面向服务传输的SDN移动网络脆弱性评估模型

包春晖，庄 毅，郭黎烨

(1.南京航空航天大学计算机科学与技术学院，江苏 南京 211106； 2.上海航天电子技术研究所，上海 201108)

0 引 言

伴随着信息化技术的发展，移动网络应用已经渗入到了复杂的技术应用中，如无人机领域、卫星网络领域，这就导致移动网络所面临的环境越来越复杂。在航空航天等高辐射的环境下，计算机硬件更容易发生故障，高空环境或太空环境也会导致移动网络上软件系统更容易发生错误或遭到攻击，产生不可估量的后果。因此，移动网络的安全性和可靠性成为了当前研究的热点[1]。同时，复杂的技术应用也伴随着更加复杂的网络需求与业务功能，传统移动网络往往无法在这些特定环境中得到较好的管理与维护，这就使得人们需要不断提高网络的管理与配置能力，来更好满足移动网络所需提供的服务功能[2]。

随着网络技术的发展，软件定义网络(Software Defined Network， SDN)成为了下一代网络浪潮里一个令人瞩目的发展方向。作为一种新兴的网络技术，其控制与转发分离的机制可以使遇到的复杂和特异性的问题被更加快速灵活解决，运用SDN技术来解决移动网络在复杂环境下难以控制管理的问题，可以起到较好的效果[3]。

脆弱性评估一直是提高网络可用性的一个关键技术。作为传统网络的新兴技术，在将SDN运用于移动网络时，对其进行脆弱性评估也是作为识别和分析脆弱性的有效方法，是提高SDN可靠性与安全性的重要技术途经[4-5]。由于目前软硬件设备技术的更新发展，大多数的人为攻击或自然灾害并不会直接导致服务器节点或设备发生故障，而是表现为整体网络的服务能力降低、传输性能下降，因此对移动网络进行面向服务功能与传输性能的针对性评估必不可少。

目前移动网络的脆弱性评估技术仍面临如下挑战：1)由于移动网络的日益复杂化，针对不同的网络结构，脆弱性评估指标体系呈现形式不同；2)现有移动网络的脆弱性评估技术普遍偏向于仅对网络拓扑与网络连通进行评估，无法综合地从上层服务与网络传输层面进行网络脆弱性评估与分析；3)评估过程中对脆弱性衡量比较单一，通常仅片面考虑节点静态信息与网络拓扑方面。

针对以上问题，本文开展了面向服务传输的SDN移动网络脆弱性评估算法的研究。本文主要贡献如下：1)设计了一种面向服务传输的SDN移动网络脆弱性评估模型(A Service Oriented transmission Vulnerability Assessment Model for SDN mobile network， SOVAM)，可以从服务与传输层面综合评估基于SDN的移动网络的脆弱性；2)从静态配置信息与动态安全信息2个维度提出了对基于SDN的移动网络服务器节点与网络设备进行安全脆弱性评估的方法，考虑了节点设备受攻击的趋势与攻击导致危险的程度，多方面进行脆弱性评估；3)提出了一种基于SDN的移动网络节点重要度计算方法，可以分别从网络拓扑的传输性能和SDN节点活跃度2个方面来衡量移动网络服务过程中的SDN节点关键程度，提高节点权重计算的准确性。

本文还编码实现了脆弱性评估算法，构建了实验平台，进行了仿真评估实验，并给出了结果分析，验证了提出算法的有效性，相比于同类算法可更简单高效地实现基于SDN的移动网络脆弱性评估，并具有准确性与有效性。

