劉曉童

（山東青年政治學(xué)院，山東 濟(jì)南 250103）

0 引言

當(dāng)今社會(huì)，網(wǎng)絡(luò)技術(shù)日益成熟，線(xiàn)上購(gòu)物、網(wǎng)上外賣(mài)、共享經(jīng)濟(jì)等新型業(yè)態(tài)發(fā)展速度日益加快，民眾對(duì)網(wǎng)絡(luò)的依賴(lài)度日益增加，我國(guó)有關(guān)部門(mén)為進(jìn)一步加快社會(huì)發(fā)展速度，針對(duì)網(wǎng)絡(luò)制定了具體的政策法規(guī)，使得我國(guó)網(wǎng)民數(shù)量進(jìn)一步增加。但是由于網(wǎng)民數(shù)量不斷增加，網(wǎng)絡(luò)安全問(wèn)題出現(xiàn)的頻率也不斷增加，對(duì)我國(guó)的發(fā)展造成了嚴(yán)重影響。NFV技術(shù)可以提高網(wǎng)絡(luò)安全性，備受研究人員關(guān)注。但是與之前所不同的是，伴隨網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也在向多樣化方向發(fā)展，基于此，如何發(fā)揮NFV技術(shù)最大價(jià)值成了有關(guān)人員的重點(diǎn)關(guān)注內(nèi)容。

1 NFV技術(shù)

在之前，網(wǎng)絡(luò)運(yùn)營(yíng)商需要借助專(zhuān)業(yè)物理設(shè)備提供網(wǎng)絡(luò)服務(wù)，對(duì)硬件基礎(chǔ)設(shè)施、服務(wù)功能以及網(wǎng)絡(luò)拓?fù)涞纫蛩靥岢隽溯^高要求，與當(dāng)今社會(huì)發(fā)展需求不符，在此背景下，NFV技術(shù)應(yīng)運(yùn)而生［1］。NFV技術(shù)本質(zhì)為借助IT虛擬化技術(shù)對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行虛擬化處理，提高各功能模塊的緊密性，開(kāi)發(fā)新業(yè)務(wù)，以滿(mǎn)足客戶(hù)所提需求。NFV技術(shù)最早出現(xiàn)在2012年，由歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)提出，之后被廣泛應(yīng)用在行業(yè)當(dāng)中［2］。與傳統(tǒng)網(wǎng)絡(luò)技術(shù)相比，NFV技術(shù)具有成本低、利潤(rùn)高等優(yōu)點(diǎn)，在實(shí)際的應(yīng)用過(guò)程中主要具備以下3大優(yōu)勢(shì)：

(1）可以對(duì)軟硬件進(jìn)行解耦處理。

NFV虛擬網(wǎng)元設(shè)備不再依賴(lài)專(zhuān)用硬件設(shè)施，軟件服務(wù)與硬件設(shè)備被劃分為兩個(gè)獨(dú)立個(gè)體，使得ISP空間得到了進(jìn)一步擴(kuò)大，在開(kāi)發(fā)NFV與服務(wù)鏈時(shí)擁有更多可能性。

(2）網(wǎng)絡(luò)部署功能靈活性更好。

傳統(tǒng)網(wǎng)絡(luò)需要借助專(zhuān)用硬件設(shè)備方可完成網(wǎng)絡(luò)部署，在部署完成后，調(diào)整難度較高［3］。但是借助NFV技術(shù)則可以消除此類(lèi)困擾，工作人員僅需要根據(jù)自身需求調(diào)整網(wǎng)元結(jié)構(gòu)就可獲得全新網(wǎng)絡(luò)部署。

(3）業(yè)務(wù)編排更加集中。

NFV架構(gòu)可以滿(mǎn)足集中式控制器業(yè)務(wù)編排方式，可以根據(jù)用戶(hù)需求對(duì)其提供針對(duì)性服務(wù)，提高服務(wù)質(zhì)量［4］。

通常情況下，NFV架構(gòu)主要由3部分組成，分別是NFV基礎(chǔ)設(shè)施層、虛擬網(wǎng)絡(luò)功能層以及管理編排層，具體架構(gòu)形式如圖1所示。

圖1 NFV基本架構(gòu)

其中，基礎(chǔ)設(shè)施層(NFVI）內(nèi)部包括完成NFV部署構(gòu)建的虛擬化層與物理硬件資源，以確保NFV可以連接各個(gè)物理位置，及時(shí)傳遞運(yùn)行所需虛擬資源，滿(mǎn)足客戶(hù)需求；虛擬網(wǎng)絡(luò)功能層(VNFs）主要功能為實(shí)現(xiàn)VNF模塊定制化，以用戶(hù)所提需求為基礎(chǔ)，借助ISP將VNF組合成不同形式；管理與編排層，在VNF技術(shù)中，此結(jié)構(gòu)扮演“管理者”角色，協(xié)調(diào)內(nèi)部所擁有資源，由NFV協(xié)調(diào)器、VNF管理器以及虛擬化基礎(chǔ)架構(gòu)管理器3部分組成［5］。

