基于聚類的安全分級虛擬網絡映射方法

陸勰，徐雷，張曼君

（中國聯合網絡通信集團有限公司研究院，北京 100048）

1 引言

1.1 虛擬網絡映射的概念

隨著5G網絡的快速發展，三大應用場景增強型移動寬帶（enhanced mobile broad，eMBB）、低時延高可靠通信[1]（ultra-reliable and low-latency communication，uRLLC）以及大連接物聯網（massive machine-type communication，mMTC）與垂直行業的深度融合，對網絡需求不斷升級，為了更好地服務行業與用戶，5G網絡軟、硬件分離，SDN與NFV技術順勢而出，5G網絡虛擬化提高了網絡的靈活性、多樣性，釋放了更多網絡資源的能力，但是由于底層的物理基礎設施是共享的，當其中一個物理服務器發生故障或受到攻擊時會導致其上所承載的虛擬機失效，影響網絡與業務的連續性。針對虛擬化帶來的安全風險，虛擬網絡映射作為解決虛擬化安全的重要關鍵技術，成為當下領域研究的熱點。虛擬網絡由虛擬節點與虛擬鏈路的映射兩部分組成，為虛擬網絡分配底層物理資源稱為虛擬網絡映射[2]，虛擬網絡映射主要解決虛擬節點到物理節點的映射以及虛擬鏈路到對應的物理鏈路的路徑問題。

1.2 虛擬網絡映射研究現狀

面對虛擬化網絡映射問題，現有的解決措施是可生存性的虛擬網映射[3]（survivable virtual network embedding，SVNE），也就是對異常的虛擬機節點備份和重映射。備份主要針對對網絡有高要求的環境，網絡節點需要有備份策略，該種方式資源占用較大、成本較高，如高需求的網絡切片[4]。而重映射屬于針對動態網絡環境下采取的映射方法相對的備份方式，資源靈活度高、成本較低，因此重映射的適用場景較廣。就目前來看重映射采取的具體映射方法，主要圍繞系統的特性、節點的重要程度、節點映射的順序以及節點之間的信任度等方向。如季新生[4]等提出一種基于操作系統異構的虛擬網映射方法，該種方法主要側重虛擬網絡節點與物理服務器的系統異構性，如果虛擬節點與物理服務器的操作系統一樣，惡意攻擊者會通過探測原物理服務器的系統類型，挖掘系統漏洞從而發動攻擊，促使虛擬機請求映射，如果映射到的物理服務器也是同系統，則默認具有同樣的漏洞，這樣攻擊者就能輕而易舉地再次攻擊對映射后的物理服務器。這種方法較局限，只考慮到系統的異構帶來的風險，未能從全局出發，考慮節點其他屬性的安全性，無法從根本上達到映射的目的。劉新波等[5]提出一種基于多屬性節點重要性排序的映射方法，該方法主要側重考慮虛擬節點的資源能力，如主要考慮自身CPU資源和鄰近的鏈路資源，按照重要性排序并以此為標準來尋找符合的物理機，這樣的后果是節點排序未考慮其拓撲結構，容易造成虛擬節點映射到較遠的物理機上，導致映射效率低下、資源浪費。龔水清[6]等提出一種基于信任度的安全虛擬網絡映射，該方法是對虛擬節點與物理節點之間的信任評估，確保映射發生在二者相互信任的情況下，其次，按照節點屬性的重要程度排序，保障較為重要的虛擬節點能夠映射到較為重要的物理機上，同時采用K最短路徑算法完成鏈路映射，該方法一定程度上把安全作為映射的基礎，根據CPU約束及節點位置約束篩選物理節點集合，根據信任度選擇最佳物理節點，但該方法沒有減少鏈路映射時K最小路徑算法的迭代次數，且節點映射的算法先在全網篩選符合條件的物理節點集合，算法的復雜度較高。

