面向網絡安全資源池的智能服務鏈系統設計與分析

王澤南，李佳浩，檀朝紅，皮德常

面向網絡安全資源池的智能服務鏈系統設計與分析

王澤南1，李佳浩2，檀朝紅3，皮德常2

（1. 網絡通信與安全紫金山實驗室，江蘇 南京 211100；2. 南京航空航天大學，江蘇 南京 211100；3. 江蘇省未來網絡創新研究院，江蘇 南京 211100）

傳統網絡安全架構通過將流量引導經過硬件形式的網絡安全功能設備來保障網絡安全，該架構由形式固定的硬件組成，導致網絡安全區域部署形式單一，可擴展性較差，在面對網絡安全事件時無法靈活地做出調整，難以滿足未來網絡的安全需求。面向網絡安全資源池的智能服務鏈系統基于軟件定義網絡與網絡功能虛擬化技術，能夠有效解決上述問題。基于網絡功能虛擬化技術新增虛擬形式的網絡安全功能網元，結合已有的硬件網元構建虛實結合的網絡安全資源池，并基于軟件定義網絡技術實現對連接網元的交換設備的靈活控制，從而構建可動態調節的網絡安全服務鏈；基于安全日志檢測與安全規則專家庫實現對網絡安全事件的檢測與生成對應的響應方案，從而能夠在面對網絡安全事件時通過集中式控制的方式實現服務鏈的動態智能調節；對服務鏈的部署過程進行數學建模并設計了一種啟發式的服務鏈優化編排算法，實現服務鏈的優化部署。通過搭建原型系統并進行實驗，結果表明，所設計系統能夠在面對安全事件時在秒級時間內完成安全事件的檢測，并能夠在分鐘級時間內完成對安全服務鏈的自動調整，所設計的服務鏈優化部署算法能夠將服務鏈對虛擬安全資源池中資源的占用降低65%。所設計系統有望運用于園區與數據中心網絡出口處的網絡安全區域，簡化該區域的運維并提高該區域的部署靈活度。

軟件定義網絡；網絡安全資源池；服務鏈；網絡功能虛擬化

0 引言

隨著經濟和技術的快速進步，電信業與互聯網得到高速發展[1]。而隨著移動互聯網時代的到來，網絡滲透到了交通、醫療、生產、教育等各個社會層面[2]，網絡已經與人們的生活密不可分，隨著各種網絡技術的發展，網絡的安全問題將是未來網絡所面臨的挑戰之一，需要不斷地更新、解決與完善。

傳統網絡安全架構通過將網絡數據流量引導經過多個網絡安全設備來保障網絡通信安全。網絡業務發展迅猛，傳統網絡安全架構面臨許多問題，主要體現在如下兩方面：首先，網絡安全設備多為專用硬件，專用硬件面臨造價昂貴、升級困難、部署不夠靈活的問題[3]；其次，網絡安全設備與網絡拓撲結構相耦合，存在擴展性差、管理困難、故障點多、性能受限、安全鏈路架構單一等問題。

針對上述問題，網絡功能虛擬化（NFV，network function virtualization）[4]技術被提出，NFV旨在利用虛擬化技術把不同的網絡功能遷移到標準通用硬件平臺上，降低網絡硬件成本的同時使網絡部署更加靈活可控。軟件定義網絡（SDN，software defined network）[5]通過將控制平面和數據平面分離實現對網絡資源的統一靈活控制。NFV和SDN技術兩者相互補充。一方面，NFV基于虛擬化技術提供軟件形式的網絡安全功能，實現網絡安全功能的靈活快速調度與部署；另一方面，SDN提供集中式的網絡控制能力，實現對網絡的整體優化控制決策。兩者相互融合可實現按需定制的網絡安全服務[6]。基于此思路，可以有效地解決傳統網絡安全架構中存在的上述兩個問題。

