張青青，湯紅波，游偉，李英樂

基于免疫算法的網(wǎng)絡(luò)功能異構(gòu)冗余部署方法

張青青，湯紅波，游偉，李英樂

（信息工程大學(xué)，河南 鄭州 450002）

針對(duì)現(xiàn)有安全防御手段無法抵御網(wǎng)絡(luò)功能虛擬化平臺(tái)中眾多未知的漏洞與后門的問題。運(yùn)用擬態(tài)防御思想，提出一種網(wǎng)絡(luò)功能虛擬化的擬態(tài)防御架構(gòu)，并針對(duì)其中的異構(gòu)體池構(gòu)建問題設(shè)計(jì)了一種基于免疫算法的網(wǎng)絡(luò)功能異構(gòu)冗余部署方法。首先，結(jié)合熵值法對(duì)異構(gòu)體之間的異構(gòu)度進(jìn)行量化評(píng)估；然后，以實(shí)現(xiàn)異構(gòu)體之間異構(gòu)度最大為優(yōu)化目標(biāo)將網(wǎng)絡(luò)功能異構(gòu)冗余部署問題構(gòu)建成極大極小問題；最后，基于免疫算法快速求解最優(yōu)部署方案。仿真結(jié)果表明，該方法可以迅速收斂到最優(yōu)部署方案，并保證異構(gòu)體之間的異構(gòu)度值整體分布在較高的水平，有效增加了異構(gòu)體池的多樣性，提升了攻擊者的攻擊難度。

網(wǎng)絡(luò)功能虛擬化；擬態(tài)防御；異構(gòu)冗余；免疫算法

1 引言

隨著移動(dòng)通信的發(fā)展，數(shù)據(jù)流量的爆炸式增長給移動(dòng)通信網(wǎng)絡(luò)的承載能力和運(yùn)維成本帶來嚴(yán)峻的挑戰(zhàn)，同時(shí)隨著物聯(lián)網(wǎng)和垂直行業(yè)的快速發(fā)展，新的服務(wù)和應(yīng)用層出不窮，客戶的應(yīng)用需求越來越多樣化?，F(xiàn)有的移動(dòng)通信系統(tǒng)采用專用設(shè)備進(jìn)行組網(wǎng)，具有網(wǎng)絡(luò)改造升級(jí)困難、運(yùn)營成本高等缺陷，無法滿足未來網(wǎng)絡(luò)在時(shí)延、成本以及速率等方面的指標(biāo)要求。為提高網(wǎng)絡(luò)靈活性和資源利用率、降低運(yùn)營開銷，5G技術(shù)在核心網(wǎng)中引入了網(wǎng)絡(luò)功能虛擬化（NFV，network function virtualization）技術(shù)。與傳統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)相比，NFV技術(shù)具有降低運(yùn)營成本、靈活部署網(wǎng)絡(luò)和優(yōu)化資源配置等優(yōu)點(diǎn)，但其開放共享的理念和云化架構(gòu)設(shè)計(jì)給5G網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)[1]，如不安全接口導(dǎo)致的用戶數(shù)據(jù)泄露[2]、控制面開放誘發(fā)的攻擊表面增加[3]、共用物理網(wǎng)卡帶來的旁路監(jiān)聽風(fēng)險(xiǎn)[4]、資源共享引發(fā)的側(cè)信道攻擊[5]等。傳統(tǒng)的網(wǎng)絡(luò)防御手段，如防火墻[6]、入侵檢測[7]等是依賴于已有漏洞、病毒的先驗(yàn)知識(shí)的被動(dòng)防御手段，在應(yīng)對(duì)NFV網(wǎng)絡(luò)中大量未知的漏洞和后門時(shí)，由于不了解攻擊者的攻擊手段，無法起到相應(yīng)的防御效果。