1.3 現有技術缺陷

綜上，以上研究主要考慮映射發生時采取的解決方案，未從全局出發，采取的解決方法局限在某一方面，很多沒有重點考慮映射最重要的基礎與目標，故以上研究存在著兩方面的缺陷，首先，沒有把節點的安全性作為一個映射屬性加以考慮，因為當出現把一個安全級別較高的虛擬節點映射到較低安全級別的物理節點上時，受到攻擊的風險加大，尤其是處于網絡核心的節點一旦遭受攻擊，后果不堪設想；其次，映射效率低下，現有算法的映射從全網視角，虛擬節點映射需要遍歷整個網絡中的物理節點，挑選符合映射條件的節點，再映射鏈路，鏈路映射通常利用K最短路徑算法找到最短路徑，當業務發生時，這種方法會耗費大量的時間尋找符合要求的物理節點，且時延作為檢驗網絡性能的關鍵指標，如果映射時間過長，導致時延的增加，就會造成業務“失聯”、網絡擁塞等重大問題。

1.4 基于聚類的安全分級虛擬網絡映射方法的思想及意義

為了克服上述現有技術的不足，本文提出了一種基于聚類的安全虛擬網絡映射方法。總體思想主要包括3個方面，首先，對虛擬和物理節點量化、安全分級，保障虛擬節點與物理節點的映射是同安全等級，然后利用K-means[7]聚類完成相似程度最大的節點分類，摸清網絡節點安全現狀；其次，當異常事件發生時，利用事前掌握的網絡節點情況，與歐氏距離[8]相結合尋找異常節點最佳映射節點，完成事中異常虛擬節點安全映射，最后利用K最短路徑算法[9]找出最短路徑完成鏈路映射，可依據此業務鏈完成事后對異常事關聯分析、追蹤溯源。該方法具有兩方面的重要意義，一方面通過節點安全分級、聚類等方式縮小了映射范圍，提高了映射的效率與成功率；另一方面通過歐氏距離計算同一類簇中虛擬節點與物理節點的距離，減少了鏈路算法迭代的次數，降低了算法的復雜度[10]。

2 基于聚類的安全分級虛擬網絡映射方案

2.1 系統架構

按照本文提出的對虛擬節點的安全分級與映射前聚類、同類簇中利用歐氏距離尋找最佳映射的物理節點，最后利用最短路徑算法完成鏈路映射的思想，所提出的原型系統框架如圖1所示。

圖1 基于K-means聚類的安全分級虛擬網絡映射方法的原型系統框架

圖1中事前、事中和事后3個階段縱向聯動，完成對異常節點的映射。具體來說，事前做到對各節點“心中有數”，通過建立量化模型，把各節點的屬性參數值進行量化、安全分級，然后進行K-means聚類，找出各節點間的相似性，形成K個類簇，并對各個節點進行類簇標識，形成各節點的鍵值對；事中快速響應，當虛擬節點發生異常需要映射時，優先從與該節點處于同一類簇中的物理節點集合中選擇最佳節點（查看標識很快篩選出相應的類簇），因為同一簇中的節點具有更大的相似性，這樣的映射能更好地保障網絡運行的可靠性與穩定性，且是對資源的合理有效利用，這樣的映射類似“假備份”，在同一類簇中利用歐氏距離算法選擇符合要求的物理節點，再利用K最短路徑算法找出最短路徑完成鏈路映射；事后定位溯源，由于前期做了聚類標識，當出現故障時，能夠快速定位故障點，各節點關聯分析，縮短故障排查時間、提高運維效率。

2.2 虛擬節點映射流程

按照系統的總體框架，虛擬節點映射系統流程如圖2所示，主要有以下4個步驟。

圖2 基于聚類的安全分級虛擬節點映射系統流程

（1）采集節點資源數據

通過采集軟件或采集器等采集或對接數據庫讀取網絡中的虛擬節點和物理節點的基本信息，包括CPU、存儲、帶寬、位置、功能等關鍵信息，具體讀取哪些屬性參數可依據自身網絡環境的側重點有所調整，信息采集完畢后存儲。

