFC長時間故障，造成相關服務的中斷。

文獻[20]研究表明，異構備份式的虛擬網映射方法能極大地提高虛擬網絡的抗攻擊能力，對于SFC面臨的惡意攻擊問題，進行冗余備份時考慮節點間的異構性對SFC抗攻擊性提高也將具有較大增益。可從硬件、操作系統以及應用軟件3個層面考慮備份節點的異構性。

硬件異構：如Intel和AMD的CPU芯片，Intel CPU曾因設計缺陷而引發Meltdown（熔斷）和Spectre（幽靈）漏洞，使普通程序可擁有內核級別的權限，對用戶隱私和設備安全造成了極大威脅，而AMD芯片因芯片架構設計不同，只有其中一個漏洞對其產品有一定影響。

操作系統異構：如微軟的Windows Server操作系統和基于Linux內核的操作系統（如Ubuntu、Red Hat、Fedora、CentOS等），在漏洞方面存在差異[21]。

應用軟件異構：如Apache、Nginx和Internet Information Server（IIS）這3種Web服務器的漏洞也存在差別。

本文將異構思想引入SFC的可靠性部署策略中，設計基于異構備份的服務功能鏈部署方法，以應對SFC面臨的不確定失效和惡意攻擊問題。考慮到冗余備份方法存在資源開銷過大問題，本文僅對關鍵的、易失效的VNF進行備份，并以最小化帶寬消耗作為目標函數，設計并實現了基于冗余備份與重映射結合的混合部署算法。

2 網絡模型和問題描述

2.1 網絡服務虛擬化模型

一條實現特定網絡服務的SFC示例如圖1所示，其流量需要依次經過防火墻、深度數據分組檢測功能、加密功能的處理。

圖1 服務功能鏈示例

軟件定義網絡功能虛擬化（SDNFV，software defined network functions virtualization）系統架構如圖2所示，它由控制模塊、轉發設備和NFV平臺構成。SFC部署的實質就是網絡功能的部署和流量的引導，基于軟件定義網絡（SDN，software defined network）技術實現了控制與轉發分離，基于NFV技術實現了功能與硬件解耦，SDN與NFV技術的應用使網絡具備集中控制和按需編排網絡功能的能力，實現VNF的靈活部署和流量的高效引導。

本文采用基于SDNFV系統的服務功能鏈部署模型，如圖3所示。SDNFV系統資源管理和編排模塊根據相關網絡服務的請求信息以及底層網絡資源的狀態信息，完成相應VNF和虛擬鏈路的映射部署，各個VNF按照服務流程規定的執行順序組成相應的SFC為用戶提供服務。

2.2 網絡模型

2.2.1 物理網絡

圖2 軟件定義網絡功能虛擬化系統架構

圖3 服務功能鏈部署模型

2.2.2 虛擬網絡功能

2.2.3 SFC請求

2.3 問題描述

依據文獻[22]知，攻擊者實施攻擊的過程可分為3個階段：信息探測階段、漏洞挖掘階段、攻擊執行階段。對攻擊者來說，SFC漏洞挖掘階段需要花費大量時間，而且還存在無法成功獲取漏洞的可能性，但是攻擊者一旦掌握某種類型的漏洞信息，即可對該SFC的相關VNF進行攻擊，造成節點故障、服務中斷。

圖4 SFC請求實例

圖5 SFC冗余備份實例

3 異構備份與重映射混合的部署方法

針對現有冗余備份方法未考慮節點的異構性問題，本文將異構思想引入SFC的部署策略中。考慮到對SFC所有的VNF進行備份存在資源開銷過大、資源利用率低、請求接受率低等問題，本文采用異構備份與重映射結合的混合部署方法。

本文結合冗余備份與重映射的優缺點，采用異構備份與重映射結合的混合部署策略。對關鍵的、易失效的和可靠性低的節點采用冗余備份，而對其他可靠性相對較高的節點采用重映射部署方法，同時在進行冗余備份與重映射時考慮節點異構性（底層服務器硬件異構性、操作系統的異構性以及VNF的異構性），以避免原節點與新部署節點存在共性缺陷，使攻擊者對SFC掌握的漏洞缺陷信息無法持續有效，即使當前攻擊成功，再次進行攻擊時仍需要重新進行缺陷探測與漏洞挖掘，顯著增加攻擊時間成本。下面對本文方法進行具體描述。

