SDN環(huán)境下的動態(tài)隨機網(wǎng)絡(luò)病毒傳播模型及特性研究

1、sdn環(huán)境下的動態(tài)隨機網(wǎng)絡(luò)病毒傳播模 型及特性研究劉蘭任光明林軍廣東技術(shù)師范學(xué)院電信學(xué)院工業(yè)和信息化部電子第 五研宄所摘要：sdn網(wǎng)絡(luò)作為一種新型的架構(gòu)，其安全性成為網(wǎng)絡(luò)空間安全領(lǐng)域發(fā)展熱點和研 究方向。復(fù)雜網(wǎng)絡(luò)的動力學(xué)模型能描述異構(gòu)網(wǎng)絡(luò)中網(wǎng)絡(luò)病毒的傳播過程，為了分 析sdn網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)病毒傳播模型及動態(tài)隨機網(wǎng)絡(luò)中網(wǎng)絡(luò)病毒傳播的免疫策 略，我們提出一個動態(tài)隨機網(wǎng)絡(luò)模型，研究模型屮網(wǎng)絡(luò)病毒隨子網(wǎng)間節(jié)點遷移 而擴散及爆發(fā)的過程，通過理論分析和數(shù)值模擬，我們發(fā)現(xiàn)網(wǎng)絡(luò)病毒從源子網(wǎng) 傳播到目標(biāo)子網(wǎng)的傳播特性與子網(wǎng)間節(jié)點的遷移率相關(guān)。通過分析表明，當(dāng)遷移 率q大于遷移閾值叩時，網(wǎng)絡(luò)病毒會在社團子網(wǎng)間擴散

2、和傳播開。研宄結(jié)果為 sdn控制器制定管控策略防御網(wǎng)絡(luò)病毒傳播，減少網(wǎng)絡(luò)安全事件發(fā)生提供理論 依據(jù)。關(guān)鍵詞：網(wǎng)絡(luò)安全;軟件定義網(wǎng)絡(luò);網(wǎng)絡(luò)病毒;社團;隨機網(wǎng)絡(luò);辻移率;作者簡介：劉蘭（1977-）,女，副教授、傅士，主研方向為網(wǎng)絡(luò)工程、信息安 全；作者簡介：任光明，副教授、博士；作者簡介：林軍（通信作者），高級工程師、碩士。收稿日期：基金：國家自然科學(xué)基金-基于sdn的信息中心網(wǎng)流量優(yōu)化的關(guān)鍵技術(shù)研究 （61571141）項目資助research on network virus spreading in time-varying community networks in sdn enviro

3、nmentliu lan ren guangming lin junguangdong polytechnic normal university schoolof electronic and information engineering; china electronic product reliability and environmental testing research institute;abstract：software defined networking (sdn) as a new type of network architecture, its security

4、has become a hot spot and research direction in the field of network space security. dynamics model of complex networks can be used to describe the propagation of network virus in a heterogeneous network. in order to study the spreading processes of many network viruses in sdn network model, we pres

5、ent a simple dynamic model with time-varying community structure. we investigate susceptible-infected-susceptible (sis) spreading processes in this model. by both theoretic analysis and numerical simulations, we found that the efficiency of network virus spreading in this model depends on the mobili

6、ty rate q of the nodes between subnets associated nodes. we also find that there exists a mobility rate threshold qc. the network virus will spread in the network when the mobility rate q > qc. the network virus will survive when q > qc and die when q < qc. these results can help to decide

7、the sdn control strategy of defense network virus and provide a theoretical basis to reduce network security incidents.keyword：network security; software defined networking; network virus; community; time-varying network; mobility rate;received：0概述高速發(fā)展的互聯(lián)網(wǎng)無處不在的互聯(lián)互通使得網(wǎng)絡(luò)空間安全成為一項關(guān)系到世界 安全、穩(wěn)定的國際性問題。這種高度的