為進(jìn)一步提高NFV網(wǎng)絡(luò)的安全性，彌補(bǔ)現(xiàn)有“打補(bǔ)丁”式防御手段無法抵御未知漏洞與后門的缺陷，本文基于擬態(tài)防御（MD，mimic defense）[8]思想提出一種網(wǎng)絡(luò)功能虛擬化的擬態(tài)防御架構(gòu)，利用網(wǎng)絡(luò)系統(tǒng)環(huán)境的動(dòng)態(tài)性和不確定性獲得防御功能或?qū)傩裕黾庸粽叩奶綔y和攻擊難度。結(jié)合NFV的網(wǎng)絡(luò)特性針對(duì)該防御架構(gòu)中的異構(gòu)體池構(gòu)建問題，本文提出了一種基于免疫算法（IA，immune algorithm）的網(wǎng)絡(luò)功能異構(gòu)冗余部署方法。首先對(duì)組成異構(gòu)體的軟硬件組件進(jìn)行異構(gòu)度評(píng)估，利用熵值法將組件的異構(gòu)度進(jìn)行加權(quán)和構(gòu)成異構(gòu)體之間的異構(gòu)度；然后以異構(gòu)體之間的最小異構(gòu)度值為優(yōu)化目標(biāo)，將網(wǎng)絡(luò)功能的異構(gòu)冗余部署問題建模為極大極小問題；最后利用免疫算法求出目標(biāo)函數(shù)最大的部署方案。仿真結(jié)果顯示，該方法可以有效保證異構(gòu)體之間的異構(gòu)度，增加系統(tǒng)的多樣性，提升攻擊者的攻擊難度。同時(shí)，該方法是一種冗余部署方法，雖然增加了系統(tǒng)的安全性和可靠性，但存在無法避免的部署開銷增加問題，使請(qǐng)求接受率降低。

2 網(wǎng)絡(luò)功能虛擬化的擬態(tài)防御架構(gòu)

圖1 DHR架構(gòu)

Figure 1 DHR architecture

圖2 網(wǎng)絡(luò)功能虛擬化的擬態(tài)防御架構(gòu)

Figure 2 Mimic defense architecture for network function virtualization

3 問題描述與模型構(gòu)建

3.1 問題描述

要實(shí)現(xiàn)網(wǎng)絡(luò)功能虛擬化的擬態(tài)防御架構(gòu)，首先要解決的問題是異構(gòu)體池的構(gòu)建。異構(gòu)體作為處理服務(wù)請(qǐng)求的功能主體，其關(guān)鍵特征在于異構(gòu)，異構(gòu)是擬態(tài)防御架構(gòu)的基礎(chǔ)，異構(gòu)性越大，發(fā)生共模故障的可能性越小?，F(xiàn)有的擬態(tài)相關(guān)文獻(xiàn)[11-14]中，異構(gòu)體是固定的物理設(shè)備，并且異構(gòu)體的個(gè)數(shù)較少，所以異構(gòu)體池的構(gòu)建相對(duì)簡單。在NFV環(huán)境下，虛擬化技術(shù)將軟件功能與硬件平臺(tái)分離，改變了運(yùn)營商的組網(wǎng)方式。網(wǎng)絡(luò)虛擬化后，傳統(tǒng)通信網(wǎng)絡(luò)中的網(wǎng)絡(luò)功能以虛擬網(wǎng)絡(luò)功能（VNF，virtual network function）的形式運(yùn)行在物理網(wǎng)絡(luò)中的高性能服務(wù)器上。如圖3所示，不同的VNF按照一定的邏輯順序連接起來構(gòu)成一條服務(wù)功能鏈（SFC，service function chaining），為用戶提供有效的端到端服務(wù)。在NFV網(wǎng)絡(luò)中，構(gòu)建異構(gòu)體池就變成更為復(fù)雜的將多個(gè)功能相同的VNF部署到底層大量物理服務(wù)器上的問題。若不針對(duì)NFV網(wǎng)絡(luò)特性設(shè)計(jì)相應(yīng)的部署方法，可能會(huì)發(fā)生異構(gòu)體之間相似性較高的情況，此時(shí)動(dòng)態(tài)調(diào)度和多模裁決機(jī)制的防御效果也會(huì)大打折扣。

圖3 服務(wù)鏈請(qǐng)求部署

Figure 3 Service chain request deployment

3.2 系統(tǒng)模型

本文提出的網(wǎng)絡(luò)功能異構(gòu)冗余部署方法就是結(jié)合NFV網(wǎng)絡(luò)功能軟件化、資源共享化和部署動(dòng)態(tài)化的網(wǎng)絡(luò)特性，在部署SFC時(shí)針對(duì)每一個(gè)網(wǎng)絡(luò)功能通過使用不同的編程語言或算法實(shí)現(xiàn)多個(gè)功能等價(jià)的VNF，然后以異構(gòu)度為優(yōu)化目標(biāo)將這些VNF部署到不同的服務(wù)器上得到一個(gè)功能等價(jià)的異構(gòu)體池。這些異構(gòu)體由3層異構(gòu)元素組成，上層采用不同編程語言或算法實(shí)現(xiàn)的VNF是組成異構(gòu)體的軟件層異構(gòu)元素，底層的通用服務(wù)器包含虛擬化層和物理硬件兩層異構(gòu)元素。虛擬化層包含不同的操作系統(tǒng)和虛擬化軟件，操作系統(tǒng)可以采用Windows、Ubuntu、Centos等，虛擬化軟件可以采用VMware、VirtualBox、XEN等；物理硬件層可以使用不同廠商的服務(wù)器。如圖4所示，為SFC中的每一個(gè)網(wǎng)絡(luò)功能構(gòu)建包含3個(gè)異構(gòu)體的異構(gòu)體池，異構(gòu)體池中的各異構(gòu)體具有相同的網(wǎng)絡(luò)功能，但其軟硬件組成是不同的。