1 相关研究

脆弱性评估一直是提高网络可用性的一个关键技术，针对网络的脆弱性评估也一直是研究的热点之一，在此期间各国研究人员也得到不少阶段性的研究成果。

Evans等人[6]提出了一种基于Kolmogrov复杂度的脆弱性分析方法，通过衡量Kolmogrov复杂度来对网络脆弱度进行表示，当被评估网络的Kolmogrov复杂度发生了改变时，并且明确了解此操作不是管理工作人员已知的某个操作引起的，则意味着可能有非法操作或错误行为正在发生，通过上述原则来检测计算网络系统的脆弱性。Bush[7]提出了一种不安全链路的评估方法，将网络拓扑进行抽取，把每个网络设备节点当作图的某一个结点，而有向弧表示为设备节点间的连接状态，弧上的权值表示为攻击者可以通过此节点攻击到另一个节点的可能性，在此基础上对拓扑图中的不安全链路分析计算，以此评估网络的脆弱性。Ortalo等人[8]提出了一种基于网络权限图的脆弱性分析方法，将所需评估的网络中设备节点信任度相关的信息进行融合，进行网络的脆弱性关联分析；以此转换视角，从攻击者的角度出发，转换网络的主机权限图，将其作为网络攻击入侵过程的状态转移图，评估网络的脆弱性，得到最终具体的评估值。

在上述研究的基础上，Wang等人[9]提出了一种基于攻击图的网络漏洞评估方法，将当前网络的漏洞结合网络防御本质，利用攻击图对网络漏洞进行建模，并将网络漏洞评估与网络威胁值联系起来有效评估网络脆弱性。Liu等人[10]提出了一种脆弱性相关图模型，考虑网络漏洞的相关性，定义了输入数据集并提出了构建算法，在模型的基础上，讨论了一种评估方法，并通过实验案例证明了该方法的有效性。Zhou[11]研究了神经网络在计算机网络安全评估中的运用，选择了反向传播神经网络，并利用粒子群优化来评估网络的脆弱性。

除此之外，研究人员也进行了不同网络的脆弱性评估系统工具的研究开发。Nunnally等人[12]在研究局域网数据重要漏洞特征、确定节点之间漏洞数据相关性的基础上，引入了立体3D视觉框架，设计了3D立体漏洞评估工具。Li[13]提出了一种结合网络拓扑设计和总线系统动态连接结构的脆弱性评估方法，并实现了网络漏洞评估系统。

综上所述，虽然在目前的网络脆弱性评估研究中，国内外研究工作人员已经开展了大量的研究工作，采用多种方法从不同的视角进行研究，取得了较大进展及应用。但是随着网络进入移动互联阶段，移动网络面临的环境越来越复杂，所需的评估条件越来越多，现有研究工作可能无法满足新环境的需求，无法直接应用于新兴网络SDN上，因此获得的评估结果不太准确有效。另一方面，目前的脆弱性评估算法普遍关注于网络的连通与设备的安全，对网络的传输性能与服务的关注较少，现有的大多数脆弱性评估算法无法准确全面地对网络连通和传输状态进行衡量与分析，整体把握网络脆弱性，难以满足对基于SDN的移动网络进行全面的脆弱性评估的需求。因此有必要对移动网络脆弱性评估进行进一步的分析，研究出新的满足复杂环境要求和新兴移动技术要求的脆弱性评估模型与方法。

2 面向服务传输的SDN移动网络脆弱性评估模型

在面向基于SDN的移动网络的服务与传输性能进行脆弱性评估时，服务支持能力与传输性能应是评估时关注的重点，而在评判某节点设备的服务与传输支撑能力时，既要考虑网络节点设备某一时刻发生故障的概率，即在考虑可靠性方面的同时，更要考虑节点设备在预定时间内完成指定传输功能的能力；当网络节点在某一时刻内可以工作，但不能保证数据的按时转发与正确转发，无法在指定时间内完成应提供的服务，本文并不认为此节点是能够提供可靠的服务。

而在基于SDN的移动网络中，节点设备无法准时完成任务除了节点发生瞬时或永久故障而无法工作以外，往往是由于节点设备本身存在的漏洞引发的安全攻击所导致，大量的攻击或请求落在网络节点上，导致节点设备无法像正常状态一样工作，及时响应请求，完成功能服务，而这种情况往往无法从网络的连通状态表现出来。因此，本文提出的面向服务传输的基于SDN的移动网络脆弱性评估模型SOVAM，考虑了基于SDN的移动网络中服务器节点和网络设备受到攻击的威胁与趋势，也考虑了SDN节点设备受到攻击时对移动网络的服务功能与传输性能的影响。

面向服务传输的SDN移动网络脆弱性评估模型SOVAM为式(1)所示的三元组。

SOVAM=〈S，Att，W〉

(1)