8、網(wǎng)絡(luò)互通有艽顯而易見的優(yōu)勢，但也冋吋 為攻擊者在全球網(wǎng)絡(luò)的任意地點探測網(wǎng)絡(luò)漏洞并發(fā)起攻擊提供y方便之門。sdn （software defined networking,軟件定義網(wǎng)絡(luò)）1作力一種全新的網(wǎng)絡(luò) 架構(gòu)，其安全性逐漸為網(wǎng)絡(luò)空間安全領(lǐng)域發(fā)展熱點和研宄方向。sdn采用全局視 圖，并通過控制器進行集中控制，這將大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)流量管理、入侵防御 和隔離控制等變?nèi)菀?，降低了管控難度。但sdn網(wǎng)絡(luò)的集中架構(gòu)也將給網(wǎng)絡(luò)安全 帶來更大的風(fēng)險2。隨著sdn網(wǎng)絡(luò)的安全應(yīng)用的不斷開發(fā)，信息安全領(lǐng)域屮機 遇與挑戰(zhàn)并存3-5。我們考慮采用復(fù)雜網(wǎng)絡(luò)的動力學(xué)模型來描述異質(zhì)性網(wǎng)絡(luò)中 的網(wǎng)絡(luò)病毒傳播過程，進一步細(xì)化

9、有關(guān)的機制。而且，網(wǎng)絡(luò)安全的實際工作過程 中，各類網(wǎng)絡(luò)病毒檢測系統(tǒng)積累了大量的檢測數(shù)據(jù)，在sdn的集中控制架構(gòu)下， 能較方便的做到數(shù)據(jù)的收集和整理，我們通過對相關(guān)數(shù)據(jù)進行挖掘和理論研究， 為制定更加有效的網(wǎng)絡(luò)病毒檢測和控制策略提供依據(jù)。1研宄背景因為sdn網(wǎng)絡(luò)控制與轉(zhuǎn)發(fā)分離的思想，各類開放的應(yīng)用程序?qū)淼穆┒春陀?此產(chǎn)生的攻擊不可避免6-7，左青云等8對sdn網(wǎng)絡(luò)的安全現(xiàn)狀進行了分析， 提出在sdn控制器上應(yīng)建立異常檢測平臺，將收集的統(tǒng)計信息提供給各異常檢 測模塊使用。當(dāng)發(fā)現(xiàn)異常時，應(yīng)用程序?qū)l(fā)出警報，采取相應(yīng)措施并進行記錄。 shin等9提出由sdn網(wǎng)絡(luò)的控制器提供開發(fā)和部署安全應(yīng)用的框架

10、，管理員通 過模塊方式實現(xiàn)不同的異常檢測。wang等10分析了云計算和sdn技術(shù)環(huán)境下 的惡意代碼攻擊檢測技術(shù)，提出相應(yīng)的檢測實驗平臺da mask進行仿真處理。在 各類安全事件屮，網(wǎng)絡(luò)病毒以其傳播速度快、影響范圍人和滲透力強等特點居于 互聯(lián)網(wǎng)安全問題的首位。目前sdn網(wǎng)絡(luò)中第三方開發(fā)的應(yīng)用軟件均為不開源的， 傳統(tǒng)的基于源碼的檢測方式不再合適，這使得針對網(wǎng)絡(luò)病毒的sdn網(wǎng)絡(luò)攻擊檢 測和防范成為了一個公開的問題。網(wǎng)絡(luò)病毒傳播網(wǎng)絡(luò)和其他社團網(wǎng)絡(luò)一樣是具冇動態(tài)性的復(fù)雜網(wǎng)絡(luò)，移動節(jié)點和 移動介質(zhì)在計算機網(wǎng)絡(luò)屮的廣泛應(yīng)用，使得網(wǎng)絡(luò)病毒在不同子網(wǎng)之間得以傳播。 以前人們在網(wǎng)絡(luò)病毒傳播網(wǎng)絡(luò)的研宄中主耍集中在

11、靜態(tài)復(fù)雜網(wǎng)絡(luò)上，傳統(tǒng)的防 病毒、防火墻等技術(shù)都是靜態(tài)安全防御技術(shù)，主要依賴于人工配罝管理，對于大 規(guī)模網(wǎng)絡(luò)的管理和部署難度很大，當(dāng)新的網(wǎng)絡(luò)病毒出現(xiàn)時，很難掌握其規(guī)律， 這給網(wǎng)絡(luò)病毒檢測造成了很大的困擾。近年來為y突破現(xiàn)有網(wǎng)絡(luò)架構(gòu)的制約，研宄效率更高、效果更好的網(wǎng)絡(luò)病毒防治 技術(shù)，研宄者們開始關(guān)注sdn的網(wǎng)絡(luò)病毒檢測方法。ren等11在復(fù)雜網(wǎng)絡(luò)中引 入了一個有效的傳染病傳播理論模型，其研宄工作為研宄網(wǎng)絡(luò)病毒在sdn網(wǎng)絡(luò) 中的傳播特性提供了新的思路。lin等人12在改進的sdn架構(gòu)上研究低通信開 銷的網(wǎng)絡(luò)病毒檢測方法。hosseini s13等提出了一個無標(biāo)度網(wǎng)絡(luò)中惡意代碼的傳播模型，采取動態(tài)隔離