本文設計了一種面向網絡安全資源池的智能服務鏈系統，該系統基于SDN與NFV技術，支持構建虛實結合的網絡安全資源池，支持基于安全日志動態調整安全服務鏈，以及支持安全服務鏈的優化部署。虛實結合的網絡安全資源池通過在虛擬機中運行虛擬網絡安全功能網元，并設計一套安全服務鏈管理框架，對接虛擬網絡與物理交換機，實現網絡流量按策略在物理網元和虛擬網元之間按指定順序流轉[7]，從而實現安全服務鏈的靈活構建與調整。安全服務鏈的動態調整則通過建立安全規則專家庫，對第三方安全網元推送的日志信息進行解析，與安全規則專家庫中的觸發條件進行匹配，發現安全事件后及時按照預置規則調整安全服務鏈。安全服務鏈的優化部署通過對部署過程進行建模，并調用設計的啟發式算法實現服務鏈的部署，在滿足業務需求的同時，最小化所消耗的虛擬資源量。

本文通過搭建原型系統，對所設計智能服務鏈系統的功能與性能進行驗證；通過數值仿真對所提的服務鏈優化部署算法的性能進行評估，并對實驗結果進行分析。實驗結果表明，該系統能夠實現虛實結合的網絡安全資源池的構建，能夠面對安全事件時在秒級時間內完成安全事件的檢測，能夠在分鐘級時間內完成對安全服務鏈的自動化調整，能夠將服務鏈對虛擬安全資源池中資源的占用降低65%。

1 相關工作

網絡安全服務鏈的主要目標是將滿足特定屬性的網絡流重定向，快速、靈活地牽引網絡流經過所需的安全服務節點序列進行安全防護檢測，滿足用戶多樣性的安全業務需求。本文基于SDN/NFV領域關于安全服務鏈的相關研究，研究面向網絡安全資源池的智能服務鏈系統。目前與網絡安全服務鏈相關的一些研究工作如下。

Shin等[5]提出了FRESCO安全架構，FRESCO安全架構基于SDN提出了可重構安全服務模式，其以若干個安全模塊組合的方式構建安全服務，如數據包分析、網絡流重定向等，利用腳本語言自定義編排這些基本的安全模塊，以此生成一條完整的服務鏈。雖然 FRESCO 將基本的安全模塊進行動態的組合，可提供相對復雜的安全功能，驗證了安全能力分解和重組的可行性，但其提供的安全服務類型非常有限，僅給出了功能上的驗證。

Liu等[6]提出了NFV架構結合SDN構建安全服務鏈以解決NFV架構下的安全性問題，在 NFV架構中部署軟件安全模塊并進行合理編排，利用SDN控制器的全局拓撲感知與網絡流調度能力，依次引導網絡流經過特定順序的軟件模塊序列進行安全防護檢測處理來滿足未來網絡安全業務需求。

Martini等[7]提出基于OpenFlow協議構建安全服務鏈，通過對網絡資源進行集中的監控和管理，下發交換機流指令引導網絡流到中間設備；基于OpenFlow協議的服務質量（QoS，quality of service）字段，對不同網絡流的服務需求進行標識，提出了基于服務類型的服務鏈理論模型，該模型對各種業務QoS流進行采集、分析、分類并發送到對應的服務鏈中進行處理。然而，該方案拓展了SDN的南向標準協議，兼容性較差且需預先定義并編排各個服務類型對應的服務鏈，動態性和靈活性仍存在不足。

Giotis等[8]提出了基于策略的網絡虛擬資源管理機制，根據策略對用戶的安全服務鏈需求進行描述，網絡虛擬資源管理機制通過解析用戶策略構建安全服務鏈，根據用戶策略定義的特定網絡數據流屬性，動態地編排相應的服務節點。該方案具備較好的動態性與靈活性，可依據用戶的業務需求靈活地編排安全服務鏈，但在策略處理方面，并未涉及應用策略更新引起的策略沖突問題。

Qazi等[9]提出了在安全服務鏈中安全資源調度的研究，為了兼容傳統硬件安全設備，在SDN中通過手工部署硬件安全設備并配置相應的安全防護策略，進而實現安全防護目標，其主要思想是通過 SDN 的全局拓撲感知與網絡流調度能力將業務流重定向并依次引導到網絡中預先部署的各種實體安全設備中進行安全防護檢測。雖然該方案充分利用了傳統硬件安全設備，減少了用戶的資源消耗，但該方案拓撲依賴嚴重、設備之間耦合度較大，且需手工部署安全設備，難以滿足用戶快速迭代的安全業務需求。