3.3 異構(gòu)度量化

異構(gòu)體由各層異構(gòu)元素組成，同一層的異構(gòu)元素之間由于種類的不同，它們之間的差異大小也不同。各層異構(gòu)元素的差異決定了異構(gòu)體之間的差異性，因此可以通過對(duì)各層異構(gòu)元素的異構(gòu)度進(jìn)行量化評(píng)估，進(jìn)而得到異構(gòu)體之間的異構(gòu)度指標(biāo)。本文借鑒了文獻(xiàn)[15]對(duì)異構(gòu)體間差異性的評(píng)價(jià)方法，并利用熵值法對(duì)其進(jìn)行了改進(jìn)。

針對(duì)同一層異構(gòu)元素不同種類之間的差異，采用異構(gòu)矩陣進(jìn)行量化。

圖4 網(wǎng)絡(luò)功能異構(gòu)冗余部署

Figure 4 Heterogeneous redundant deployment of network functions

各層異構(gòu)元素的異構(gòu)度加權(quán)和構(gòu)成了兩個(gè)異構(gòu)體之間的異構(gòu)度。

步驟3 計(jì)算第層元素異構(gòu)度的熵值。

步驟4 計(jì)算各層異構(gòu)度指標(biāo)的權(quán)重。

3.4 數(shù)學(xué)模型構(gòu)建

基于異構(gòu)度指標(biāo)的定義，本節(jié)以最大化異構(gòu)體之間的異構(gòu)度為目標(biāo)，以底層網(wǎng)絡(luò)中物理服務(wù)器可提供的計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)資源為約束，將網(wǎng)絡(luò)功能異構(gòu)冗余部署問題建模為多目標(biāo)優(yōu)化模型，具體數(shù)學(xué)模型如下。

目標(biāo)函數(shù)

約束條件

表1對(duì)本節(jié)涉及的相關(guān)符號(hào)和含義進(jìn)行了梳理。

4 算法描述

網(wǎng)絡(luò)功能的部署問題已被證明是一個(gè)NP難問題[20]，該問題的求解時(shí)間會(huì)隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大呈指數(shù)級(jí)增長。本文將網(wǎng)絡(luò)功能的異構(gòu)冗余部署問題建模為極大極小問題。極大極小問題是一種典型的不可微優(yōu)化問題[21]，由于目標(biāo)函數(shù)的梯度不連續(xù)，現(xiàn)行的基于梯度概念的優(yōu)化算法失效。為在盡可能短的時(shí)間內(nèi)求出一個(gè)相對(duì)較優(yōu)的解，本文使用免疫算法對(duì)上述優(yōu)化模型進(jìn)行求解。免疫算法[22]是受生物免疫系統(tǒng)啟發(fā)而提出的一種智能算法，它在遺傳算法的基礎(chǔ)上加入了免疫的概念，在保留原算法優(yōu)良特性的前提下，利用待求問題中的一些特征信息來抑制優(yōu)化過程中出現(xiàn)的退化現(xiàn)象。

（1）產(chǎn)生初始抗體群

72360536

Figure 5 Antibody code

（2）解的多樣性評(píng)價(jià)

抗體與抗原間親和力用于表示抗體對(duì)抗原的識(shí)別程度，本文使用目標(biāo)函數(shù)來表示。

表1 符號(hào)及其含義

（3）免疫操作

①選擇

本文使用輪盤賭選擇機(jī)制，它是一種放回式隨機(jī)采樣方法。每個(gè)抗體進(jìn)入下一代的概率就是它的期望繁殖概率，期望繁殖概率越高，被選進(jìn)下一代的概率越大。