其中：

1)S为评估结果，表示基于SDN的移动网络进行整体脆弱性评估可能的评估等级集合，结合了基于SDN的移动网络节点设备的安全脆弱性评估结果和节点重要度分析结果。

2)Att={Attstat，Attdyna}表示基于SDN的移动网络节点设备的安全脆弱性。Attstat表示静态配置信息下的移动网络服务器节点与网络设备安全脆弱性，主要针对单个网络节点设备自身固有的服务配置属性、各个不同节点之间的设备信任关系以及设备本身所具备的漏洞等，围绕所有设备的漏洞扫描和漏洞分析进行评估；Attdyna表示基于动态运行信息的移动网络服务器节点与网络设备安全脆弱性，主要针对基于SDN的移动网络设备动态运行时的通信与安全状态，对信息进行收集，如SDN设备节点的输入/输出率、通信的时延以及入侵检测的报警信息等，记录筛选对网络状态与节点传输功能有影响的信息，融合得到网络动态运行时的安全脆弱性。

3)W={w1，w2，…，wi}表示基于SDN的移动网络中面向服务传输的SDN节点设备重要度，在计算移动网络服务器节点与网络设备影响服务与传输的关键程度时，除了从网络拓扑来计算不同类别节点对网络传输性能的影响，还需计算动态运行时控制器节点与转发器节点的活跃程度，以此来综合衡量SDN节点设备在服务提供时的重要程度。

面向服务传输的基于SDN的移动网络脆弱性评估机制框架如图1所示，评估过程包含4个阶段：初始化准备阶段、基于SDN的移动网络节点脆弱性评估阶段、SDN节点重要度计算阶段和网络总体脆弱性评估计算阶段。

图1 面向服务传输的SDN移动网络脆弱性评估机制框架

1)初始化准备阶段：初始化准备阶段主要准备收集需要脆弱性评估的基于SDN的移动网络系统的基本属性与状态数据，包括移动网络的拓扑信息、SDN的服务类别与传输状态以及SDN节点设备的漏洞信息等数据。

2)基于SDN的移动网络节点设备脆弱性评估阶段：在初始化准备阶段确定了需要评估的基于SDN的移动网络并收集到了基本信息后，此阶段根据收集到的静态配置信息与动态运行信息来评估移动网络服务器节点与网络设备的安全脆弱性，评估的安全脆弱性结果越高说明节点设备受到攻击的可能性越大，攻击所造成的破坏范围和影响越大。

3)SDN节点重要度计算阶段：SDN节点重要度计算主要用于衡量基于SDN的移动网络在进行服务与传输时节点的关键程度，计算节点的重要度信息。

4)网络总体脆弱性评估计算阶段：该阶段对上述2个计算阶段中取得的结果进行再计算，最终得出面向服务与传输性能的网络总体脆弱性评估值。

3 基于SDN的移动网络节点设备脆弱性评估机制

作为一个新兴的网络技术，SDN属于相对较新的领域，针对控制器与转发器的防御措施并未完善。充当控制器节点的主机设备与充当转发器节点的交换机设备本身往往会存在多个安全漏洞，这些固有的安全隐患给了攻击者可趁之机，并造成更大的破坏性，所以针对这些固有的隐患信息对基于SDN的移动网络节点设备进行安全脆弱性评估分析很有必要[14]。

本文将基于SDN的移动网络节点设备安全脆弱性评估分为静态配置信息下的安全脆弱性评估和动态运行信息下的安全脆弱性评估，静态配置下的节点设备安全脆弱性表现为节点可以被攻击的固有安全威胁，由于设备节点本身可能存在没有被修复的漏洞，在没有被网络攻击的时候，依然有一定的危险隐患，需要在评估时着重考虑。动态运行时的安全脆弱性分析主要根据收集到的移动网络服务器节点与网络设备异常状态下的输入输出率、超出指定时间的通信时延，综合运行时捕捉到的警告信息与异常情况，计算可能由网络攻击引起的安全脆弱性评估值。

3.1 静态安全脆弱性评估

本文采用CVSS(Common Vulnerability Scoring System)对节点设备进行静态配置下的安全脆弱性评估，CVSS被设计用来提供一种方法来衡量脆弱性的主要特征，并给出数据分析数值，来评测节点与设备的漏洞严重程度，评估其优先级[15]。尽管CVSS已发展至第3个版本，但最广泛使用和接受的仍是第2个版本，因此本文采用CVSS第2个版本进行计算。

