网络功能虚拟化支持下的网络安全技术研究

摘要：为了探索网络功能虚拟化（Network Function Virtualization，NFV）环境下的网络安全技术，解决网络异常检测及定位问题，文章通过采用矩阵差分分解，着眼于提升网络异常情况下的检测精确度与定位，在构建的NFV网络模型中利用不同强度的异常流场景，深入分析了网络异常对系统性能的影响，测试了基于矩阵差分分解的MADEL（Matrix Analysis for Detection and Location）算法在不同场景下的表现。研究结果表明，MADEL算法能够有效适应不同异常环境，随着异常流强度的增加，算法的检测与定位效果为NFV环境下的网络安全管理提供了有力的技术支持。

关键词：NFV技术；网络异常检测；RTT网络模型；差分分解

中图分类号：TN92文献标志码：A

0 引言

随着网络功能虚拟化（Network Function Virtualization，NFV）技术的广泛应用，网络安全成了研究的重点领域。该研究旨在探讨NFV环境下网络异常检测及定位的有效策略，以应对日益复杂的网络安全威胁。研究采用矩阵差分分解方法，深入分析网络异常对系统性能的具体影响，进而评估基于该方法的MADEL算法在不同网络异常场景下的适应性和效果。文章创新点在于结合NFV的特性，对MADEL算法进行了优化和调整，以提高其在动态虚拟化网络环境中的准确性和效率，为网络安全领域提供了新的研究视角和实用工具。

1 相关研究

1.1 NFV技术

NFV技术源自通信领域，该技术可将网络服务从硬件设备中解耦，其可在标准化虚拟服务器上实现，大幅提升了网络架构的灵活性与扩展性。NFV技术允许网络运营商通过软件来管理和扩展网络功能，而无需依赖于专用物理设备。该技术通过将网络功能（如防火墙、负载均衡器等）封装为独立的虚拟网络函数（Virtual Network Function， VNF），实现了对系统功能的快速部署与灵活管理［1］。

1.2 网络异常检测及定位技术

网络异常检测及定位技术是网络安全领域的关键组成部分，能够及时发现并定位网络中的异常行为，保障网络环境的安全与稳定。该技术利用多种数据源，包括流量日志、系统日志及网络拓扑信息，通过综合分析网络数据来识别潜在的安全威胁或网络故障。在NFV技术的应用背景下，网络异常检测及定位技术面临新的挑战与机遇［2］。虚拟化环境下的动态性要求检测系统能够适应网络结构与流量的实时变化，确保检测准确性和效率。

2 基于矩阵差分分解的网络异常检测及定位

2.1 基于RTT网络测量模型

基于往返时延（Round-Trip Time，RTT）网络测量模型主要利用RTT值来评估网络中各节点间的通信效率，进而监控网络状态，识别潜在的异常或性能瓶颈。RTT性能矩阵模型如图1所示。矩阵元素i代表在第t个测量周期内，边界设备i到边界设备j的RTT测量值。当测量周期数T=16时，可构建A16×6RTT矩阵，其中矩阵的行代表时间周期，列代表不同的边界设备对［3］。

2.2 基于矩阵差分分解异常检测及定位算法

基于矩阵差分分解（Matrix Differential Decomposition，MDD）的网络异常检测方法主要依托于RTT网络测量模型，通过对RTT性能矩阵进行深入分析，实现对网络异常的有效检测和精确定位。RTT性能矩阵A中的元素Atij代表在特定周期内，网络中2个边界设备i、j之间的RTT值。在正常情况下，RTT值应相对稳定，而网络中的异常事件，如故障或拥塞，会在RTT矩阵中引起明显的波动。当网络中出现异常时，RTT性能矩阵A的某些部分值会产生显著变化，但变化也仅是影响矩阵中的少数元素［4］。

基于MDD的网络异常检测方法假设待分析的RTT矩阵A1为2个矩阵之和：接近正常状态的低秩基准矩阵Ao和稀疏的差异矩阵Ae。其中，Ao代表网络在没有异常时的RTT行为，而Ae则捕捉了由于异常所导致的RTT值的变化。通过将A1分解为Ao和Ae，可以利用Ae中的稀疏性来定位网络中的异常。分解过程可以通过优化问题实现，目标是最小化基准矩阵的秩和差异矩阵的元素数量，以此表示为式（1）所示的优化模型。