通過對上述研究的梳理不難發現，SDN和NFV技術為解決虛擬化網絡環境中的安全防護問題提供了很好的思路，但目前在關于如何快速、靈活、智能化地構建安全服務鏈方面還有待深入研究。如何充分利用SDN/NFV技術思想的特點，設計出高效靈活的安全服務鏈機制，實現自動化的、靈活的、彈性的編排和部署，是現階段的主要研究方向[10]。

在此背景下，針對現階段快速、靈活、智能化地構建安全服務鏈這一方面的欠缺，本文提出了一種面向網絡安全資源池的智能服務鏈系統，解決傳統網絡安全服務中設備封閉僵化、網絡安全業務部署不靈活，缺乏自適應性等問題，并實現了網絡安全服務鏈的優化編排調度。

2 智能服務鏈系統設計與實現

2.1 支持網絡安全池虛實結合的服務鏈構建

網絡安全資源池主要由硬件形式的網絡安全功能網元構成。而在本系統的設計中，參考基于NFV的軟件定義安全設計，采用虛擬化的網絡安全功能網元。如圖1所示，這些網元以獨立形態的虛擬化軟件形式運行在標準x86服務器上，通過服務器內部的虛擬網絡進行通信，構成一個可平滑擴展的網元集群，并通過統一的管控平臺實現管控。本系統采用OpenStack平臺作為虛擬化平臺[15]，為這些虛擬網元提供承載運行的虛擬機載體，并實現相互之間的隔離。

圖1 虛實網絡功能結合的網絡安全資源池架構設計

Figure 1 Design of network security resource pool architecture combining virtual and physical network functions

本系統將業務流量按照指定順序轉發至不同類型的網元，構成網絡安全服務鏈，服務鏈中包含物理網絡功能（PNF，physical network function）與虛擬網絡功能（VNF，virtual network function）[16]。如圖1所示，業務流量經過一條由3個PNF和2個VNF構成的服務鏈，實現不同網絡安全功能的組合。為了實現業務流量按照指定的順序經過指定類型的網絡功能，本系統基于SDN交換機和虛擬網橋構建網絡安全功能網元之間的網絡連接，并通過SDN控制器實現對SDN交換機和虛擬網橋上轉發流表的控制。特別地，在系統實現中，為了加快數據包在VNF之間的轉發速度，本系統采用DPDK[17]技術，加速從服務器網卡到VNF處理進程之間的數據包轉發。

2.2 基于安全日志檢測的服務鏈動態更新機制

基于安全日志檢測的服務鏈動態更新機制設計中，主要包括3部分，分別是安全日志解析模塊、安全規則庫與服務鏈控制模塊。系統通過對攻擊日志的解析得到攻擊類型，匹配安全規則庫中的安全規則，若找到對應的安全規則，根據規則中定義的規則鏈動態更新服務鏈。

具體地，日志解析通過部署SYSLOG SERVER接收第三方安全檢測設備推送的日志信息，解析日志信息中屬性，包括設備主機名、攻擊鏈、威脅類別、攻擊者、威脅嚴重性、事件可信度等，將這些信息按照預置的攻擊事件模板進行整理并生成攻擊事件。

安全規則庫借鑒專家系統[18]的設計思路，保存了安全規則配置信息，一條安全規則包括兩部分，分別是攻擊事件字段與對應的規則鏈，攻擊事件由歷史攻擊事件組成，而對應的規則鏈由網絡安全專家創建并加入系統中。當日志解析生成攻擊事件時，則將該攻擊事件與安全規則中的攻擊事件字段進行匹配，匹配方式為最長前綴匹配。當匹配成功時，則定位至對應的規則鏈，并通過服務鏈控制模塊根據規則鏈中的定義動態更新服務鏈。

在更新過程中，服務鏈控制模塊首先將規則鏈與現有服務鏈對比，如當原有安全網絡功能不滿足規則鏈要求、需要添加新的安全功能時，則先刪除原有服務鏈，包括刪除物理SDN交換機及虛擬網橋中與該服務鏈相關的流表信息；然后創建并下發規則鏈中定義的新的服務鏈，若新增的安全功能為虛擬網元，則通過虛擬化平臺創建新的VNF實例，并配置SDN交換機及虛擬網橋中的流表。

