传统网络安全架构通过将流量引导经过硬件形式的网络安全功能设备来保障网络安全,该架构由形式固定的硬件组成,导致网络安全区域部署形式单一,可扩展性较差,在面对网络安全事件时无法灵活地做出调整,难以满足未来网络的安全需求.面向网络安全资源池的智能服务链系统基于软件定义网络与网络功能虚拟化技术,能够有效解决上述问题.基于网络功能虚拟化技术新增虚拟形式的网络安全功能网元,结合已有的硬件网元构建虚实结合的网络安全资源池,并基于软件定义网络技术实现对连接网元的交换设备的灵活控制,从而构建可动态调节的网络安全服务链;基于安全日志检测与安全规则专家库实现对网络安全事件的检测与生成对应的响应方案,从而能够在面对网络安全事件时通过集中式控制的方式实现服务链的动态智能调节;对服务链的部署过程进行数学建模并设计了一种启发式的服务链优化编排算法,实现服务链的优化部署.通过搭建原型系统并进行实验,结果表明,所设计系统能够在面对安全事件时在秒级时间内完成安全事件的检测,并能够在分钟级时间内完成对安全服务链的自动调整,所设计的服务链优化部署算法能够将服务链对虚拟安全资源池中资源的占用降低65％.所设计系统有望运用于园区与数据中心网络出口处的网络安全区域,简化该区域的运维并提高该区域的部署灵活度.

软件定义网络;网络安全资源池;服务链;网络功能虚拟化

王泽南;李佳浩;檀朝红;皮德常

网络通信与安全紫金山实验室,江苏南京 211100;南京航空航天大学,江苏南京 211100;江苏省未来网络创新研究院,江苏南京 211100

网络与信息安全学报

[1]王泽南;李佳浩;檀朝红;皮德常-.面向网络安全资源池的智能服务链系统设计与分析)[J].网络与信息安全学报,2022(04):175-181

网络安全资源池,安全服务链

智能服务,设计与分析,传统网络安全,网络安全架构,过硬,安全功能,保障网络,安全区域,可扩展性,网络安全事件,出调,未来网络,安全需求,软件定义网络,网络功能虚拟化,虚拟化技术,虚实结合,交换设备,灵活控制,动态调节,网络安全服务,全日,日志检测,专家库,集中式控制,实现服务,智能调节,数学建模,启发式,编排,优化部署,原型系统,设计系统,成安,分钟级,自动调整,中资,数据中心网络,出口处,灵活度

0.269871