CVSS系统包括3种类型的分数：基本分数BS、暂时分TS和环境分ES。基本评价主要得到CVSS的基本分数，该评价主要评估设备初始状态本身漏洞的固有特点以及这些特点可能造成的影响，最终得出该阶段的具体分值。生命周期评价主要计算CVSS的暂时分，分值与时间紧密关联。环境评价主要衡量使用环境的分值。参考CVSS官网，基本评价、生命周期评价和环境评价的详细信息如表1～表3所示，表中评分参考开源安全漏洞现状报告与Vulbox项目，并根据测试应用情况进行优化。

具体分数的计算方式如式(2)～式(4)所示：

BS=Round(10 ×攻击途径×攻击复杂度×认证×(1-(1-机密性)×(1-完整性)×(1-可用性)))

(2)

LS=Round(BS×利用代码成熟度×修复措施×报告可信度)

(3)

ES=Round((LS+[(10-LS)×危害影响程度])×目标分布范围)

(4)

表1 基本评价表

表2 生命周期评价表

表3 环境评价表

对基本分、暂时分和环境分进行综合计算，得到了最后的CVSS评估分数。该评分取值区间为[0，10]，分值越高表明该漏洞的危险性越高。参考美国国家漏洞数据库，其中详细的取值范围及分类如表4所示。

表4 漏洞评分取值范围

假定节点设备i包含的漏洞集合为Loopi，本文累计i的所有漏洞的CVSS评分得到设备基于静态配置的安全脆弱性Attstat，计算方式如式(5)所示。其中loop∈Loopi表示某个漏洞，S(loop)表示漏洞loop的CVSS评分值[16]。

(5)

3.2 动态安全脆弱性评估

在对基于SDN的移动网络进行了静态配置信息下的安全脆弱性评估后，还需要根据移动网络服务运行时的状态来对安全脆弱性进行更全面的评估，以对静态安全脆弱性评估进行补充。根据收集到的移动网络服务器节点与网络设备异常状态下的输入输出率、超出指定时间的通信时延和入侵检测警报信息进行节点设备动态安全脆弱性评估。输入输出异常表现为转发的数据包丢失或错误输出[17]，这些异常情况可能是攻击者对节点进行攻击而导致的数据包被截取或伪造；通信时延超出指定时长表现为通信、转发时间过长，无法在指定时间内完成任务，这可能是攻击者对所评估的节点设备进行大量请求服务攻击，譬如Dos攻击导致节点的任务过重，无法响应正常的请求或下发正确的流表；入侵检测警报信息通过收集部署的入侵检测系统的警报信息，通过基于SDN的移动网络环境信息匹配和攻击者攻击意愿匹配进行筛选和约简，提取安全事件。

1)通信状态异常。

通信状态异常指的是SDN控制器节点无法对外提供服务，即无法响应应用层服务请求；SDN转发器节点无法在转发子网中提供转发服务，即在有输入的情况下不具备输出转发的能力；其行为特征表示为：若节点i在检测时间(s，s+t)的时间内停止服务，则对任意形式的输入数据，都无数据从此节点输出，则表示此节点为停止服务状态。

2)转发数据输入输出异常。

通信数据输入输出异常指的是SDN转发器节点所要转发的数据包丢失与转发器的错误输出。通信转发数据包丢失表现为转发器对通信提供服务，但服务能力远低于可接受的正常服务的下界，此特征表示为：若节点i在某一时间(s，s+t]内数据包丢失，则对任意形式的输入和输出，均有如式(6)所示：

Ri，out(s+t)-Ri，out(s)≤rt

(6)

其中，Ri，out(s)表示为节点i输出的累计数据，r表示正常服务下可接受的数据包丢失下界。

SDN转发器节点的错误输出表现为节点不为接收的数据提供转发服务，且大量发送与输入过程无关的数据，此特征表示为：若节点i在时间(s，s+t]内错误输出，则对任意形式的输入和输出，均有如式(7)所示：