12、疑似感染節(jié)點的方法來實現(xiàn)惡意代碼的檢測和防護。其 實驗結(jié)果表明可以通過調(diào)節(jié)系統(tǒng)感染結(jié)點可疑度的閾值，達(dá)到控制惡意代碼傳 播的效果。bradley14等研究表明網(wǎng)絡(luò)拓?fù)鋵W(wǎng)絡(luò)病毒傳播速度是冇影響的， 越是處于網(wǎng)絡(luò)屮心的網(wǎng)絡(luò)病毒傳播速度越快，而且處于屮心的網(wǎng)絡(luò)節(jié)點重復(fù)感 染的概率也較大。sdn的控制器能夠進行權(quán)限管理和應(yīng)用隔離，從而實現(xiàn)網(wǎng)絡(luò)邏 輯控制。當(dāng)新的網(wǎng)絡(luò)病毒在某個子網(wǎng)爆發(fā)時，控制器可以根據(jù)網(wǎng)絡(luò)狀態(tài)改變流表 策略，控制網(wǎng)絡(luò)病毒傳播到別的子網(wǎng)中去。木文通過分析sdn im絡(luò)環(huán)境中im絡(luò)病 毒傳播模型及動態(tài)隨機網(wǎng)絡(luò)中病毒傳染的免疫策略，從而冇效防御網(wǎng)絡(luò)病毒傳 播。2模型網(wǎng)絡(luò)病毒的傳播與生物疾病的

13、傳播具有相似性，可以采用相似模型來研宄其傳 播特性15。這類模型有兩個假設(shè)前提：(1)網(wǎng)絡(luò)內(nèi)節(jié)點在任意的時刻t的狀態(tài) 是有限的，狀態(tài)包括易感、潛伏、感染、恢復(fù)和隔離等，根據(jù)網(wǎng)絡(luò)病毒的特性和 建模目的不同，可以選擇不同的狀態(tài)集；(2)感染類的節(jié)點會以一定概率感染 網(wǎng)絡(luò)中的其它節(jié)點，采用簡單的概率關(guān)系來分析狀態(tài)之間的轉(zhuǎn)化。這些數(shù)學(xué)模型一般以sir模型(susceptible、infected、recovery)或者節(jié)化 的 sis 模型(susceptible、infected、susceptible)為基礎(chǔ)的。sir 模型采用 三個狀態(tài)：易感 s (susceptible)、感染 i (infe

14、cted)和恢復(fù) r (recovered), 通過三個狀態(tài)之間的轉(zhuǎn)化及相互影響來分析網(wǎng)絡(luò)屮病毒的傳播特性。其屮確定型 模型比較適合描述易感節(jié)點數(shù)目很大情況，而隨機型模型用來分析易感節(jié)點數(shù) 目小的平均傳播過程。因為計算機網(wǎng)絡(luò)中節(jié)點因為自身的防護及各種安全措施， 易感節(jié)點的數(shù)目不大，因此我們釆用隨機模型來研宄sdn架構(gòu)下節(jié)點的邏輯移 動給網(wǎng)絡(luò)病毒傳播帶來的趨勢影響。2.1模型假設(shè)在計算機網(wǎng)絡(luò)中，不同的節(jié)點分屬于不同的子網(wǎng)，子網(wǎng)的規(guī)模和網(wǎng)絡(luò)病毒感染 情況以及網(wǎng)絡(luò)安全的防護措施存在著差異。在本文中我們以網(wǎng)絡(luò)拓?fù)涞倪壿嬜泳W(wǎng) 作為社團劃分依據(jù)，網(wǎng)絡(luò)病毒在子網(wǎng)內(nèi)部的傳播速度比較快，而在不同的子網(wǎng) 之間傳播

