基于模糊理论的安全可持续Mobile-Edge计算服务链接

文摘

Mobile-Edge计算(MEC)是一种新型的和可持续的网络架构,实现节能与云计算和网络服务卸载移动蜂窝网络的边缘。然而,如何有效地管理各种实时改变安全功能是一个重要的问题阻碍了未来MEC的发展。为了解决这个问题,我们提出一个模糊安全服务MEC的链接方法。特别是,一个新的架构设计解耦与物理资源所需的安全功能。在此基础上,我们提出一个安全代理支持兼容传统的安全功能。此外,找到最优的顺序所需的安全功能,建立基于模糊推理系统(FIS)的机制来实现多个优化目标。大部分的工作已经完成,并实现一个原型,用于分析性能通过比较广泛使用的方法。结果证明该FIS机制实现了一种改进的性能而言,反向代距离(IGD)值和执行时间的解决方案。

1。介绍

随着大规模的移动终端的普及,全球移动交通爆炸增长在过去几年里。思科数据显示,移动数据流量增长了74%,2015年将进一步增加八倍从2016年到2020年(1]。然而,传统移动网络基础设施的能源效率不能移动网络服务的需求越来越高,手机用户的增加。为了缓解这个问题,Mobile-Edge计算(MEC)提出了一个新颖的和可持续的移动网络框架2]。不同的节能技术在无线传感器网络3,4),MEC的主要想法是部署基于信息技术(IT)的服务在移动网络的边缘,这得益于云边缘的能源管理。基于云计算的技术,它使移动计算卸载,提高移动网络的能源效率。由于上述特性,MEC预计将提供低能耗、高带宽的网络环境为移动用户。

至于MEC,节能计算卸载机制是最大的担忧之一在学术界和工业地区。奥尔西尼et al。5)提出了一个编程模型为移动应用程序开发人员轻松地受益于计算卸载。陈等人。6)提出了多用户计算卸载游戏理论算法。基于连续凸逼近技术,Sardellitti et al。7]研究广播和计算资源的优化。贝克et al。8]介绍了一种节省电力通过出售移动设备视频转码。然而,上述研究关注的常见方法计算卸载。很少有解决方案关注安全问题通过使用这些方法来节约能源和提高移动流量。

随着移动网络的快速发展,为移动交通安全需求越来越多样化。正如我们所知,几乎没有工作专注于灵活和实时变化在MEC安全服务以满足不同的安全需求。因此,我们的工作是MEC动机提出一个新的解决方案来满足安全需求多样性。我们引入MEC的安全服务链接指的是服务功能的链接(证监会)[9]。安全链接服务架构可以提供动态更改安全服务的移动用户的需求。此外,一些网络相关漏洞为移动设备,如拒绝服务攻击(10安全功能),可以解决的在我们的架构。建议的体系结构的一个复杂的移动安全服务可以把现有的一些简单的安全功能。由于高性能云计算和虚拟化,它灵活组成几个必要的安全功能在MEC不同的安全需求。

总的来说,本文的主要贡献是四倍:(1)我们建议MEC的体系结构与安全服务链接,mobile-edge云上部署安全功能的移动用户设备。因为交通引导标准的证监会,安全函数代替传统的服务功能也提出了兼容的新架构。此外,代理可以实现转换从一个无状态的安全功能状态。(2)图形理论模型用于描述该安全服务链接。因为对安全服务的决策过程链受到许多因素的影响,提出了一种基于模糊推理系统(FIS)算法来找到合适的订单所需的安全功能。(3)我们在原型实现安全服务链条,包括数据包路由网络服务头(NSH)封装11),该安全功能代理。有很多工作在我们FIS的基础算法的性能分析。做个比较,我们选择一个简单的加性加权(看到)方法的对比算法。看到的是一个广泛使用的多目标优化方法。结果表明,我们的算法实现了一个更好的性能比看到的反向代距离(IGD)值和执行时间。

本文的其余部分组织如下:部分2讨论了相关工作。部分3介绍了安全服务链接MEC的体系结构。节4,我们制定了安全服务连锁的基于图模型,并提出一个模糊推理系统对安全服务组合算法。部分5介绍了安全服务的实现链在云。我们也提出一个比较算法和相应的评价方法来评价我们的算法部分5。部分6本文总结道。