②交叉

采用單點(diǎn)交叉法，具體過程為：從群體中隨機(jī)選擇兩個(gè)抗體進(jìn)行配對(duì)，隨機(jī)設(shè)置某一編碼之后的位置為交叉點(diǎn)，依設(shè)定的交叉概率交換兩個(gè)抗體交叉點(diǎn)后的編碼。圖6為單點(diǎn)交叉示意。

圖6 單點(diǎn)交叉示意

Figure 6 Single point crossover

②變異

利用變異算子對(duì)抗體中的部分編碼值進(jìn)行調(diào)整，可以從局部出發(fā)使抗體更加逼近最優(yōu)解，提高局部搜索能力，防止“早熟”現(xiàn)象。本文采用常用的變異方法，即隨機(jī)選擇一個(gè)抗體，從抗體編碼串中隨機(jī)選擇一位為變異位，依設(shè)定的變異概率改變變異位的編碼值。

具體算法步驟如算法1所示。

算法1 基于免疫算法的網(wǎng)絡(luò)功能異構(gòu)部署算法

4) end

8) 對(duì)抗體中的每一位編碼進(jìn)行資源容量約束檢查；

9) 對(duì)不滿足資源容量約束的編碼進(jìn)行修正；

10) 如果沒有節(jié)點(diǎn)滿足資源約束，則部署失敗

11) end

13) end

16) if sum(fit)=0

17) 網(wǎng)絡(luò)功能部署失??；

18) end；

23) /*形成父代群 */

27) 采用輪盤賭策略對(duì)父代群進(jìn)行選擇操作；

29) 對(duì)父代群中的抗體進(jìn)行交叉操作；

30) end

32) 對(duì)父代群中的抗體進(jìn)行變異操作；

33) end

34) 重復(fù)步驟5)~步驟12)，進(jìn)行可行性檢查；

35) 將記憶庫中的抗體加入抗體群中；

36) end

37) 更新服務(wù)器中的剩余資源；

5 仿真結(jié)果及分析

5.1 仿真設(shè)置

Figure 7 Probability density plot of Beta distribution with parameters (8,6)

5.2 仿真結(jié)果分析

圖8 控制參數(shù)對(duì)免疫算法收斂性影響

Figure 8 The influence of control parameters on the convergence of immune algorithm

圖9 免疫算法與遺傳算法性能對(duì)比

Figure 9 Performance comparison between immune algorithm and genetic algorithm

圖10 minimax、mean和random異構(gòu)度離散分布對(duì)比

Figure 10 Comparison of the heterogeneity discrete distribution of minimax, mean and random

圖11 異構(gòu)體池異構(gòu)性與異構(gòu)體數(shù)量的關(guān)系

Figure 11 The relationship between the heterogeneity of the heterogeneous entities pool and the number

異構(gòu)體池的差異性量化采用rao二次熵[24]的方法，具體的計(jì)算公式如下。

6 結(jié)束語

網(wǎng)絡(luò)功能虛擬化技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)功能的軟硬件解耦，云化環(huán)境使傳統(tǒng)的物理安全邊界消失，帶來許多新的安全問題。本文利用擬態(tài)防御思想提出一種網(wǎng)絡(luò)功能虛擬化的擬態(tài)防御架構(gòu)，并針對(duì)其中異構(gòu)體池的構(gòu)建問題，結(jié)合網(wǎng)絡(luò)功能虛擬化的網(wǎng)絡(luò)特性提出了基于免疫算法的網(wǎng)絡(luò)功能異構(gòu)冗余部署方法。結(jié)合熵值法對(duì)異構(gòu)體之間的異構(gòu)度進(jìn)行量化評(píng)估，以異構(gòu)度的最小值為優(yōu)化目標(biāo)，將網(wǎng)絡(luò)功能異構(gòu)冗余部署問題建模為極大極小值問題，利用免疫算法對(duì)優(yōu)化模型進(jìn)行求解。仿真結(jié)果表明，本文提出的方法可以在較短時(shí)間內(nèi)求解出異構(gòu)度較大的部署方案，有效保證異構(gòu)體之間的多樣性，增加攻擊者的攻擊難度，提升系統(tǒng)的安全性。存在的不足是：該方法是一種冗余部署方法，會(huì)造成一定的部署開銷增加。在接下來的工作中，將針對(duì)部署開銷與系統(tǒng)安全性之間的平衡問題展開進(jìn)一步研究，希望在保證系統(tǒng)安全性的同時(shí)盡量減少相應(yīng)的開銷。

[1]劉宇濤, 陳海波. 虛擬化安全: 機(jī)遇, 挑戰(zhàn)與未來[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2016, 2(10): 17-28.