圖2展示了服務鏈動態調整[19]的使用場景，原始服務鏈中包含3層防火墻（FW）與Web應用防火墻（WAF，Web application firewall）兩個網元。當系統中被注入危險流量時，WAF網元發現該可疑流量并生成日志告警，本系統將接收推送的日志告警并整理生成攻擊事件，將該攻擊事件與安全規則庫中的攻擊事件字段進行對比，確定所要調整的規則鏈，假設規則鏈告知需要在服務鏈中增加深度包檢測（DPI，deep packet inspection）網元，則服務鏈控制模塊將分配一個DPI網元，該網元可以是PNF，也可以是新建的VNF，隨后調整SDN交換機和虛擬網橋上的流表調整轉發策略。從上述使用場景示例可見，通過服務鏈動態更新的機制設置，攻擊事件的危險流量流過對應網絡安全服務鏈中的網絡安全資源來進行安全防護，與傳統安全網絡的串聯架構做比較，該機制可以在保障安全性的同時，降低日常網絡安全資源池資源開銷。

Figure 2 Example of service chain dynamic tuning scenario

2.3 服務鏈部署模型與算法

在服務鏈部署的過程中，需要決定服務鏈中每個網絡功能映射的對象[20]，以及當映射的對象為VNF時決定為該VNF分配的資源，保證部署后的服務鏈滿足業務的需求。為了解決這個問題，本節介紹一種服務鏈部署模型，并針對建立的數學模型提出一種啟發式算法。

圖3 VNF處理時延與分配資源量的關系

Figure 3 Relationship between VNF processing delay and amount of allocated resource

3 實驗與分析

3.1 實驗環境搭建

本文所設計的原型系統中硬件包含4臺服務器，2臺SDN交換機，1臺3層防火墻設備，以及1臺WAF設備。服務器配置為24核CPU，頻率為2.1 GHz，內存64 GB。其中3臺服務器安裝運行OpenStack J版本，為VNF提供基礎虛擬機環境，1臺服務器用于運行SDN控制器。SDN交換機采用盛科V580，3層防火墻設備采用華為USG6300，WAF設備采用深信服B1400。硬件設備之間的連接參考如圖1所示方式進行。

3.2 結果分析

首先，驗證所搭建的原型系統面對安全事件時做出決策的時間。實驗中預先在安全規則庫內加入所要測試的安全事件規則，再向系統中注入5種不同類型的危險流量，結果如表1所示。可以看到，系統發現安全事件并做出調整服務鏈決策的時間在3 s左右，深入探索可以進一步發現實際上網絡安全功能網元發現危險流量并告警的時間在毫秒級別，系統所耗費的時間主要用于生成安全事件，匹配安全規則庫，并做出調整服務鏈決策的過程。

表1 發生安全事件后系統做出決策時間

接著，驗證系統在做出決策后調整服務鏈部署的完成時間。實驗發現該時間在1 min～2 min。該時間跨度較大的原因為該時間與調整服務鏈過程中需要新增部署的VNF數量有關。若服務鏈調整部署過程中不需要新增部署VNF，則該調整過程能夠在3 s內完成。若需要新增部署VNF，由于在OpenStack平臺中新建虛擬機需要一定時間，整體的調整時間變長。圖4展示了新增部署VNF所需的時間與部署數量之間的關系，可以看到當新增部署10個以上VNF實例時，所需的時間接近1 min。從以上分析可以得出結論，當需要系統快速做出服務鏈調整響應時，可以提前新建VNF實例并保持運行，但這種方式同時會造成資源開銷增加。

圖4 新增部署VNF所需的時間與部署數量之間的關系

Figure 4 The relationship between the time required for deploying VNF and the number of deployed VNF

最后，驗證本文所設計的服務鏈編排映射算法的性能。基于數值仿真中的參數設置，本節對比了本文所設計的算法與一種隨機部署算法的性能。隨機部署算法隨機選擇服務鏈中網絡功能的部署和映射方式，并按照同樣的方法推導計算滿足服務鏈時延要求的VNF資源分配量。由圖5所示的結果可知，本文算法相比隨機部署算法可節省65%的虛擬資源消耗，這是因為本文算法優先選擇PNF作為網絡功能，即使在選擇VNF時，也優先選擇分配同樣虛擬資源時能降低處理時延最多的VNF。