Ri，out(s+t)-Ri，out(s)≥Ri，in(s+t)-Ri，in(s)

(7)

3)通信时延过长。

通信时延过长指的是SDN控制器与转发器节点可以提供功能服务，但无法及时转发数据，造成数据超时转发，无法满足服务的要求，其可能发生的情况为攻击者对节点设备进行Dos攻击，大量请求积压在此设备节点上导致节点设备无法响应正常的请求。通信时延行为特征表现为总时延=发送时延+传播时延+转发时延。

在收集到以上的状态信息后，对节点设备的入侵检测警报信息进行筛选处理，选取值得注意的告警信息，融合状态信息进行设备节点运行时安全脆弱性评估，如式(8)、式(9)所示，参考最新Snort用户手册将网络攻击威胁分为高、中、低3个级别，取值分别为10、5、1。

{(Aabno=warn)∩sum(i，Δt)≥m}

(8)

(9)

其中，Aabno=warn表示基于SDN的移动网络设备节点状态为其中上面异常状态的一种或多种，Aabno=norm表示设备节点为正常状态，sum(i，Δt)表示在Δt时间周期内节点设备i收到的入侵检测信息数量，m表示警告信息的低级阈值，n表示警告信息的高级阈值，m

4 面向服务传输的SDN节点重要度计算方法

SDN节点重要度主要分为节点拓扑重要度和节点活跃程度。节点拓扑重要度主要计算节点在网络拓扑传输中的重要性，此处的节点关键程度表示为若某节点失效会导致除了此节点不可用或超时传输外，在不影响连通性的情况时，会导致网络中其他节点之间的通信变慢，耗费的时间变长，则表示此节点会更大程度上影响网络的整体传输性能，该节点的拓扑重要度应更大。SDN节点设备活跃程度主要表现为若基于SDN的移动网络在完成某项功能服务时，此节点活跃度更大，参与网络中通信或转发数据的频率越高，说明此节点在完成功能服务时在网络中越为关键，更需要着重考虑。

4.1 SDN节点拓扑

在针对服务与传输进行分析时，传输能力是网络脆弱性应考量的指标之一，网络能否在预定时间内正确完成数据的传输任务，是衡量网络的一个重要指标。若移动网络在传输时延较大的情况下只能勉强完成网络指定的功能，但无法确保完成所需时间控制在可接受范围之内，则此网络不能保证对外提供可满足用户需求的功能。节点在服务过程中的网络传输位置可以表明节点对网络传输能力的支持关键程度，本文对基于SDN的移动网络进行拓扑分析，通过网络的传输性能衡量节点的拓扑重要度。

分别通过SDN的控制器层与转发器层的度与介数来衡量网络节点的关键程度。度是指和该节点相关联的节点数量，又称关联度；节点的介数指网络中所有最短路径中经过该节点的路径数目占最短路径总数的比例，它反映了节点在整个网络中的作用和影响力。

(10)

(11)

(12)

(13)

式(12)中的pMZ表示控制器节点M与控制器节点Z在控制层网络中的最短路径总数，pMZ(u)为控制器节点M与控制器节点Z在控制层网络中经过控制器u的最短路径数。式(13)中pmz表示在同一转发子网中转发器节点m与转发器节点z之间的最短路径总数，pmz(v)、pmz与pZ(u)、pMZ含义类似。

对于一般的网络性能影响而言，节点介数反映了所有最短路径中经过该节点路径的数目占最短路径总数的比例，更好地衡量了节点在网络指定传输任务中的传输效率影响程度，故用介数作为节点拓扑权重指标效果较好。但是在基于SDN的移动网络中，对于控制器节点，若只考虑控制器介数则未考虑其下连接的转发器数量对于整个网络的影响；对于转发器网络而言，有一些较低介数的节点对网络传输效率的影响也较大，因此需要进行修正。考虑到控制器的度反应了控制器节点所控制的转发器节点数量；而度较高的转发器节点在介数较低情况下可以通过度来反应其对转发子网的传输效率影响，因此采用节点度数作为对控制器节点和转发器节点传输功能的修正是一个较好的方法。

将度数、介数分别归一化处理，控制器节点度与介数归一化方法如式(14)和(15)所示。

(14)