15、緩慢。為了簡化模型，我們認(rèn)為不同的子網(wǎng)之間網(wǎng)絡(luò)病毒不能傳播，也 就是不同社團間的節(jié)點不存在感染路徑。由于sdn網(wǎng)絡(luò)對邏輯路由的靈活控制， 當(dāng)節(jié)點從一個子網(wǎng)轉(zhuǎn)移到另外一個邏輯子網(wǎng)時，會將網(wǎng)絡(luò)病毒擴散到目標(biāo)子網(wǎng)。為了簡單明了并如實反映節(jié)點的轉(zhuǎn)移對網(wǎng)絡(luò)病毒傳播的影響，我們建立模型前 先做一些模型假設(shè)。模型假設(shè)：(1) 易感節(jié)點數(shù)n是一個常數(shù)，不隨時間t的變化而變化，即沒有新的易感節(jié)點 進入或離開整個系統(tǒng)；(2) 節(jié)點僅兩個狀態(tài)：易感s和感染i，某一時刻t節(jié)點處于其中之一，不能再 次感染己經(jīng)感染的主機；初始感染主機數(shù)為t (0) =t0;(3) 不同的子網(wǎng)之間網(wǎng)絡(luò)病毒不能傳播，也就是不同社團間的節(jié)點不

16、存在感染 路徑。數(shù)學(xué)模型中假設(shè)t時刻易感節(jié)點有個感染連邊節(jié)點，每個易感節(jié)點被連邊的 感染節(jié)點感染的概率為x。t+1時刻易感節(jié)點被感染的概率為1- (1-x) info 同時，因為網(wǎng)絡(luò)中有的節(jié)點可以通過防火墻技術(shù)、打補丁、病毒查殺以及安裝內(nèi) 容過濾器等方式使得感染節(jié)點從被感染狀態(tài)t恢復(fù)成易感狀態(tài)，我們假設(shè)某時 刻節(jié)點的恢復(fù)率為u。2.2模型設(shè)立在模型的假設(shè)基礎(chǔ)上，可以構(gòu)建一個動態(tài)隨機網(wǎng)絡(luò)病毒傳播模型。在此模型上， 我們研究節(jié)點在子網(wǎng)間的轉(zhuǎn)移對網(wǎng)絡(luò)病毒傳播的影響11。(1) n個易感主機依概率rh (i=l, 2，.，m)分屬于m個不同的子網(wǎng)：(2)接下來，對于這m個子網(wǎng)，我們以的概率在節(jié)點間加邊

17、來構(gòu)造網(wǎng)絡(luò)，使 其滿足公式2:其中k是整個隨機網(wǎng)絡(luò)的平均度。(3)當(dāng)感染節(jié)點從一個子網(wǎng)遷移到另外一個邏輯子網(wǎng)時，會將網(wǎng)絡(luò)病毒擴散到 目標(biāo)子網(wǎng)。我們假設(shè)每個節(jié)點j (j=l, 2n)以概率從一個子網(wǎng)遷移到另一個 子網(wǎng)。在每一個吋間步，刪除社閉之間的所冇邊，并以遷移率q表示社閉節(jié)點之 間的連邊概率來描述動態(tài)傳播過程。在模型中，我們設(shè)定一個病毒傳播閾值x,，當(dāng)xx(時，某類病毒會在網(wǎng)絡(luò)中爆發(fā)。在隨機網(wǎng)絡(luò)病毒傳播模型中，。某個社團i子網(wǎng)內(nèi)部的病毒傳播閾定義為:我們假設(shè)初始感染節(jié)點數(shù)為i (0) =1,即開始時只有一個感染節(jié)點，此節(jié)點位于社團i,那么當(dāng) 時，網(wǎng)絡(luò)病毒將在社團子網(wǎng)i內(nèi)部傳播爆發(fā)，而不會影

18、響到其他不同的社團子網(wǎng)。因為sdn網(wǎng)絡(luò)架構(gòu)下實現(xiàn)網(wǎng)絡(luò)節(jié)點(伍括移動設(shè)備、各類網(wǎng)絡(luò)設(shè)備和主機)的邏 輯網(wǎng)絡(luò)的重定向，因此社閉子網(wǎng)間存在著節(jié)點的轉(zhuǎn)移，即社閉間節(jié)點的轉(zhuǎn)移概率q0。當(dāng)(i=, 1, 2(43) m)時，即使整個系統(tǒng)中初始感染節(jié)點為1,經(jīng)過足夠的時間，網(wǎng)絡(luò)病毒會在整個網(wǎng)絡(luò)中傳播開，而網(wǎng)絡(luò)病毒的爆發(fā)時間與轉(zhuǎn)移概率q相關(guān)。我們再討論的情況，引入遷移率閾值q。，當(dāng)轉(zhuǎn)移概率qq。時，網(wǎng)絡(luò)病毒會在網(wǎng)絡(luò)中傳播開。3實驗及分析圖1不同轉(zhuǎn)移率q下，子網(wǎng)1和2中節(jié)點感染率p (t)對t的函數(shù) 下載 原圖 為了比較不同情況中網(wǎng)絡(luò)病毒在動態(tài)隨機網(wǎng)絡(luò)中的傳播特性，采用相同的實驗 環(huán)境，初始感染主機數(shù)i (0)