2 基于NFV網(wǎng)絡(luò)的試驗(yàn)系統(tǒng)及分析

2.1 NFV試驗(yàn)網(wǎng)絡(luò)

為了還原現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境，保證測(cè)量精準(zhǔn)度，筆者開(kāi)展了虛擬化環(huán)境構(gòu)建工作，以提高后續(xù)試驗(yàn)精度。

首先，借助Brite拓?fù)渖善鳂?gòu)建一個(gè)符合冪律分布規(guī)律的簡(jiǎn)單網(wǎng)絡(luò)拓?fù)洌⒁訪(fǎng)inux Container為切入點(diǎn)完成NFV網(wǎng)絡(luò)NETI試驗(yàn)環(huán)境搭建。其次，為提高網(wǎng)絡(luò)環(huán)境真實(shí)性，筆者還在其中加入了由D-ITG生成的泊松分布式背景流量，并參考Quagga完成網(wǎng)橋構(gòu)建、路由協(xié)議參數(shù)確定。最后，在網(wǎng)絡(luò)邊緣布置虛擬中間盒(VMB），所部署VMB由LXC與多功能VNF構(gòu)成，不僅可以滿(mǎn)足多種網(wǎng)絡(luò)測(cè)量方式，還具有可控性高、測(cè)量難度低、易于觀察等優(yōu)點(diǎn)，屬于理想測(cè)試場(chǎng)所［6］。

在開(kāi)始試驗(yàn)前，筆者以網(wǎng)絡(luò)攻防定量分析環(huán)境為基礎(chǔ)，結(jié)合NETI完成了LDDoS環(huán)境構(gòu)建，其內(nèi)部擁有邊界設(shè)備6個(gè)(R1~R6）、路由器24個(gè)(n1~n24），同時(shí)各個(gè)路由器均屬于開(kāi)放式最短路徑，運(yùn)行期間遵循OSPF協(xié)議完成選路工作。

2.2 試驗(yàn)及分析

為保證實(shí)際工作質(zhì)量，筆者針對(duì)兩種不同情況展開(kāi)了具體實(shí)驗(yàn)，供相關(guān)人員參考使用。

2.2.1 試驗(yàn)1

攻擊周期T與RTO同步。實(shí)現(xiàn)攻擊周期T與RTO同步是LDDoS形成的關(guān)鍵。在具體試驗(yàn)中，LDDoS會(huì)同時(shí)輸送多個(gè)攻擊脈沖能力，并在一定時(shí)間內(nèi)進(jìn)行周期性重復(fù)。同時(shí)，筆者應(yīng)提高對(duì)可以決定攻擊效果的攻擊周期T的關(guān)注度，借助如下4個(gè)公式完成攻擊數(shù)據(jù)計(jì)算：

2.2.2 試驗(yàn)2

攻擊周期T與RTO不同步。在試驗(yàn)中，筆者為驗(yàn)證“攻擊同步是形成LDDoS的關(guān)鍵”這一說(shuō)法的準(zhǔn)確性，特設(shè)計(jì)了對(duì)比試驗(yàn)，即攻擊周期T與RTO不同步。需要注意的是，在此試驗(yàn)中，雖然攻擊源傳遞攻擊小流的時(shí)間存在差異，但是所傳遞的攻擊小流均為獨(dú)立個(gè)體。試驗(yàn)結(jié)果表明，“攻擊同步是形成LDDoS的關(guān)鍵”這一說(shuō)法成立［7］。

3 基于NFV網(wǎng)絡(luò)平臺(tái)的拓?fù)涮綔y(cè)與評(píng)價(jià)方法

3.1 網(wǎng)絡(luò)拓?fù)涮綔y(cè)及還原方法

對(duì)NFV網(wǎng)絡(luò)進(jìn)行測(cè)量，假設(shè)網(wǎng)絡(luò)環(huán)境穩(wěn)定且處于理想情況，則不存在探測(cè)主機(jī)同步困難問(wèn)題，在此時(shí)，僅需要針對(duì)主流traceroute進(jìn)行選擇測(cè)量即可，并且還可以在網(wǎng)絡(luò)邊界設(shè)備部署多個(gè)測(cè)量點(diǎn)NFV，以加快測(cè)量效率［8］。在之后，筆者應(yīng)借助對(duì)稱(chēng)路徑測(cè)量技術(shù)對(duì)網(wǎng)絡(luò)內(nèi)部路由器節(jié)點(diǎn)接口與鏈路進(jìn)行分析，完成網(wǎng)絡(luò)拓?fù)溥€原。其測(cè)量結(jié)果分為以下兩步。