4 結束語

本文設計了一種面向網絡安全資源池的智能服務鏈系統。該系統構建了包含PNF網元與VNF網元的服務鏈，并融入SDN技術實現系統的智能化管控，能夠基于對安全日志的檢測結果調整服務鏈的部署形態，提高網絡安全系統的部署靈活度。同時，本文設計了一種服務鏈的編排映射模型與算法，應用于本文所設計的系統能夠有效降低系統對虛擬資源的使用，提高網絡安全資源池內整體資源的使用效率。該系統有望運用于園區與數據中心網絡出口處的網絡安全區域[21]，通過新增服務器運行VNF，以及新增SDN交換機連接PNF與服務器，并應用該系統實現對網絡安全區域的改造，簡化該區域運維，提高該區域的靈活度。

圖5 各算法消耗虛擬資源量對比

Figure 5 Comparison of amount of virtual resources consumed by each algorithm

[1] ZHANG X S, CHENG X Z, LI H B, et al. Security service chain based on sdn&nfv construction technology[C]//Signal and Information Processing, Networking and Computers. Lecture Notes in Electrical Engineering, vol 628. 2020.p.840-848.

[2] ZHU S, ZHOU C, WANG C, Security service function chain based on software-defined security[J]. Journal of Physics: Conference Series, 2021. 2010(1): 12083.

[3] KRISHNAN P, DUTTAGUPTA S, ACHUTHAN K. SDN/NFV security framework for fog to things computing infrastructure[J]. Software: Practice and Experience, 2020, 50(5): 757-800.

[4] CHIOSI M, CLARKE D, WILLIS P, et al. Network functions virtualisation introductory white paper[R]. SDN and OpenFlow World Congress, 2012.

[5] MCKEOWN N, ANDERSON T, BALAKRISHNAN H, et al. OpenFlow: Enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74.

[6] LINA Z, DONGZHAO Z. A new network security architecture based on SDN/NFV technology[C]//2020 International Conference on Computer Engineering and Application (ICCEA). IEEE, 2020: 669-675.

[7] SANTOS G L, BEZERRA D F, ROCHA E S, et al. Service function chain placement in distributed scenarios: a systematic review[J]. Journal of Network and Systems Management, 2022, 30(1): 1-39.

[8] CHEN W, WANG Z, ZHANG H, et al. Cost-efficient dynamic service function chain embedding in edge clouds[C]//2021 17th International Conference on Network and Service Management (CNSM). IEEE, 2021: 310-318.

[9] SHIN S，PORRAS P，YEGNESWARAN V, et al. FRESCO: modular composable security services for soft-ware-defined networks[C]//Proceedings of the 20th Annual Network and Distributed System Security Symposium. 2013.

[10] LIU Y P, GUO Z G, SHOU G C, et al, To achieve a security service chain by integration of NFV and SDN[C]//2016 Sixth International Conference on Instrumentation & Measurement, Computer, Communication and Control (IMCCC). 2016: 974-977.

[11] MARTINI B, PAGANELLI F, MOHAMMED A A, et al．SDN controller for context-aware data delivery in dynamic service chaining[C]//Proceedings 1st IEEE Conference on Network Softwarization, 2015: 1-5.

[12] GIOTIS K, KRYFTIS Y, MAGLARIS V. Policy-based orchestration of NFV services in software-defined networks[C]//Proceedings of the 1st IEEE Conference on Network Softwarization. 2015. 1-5.

[13] QAZI Z A, TU C C, CHIANG L, et al. SIMPLE-fying middlebox policy enforcement using SDN[C]//Proceedings of the ACMSIGCOMM 2013. 2013. 27-38.

[14] IFFLANDER L, WALTER J, EISMANN S, et al. The ¨Vision of self-aware reordering of security network function Chains[C]// Companion of the 2018 ACM/SPEC International Conference on Performance Engineering. 2018.

[15] 劉宇濤,陳海波. 虛擬化安全：機遇，挑戰與未來[J]. 網絡與信息安全學報, 2016, 2(10): 17-28.

LIU Y T ,CHEN H B. Virtualization security:the good,the bad and the ugly[J]. Chinese Journal of Network and Information Security, 2016, 2(10): 17-28.