19、 =1，網(wǎng)絡(luò)節(jié)點數(shù)n=2000，為丫研宄的簡便性，設(shè) 置m=2，ni=800, n2=1200, <k>=40,連邊數(shù)最大可以力ni*n2=960000條，根據(jù)公 式 1 和公式 2 得到 p,=0. 0206，p2=0. 0464。假設(shè)某時刻節(jié)點的恢復(fù)率為p =0.1，由公式3,計算可得。實驗中,我們隨機選取社團子網(wǎng)1中的某個節(jié)點為感染初始節(jié)點，社團1分別取轉(zhuǎn)移概率 q=0. 000001到0. 00001向子網(wǎng)2進行遷移。圖1表示在不同的轉(zhuǎn)移概率下，社 團子網(wǎng)閃節(jié)點感染率p (t)為時間t的曲線函數(shù)。從圖屮可以看出，網(wǎng)絡(luò)病毒 首先在社團子網(wǎng)1中爆發(fā)，然后逐漸感染社團子網(wǎng)2。轉(zhuǎn)移

20、概率越大，則子網(wǎng)2 內(nèi)病毒爆發(fā)的時間越短。因為子網(wǎng)1內(nèi)病毒爆發(fā)的感染演化函數(shù)與遷移率關(guān)系不 大，因此我們僅用q=0. 00001的曲線來表示各種不同的情況。圖中的遷移率取值 主要依據(jù)實驗和經(jīng)驗值來獲得。深入理解m絡(luò)病毒傳播的時間演化過程是尋找防 止病毒爆發(fā)的管控策略的先決條件，因此，根據(jù)實驗結(jié)論，由于 ，只有社團子網(wǎng)1中的某個感染節(jié)點依轉(zhuǎn)移概率轉(zhuǎn)移到社團子網(wǎng)2,病毒才可能在子網(wǎng) 2中傳播。在每個時間步驟中，從社團子網(wǎng)1轉(zhuǎn)移到社團子網(wǎng)2的感染節(jié)點的數(shù)目為 ，其屮p: (t)表示在t吋刻社閉子網(wǎng)1內(nèi)的感染率。q表示社閉間的遷移率，&表示社團子網(wǎng)1中的節(jié)點數(shù)目。根據(jù)平均場理論，滿足公式。式屮

21、p: (t)表示網(wǎng)絡(luò)屮節(jié)點感染率；u表示感染節(jié)點的恢復(fù)概率；入 表示易感節(jié)點跟一個感染節(jié)點和連時的感染概率;方程右邊-p p (t)表示感染節(jié)點減少量，(hp! (t)表示易感節(jié)點密度，是一個易感點周圍節(jié)點的數(shù)目，而是一個易感點周圍感染節(jié)點的數(shù)目。根據(jù)乘法法則，是整個網(wǎng)絡(luò)屮感染點的增加數(shù)。當(dāng)時表示感染節(jié)點的增加，時表示感染節(jié)點數(shù)據(jù)增長率的臨界值，由此可以化簡為：p! (0)表示t=0的吋刻子網(wǎng)內(nèi)網(wǎng)絡(luò)病毒感染率，顯然在這個簡單模型中，p! (0) = l/nlo在時間步驟t，社團子網(wǎng)2屮節(jié)點感染的概率為ni pi (t) n2qx,其屮 p i (t)表示第t步社團1中感染節(jié)點數(shù)密度，q是社團1