其中，rank（Ao）代表矩阵Ao的秩，‖Ae‖0表示矩阵Ae的L0范数，即非零元素的数量，而λ是平衡2个目标的正则化参数。通过解决上述优化问题，可以得到基准矩阵Ao和差异矩阵Ae，后者揭示了网络性能异常的位置和规模。

2.3 基于NFV技术的网络测量系统及分析

2.3.1 基于NFV技术的网络测量系统

该节聚焦于基于NFV技术的网络测量系统，结合边界设备（R1—R3）和内部路由器（n1—n12）构成了网络的基础架构，系统通过在每个边界设备上部署虚拟网络功能程序（AM1—AM3）实现主动测量，并负责定期测量到其他边界设备的RTT值，形成RTT性能矩阵A。

设置RTT性能矩阵A的生成基于边界设备之间的RTT测量值，每5 s注入的泊松流背景流量模拟了网络中的正常流量，而每条流由强度为1 Mbps的用户数据报协议（User Datagram Protocol，UDP）分组构成。在实验阶段，为了测试RTT性能矩阵的低秩性和网络的异常检测能力，向网络中注入异常流量，每个异常流的强度约为50 Mbps，显著高于背景流量。数据集的收集分为3个阶段：第一阶段（第1时隙—第30时隙）未注入异常流，收集的数据集Dataset1代表网络的正常状态；第二阶段（第31时隙—第50时隙）注入第一个异常流，形成数据集Dataset2；第三阶段（第61时隙—第80时隙）同时注入2个异常流，形成数据集Dataset3。在测量系统中，文章通过RTT性能矩阵揭示网络状态，进一步分析矩阵性能以揭示网络性能的关键特征。可将RTT性能矩阵A表示为：

A=［aij］m×n（2）

其中，aij代表在给定时间周期内，从边界设备i到边界设备j的RTT测量值。该矩阵能反映网络的即时状态，还能实现数学分析，比如奇异值分解（Singular Value Decomposition，SVD）或主成分分析（Principal Components Analysis，PCA），来检测和定位网络中的异常行为［5］。RTT性能矩阵主轴方差贡献率如图2所示，在3个数据集中，前3个奇异值可以获取网络96%的特征，进而表明无论网络是否在存在异常，RTT矩阵都具备低秩特性。

2.3.2 MADEL示例

MADEL（Matrix Analysis for Detection and Location）示例可通过分析RTT性能矩阵来检测和定位网络中的异常。该节将展示MADEL示例的核心方法和步骤以及如何利用该示例进行网络异常检测和定位。MADEL示例依赖于精确构建的RTT性能矩阵，基于边界设备间的RTT测量值。设网络中3个边界设备为R1—R3，可构建的RTT性能矩阵A如式（3）所示。

其中，RTTij代表从边界设备i到边界设备j的往返时延。

在MADEL示例中，关键步骤如下。

（1）构建RTT性能矩阵：利用边界设备上部署的VNF程序持续测量并更新RTT性能矩阵。

（2）异常检测：对RTT性能矩阵进行分析，使用矩阵分解或其他统计方法识别矩阵中的异常值。比如，利用SVD将RTT性能矩阵分解为多个矩阵的乘积，分析分量矩阵以识别异常。