(15)

参考文献[19]，在测试过程中发现，当介数的幂系数取1、度数的幂系数值取2/3次方时，得到的测试结果相对较优。计算控制器节点u的节点拓扑重要度方法如式(16)所示。

(16)

计算转发器节点v的节点拓扑重要度方法如式(17)所示。

(17)

4.2 SDN节点活跃度

节点的活跃程度作为SDN节点重要度的组成部分，用来对节点的拓扑重要度进行补充修正。若某基于SDN的移动网络节点在移动网络中拓扑重要度不高，但在网络提供服务期间，更频繁地参与网络活动，与其他节点的交流通信越多，则表明节点在提供服务或传输期间的关键程度越高，在网络中越为关键，在服务提供期间对网络的影响更大，更需要着重考虑，即节点的重要度应更高。

对于基于SDN的移动网络而言，参考文献[20]，在结合了SDN的网络特性与可能的具体场景，通过下述3个参数来计算节点的活跃度Actii。

1)转发频率。

转发频率是指在单位时间内SDN控制器节点或转发器节点在各自的控制器网络或转发器转发子网中转发数据包的数量。在基于SDN的移动网络中会转发一些以实现各种协议目标的数据包，这些数据包的重要性并不能通过数据包中的数据量来衡量，因此，选取转发频率来作为一个指标。

2)Asynchronous消息频率。

在控制层面与转发层面的层间通信中，SDN提供了Asynchronous消息，主要用来表示转发器节点向控制器节点发送的请求消息。Asynchronous消息频率指单位时间内转发器节点向控制器节点发送Asynchronous消息的次数，表现了转发器节点对控制器节点的依赖程度，控制器节点在提供服务时的主导程度，反映了节点在基于SDN的移动网络中服务期间的活跃度。

3)Controller-to-Switch消息频率。

在控制层面与转发层面的层间通信中，SDN移动网络提供了从控制器节点发给转发器节点的Controller-to-Switch信息，控制器通过该消息对转发器进行管理维护。Controller-to-Switch信息频率指单位时间内转发器收到的来自控制器节点的Controller-to-Switch信息的次数。在基于SDN的移动网络中，一个控制器节点发出的Controller-to-Switch消息越多，说明此控制器对转发层面的通信越多，一个转发节点接收到的Controller-to-Switch消息越多，说明此节点服务期间更活跃。

根据上述3项指标因素，可以对控制器节点与转发器节点进行节点设备活跃程度Actii分析计算，就提供服务的不同，设置不同的指标系数；若运行的服务所需层间通信较多，则Asynchronous消息频率和Controller-to-Switch消息频率2项指标的系数应更高，否则均可设为1/3。

4.3 SDN节点重要度

根据节点拓扑重要度和节点活跃程度可以计算得到SDN设备节点的综合重要度wi，计算方式如式(18)所示。需要注意的是，式中Topoi和Actii都需经过归一化处理。

(18)

5 面向服务传输的SDN移动网络脆弱性评估算法

在获得基于SDN的移动网络中所有节点设备的静态与动态安全脆弱性评估值的基础上，结合节点的重要度计算结果，对移动网络整体的脆弱性评估值进行计算，计算方式如式(19)所示。

(19)

其中，j表示节点i的漏洞数量，α为安全脆弱性调整因子，α越大表示越注重节点的静态安全脆弱性，反之则越关注动态安全脆弱性。

根据提出的面向服务传输的基于SDN的移动网络脆弱性评估模型(SOVAM)，本文给出了面向服务传输的基于SDN的移动网络脆弱性评估算法，算法的伪代码如算法1所示。

算法1面向服务传输的SDN移动网络脆弱性评估算法

输入：基于SDN的移动网络拓扑，SDN节点设备信息、状态属性，周期t内的入侵检测报警数据；

输出：面向服务传输的基于SDN的移动网络脆弱性评估结果；

1.获取节点设备信息、IDS信息和拓扑信息

2.for节点设备集中每个节点ido

3.for节点i漏洞集Loopi中每个漏洞loop do

4.计算CVSS值

5.End for

7.End for

8.for节点设备集中每个节点ido

9.计算节点拓扑重要度Topoi

10.获取节点设备活跃信息并计算节点活跃程度Actii

11.End for

12.计算基于SDN的移动网络脆弱性评估结果

6 实验与分析

6.1 实验设计与数据集

为了验证本文提出基于SDN的移动网络中可靠性评估的有效性，本文进行了相关实验。实验的软硬件环境配置如下：CPU为i5-3470，内存为8 GB；使用的操作系统为Ubuntu-16.04.1 i686；使用Mininet和OpenDayLight进行网络实验环境的构建，本文仿真实验环境如图2所示。