3.1 異構備份

圖6 異構備份

3.2 異構重映射

圖7 異構重映射

4 異構備份與重映射部署模型和算法

4.1 異構備份與重映射部署模型

本文先進行SFC請求的基本鏈路部署，再對有備份需求的VNF進行部署，之后當VNF失效時完成對未備份節點的重映射。

1) SFC請求基本鏈路部署約束條件

VNF部署約束條件為

鏈路部署約束條件為

式(4)表示該請求中的全部虛擬鏈路占用的帶寬資源不能超過各條物理鏈路帶寬資源的余量。

目標函數為

對于一條SFC的部署，各個VNF部署到任意服務節點需要占用的服務器資源是相同的，但是虛擬鏈路的帶寬資源消耗會因VNF部署服務器節點的不同而變化，為了降低資源開銷，本文將式(5)帶寬資源開銷作為目標函數。

2) 異構備份約束條件

備份虛擬鏈路部署約束條件為

目標函數為

3) 重映射約束條件

4.2 算法設計

以4.1節中各式為約束條件，本文根據文獻[23-24]設計了基于Viterbi的異構備份算法和重映射算法。算法流程分別在4.2.1和4.2.2節中介紹。本節以一個含有3個VNF的SFC請求為例，用圖8、圖9、圖10分別簡單介紹了相關算法的實現細節，圖中圓圈代表交換機節點，邊代表交換機間的鏈路。

圖8 基本鏈路部署多階段圖

圖9 異構備份部署多階段圖

圖10 重映射過程

4.2.1 算法1 異構備份部署算法

輸出 最小帶寬占用的異構備份部署方案

1) #基本鏈路部署

8) End for

10) End for

11) End for

13) 更新網絡資源狀態

14) #異構備份部署

20) End for

22) 更新網絡資源狀態

23) End if

30) End for

32) End for

33) End for

35) 更新網絡資源狀態

36) End if

4.2.2 算法2 重映射部署算法

輸出 最小帶寬占用的重映射方案

6) End if

9) End if

10) End for

12) 更新網絡資源狀態

4.3 復雜度分析

5 實驗仿真

5.1 實驗環境設置

本文采用文獻[23]提供的DC.K8數據中心網絡拓撲，包含80個交換機節點，256條鏈路，鏈路帶寬容量從{10,20,30,40}中選取。其中，32個交換機節點部署有服務器，異構物理網絡的服務器節點類型隨機從[1,6]中選取，同構物理網絡的服務器節點類型只有一種，每個服務器節點的計算資源隨機從{16,32,48,64}中選取。有6種不同功能的VNF，每種VNF有2種異構的同功能VNF，每種VNF的部署資源需求系數如表1所示，每個服務器節點可承載的VNF從6種VNF中隨機選取4種。每個SFC請求所需處理的流量大小服從[1,4]的均勻分布，請求中包含的VNF隨機從6種VNF中選取4種，請求的到達服從參數為0.05的泊松過程，生命周期服從均值為1 000個單位時間的指數分布。算法使用Python實現，運行在Intel Core i5-3230 2.6 GHz 內存為16 GB的個人計算機上。

表1 相關VNF計算資源需求系數

為了評估算法的可行性和有效性，本實驗以請求接受率、平均每個請求占用的帶寬、抗攻擊能力以及故障恢復能力為評價指標。將文獻[23]中不進行備份算法、同構備份算法以及本文提出的異構備份算法進行比較。為了便于描述，在同構的物理網絡環境下，用No-HomBackup (no homogeneous backup)表示不對VNF進行同構備份，用Half-HomBackup（half homogeneous backup）表示對50%的關鍵VNF進行同構備份，用All-HomBackup（all homogeneous backup）表示對全部的VNF進行同構備份；在異構的物理網絡環境下，用No-HetBackup(No heterogeneous backup)表示不對VNF進行異構備份，用Half-HetBackup（half heterogeneous backup）表示對50%的關鍵VNF進行異構備份，用All-HetBackup（all heterogeneous backup）表示對全部的VNF進行異構備份。

5.2 性能分析

5.2.1 請求接受率

圖11表示了在本實驗所設置的同構網絡環境或異構網絡環境下，6種情況的請求接受率比較。從圖中可以看出，請求接受率的高低順序為No-xxxBackup>Half-xxxBackup > All-xxxBackup，這是因為對VNF進行備份時會占用更多的物理資源，而底層網絡物理網絡資源有限，每個請求占用的資源增多時，會導致網絡所能容納的SFC數量下降，進而導致請求接受率明顯下降。其中，在對全部的VNF進行備份時，請求接受率下降嚴重，極大地影響SFC的部署以及網絡服務的提供，而本文采用的僅對關鍵VNF進行備份的策略能在很大程度上減輕因冗余備份而導致的請求接受率下降問題。