（3）异常定位：一旦检测到异常，通过分析RTT性能矩阵中异常值的位置，确定网络中异常发生的具体位置。

为了展示MADEL示例的应用，文章构建数据表来表示RTT性能矩阵在不同时间点的值，如表1所示。

由表可知：时间T2中RTT12、RTT21值为50 ms，时间T3中RTT23与RTT32值为70 ms，可看出数值明显异常，指示网络存在问题。

2.4 实验结果分析

2.4.1 大规模网络实验

聚焦于Prototype1网络拓扑结构构建基于NFV的网络测量系统，其中包含34个路由器，细分为10个AS边界路由器（R1—R10）和24个内部路由器（n1—n24），展现出幂律分布的特性，模拟真实世界网络的复杂性。文章实验设计包括4种独特的异常注入场景S1—S4：设在S1场景中向n3和n14 2个独立内部路由器注入异常；在S2场景中向相邻的n17、n24路由器的不同端口注入异常；在S3场景中向单一路由器n6的2个端口注入异常；在S4场景中向nPMsqE5iWBhfAy224qtg1dg==9、n13和n173个路由器注入异常［6］。文章设计如下实验测试基于矩阵差分分解的方法在不同网络异常注入场景下的检测与定位能力：通过收集各场景下的RTT数据，构建RTT性能矩阵，应用矩阵差分分解技术来识别网络中的异常情况。该方法通过MADEL算法比较各场景下的真正率（True Positive Rate，TPR）、真负率（True Negative Rate，TNR）和分类报告率（Categorical Reporting Rate，CRR）进行评估。具体参数如表2所示。

2.4.2 网络异常影响

实验通过构建3种不同强度的异常泊松流场景，探索了异常流速率对网络性能及MADEL算法检测能力的影响。在图3所示的基于NFV的网络测试系统中，实验首先在第10个时隙注入平均速率为5 Mbps的异常流，继而在第30个时隙注入20 Mbps的异常流，最后在第50个时隙注入50 Mbps的异常流，每次注入持续10个时隙。实验结果显示，随着异常流强度的增加，差分矩阵中的异常数据值增大，网络拥塞现象更为明显。图3（a）直观地揭示了异常流强度与网络拥塞之间的关系。此外，通过对100多次试验的分析，图3（b）—（d）展示了MADEL算法在不同异常流强度下的性能表现，具体体现在TPR、TNR和CLR的变化。

3 结语

综上所述，该研究基于NFV对网络安全技术（特别是网络异常检测及定位问题）进行了深入探讨。通过引入基于矩阵差分分解的MADEL算法，该研究不仅提高了对网络异常的检测准确性和定位效率，还通过实验验证了算法在不同异常流强度下的稳定性和可靠性。MADEL算法能够有效适应不同强度的网络异常，及时响应和处理网络异常。研究成果为NFV环境下的网络安全管理提供了新的方法论和实践案例，对推动网络安全技术的发展具有重要意义。未来的研究可以进一步探索算法在更多元化网络环境中的应用，结合机器学习等先进技术提升网络异常检测和定位的智能化水平。

参考文献

［1］林华，薛静宜.软件定义网络（SDN）/网络功能虚拟化（NFV）技术研究及部署［J］.广播电视网络，2022（1）：106-108.

［2］刘晓童.基于NFV的网络安全技术研究［J］.无线互联科技，2022（19）：153-155.

［3］阳勇，孟相如，康巧燕，等.拓扑与资源感知的虚拟网络功能迁移方法［J］.计算机科学与探索，2021（11）：2161-2170.

［4］王伟.面向虚拟化网络环境的网络安全态势要素提取及安全态势预测应用［J］.电视技术，2023（1）：177-182.

［5］赵圣隆.5G背景下计算机网络关键技术的应用研究［J］.信息记录材料，2023（8）：131-133.

［6］郝小凤.基于大数据的计算机网络安全技术研究［J］.信息与电脑，2023（15）：33-35.

Research on network security technology supported by network function virtualization

Abstract： This study aims to explore network security technologies in the context of NFV（Network Function Virtualization） and address issues related to network anomaly detection and localization. In the study， matrix differential decomposition is used to improve the detection accuracy and localization of network anomalies. In the constructed NFV network model， the different intensity anomaly flow scenarios are utilized to deeply analyze the impact of network anomalies on system performance. The performance of the MADEL（Matrix Analysis for Detection and Location）algorithm based on matrix differential decomposition is tested in different scenarios. The research results indicate that the MADEL algorithm can effectively adapt to different abnormal environments. As the intensity of abnormal flow increases， the detection and localization performance of the algorithm provides strong technical support for network security management in NFV environments.

Key words： NFV technology; network anomaly detection; RTT network model; differential decomposition