網絡功能虛擬化支持下的網絡安全技術研究

摘要：為了探索網絡功能虛擬化（Network Function Virtualization，NFV）環境下的網絡安全技術，解決網絡異常檢測及定位問題，文章通過采用矩陣差分分解，著眼于提升網絡異常情況下的檢測精確度與定位，在構建的NFV網絡模型中利用不同強度的異常流場景，深入分析了網絡異常對系統性能的影響，測試了基于矩陣差分分解的MADEL（Matrix Analysis for Detection and Location）算法在不同場景下的表現。研究結果表明，MADEL算法能夠有效適應不同異常環境，隨著異常流強度的增加，算法的檢測與定位效果為NFV環境下的網絡安全管理提供了有力的技術支持。

關鍵詞：NFV技術；網絡異常檢測；RTT網絡模型；差分分解

中圖分類號：TN92文獻標志碼：A

0 引言

隨著網絡功能虛擬化（Network Function Virtualization，NFV）技術的廣泛應用，網絡安全成了研究的重點領域。該研究旨在探討NFV環境下網絡異常檢測及定位的有效策略，以應對日益復雜的網絡安全威脅。研究采用矩陣差分分解方法，深入分析網絡異常對系統性能的具體影響，進而評估基于該方法的MADEL算法在不同網絡異常場景下的適應性和效果。文章創新點在于結合NFV的特性，對MADEL算法進行了優化和調整，以提高其在動態虛擬化網絡環境中的準確性和效率，為網絡安全領域提供了新的研究視角和實用工具。

1 相關研究

1.1 NFV技術

NFV技術源自通信領域，該技術可將網絡服務從硬件設備中解耦，其可在標準化虛擬服務器上實現，大幅提升了網絡架構的靈活性與擴展性。NFV技術允許網絡運營商通過軟件來管理和擴展網絡功能，而無需依賴于專用物理設備。該技術通過將網絡功能（如防火墻、負載均衡器等）封裝為獨立的虛擬網絡函數（Virtual Network Function， VNF），實現了對系統功能的快速部署與靈活管理［1］。

1.2 網絡異常檢測及定位技術

網絡異常檢測及定位技術是網絡安全領域的關鍵組成部分，能夠及時發現并定位網絡中的異常行為，保障網絡環境的安全與穩定。該技術利用多種數據源，包括流量日志、系統日志及網絡拓撲信息，通過綜合分析網絡數據來識別潛在的安全威脅或網絡故障。在NFV技術的應用背景下，網絡異常檢測及定位技術面臨新的挑戰與機遇［2］。虛擬化環境下的動態性要求檢測系統能夠適應網絡結構與流量的實時變化，確保檢測準確性和效率。

2 基于矩陣差分分解的網絡異常檢測及定位

2.1 基于RTT網絡測量模型

基于往返時延（Round-Trip Time，RTT）網絡測量模型主要利用RTT值來評估網絡中各節點間的通信效率，進而監控網絡狀態，識別潛在的異常或性能瓶頸。RTT性能矩陣模型如圖1所示。矩陣元素i代表在第t個測量周期內，邊界設備i到邊界設備j的RTT測量值。當測量周期數T=16時，可構建A16×6RTT矩陣，其中矩陣的行代表時間周期，列代表不同的邊界設備對［3］。

2.2 基于矩陣差分分解異常檢測及定位算法

基于矩陣差分分解（Matrix Differential Decomposition，MDD）的網絡異常檢測方法主要依托于RTT網絡測量模型，通過對RTT性能矩陣進行深入分析，實現對網絡異常的有效檢測和精確定位。RTT性能矩陣A中的元素Atij代表在特定周期內，網絡中2個邊界設備i、j之間的RTT值。在正常情況下，RTT值應相對穩定，而網絡中的異常事件，如故障或擁塞，會在RTT矩陣中引起明顯的波動。當網絡中出現異常時，RTT性能矩陣A的某些部分值會產生顯著變化，但變化也僅是影響矩陣中的少數元素［4］。