（2）節點參數量化、安全分級

傳統的網絡沒有把內生安全作為考察網絡魯棒性的重要指標，結合本文研究的重點，無論是虛擬節點還是物理節點，需要對它進行安全分級，事先把安全“內生”于網絡環境，減少使用“亡羊補牢”或“煙囪式”的安全手段，雖然安全分級自身沒有絕對的標準，但最終目標都是為了保障網絡的韌性和業務的可靠性。

首先建立一個安全可行的評估模型，針對步驟（1）中的節點信息，分別對各個屬性進行量化評估，主要目的是計算每一個節點的安全等級，采取的分級標準主要依據節點CPU大小、位置、所鏈接鏈路的帶寬之和、物理資源需求等，節點的屬性參數可表示虛擬節點nvi={cvi,lvi,bvi,rvi}，物理節點nj={cj,lj,bj,rj}，節點集合n={nvi,nj}，其中，c表示為CPU大小，l表示位置，b表示節點所鏈接的鏈路帶寬總和，r表示其他一些關鍵資源，i的最大值是網絡中虛擬節點的數量，j的最大值是網絡中物理節點數量（以下涉及的地方均是相同定義范圍）。安全需求的評估本身沒有一個絕對的界限與標準，可根據各自所處的環境結合實際建立恰當的評估模型，本評估模型系統中對虛擬節點的安全需求和物理節點的安全作出相應的評估，并給出合理的安全評分，且評分滿足均勻分布，節點安全值等于各個屬性對應參數值量化評估后的總和，各個屬性評分范圍限定在（0,1），如CPU的評分范圍是（0,0.3），針對節點CPU的大小，劃定評估線，如CPU主頻是[2,3] GHz評分0.2，低于[2,3] GHz評分0.1，高于[2,3] GHz評分0.3等；節點位置評分范圍是（0,0.4），根據節點位置給予評分，如根據網絡域的劃分，處于安全域的評分高于非安全域，如果沒有劃分網絡域的網絡，可按照網絡節點處的位置評分，如處于控制面的節點安全性高于數據面的節點安全性；節點鏈路帶寬值評分范圍是（0,0.6）等，通過劃定各個量化參數值完成對各個參數的安全量化評估，最后節點的安全值s為各個屬性對應參數值量化評估總和，如虛擬節點安全值sv1=svc1+svl1+svb1+svr1，物理節點安全值s1=sc1+sl1+sb1+sr1，節點集合的安全值集合記作S{sv1,sv2,sv3,···,svi,s1,s2,s3,···,sj}，根據S集合中各個安全值的分布特點，確定安全劃線參考參數d，如d=1，svi或sj>d為高安全等級，svi或sj=d為中安全等級，svi或sj

（3）基于K-means算法的節點聚類

在步驟（2）完成后，對所有的節點，根據K-means聚類思想按照距離的遠近劃分，輸入k值和k個初始聚類中心，對于節點集合n={nvi,nj}，其中每一個節點都是一個多維的屬性集合，按照K-means算法原理，采用歐氏距離計算兩個節點間距離，經過多次迭代計算把n個節點按照距離聚類中心的遠近劃分到k個類簇中，標識為k={k1,k2,···,ku}，u=[1,k]，并把標識添加到各節點參數集合中，把每一個節點寫成鍵值對后存儲，其鍵值表達式為Nvi=和Nj=，其中，u=[1,k]。

（4）物理節點選擇及K值最短路徑鏈路映射

當某個虛擬節點發生異常請求映射，異常情況包括但不限于故障、受到攻擊，根據步驟（3）中最后得到的鍵值對中的k值查出異常節點所處的類簇，然后根據如下原則篩選出符合要求的物理節點，完成虛擬節點Nvi=到Nj=的映射。

