文献类型：期刊文章

作　　者：王泽南[1] 李佳浩[2] 檀朝红[3] 皮德常[2]

WANG Zenan;LI Jiahao;TAN Chaohong;PI Dechang(Purple Mountain Laboratories,Nanjing 211100,China;Nanjing University of Aeronautics and Astronautics,Nanjing 211100,China;Jiangsu Future Networks Innovation Institute,Nanjing 211100,China)

机构地区：[1]网络通信与安全紫金山实验室,江苏南京211100 [2]南京航空航天大学,江苏南京211100 [3]江苏省未来网络创新研究院,江苏南京211100

出　　处：《网络与信息安全学报》

基　　金：江苏省卓越博士后计划。

年　　份：2022

卷　　号：8

期　　号：4

起止页码：175-181

语　　种：中文

收录情况：DOAJ、JST、SCOPUS、ZGKJHX、普通刊

摘　　要：传统网络安全架构通过将流量引导经过硬件形式的网络安全功能设备来保障网络安全,该架构由形式固定的硬件组成,导致网络安全区域部署形式单一,可扩展性较差,在面对网络安全事件时无法灵活地做出调整,难以满足未来网络的安全需求。面向网络安全资源池的智能服务链系统基于软件定义网络与网络功能虚拟化技术,能够有效解决上述问题。基于网络功能虚拟化技术新增虚拟形式的网络安全功能网元,结合已有的硬件网元构建虚实结合的网络安全资源池,并基于软件定义网络技术实现对连接网元的交换设备的灵活控制,从而构建可动态调节的网络安全服务链;基于安全日志检测与安全规则专家库实现对网络安全事件的检测与生成对应的响应方案,从而能够在面对网络安全事件时通过集中式控制的方式实现服务链的动态智能调节;对服务链的部署过程进行数学建模并设计了一种启发式的服务链优化编排算法,实现服务链的优化部署。通过搭建原型系统并进行实验,结果表明,所设计系统能够在面对安全事件时在秒级时间内完成安全事件的检测,并能够在分钟级时间内完成对安全服务链的自动调整,所设计的服务链优化部署算法能够将服务链对虚拟安全资源池中资源的占用降低65%。所设计系统有望运用于园区与数据中心网络出口处的网络安全区域,简化该区域的运维并提高该区域的部署灵活度。

关 键 词：软件定义网络  网络安全资源池  服务链 网络功能虚拟化  

分 类 号：TP393]