LIU Y T, CHEN H B. Virtualization security: the good, the bad and the ugly[J]. Chinese Journal of Network and Information Security, 2016, 2(10): 17-28.

[2]LAL S, TALEB T, DUTTA A. NFV: security threats and best practices[J]. IEEE Communications Magazine, 2017, 55(8): 211-217.

[3]高麗華, 董飛, 任新宇, 等. NFV網(wǎng)絡(luò)的安全威脅及防護(hù)方案探討[C]// 5G網(wǎng)絡(luò)創(chuàng)新研討會(huì)(2018)論文集. 2018.

GAO L H, DONG F, REN X Y, et al. Discussion on NFV network security threats and protection schemes[C]//Proceedings of 5G Network Innovation Seminar (2018). 2018

[4]吳宏建, 張如意, 蘆玥. NFV安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)建議[J]. 信息通信技術(shù)與政策, 2018, 293(11): 75-79.

WU H J, ZHANG R Y, LU Y. Analysis of NFV risks and protection concerns[J]. Information and Communication Technology and Policy, 2018, 293(11): 75-79.

[5]潘啟潤, 黃開枝, 游偉. 基于隔離等級(jí)的網(wǎng)絡(luò)切片部署方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2020, 6(2): 96-105.

PAN Q R, HUANG K Z, YOU W. Network slicing deployment method based on isolation level[J]. Chinese Journal of Network and Information Security, 2020, 6(2): 96-105.

[6]CHRISTOPHER D C, RALPH E W. Firewall system for protecting network elements connected to a public network[S]. US 2000.

[7]LI G X, GAO W M. Research on network security system based on intrusion detection[C]//IEEE International Conference on E-business & E-government. 2010: 2096-2100.

[8]鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報(bào), 2016, 1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4): 1-10.

[9]張晨, 黃韜, 張嬌, 等. 網(wǎng)絡(luò)編排技術(shù)進(jìn)展研究[J]. 信息通信技術(shù), 2016(1): 68-76.

ZHANG C, HUANG T, ZHANG J, et al. A technology research of network orchestration[J]. Information and Communications Technologies, 2016(1): 68-76.

[10]ETSI. Network function virtualization: architectural framework[EB].

[11]馬海龍, 伊鵬, 江逸茗, 等. 基于動(dòng)態(tài)異構(gòu)冗余機(jī)制的路由器擬態(tài)防御體系結(jié)構(gòu)[J]. 信息安全學(xué)報(bào), 2017, 2(1): 29-42.

MA H L, YI P, JIANG Y M, et al. Dynamic heterogeneous redundancy based router architecture with mimic defenses[J]. Journal of Cyber Security, 2017, 2(1): 29-42.

[12]仝青, 張錚, 張為華, 等. 擬態(tài)防御Web服務(wù)器設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件學(xué)報(bào), 2017, 28(4): 883-897.

TONG Q, ZHANG Z, ZHANG W H, et al. Design and implementation of mimic defense web server[J]. Journal of Software, 2017, 28(4): 883-897.

[13]王禛鵬, 扈紅超, 程國振. 一種基于擬態(tài)安全防御的DNS框架設(shè)計(jì)[J]. 電子學(xué)報(bào), 2017, 45(11): 2705-2714.

WANGZ P, HU H C, CHENG G Z. A DNS architecture based onmimic security defense[J]. Acta Electronica Sinica, 2017, 45(11): 2705-2714.

[14]魏帥, 于洪, 顧澤宇, 等. 面向工控領(lǐng)域的擬態(tài)安全處理機(jī)架構(gòu)[J]. 信息安全學(xué)報(bào), 2017, 2(1): 54-73.

WEI S, YU H, GU Z Y, et al. Mimic security processor architecture oriented to the industrial control field[J]. Journal of Cyber Security, 2017, 2(1): 54-73.

[15]劉勤讓, 林森杰, 顧澤宇. 面向擬態(tài)安全防御的異構(gòu)功能等價(jià)體調(diào)度算法[J]. 通信學(xué)報(bào), 2018, 373(7): 192-202.

LIU Q R, LIN S J, GU Z Y. Heterogeneous redundancies scheduling algorithm for mimic security defense[J]. Journal on Communications, 2018, 373(7): 192-202.

[16]李亮. 評(píng)價(jià)中權(quán)系數(shù)理論與方法比較[D]. 上海: 上海交通大學(xué), 2009.

LI L. Weights theory and weighting methods comparison in the evaluation[D]. Shanghai: Shanghai Jiao Tong University, 2009.