22、中任意節(jié)點與社團2 中節(jié)點的連邊概率，x是整個系統(tǒng)中這類網(wǎng)絡(luò)病毒的感染概率。假設(shè)社團2內(nèi) 的節(jié)點在吋間被感染的概率為1,可以得到：由公式6可得: 因此，我們可以求得社團子網(wǎng)2的病毒爆發(fā)時間公式: 其中t0=ln c/ a表示社團子網(wǎng)2中感染節(jié)點數(shù)目從1增加到穩(wěn)定值的中間時刻。為了檢驗上述理論分析值，我們通過實驗來模擬獲得數(shù)據(jù)。t。為社團子網(wǎng)2中感 染節(jié)點數(shù)目達(dá)到穩(wěn)定值的一半的中間時刻。我們?nèi)〔煌膞值0.04和0.01,當(dāng) 轉(zhuǎn)移概率q=0. 000001到0. 00001發(fā)生變化吋，我們獲得圖2所示的兩條函數(shù)曲 線。這兩條曲線分別代表不同入值0. 04和0. 01取值情況下公式8的t。值。比

23、較得知，數(shù)值模擬與理論結(jié)論是一致的。圖2網(wǎng)絡(luò)病毒爆發(fā)時間tc與遷移率q的關(guān)系圖卜載原圖在這種情況下，如果社團間的節(jié)點迂移率太低，那么網(wǎng)絡(luò)病毒在爆發(fā)前就會在 社團子網(wǎng)1內(nèi)部自動消亡了。而如果遷移率夠高，那么網(wǎng)絡(luò)病毒會轉(zhuǎn)移到社團子網(wǎng)2。實驗屮我們采用圖1類似參數(shù)，但取1=0.005,其取值符合 ，在社團子網(wǎng)1內(nèi)隨機選取初始感染節(jié)點i (0) =100,計算可得，其中p: (0)，p2 (0)和p (0)分別表示社團子網(wǎng)1、社團子網(wǎng)2和整個社團屮的 病毒感染率。圖3當(dāng)a =0.005時，兩個社團的感染節(jié)點密度的演化曲線。下載原圖圖3表示在不同的轉(zhuǎn)移概率q=0. 0001和q=0. 00001的情況下

24、，社團子網(wǎng)1和社 團子網(wǎng)2內(nèi)節(jié)點感染率p (t)的演化函數(shù)曲線。黑色曲線表示子網(wǎng)1，紅色曲 線表示子網(wǎng)2。由圖3 (a)我們可以看出當(dāng)q=0. 0001時，大概在t為60時，網(wǎng) 絡(luò)病毒在社團2內(nèi)爆發(fā)。而由圖3 (b)我們可以看出當(dāng)00001時，社團2 和社閉1屮病毒都不會爆發(fā)。我們從理論上來分析一下，由于a<a£，所以存在某個時間點使得社團子 網(wǎng)1內(nèi)的網(wǎng)絡(luò)病毒最終死亡。那么只有在時間t-ti之前，有被感染的節(jié)點從社 團1遷移到了社團2，那么社團2內(nèi)的網(wǎng)絡(luò)病毒才有可能演化傳播。根據(jù)公式4 當(dāng)ei<0吋，p: (t，)會逐漸逼近于0。我們?nèi)∫粋€極小數(shù)，比如本例中p: (tj

25、=0.0001，通過公式4解得：又由公式7和公式9,我們?nèi)?t=t時(1=心得:由公式5獲得c值。在多組實驗中，我們分別取i (0) =50到100，并取入=0. 003到0. 006,然后從 0開始逐漸加大遷移率q的取值。當(dāng)遷移率增加到轉(zhuǎn)移閾值q。時，m絡(luò)病毒在社 閉子網(wǎng)2中爆發(fā)。對每個組t (0)和a的取值，我們進行100次試驗并取平均 值。試驗結(jié)果如圖4所示，闢圈點和星號點分別代表i (0) =50和100的實驗結(jié) 果，橫線代表根據(jù)公式10計算所得的理論值。實驗表明對于某個特定的a值， 遷移率閾值cr與社團子網(wǎng)1中的初始感染數(shù)i (0)成反比。而對于某個特定的 i (0)值，仏值隨著感染