[16] LI B, CHENG B, LIU X, et al. Joint resource optimization and delay-aware virtual network function migration in data center networks[J]. IEEE Transactions on Network and Service Management, 2021, 18(3): 2960-2974.

[17] CERRATO I, ANNARUMMA M, RISSO F. Supporting fine-grained network functions through Intel DPDK[C]//2014 Third European Workshop on Software Defined Networks. 2014: 1-6.

[18] MAHDAVIFAR S, GHORBANI A A. DeNNeS: deep embedded neural network expert system for detecting cyber attacks[J]. Neural Computing and Applications, 2020, 32(18): 14753-14780.

[19] LIU Y, LU Y, LI X, et al. On dynamic service function chain reconfiguration in IoT networks[J]. IEEE Internet of Things Journal, 2020, 7(11): 10969-10984.

[20] 謝記超,伊鵬,張震,等. 基于異構備份與重映射的服務功能鏈部署方案[J]. 網絡與信息安全學報, 2018, 4(6): 23-35.

XIE J C,YI P, ZHANG Z, et al. Service function chain deployment scheme based on heterogeneous backup and remapping[J]. Chinese Journal of Network and Information Security, 2018, 4(6): 23-35.

[21] HUANG M, LUO W, WAN X. Research on Network Security of Campus Network[C]//Journal of Physics: Conference Series. IOP Publishing, 2019, 1187(4): 042113.

Design and analysis of intelligent service chain system for network security resource pool

WANG Zenan1, LI Jiahao2, TAN Chaohong3, PI Dechang2

1. Purple Mountain Laboratories, Nanjing 211100, China 2. Nanjing University of Aeronautics and Astronautics, Nanjing 211100, China 3. Jiangsu Future Networks Innovation Institute, Nanjing 211100, China

The traditional network security architecture ensures network security by directing traffic through hardware based network security function devices. Since the architecture consists of fixed hardware devices, it leads to a single form of network security area deployment and poor scalability. Besides, the architecture cannot be flexibly adjusted when facing network security events, making it difficult to meet the security needs of future networks. The intelligent service chain system for network security resource pool was based on software-defined network and network function virtualization technologies, which can effectively solve the above problems. Network security functions of virtual form were added based on network function virtualization technology, combined with the existing hardware network elements to build a network security resource pool. In addition, the switching equipment connected to the network security elements can be flexibly controlled based on software-defined network technology. Then a dynamically adjustable network security service chain was built. Network security events were detected based on security log detection and a expert library consisting of security rules. This enabled dynamic and intelligent regulation of the service chain by means of centralized control in the face of network security events. The deployment process of the service chain was mathematically modeled and a heuristic algorithm was designed to realize the optimal deployment of the service chain. By building a prototype system and conducting experiments, the results show that the designed system can detect security events in seconds and automatically adjust the security service chain in minutes when facing security events, and the designed heuristic algorithm can reduce the occupation of virtual resources by 65%. The proposed system is expected to be applied to the network security area at the exit of the campus and data center network, simplifying the operation and maintenance of this area and improving the deployment flexibility of this area.

software define network, network security resource pool, service chain, network function virtualization

Jiangsu Funding Program for Excellent Postdoctoral Talent

王澤南, 李佳浩, 檀朝紅, 等. 面向網絡安全資源池的智能服務鏈系統設計與分析[J]. 網絡與信息安全學報, 2022, 8(4): 175-181.

TP393

A

10.11959/j.issn.2096?109x.2022051

王澤南（1994?），男，浙江湖州人，博士，主要研究方向為網絡功能虛擬化、網絡智能。

李佳浩（2001? ），男，甘肅平涼人，主要研究方向為軟件定義網絡。

檀朝紅（1985? ），男，安徽安慶人，主要研究方向為軟件定義網絡、云計算、網絡功能虛擬化。

皮德常（1971? ），男，河南周口人，南京航空航天大學教授、博士生導師，主要研究方向為軟件工程新技術、軟件安全性測試方法。

2022?05?16；

2022?07?22

王澤南，wangzenan@pmlabs.com.cn

江蘇省卓越博士后計劃

WANG Z N, LI J H, TAN C H, et al. Design and analysis of intelligent service chain system for network security resource pool[J]. Chinese Journal of Network and Information Security, 2022, 8(4): 175-181.