2。相关工作

最近,许多研究[12- - - - - -16)重点结合不同的服务功能为用户定义的链接提供一个可扩展的服务要求。这些作品的核心思想是类似于香港证监会。Callegati et al。12)提出了一个解决方案来实现一个服务链接在云环境中。它专注于控制器的设计,及其实现进行了测试在Mininet [13),一个非常流行的仿真平台软件定义网络(SDN)。不同于(12),Gember et al。14)提出了一个名为Stratos的新架构,动态实例化新中产盒子在SDN需求。Stratos解决三个主要问题转向流量适当造成:弹性伸缩,middlebox位置和流分布。FlowTags架构提出了(15)造成融入SDN网络实现。FlowTags尽可能减少了开销与传统SDN机制相比,但需要FlowTags增强中间框。卡齐et al。16)实现动态交通路由无需修改传统造成的。考虑到资源约束,这也提出了一个算法来生成流路径和转发规则。然而,这些方法没有考虑了移动网络的服务部署。

安全服务部署重要的是找到一个合适的安全服务组合。有一些Web服务组合研究,试图利用图论模型来描述QoS意识到服务组合。Yu和元17)描述服务组合的多约束最优路径问题。太阳et al。18)提出了一种改进的最短path-relax方法。江et al。19)两偶图最优匹配算法用于服务选择。da Silva et al。20.提出了一种基于图的粒子群优化算法。限制图论,存在许多研究集中在单目标优化的服务组合或转换成一个多约束多目标优化问题。然而,决策的过程中对安全服务组合实际上是受到了许多额外的因素的影响,其中一些是在彼此冲突。存在简略优化算法不适合来解决这个问题。

模糊理论被广泛用于解决多目标优化,这在过去的几年里变得越来越受欢迎。特别是关于服务组合的决策过程,基于模糊理论的一些典型方法。例如,Kashyap、Tyagi [21)优化隶属函数为一个高效的服务选择和组合。Bakhshi et al。22)排名不同组合服务基于模糊化的服务质量标准。然而,现有的研究主要集中在用户首选项的表达式以模糊的方式,但一些考虑订单所需的功能。

在本文中,为了提供多样性为不同的手机用户灵活安全功能,提出了一种新的体系结构相结合的理念服务功能与MEC链接。此外,找到适当的安全服务组合,我们使用一个图模型来描述安全服务部署。不同于已有的研究中,我们使用模糊方法和图形理论找到恰当的秩序所需的安全功能。灵感来自Dastjerdi和Buyya [23),我们选择一个模糊推理系统实现与多个影响因素决策的过程。

3所示。体系结构的安全服务链接

在本节中,我们提出一个架构mobile-edge安全服务链接。然后,我们介绍详细体系结构中的主要元素。特别是,该安全功能代理如下一个例子实现SFC-aware防火墙。

传统的移动网络非常复杂,由于集成许多不同的服务功能。例如,在一个典型的3 gpp-based移动网络,交通从用户设备(UE)封装在3 gpp具体隧道最终终止报文网关(P-GW)。P-GW传统移动网络的数据包网关,负责数据转发到其他网络。换句话说,所有的服务都是标准化的。然而,它为每个流穿过所有不必要的安全服务在特定的顺序,可能影响资源移动网络的效率。因此,我们可以将这些服务分为两类:访问服务和安全服务。P-GW是他们两人之间的桥梁。前者是移动网络所必需的。然而,后者可以实现与云技术来提高资源效率。因此,在我们的架构中,我们将传统的移动网络划分为两个独立的网络:专用访问网络和mobile-edge云。

如图1的建议的体系结构由四个主要部分:问题,简化了移动网络,mobile-edge云,服务器与因特网相连。在这个解决方案中,增强NodeB的访问服务(eNodeB) P-GW并不详细,因为安全服务是本文重点。一个问题是一个移动用户。简化移动网络只是负责用户无线访问。mobile-edge网络扮演着一个重要的角色在我们的架构中,我们部署移动用户所要求的安全功能。一个分类器,有一些虚拟化安全功能(粘胶短纤的),和一个网关mobile-edge网络。服务器与因特网有关的目的地是移动用户的请求。