26、率入的增加而迅速減小。例如，當(dāng)i (0) =100時，隨 著人從0. 003增加到0. 006, q。值迅速從1.8x10減少到7. 8x10。數(shù)值仿真實 驗證實了公式10的理論值。圖4遷移率閾值qc與感染率a的關(guān)系曲線，實線為理論值，點線為數(shù)值模擬 結(jié)果 下載原圖4結(jié)束語本文提出一個sdn環(huán)境下的動態(tài)隨機網(wǎng)絡(luò)模型。這個模型可以用于sdn架構(gòu)環(huán)境 中網(wǎng)絡(luò)病毒分析和防護，模型中將網(wǎng)絡(luò)子網(wǎng)作為社團考慮，子網(wǎng)內(nèi)部為靜態(tài)社 團，而子網(wǎng)之間為動態(tài)社團。研究發(fā)現(xiàn)當(dāng)源子網(wǎng)中感染網(wǎng)絡(luò)病毒的節(jié)點(移動設(shè) 備或移動介質(zhì))移動到?jīng)]有網(wǎng)絡(luò)病毒感染的a標(biāo)子網(wǎng)時，有可能使源子網(wǎng)屮的 網(wǎng)絡(luò)病毒在目標(biāo)子網(wǎng)中擴散和傳播，其傳播

27、和擴散待性與子網(wǎng)間的節(jié)點遷移率 和關(guān)。sdn的控制器可以進行應(yīng)用隔離和權(quán)限管理，我們通過分析社團間的節(jié)點 遷移率對網(wǎng)絡(luò)病毒在源子網(wǎng)和目標(biāo)子網(wǎng)的感染情況和爆發(fā)時間的影響，可以釆 取動態(tài)隔離疑似感染節(jié)點和修改網(wǎng)絡(luò)路由及權(quán)限策略的方式來降低和避免網(wǎng)絡(luò) 病毒的傳播。對sdn控制器的管理策略的設(shè)置提供理論參考模型。由于實際的sdn網(wǎng)絡(luò)環(huán)境更類似于無標(biāo)度網(wǎng)絡(luò)，從理論上分析，sdn網(wǎng)絡(luò)中不同 位置的節(jié)點對網(wǎng)絡(luò)病毒傳播的影響是不同，中心節(jié)點的感染節(jié)點的遷移對網(wǎng)絡(luò) 病毒傳播的影響會更大，但其模型的建立也會更加復(fù)雜。因此在未來的研究中， 我們將進一步研宄無標(biāo)度網(wǎng)絡(luò)或者其他更復(fù)雜的網(wǎng)絡(luò)模型屮網(wǎng)絡(luò)病毒傳播的特 性和防

28、護策略。研宄將先從建立網(wǎng)絡(luò)病毒在無標(biāo)度網(wǎng)絡(luò)模型中的模擬實驗開始， 先分析不同標(biāo)度的網(wǎng)絡(luò)節(jié)點的迂移率與網(wǎng)絡(luò)病毒傳播之間的數(shù)據(jù)關(guān)系，進一步 尋求其理論模型。參考文獻1 張朝昆，崔勇，唐翯祎，吳建平.軟件定義網(wǎng)絡(luò)(sdn)研究進展j.軟件學(xué) 報，2015, 26 (1) : 62-81.2 趙濤，李韜，孫志剛，等.refine:種可重構(gòu)的sdn轉(zhuǎn)發(fā)平面實現(xiàn)模型j. 小型微型計算機系統(tǒng)，2015，36 (10) : 2284-2288.3 adnan akhunzada, ejaz ahmed, abdul lah gani, et al. securing software defined netw

29、orks:taxonomy, requirements, and open issuesj. ieee communications magazine, 2015 april:37-444 王蒙蒙，劉建偉，陳杰，等.軟件定義網(wǎng)絡(luò):安全模型、機制及研究進展j. 軟件學(xué)報，2016，27 (4) : 969-992.5 .郭春梅，張如輝，畢學(xué)堯.sdn網(wǎng)絡(luò)技術(shù)及其安全性研究j.信息網(wǎng)絡(luò)安全, 2012 (8) :112-114.6 changhoon yoon, tacjunc park, scungsoo lee, ct al. enabling security functions with sdn:a feasibility studyj. computer networks, 2015 (85) :19-357 .趙明宇，嚴(yán)學(xué)強.sdn和nfv對未來移動通信網(wǎng)絡(luò)的影響分析j.電信網(wǎng)技 術(shù)，2015 (4) :3卜35.8 左青云，張海粟.基于open flow的sdn網(wǎng)絡(luò)安全分析與研究j.信息網(wǎng)絡(luò)安 全，2015 (2) : 26-32.9 shin s, porras p, yegneswaran v, et al. fresco:modular composable security services for software-defined networ