圖11 服務功能鏈請求接受率

在不進行備份時，No-HomBackup與No-HetBackup的請求接受率基本相同，說明異構的網絡環境在不進行備份情況下對請求接受率的影響很小，基本與同構的網絡環境一致。在對關鍵的VNF進行備份時，Half-HomBackup的請求接受率略高于Half-HetBackup的請求接受率，這是由于相比于不考慮節點異構性的同構備份方式，本文采用的異構備份方式因考慮備份節點的異構性會舍棄一些可用同構服務器節點，因此會導致一定程度的請求接受率下降，實驗數據顯示，系統穩定后下降約為3.8%。

5.2.2 平均每個請求占用的帶寬

圖12表示了6種情況下，平均每個請求占用的帶寬情況。冗余備份方式雖然能極大地提高SFC的可靠性，但由于備份時需要構建大量備份VNF與相關VNF之間的鏈路，占用的帶寬資源相比于不進行備份時有明顯的增加。特別是對全部的VNF進行備份時，會占用極大數量的鏈路帶寬，而本文采用的僅對關鍵VNF進行備份策的策略，能在一定程度上緩解因冗余備份而導致的帶寬數量急劇增加情況。

圖12 單個請求占用的平均帶寬

在對關鍵的VNF進行備份時，Half-HetBackup的平均帶寬占用情況略高于Half-HomBackup，這是由于在進行異構備份時，因考慮服務器節點的異構性，會舍棄一些較近的同構服務器節點，因此導致一定程度的鏈路增長，實驗數據顯示，Half-HetBackup相比于Half-HomBackup增加約9.2%的帶寬消耗。

5.2.3 抗攻擊能力

為了比較6種情況下SFC的抗攻擊性能，本實驗對攻擊者實施的惡意攻擊進行了簡單的建模，實驗假設：1) 攻擊者對一種服務器類型下的目標VNF進行漏洞挖掘和缺陷探測，并成功利用該漏洞或缺陷致使目標VNF癱瘓所需花費的時間服從均值為1 000的指數分布；2) 攻擊者再次攻擊一個已掌握漏洞或缺陷的VNF所花費的時間相對很少，可忽略不計，即時間主要花費在漏洞挖掘與缺陷探測；3) 攻擊者極其具有耐心，可以承受的忍耐時間[20]無限大，即攻擊者會持續對一條目標SFC中的VNF進行攻擊，不會因已花費的時間過大而放棄攻擊嘗試，若致癱其中一個VNF但沒有導致SFC服務中斷時會繼續進行攻擊，直至成功使目標SFC失效，造成服務中斷。本實驗模擬并記錄了攻擊者在6種情況下成功致癱一條目標SFC所花費的時間成本，并重復了200次實驗，對數據進行統計分析，繪制了如圖13所示的攻擊時間成本與SFC失效概率關系圖，以及圖14所示的平均攻擊時間成本圖。

從圖13和圖14可以看出，同構網絡環境下的相關同構備份方法并不能增加惡意攻擊者的攻擊難度和攻擊時間成本，這是由于備份節點與原節點同構，存在共性缺陷，攻擊者無需重新挖掘漏洞和探測缺陷即可實現對備份節點的快速攻擊，造成SFC失效。而異構網絡環境下的異構備份的方式能顯著增加攻擊者的攻擊難度。如圖13所示，當攻擊時間投入=2 000時，All-HetBackup情況下的SFC失效概率約為0.25，Half-HetBackup情況下的SFC失效概率約為0.60，而其他4種情況下的SFC失效概率約為0.85~0.9，存在極高的失效風險。如圖14所示，在異構網絡環境下，Half-HetBackup能增加攻擊者約1倍的攻擊時間成本，而All-HetBackup能增加攻擊者約2.5倍的攻擊時間成本。

圖13 攻擊時間成本與SFC失效概率關系

圖14 平均攻擊時間成本

5.2.4 故障恢復能力

為了比較異構備份與重映射部署算法的故障恢復能力，本實驗對故障場景進行了簡單的建模。假設SFC的生命周期無限大，所包含的4個VNF具有不同的可靠性，VNF會因各種原因而發生故障，無故障運行時間分別服從均值為1 000、2 000、3 000和4 000的指數分布，VNF發生故障時將導致服務中斷，可通過切換至異構備份VNF節點或重映射該VNF節點實現故障修復。本實驗模擬并記錄了不同備份比例下SFC累計服務中斷時間以及故障修復時間，并對數據進行了統計分析，繪制了如圖15所示的SFC累計服務中斷時間圖，以及如圖16所示的平均故障修復時間圖。