基于MDD的網絡異常檢測方法假設待分析的RTT矩陣A1為2個矩陣之和：接近正常狀態的低秩基準矩陣Ao和稀疏的差異矩陣Ae。其中，Ao代表網絡在沒有異常時的RTT行為，而Ae則捕捉了由于異常所導致的RTT值的變化。通過將A1分解為Ao和Ae，可以利用Ae中的稀疏性來定位網絡中的異常。分解過程可以通過優化問題實現，目標是最小化基準矩陣的秩和差異矩陣的元素數量，以此表示為式（1）所示的優化模型。

其中，rank（Ao）代表矩陣Ao的秩，‖Ae‖0表示矩陣Ae的L0范數，即非零元素的數量，而λ是平衡2個目標的正則化參數。通過解決上述優化問題，可以得到基準矩陣Ao和差異矩陣Ae，后者揭示了網絡性能異常的位置和規模。

2.3 基于NFV技術的網絡測量系統及分析

2.3.1 基于NFV技術的網絡測量系統

該節聚焦于基于NFV技術的網絡測量系統，結合邊界設備（R1—R3）和內部路由器（n1—n12）構成了網絡的基礎架構，系統通過在每個邊界設備上部署虛擬網絡功能程序（AM1—AM3）實現主動測量，并負責定期測量到其他邊界設備的RTT值，形成RTT性能矩陣A。

設置RTT性能矩陣A的生成基于邊界設備之間的RTT測量值，每5 s注入的泊松流背景流量模擬了網絡中的正常流量，而每條流由強度為1 Mbps的用戶數據報協議（User Datagram Protocol，UDP）分組構成。在實驗階段，為了測試RTT性能矩陣的低秩性和網絡的異常檢測能力，向網絡中注入異常流量，每個異常流的強度約為50 Mbps，顯著高于背景流量。數據集的收集分為3個階段：第一階段（第1時隙—第30時隙）未注入異常流，收集的數據集Dataset1代表網絡的正常狀態；第二階段（第31時隙—第50時隙）注入第一個異常流，形成數據集Dataset2；第三階段（第61時隙—第80時隙）同時注入2個異常流，形成數據集Dataset3。在測量系統中，文章通過RTT性能矩陣揭示網絡狀態，進一步分析矩陣性能以揭示網絡性能的關鍵特征。可將RTT性能矩陣A表示為：

A=［aij］m×n（2）

其中，aij代表在給定時間周期內，從邊界設備i到邊界設備j的RTT測量值。該矩陣能反映網絡的即時狀態，還能實現數學分析，比如奇異值分解（Singular Value Decomposition，SVD）或主成分分析（Principal Components Analysis，PCA），來檢測和定位網絡中的異常行為［5］。RTT性能矩陣主軸方差貢獻率如圖2所示，在3個數據集中，前3個奇異值可以獲取網絡96%的特征，進而表明無論網絡是否在存在異常，RTT矩陣都具備低秩特性。

2.3.2 MADEL示例

MADEL（Matrix Analysis for Detection and Location）示例可通過分析RTT性能矩陣來檢測和定位網絡中的異常。該節將展示MADEL示例的核心方法和步驟以及如何利用該示例進行網絡異常檢測和定位。MADEL示例依賴于精確構建的RTT性能矩陣，基于邊界設備間的RTT測量值。設網絡中3個邊界設備為R1—R3，可構建的RTT性能矩陣A如式（3）所示。

其中，RTTij代表從邊界設備i到邊界設備j的往返時延。

在MADEL示例中，關鍵步驟如下。

（1）構建RTT性能矩陣：利用邊界設備上部署的VNF程序持續測量并更新RTT性能矩陣。

（2）異常檢測：對RTT性能矩陣進行分析，使用矩陣分解或其他統計方法識別矩陣中的異常值。比如，利用SVD將RTT性能矩陣分解為多個矩陣的乘積，分析分量矩陣以識別異常。