3.1.1 測(cè)量數(shù)據(jù)預(yù)處理

首先，對(duì)自動(dòng)獲取VNF所收集的traceroute路徑數(shù)據(jù)進(jìn)行分析，然后將其以key、網(wǎng)絡(luò)節(jié)點(diǎn)IP等形式進(jìn)行存儲(chǔ)，完成路徑信息表繪制，最后結(jié)合整理情況對(duì)其進(jìn)行補(bǔ)齊處理。需要注意的是，由于所選擇NFV網(wǎng)絡(luò)使用OSPF路由協(xié)議，在實(shí)際探測(cè)中工作人員需面臨均衡負(fù)載問(wèn)題，因此為保證探測(cè)結(jié)果的準(zhǔn)確性，需要對(duì)其進(jìn)行消除處理。OSPF路由協(xié)議均衡負(fù)載問(wèn)題為在路由選擇過(guò)程中，路由器判斷鏈路為負(fù)載狀態(tài)，當(dāng)遇到權(quán)值相同的兩條鏈路時(shí)，如果一條鏈路存在復(fù)雜，則數(shù)據(jù)會(huì)在另一條鏈路中傳遞，以至于對(duì)traceroute所獲取數(shù)據(jù)準(zhǔn)確性造成影響，進(jìn)而對(duì)別名解析模塊造成影響，導(dǎo)致所生成拓?fù)渑c實(shí)際拓?fù)洳环?］。在實(shí)際工作中，工作人員應(yīng)借助KAPAR消除負(fù)載算法完成數(shù)據(jù)修正。

3.1.2 別名解析

以對(duì)稱(chēng)路徑為切入點(diǎn)，對(duì)已完成預(yù)處理的路由信息表進(jìn)行別名解析。以預(yù)處理路徑完成對(duì)稱(chēng)路徑選擇，可以獲得兩條長(zhǎng)度相等、路徑首尾節(jié)點(diǎn)相等的路徑。對(duì)所獲得兩條路徑首尾節(jié)點(diǎn)進(jìn)行分析，并對(duì)其進(jìn)行命名，然后將其收錄到IP地址別名表中，可以降低拓?fù)溥€原難度。

3.2 網(wǎng)絡(luò)拓?fù)涮綔y(cè)及評(píng)價(jià)方法

在使用網(wǎng)絡(luò)拓?fù)溥M(jìn)行拓?fù)湫畔⑦€原時(shí)，需要借助定量評(píng)估拓?fù)涮綔y(cè)水平方法，對(duì)所獲得的探測(cè)結(jié)果數(shù)據(jù)與實(shí)際網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)進(jìn)行對(duì)比處理，分析網(wǎng)絡(luò)拓?fù)潢P(guān)鍵指標(biāo)的真實(shí)性。在實(shí)際工作中，筆者需要借助層次分析法，對(duì)網(wǎng)絡(luò)拓?fù)涓鲗傩躁P(guān)系，構(gòu)建綜合網(wǎng)絡(luò)拓?fù)湓u(píng)估模型，以判斷探測(cè)者網(wǎng)絡(luò)拓?fù)涮綔y(cè)能力。

首先，分析網(wǎng)絡(luò)拓?fù)鋵傩躁P(guān)聯(lián)，了解屬性分類(lèi)以及重要性，構(gòu)建網(wǎng)絡(luò)拓?fù)浞治瞿Ｐ?。其中網(wǎng)絡(luò)拓?fù)鋵傩灾笜?biāo)主要包括：節(jié)點(diǎn)連通度、節(jié)點(diǎn)重要性、鏈路數(shù)、路徑長(zhǎng)度等，在分析網(wǎng)絡(luò)拓?fù)鋵傩詴r(shí)，需要參考屬性參數(shù)關(guān)聯(lián)性；其次，筆者對(duì)所收集探測(cè)拓?fù)鋽?shù)據(jù)與NFV網(wǎng)絡(luò)實(shí)際拓?fù)鋽?shù)據(jù)進(jìn)行對(duì)比處理；最后，選擇具有較高權(quán)威性的綜合評(píng)價(jià)方法對(duì)探測(cè)結(jié)果進(jìn)行定量分析，提高了分析結(jié)果的準(zhǔn)確度，降低了后續(xù)工作開(kāi)展難度［10］。