從圖15可以看出，運行一段時間后，SFC累計服務中斷時間會因VNF冗余備份比例的提高而顯著降低，這是由于當故障發生時，切換至備份節點的故障修復速度遠快于重映射故障修復速度，減少了因故障而導致的服務中斷時間，這是以一定的資源開銷為代價換取的故障修復效率。此外還可以看出，本文所采用的僅對關鍵VNF進行備份的策略整體效益較高，在一定程度上取得了資源消耗與故障恢復能力的權衡。由圖16所示的平均故障修復時間可以看出，隨著備份比例的提高，平均故障修復時間顯著降低。這是由于當故障發生時，切換至備份節點的故障修復速度遠快于重映射部署修復速度，因為切換至備份節點的故障修復方式僅需要新網絡配置的執行下發，而重映射故障修復方式則需要網絡配置設計、網絡配置執行下發以及新VNF節點的實例化執行等。

圖15 累計服務中斷時間

圖16 平均故障修復時間

6 結束語

本文分析了當前服務功能鏈冗余備份部署方法存在資源開銷過大以及未考慮節點同構性的問題，提出了一種考慮節點異構性的服務功能鏈部署方法，以最小化鏈路帶寬開銷作為目標函數，構建和設計了異構備份與重映射結合的服務功能鏈部署模型和算法。實驗結果表明，在進行備份時考慮備份節點與原節點的異構性，能較為顯著地增加攻擊者的攻擊時間成本，提高了服務功能鏈的可靠性。

[1] MEDHAT A M, TALEB T, ELMANGOUSH A, et al. Service function chaining in next generation networks: state of the art and research challenges[J]. IEEE Communications Magazine, 2017, 55(2):216-223.

[2] SHERRY J, HASAN S, SCOTT C, et al. Making middleboxes someone else's problem: network processing as a cloud service[J]. ACM Sigcomm Computer Communication Review, 2012, 42(4): 13-24.

[3] MIJUMBI R, SERRAT J, GORRICHO J L, et al. Network function virtualization: state-of-the-art and research challenges[J]. IEEE Communications Surveys & Tutorials, 2017, 18(1):236-262.

[4] NFV ISG. Network functions virtualisation-an introduction, benefits, enablers, challenges & call for action[R]. 2012.

[5] DONOVAN J. How do you keep pace with a 100,000 percent increase in wireless data traffic[C]// Open Networking Summit. 2015.

[6] COTRONEO D, SIMONE L D, IANNILLO A K, et al. Network function virtualization: challenges and directions for reliability assurance[C]// IEEE International Symposium on Software Reliability Engineering Workshops. 2014:37-42.

[7] Network functions virtualisation (NFV); reliability; report on models and features for end-to-end reliability[R]. 2016.

[8] GUNAWI H S, HAO M, ELIAZAR K J, et al. Why does the cloud stop computing? lessons from hundreds of service outages[C]//ACM Symposium on Cloud Computing. 2016:1-16.

[9] FAN J, GUAN C, REN K, et al. Guaranteeing availability for network function virtualization with geographic redundancy deployment[R]. 2015.

[10] MEDHAT A M, CARELLA G A, PAULS M, et al. Resilient orchestration of service functions chains in a NFV environment[C]// Network Function Virtualization and Software Defined Networks. 2017:7-12.

[11] HMAITY A, SAVI M, MUSUMECI F, et al. Virtual network function placement for resilient service chain provisioning[C]// International Workshop on Resilient Networks Design and Modeling. 2016.

[12] HERKER S, AN X, KIESS W, et al. Data-center architecture impacts on virtualized network functions service chain embedding with high availability requirements[C]//IEEE Globecom Workshops. 2015:1-7.

[13] CASAZZA M, FOUILHOUX P, BOUET M, et al. Securing virtual network function placement with high availability guarantees[C]// IFIP Networking Conference (IFIP Networking) and Workshops. 2017: 1-9.

[14] BECK M T, BOTERO J F, KAI S. Resilient allocation of service function chains[C]//Network Function Virtualization and Software Defined Networks. 2017:1-6.

[15] DING W, YU H, LUO S. Enhancing the reliability of services in NFV with the cost-efficient redundancy scheme[C]// IEEE International Conference on Communications. 2017:1-6.

[16] CARPIO F, JUKAN A. Improving reliability of service function chains with combined vnf migrations and replications[J]. arXiv Preprint arXiv:1711.08965, 2017.

[17] LONG Q, ASSI C, SHABAN K, et al. Reliability-aware service provisioning in NFV-enabled enterprise datacenter networks[C]// International Conference on Network and Service Management. 2017.