（3）異常定位：一旦檢測到異常，通過分析RTT性能矩陣中異常值的位置，確定網絡中異常發生的具體位置。

為了展示MADEL示例的應用，文章構建數據表來表示RTT性能矩陣在不同時間點的值，如表1所示。

由表可知：時間T2中RTT12、RTT21值為50 ms，時間T3中RTT23與RTT32值為70 ms，可看出數值明顯異常，指示網絡存在問題。

2.4 實驗結果分析

2.4.1 大規模網絡實驗

聚焦于Prototype1網絡拓撲結構構建基于NFV的網絡測量系統，其中包含34個路由器，細分為10個AS邊界路由器（R1—R10）和24個內部路由器（n1—n24），展現出冪律分布的特性，模擬真實世界網絡的復雜性。文章實驗設計包括4種獨特的異常注入場景S1—S4：設在S1場景中向n3和n14 2個獨立內部路由器注入異常；在S2場景中向相鄰的n17、n24路由器的不同端口注入異常；在S3場景中向單一路由器n6的2個端口注入異常；在S4場景中向nPMsqE5iWBhfAy224qtg1dg==9、n13和n173個路由器注入異常［6］。文章設計如下實驗測試基于矩陣差分分解的方法在不同網絡異常注入場景下的檢測與定位能力：通過收集各場景下的RTT數據，構建RTT性能矩陣，應用矩陣差分分解技術來識別網絡中的異常情況。該方法通過MADEL算法比較各場景下的真正率（True Positive Rate，TPR）、真負率（True Negative Rate，TNR）和分類報告率（Categorical Reporting Rate，CRR）進行評估。具體參數如表2所示。

2.4.2 網絡異常影響

實驗通過構建3種不同強度的異常泊松流場景，探索了異常流速率對網絡性能及MADEL算法檢測能力的影響。在圖3所示的基于NFV的網絡測試系統中，實驗首先在第10個時隙注入平均速率為5 Mbps的異常流，繼而在第30個時隙注入20 Mbps的異常流，最后在第50個時隙注入50 Mbps的異常流，每次注入持續10個時隙。實驗結果顯示，隨著異常流強度的增加，差分矩陣中的異常數據值增大，網絡擁塞現象更為明顯。圖3（a）直觀地揭示了異常流強度與網絡擁塞之間的關系。此外，通過對100多次試驗的分析，圖3（b）—（d）展示了MADEL算法在不同異常流強度下的性能表現，具體體現在TPR、TNR和CLR的變化。

3 結語

綜上所述，該研究基于NFV對網絡安全技術（特別是網絡異常檢測及定位問題）進行了深入探討。通過引入基于矩陣差分分解的MADEL算法，該研究不僅提高了對網絡異常的檢測準確性和定位效率，還通過實驗驗證了算法在不同異常流強度下的穩定性和可靠性。MADEL算法能夠有效適應不同強度的網絡異常，及時響應和處理網絡異常。研究成果為NFV環境下的網絡安全管理提供了新的方法論和實踐案例，對推動網絡安全技術的發展具有重要意義。未來的研究可以進一步探索算法在更多元化網絡環境中的應用，結合機器學習等先進技術提升網絡異常檢測和定位的智能化水平。

參考文獻

［1］林華，薛靜宜.軟件定義網絡（SDN）/網絡功能虛擬化（NFV）技術研究及部署［J］.廣播電視網絡，2022（1）：106-108.

［2］劉曉童.基于NFV的網絡安全技術研究［J］.無線互聯科技，2022（19）：153-155.

［3］陽勇，孟相如，康巧燕，等.拓撲與資源感知的虛擬網絡功能遷移方法［J］.計算機科學與探索，2021（11）：2161-2170.

［4］王偉.面向虛擬化網絡環境的網絡安全態勢要素提取及安全態勢預測應用［J］.電視技術，2023（1）：177-182.

［5］趙圣隆.5G背景下計算機網絡關鍵技術的應用研究［J］.信息記錄材料，2023（8）：131-133.

［6］郝小鳳.基于大數據的計算機網絡安全技術研究［J］.信息與電腦，2023（15）：33-35.

Research on network security technology supported by network function virtualization

Abstract： This study aims to explore network security technologies in the context of NFV（Network Function Virtualization） and address issues related to network anomaly detection and localization. In the study， matrix differential decomposition is used to improve the detection accuracy and localization of network anomalies. In the constructed NFV network model， the different intensity anomaly flow scenarios are utilized to deeply analyze the impact of network anomalies on system performance. The performance of the MADEL（Matrix Analysis for Detection and Location）algorithm based on matrix differential decomposition is tested in different scenarios. The research results indicate that the MADEL algorithm can effectively adapt to different abnormal environments. As the intensity of abnormal flow increases， the detection and localization performance of the algorithm provides strong technical support for network security management in NFV environments.

Key words： NFV technology; network anomaly detection; RTT network model; differential decomposition