[17]公茂果, 焦李成, 楊咚咚, 等. 進(jìn)化多目標(biāo)優(yōu)化算法研究[J]. 軟件學(xué)報(bào), 2009, 20(2): 271-289.

GONG M G, JIAO L C, YANG D D, et al. Research on evolutionary multi-objective optimization algorithms[J]. Journal of Software, 2009, 20(2): 271-289.

[18]DEB K. Multi-objective optimization[M]//Search Methodologies. Brlim: Springer, 2014: 403-449.

[19]金中. 最優(yōu)化算法中極小極大問題的教學(xué)思考[J]. 創(chuàng)新教育研究, 2019, 7(5): 628-634.

JIN Z. Teaching thoughts on minimax problems in optimization algorithms[J]. Innovation Education Research, 2019, 7(5): 628-634.

[20]KHEBBACHE S, HADJI M, ZEGHLACHE D. Scalable and cost-efficient algorithms for VNF chaining and placement problem[C]//IEEE Conference Innovations in Cloud. 2017: 92-99.

[21]趙雨. 一類求解無約束極大極小問題的新算法[D]. 西安: 西安科技大學(xué), 2011.

ZHAO Y. An efficient method for solving nonlinear unconstrained min-max problem[D]. Xi'an: Xi'an University of Science and Technology, 2011.

[22]焦李成, 杜海峰. 人工免疫系統(tǒng)進(jìn)展與展望[J]. 電子學(xué)報(bào), 2003(10): 1540-1548.

JIAO L C, DU H F. Development and prospect of the artificial immune system[J]. Acta Electronica Sinica, 2003(10): 1540-1548.

[23]TWU P, MOSTOFI Y, EGERSTEDT M. A measure of heterogeneity in multi-agent systems[C]//IEEE 2014 American Control Conference. 2014: 3972-3977.

[24]RAOC R. Diversity and dissimilarity coefficients: a unified approach[J]. theoretical population biology, 1982, 21(1): 30-43.

Network function heterogeneous redundancy deployment method based on immune algorithm

ZHANG Qingqing, TANG Hongbo, YOU Wei, LI Yingle

Information Engineering University, Zhengzhou 450002, China

Aiming at the problem that the existing security defense methods cannot resist many unknown vulnerabilities and backdoors in the network function virtualization platform, a mimic defense architecture for network function virtualization using mimic defense ideas was proposed, a heterogeneous redundant deployment method based on an immune algorithm for the construction of heterogeneous pools was proposed. Firstly, the degree of heterogeneity between heterogeneous entities was quantitatively evaluated in combination with the entropy value method, then the network function heterogeneous redundant deployment problem was constructed into a minimax problem with the optimization goal of maximizing the degree of heterogeneity between heterogeneous entities, and finally the immune algorithm was used to quickly solve the optimal deployment solution of network functions. Simulation results show that the proposed method can quickly converge to an optimal deployment scheme and ensure that the overall distribution of heterogeneity between heterogeneous bodies is at a high level, effectively increasing the diversity between heterogeneous bodies and improving the attacker's difficulty.

network function virtualization, mimic defense, heterogeneous redundancy, immune algorithm

TP393

A

10.11959/j.issn.2096?109x.2021005

2020?07?17；

2020?11?08

湯紅波，tahobo@sina.com

國家自然科學(xué)基金（61941114，61521003，61801515）

The National Natural Science Foundation of China (61941114, 61521003, 61801515)

張青青, 湯紅波, 游偉, 等. 基于免疫算法的網(wǎng)絡(luò)功能異構(gòu)冗余部署方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021, 7(1): 46-56.

ZHANG Q Q, TANG H B, YOU W, et al. Network function heterogeneous redundancy deployment method based on immune algorithm[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 46-56.

張青青（1995?），女，河北張家口人，信息工程大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)功能虛擬化和網(wǎng)絡(luò)安全。

湯紅波（1968? ），男，湖北孝感人，信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)橐苿?dòng)通信網(wǎng)絡(luò)和新型網(wǎng)絡(luò)體系結(jié)構(gòu)。

游偉（1984? ），男，江西豐城人，信息工程大學(xué)助理研究員，主要研究方向?yàn)樾乱淮苿?dòng)通信系統(tǒng)、移動(dòng)通信網(wǎng)安全。

李英樂（1985? ），男，河北衡水人，信息工程大學(xué)副研究員，主要研究方向?yàn)橐苿?dòng)通信網(wǎng)安全。