需要注意的是，影響網(wǎng)絡(luò)拓?fù)涮綔y(cè)完整性的因素有很多，因此供筆者選擇的AHP方法也有很多，基于此，在實(shí)際選擇時(shí)，應(yīng)結(jié)合自身專(zhuān)業(yè)素質(zhì)，選擇最終的網(wǎng)絡(luò)拓?fù)鋮?shù)，完成網(wǎng)絡(luò)探測(cè)能力全面評(píng)價(jià)，完成樹(shù)狀多層次指標(biāo)構(gòu)建。

借助指標(biāo)層次結(jié)構(gòu)，筆者可以對(duì)元素重要性進(jìn)行分析，完成判斷矩陣，并借助數(shù)值量化法分析其重要性。在實(shí)際測(cè)試中，借助aij代表指標(biāo)i與對(duì)比指標(biāo)j的相對(duì)重要性，具體取值方法以1~9標(biāo)度方法與拓?fù)鋵傩韵禂?shù)相結(jié)合。

3.3 基于NFV網(wǎng)絡(luò)的試驗(yàn)系統(tǒng)及分析

3.3.1 基于NFV網(wǎng)絡(luò)的拓?fù)錅y(cè)量評(píng)估環(huán)境

為幫助技術(shù)高效、優(yōu)質(zhì)地完成網(wǎng)絡(luò)拓?fù)涮綔y(cè)能力評(píng)估，在測(cè)試過(guò)程中，筆者為探測(cè)者營(yíng)造出可測(cè)量的NFV網(wǎng)絡(luò)試驗(yàn)環(huán)境。

在實(shí)際探測(cè)過(guò)程中，筆者以邊界開(kāi)放接口為切入點(diǎn)，結(jié)合實(shí)際情況選擇網(wǎng)絡(luò)探測(cè)方法，然后完成VMB拓?fù)涮綔y(cè)部署。在探測(cè)結(jié)束后，筆者應(yīng)使用所獲得測(cè)量數(shù)據(jù)對(duì)拓?fù)溥M(jìn)行還原處理，以獲得綜合評(píng)分，用于分析網(wǎng)絡(luò)拓?fù)涮綔y(cè)能力。

3.3.2 網(wǎng)絡(luò)拓?fù)涮綔y(cè)及評(píng)價(jià)試驗(yàn)

為驗(yàn)證前文所提供網(wǎng)絡(luò)拓?fù)涮綔y(cè)方法及綜合評(píng)價(jià)方法準(zhǔn)確性，筆者構(gòu)建了兩種不同規(guī)模的NFV原型系統(tǒng)場(chǎng)景。

(1）場(chǎng)景一。在此場(chǎng)景中，筆者所布置拓?fù)溆?0個(gè)內(nèi)部路由構(gòu)成，其測(cè)試結(jié)果如表1所示。

表1 場(chǎng)景一拓?fù)涮綔y(cè)及評(píng)價(jià)結(jié)果

(2）場(chǎng)景二。在此場(chǎng)景中，筆者所布置拓?fù)溆?2個(gè)內(nèi)部路由構(gòu)成，其測(cè)試結(jié)果如表2所示。

表2 場(chǎng)景二拓?fù)涮綔y(cè)及評(píng)價(jià)結(jié)果

針對(duì)探測(cè)結(jié)果進(jìn)行分析可知，伴隨NFV網(wǎng)絡(luò)環(huán)境規(guī)模復(fù)雜程度不斷提高，實(shí)際復(fù)原能力將呈下降趨勢(shì)。即在之后的工作中，有關(guān)人員應(yīng)加大研究力度，對(duì)此項(xiàng)技術(shù)進(jìn)行優(yōu)化升級(jí)。

4 結(jié)語(yǔ)

現(xiàn)階段，網(wǎng)絡(luò)安全問(wèn)題成了民眾重點(diǎn)關(guān)注內(nèi)容，由于其具有復(fù)雜性特點(diǎn)，因此在實(shí)際工作中，技術(shù)人員必須學(xué)會(huì)實(shí)際問(wèn)題實(shí)際分析，選擇最合適的處理手段，在面對(duì)復(fù)雜型難題時(shí)，應(yīng)嘗試借助技術(shù)引進(jìn)方式進(jìn)行解決。雖然應(yīng)用NFV技術(shù)可以提高網(wǎng)絡(luò)安全性，但是通過(guò)本文研究發(fā)現(xiàn)，此項(xiàng)技術(shù)仍然存在較大提升空間，有關(guān)人員應(yīng)加大研究力度，挖掘其潛力。