· 物理節點與虛擬節點同安全等級。

· 物理節點所承載的虛擬節點的帶寬之和不超過該物理節點的總帶寬。

· 物理節點相關鏈路不通過虛擬節點所對應的物理服務器，目的是避免同時失效。

· 同一虛擬網中的不同虛擬機不能映射到同一物理服務器上。

經過篩選形成候選物理節點集合，即G={n1,n2,···,nt}，其中，t的值小于或等于該類簇（異常節點所在類簇）中物理節點數量，然后根據歐氏距離計算異常虛擬節點與集合G中各物理節點的距離，也就是尋找進一步的最大相似性，選擇歐氏距離最小值對應的物理節點作為最佳映射的節點，完成異常虛擬節點到最佳物理節點的映射。傳統模式下，異常虛擬節點的映射需要從全網絡尋找合適的物理節點，這種模式無疑會增加網絡響應時間、提高業務時延，而本文提出的方法通過篩選得到了縮小范圍的物理節點集合G，可極大縮短網絡響應時間，且由于G中節點之間的相似性提高了映射的成功率與網絡運行的穩定性，最大限度地保障了資源的合理利用，這種“假備份”的方式增加了網絡的韌性。虛擬網絡的映射包括節點和鏈路的映射。最后，根據鏈路映射算法原理，完成鏈路映射，根據K值最短路徑算法，按照路徑跳數大小升序排列，選出符合要求的最短路徑，完成整個虛擬節點到物理節點的可靠映射。

2.3 性能分析

本節主要針對在異常虛擬節點映射時采取的方法進行復雜度分析，選取一個有n個虛擬節點，m個物理節點的網絡，在傳統模式下，n個虛擬節點映射的算法復雜度是O(nm2)，但如果使用本文提出的方法，在m個物理節點中，安全分級確定了同等級的虛擬節點與物理節點，聚類確保了在同一類簇中虛擬節點與物理節點的最大相似性，歐氏距離計算進一步提高了異常節點與物理節點的相似性，當使用K最短路徑算法尋找映射鏈路時，縮小了鏈路選擇的范圍，減少了路徑迭代算法的次數，因此，經過篩選得出的t個符合映射要求的物理節點一定小于m，即t

通過本方法事前、事中的協作運行，為事后的關聯分析提供了可靠的支撐，由于經過虛擬網絡節點的映射，在各個節點上都添加了聚類標識，形成鍵值對，當網絡中出現異常時，可根據聚類進一步進行關聯分析，如當多個虛擬節點同時發起映射請求時，可通過查看各個虛擬節點所在類簇，尋找之間的關聯關系，定位異常點，迅速排除故障。

3 結束語

本研究方法相比較傳統的映射策略，首先，把安全作為一個重要的映射首要條件，增強了網絡的魯棒性；其次，從映射的效率來看，傳統的虛擬節點映射時，對于一個虛擬節點數量為n，物理節點為m的網絡，映射時的計算復雜度是O(nm2)，而經過本研究中先聚類后映射的思想，對于虛擬節點數量n的集合，優先選擇同類簇中的物理節點映射，降低了算法的復雜度，提升了映射的效率，更好地保障了業務的連續性。該研究方法的特點在于在業務發生前也就是事前對虛擬節點和物理節點的安全性和相關性進行了分析，做到“心中有數”，當產生業務時，能夠按照事前的分析，快速做出響應，提高了業務的連續性，同時增強了網絡韌性，事后還可根據聚類進行關聯分析，為運維提供可靠支撐。

5G網絡的高速發展，千行百業對網絡需求差異化、精細化要求越來越高，伴隨的安全差異化需求也不斷提高，5G網絡切片技術、邊緣云技術等新技術的廣泛應用將會加大5G網絡各方面的需求，而虛擬化作為5G網絡的典型特征，虛擬化網絡的安全將是保障各種新技術、新應用、新業務等的基礎支撐，只有不斷筑牢虛擬網絡安全基礎防線，提高網絡映射的成功率與速率，以此增強網絡韌性，才能更大地釋放5G網絡的“能量”，更好地服務用戶、服務行業。