[18] LONG Q, ASSI C, SHABAN K, et al. A reliability-aware network service chain provisioning with delay guarantees in nfv-enabled enterprise datacenter networks[J]. IEEE Transactions on Network & Service Management, 2017, (99):1-1.

[19] YE Z, CAO X, WANG J, et al. Joint topology design and mapping of service function chains for efficient, scalable, and reliable network functions virtualization[J]. IEEE Network, 2016, 30(3):81-87.

[20] 季新生, 趙碩, 艾健健,等. 異構備份式的虛擬網映射方法研究[J].電子與信息學報, 2018 , 40(5):1087-1093.JI X S, ZHAO S, AI J et al. Research on hetero-geneous- backup virtual network embedding[J]. Journal of Electronics and Information Technology, 2018, 40(5): 1087-1093.

[21] 張淼, 季新生, 艾健健,等. 基于操作系統多樣性的虛擬機安全部署策略[J]. 網絡與信息安全學報, 2017, 3(10):35-43.ZHANG M, JI X S, AI Jianjian, et al. Secure deployment strategy of virtual machines based on operating system diversity [J]. Chinese Journal of Network and Information Security, 2017, 3(10): 35-43.

[22] SEXTON J, STORLIE C, NEIL J. Attack chain detection statistical analysis and data mining[J]. The ASA Data Science Journal, 2015, 8(5-6): 353-363.

[23] BARI F, CHOWDHURY S R, Ahmed R, et al. Orchestrating virtualized network functions[J]. IEEE Transactions on Network & Service Management, 2016, PP(99): 1.

[24] 劉彩霞, 盧干強, 湯紅波, 等. 一種基于Viterbi算法的虛擬網絡功能自適應部署方法[J]. 電子與信息學報, 2016, 38(11): 2922-2930.LIU CX , LU GQ , TANG HB , et al. Adaptive deployment method for virtualized network function based on viterbi algorithm[J]. Journal of Electronics and Information Technology, 2016, 38(11): 2922-2930.

Service function chain deployment scheme based onheterogeneous backup and remapping

XIE Jichao1, YI Peng1, ZHANG Zhen1, ZHANG Chuanhao1,2, GU Yunjie1

1. National Digital Switching System Engineering & Technological Research Center, Zhengzhou 450002, China 2. Public Security Technology Department, Rail Police College, Zhengzhou 450053, China

Network function virtualization technology improves the flexibility of service function chains' deployment. However, the virtual network functions are under the pressure of uncertain failures and malicious attacks. The existing redundant backup methods can solve the problem of VNF failures to some extent, it does not consider the defects of node homogeneity in the face of malicious attacks. A deployment method considering the heterogeneity of nodes was proposed, guaranteeing the heterogeneity of nodes when perform redundant backup and remapping. Simulation experiments demonstrate that the proposed method significantly increases attacker's attack time cost under the cost of the request acceptance rate decreases by 3.8% and the bandwidth consumption increase by 9.2% comparing to the homogeneity backup method.

NFV, SFC, VNF, reliability, backup, homogeneity, heterogeneity

TP393

A

10.11959/j.issn.2096-109x.2018051

2018-04-17；

2018-05-26

謝記超，912104210329@njust.edu.cn

國家重點研發計劃基金資助項目（No.2016YFB0801200，No.2017YFB0801200）；國家網絡空間安全專項基金資助項目（No.2017YFB0803204）；公安部科技計劃基金資助項目（No.2017JSYJC08）

The National Key Research and Development Project of China (No.2016YFB0801200, No.2017YFB0801200), The National Cyberspace Security Special Project of China (No.2017YFB0803204), The Ministry of Public Security Science and Technology General Project of China (No.2017JSYJC08)

謝記超（1993-），男，河北石家莊人，國家數字交換系統工程技術研究中心碩士生，主要研究方向為網絡安全、網絡功能虛擬化。

伊鵬（1977-），男，湖北黃岡人，國家數字交換系統工程技術研究中心研究員、博士生導師，主要研究方向為網絡空間安全、新型網絡體系結構。

張震（1985-），男，山東濟寧人，國家數字交換系統工程技術研究中心講師，主要研究方向為新型網絡體系結構。

張傳浩（1979-），男，河南鄭州人，鐵道警察學院講師，主要研究方向為網絡信息安全、網絡功能虛擬化。

谷允捷（1994-），男，山東濟寧人，國家數字交換系統工程技術研究中心碩士生，主要研究方向為網絡功能虛擬化。