图2 基于SDN的移动网络结构图

为了验证本文模型SOVAM的有效性，本文选取HoneyNet数据集作为实验数据集[21]。选取某年4月到第二年2月期间一共11个月的一万多条报警记录，均为Snort报警数据。

由于HoneyNet数据集上没有相应的网络拓扑信息，本文采用图2作为入侵检测数据集的移动网络载体[22-23]，并假设设定的攻击事件所利用的设备节点安全漏洞也是存在的，此拓扑仅作为本文中使用的实验数据，并不能完全代表HoneyNet数据集中的真实连接关系，且基于SDN的移动网络中设定的部分节点设备信息如表5所示。

表5 部分节点设备信息

6.2 实验与结果分析

本文根据上述的实验环境进行实验，实验所得部分节点重要度结果如表6所示。可以看出节点5、9的拓扑重要度比较高，而因为节点9的活跃度并不高，因此节点的最终重要度会变小；而节点6在网络传输性能中所占比重不大，不是基于SDN的移动网络传输过程中的关键节点，但由于此节点与其他节点的传输频率高，节点活跃度高，节点6的最终综合重要度较高。

表6 部分节点重要度计算结果表

因此本文计算SDN节点重要度的方法同时考虑了网络的拓扑与节点在网络运行时的活跃程度，相比于只考虑网络拓扑层面的方法，可以有效地通过节点运行时状态进行补充修正，使结果更合理准确。

图3更明显地显示了部分节点权重的整体情况和变化趋势。

图3 部分节点权重计算结果图

在对节点设备进行安全态势评估实验时，本文分别与文献[24]的基于AHP和CVSS的信息系统漏洞评估算法(AHPCV)和文献[25]的算法(STUMC)进行算法对比。

由于上述算法针对普通计算机网络和医疗传感器网络，因此本文对这2种算法进行了相应修改，增加了本文中针对SDN中不同类型网络节点的计算来完成对比实验，以更好地进行对比；并且在评估过程前分别对节点6、节点8和节点10进行模拟攻击，以显示结果差，结果对比图如图4所示。

图4 结果比对图

在同时针对某一设备节点进行态势评估时，AHPCV只能通过CVSS一方面对节点进行漏洞评估，以通用漏洞评分系统的评分为基础，运用层次分析法加强评估准确性。而STUMC虽然运用了马尔可夫链对网络安全威胁进行补充，但依然局限于网络节点的配置情况，而忽略了网络在运行过程中的动态信息。本文在运用CVSS对节点的静态配置安全脆弱性进行评估的同时，对网络运行时的状态信息也进行了收集评估，通过3个指标属性信息以及入侵检测的警报信息进行升降级，可以在运行时不断动态调整设备节点的安全态势，修正静态时的安全脆弱性评估值，从2个维度对节点的脆弱性进行了评估，因此更具合理性与准确性。

7 结束语

脆弱性评估是目前分析移动网络可靠性与安全性的一种有效手段，考虑到近年来移动网络的局限，对服务功能与传输性能的要求越来越高，本文提出了一种面向服务传输的基于SDN的移动网络脆弱性评估模型SOVAM，面向基于SDN的移动网络服务与传输性能，进行针对性的脆弱性评估。根据基于SDN的移动网络的传输特性，对不同类型的设备节点根据静态配置信息和动态运行信息进行更全面的脆弱性分析；根据基于SDN的移动网络的拓扑传输特性和网络服务过程中的节点活跃度，全面计算节点重要度。仿真实验与其他算法的对比结果表明，所提出的算法可以有效地根据基于SDN的移动网络的服务与传输性能，对网络进行脆弱性评估，得到脆弱性评估结果，具有更高的评估准确性。