在本例中,我们假设一个移动用户试图使用他/她的手机来访问服务器通过互联网。起初,他/她的手机,被视为问题,连接到附近的eNodeB。然后,从eNodeB P-GW传输数据在移动网络。在此体系结构中,下一跳P-GW应该mobile-edge网络。数据将被分配一个安全服务链条,取决于用户的安全需求。以下部分将详细描述我们的建议的体系结构的主要元素。

3.1。访问服务

传统的移动网络用户访问服务仍然是必要的。eNodeB后接收到用户的流量问题,移动网络将完成用户访问和身份验证过程。然后,交通是P-GW带领。不同于传统移动网络体系结构中,P-GW通信用户访问服务和mobile-edge云之间的桥梁。都转发流量从一个移动节点提出了云,提供所需的安全服务虚拟化平台上链。

3.2。安全标识符

交通从P-GW发送收到的分类器在云中。一旦分类器接收到新的交通流,它将分析这个流的特征。分类器识别不同流基于他们的身份/类型信息(例如,5-tuple TCP / IP)。然后,有一个独特的流标识符创建这个流。这个标识符被认为是其服务路径标识符(SPI),用于标记的连锁安全服务流。同时,其分类分级机报告控制飞机。控制平面解析后的结果和分配一个适当的安全连锁服务流程,分类器将知道它下一跳。从控制平面的转发信息,分类器封装了流与相应的服务指数(SI),这表明第一(下一跳)虚拟化安全功能。最后,流量转发到下一跳的分类器。

3.3。虚拟化安全功能

虚拟化安全功能在我们的架构是一个逻辑概念,它由三个物理实体:货代服务、安全服务代理,和安全功能。以下目前虚拟化的安全功能,每个元素和它们之间的关系如图2。

3.3.1。服务的货代

转发服务货代是唯一的任务,它是一个双向的过程。一方面,当服务货代接收流从之前的服务货代或安全分类器,它将流重定向到特定的安全功能代理根据NSH流的封装。另一方面,它也可以向前流回到下一个货代在相同或不同的代理服务。的转发路径分配控制器。

3.3.2。安全功能代理

安全功能代理在此体系结构中扮演着重要的角色。它的主要功能是支持兼容现有的传统(SFC-unaware)的安全功能,因为该建议的体系结构的路由的方式从传统完全不同。此外,安全功能代理,无状态的安全功能可以被转换成一个有状态的。

显然,传统安全功能无法识别NSH封装的流,因为它是设计基于IP的网络基础设施。我们需要一个NSH-IP译者翻译的流动收到货代服务,将由传统安全处理函数。代理可以被视为安全功能所需的翻译。在部署服务货代之间和相应的安全功能。此外,类似于货代服务,代理也是一个双向实体,可以翻译NSH封装流入IP封装流,反之亦然。因此,安全功能代理包括两种类型的接口:转发接口和服务接口。前达到NSH和IP封装之间的翻译,而后者用于与附加服务通信功能。

代理的其他重要功能是一个无状态的安全函数转换成一个有状态的。每个代理维护特定的服务状态列表附加功能和及时更新。服务状态列表如表所示1,其中包括三列:流ID,匹配的信息,和服务状态。的流ID流是一个标识符。为了简化,我们使用的共同5-tuple流的匹配的信息。的服务状态记录真实的安全功能,可以帮助未来的代理操作流程。当代理接收到的第一个新数据包流,它将数据包重定向到指定的安全功能和增加流服务状态的标识信息列表,包括流ID(我们使用的SPI流)和流的匹配信息。一旦代理被安全的返回流或处理结果函数,它将记录的服务状态流。此外,有一个计时器代理数的返回时间和交货时间流。如果阈值时间是满足,这个流的服务状态会写成”否认自动”。然后,根据服务状态,代理可以处理流的数据包后独立来缓解压力的安全功能。

3.3.3。安全功能

安全功能是关键功能的实体安全服务链条。在传统的移动网络体系结构中,与其他访问服务集成的安全服务。然而,在拟议的架构中,所需的安全服务部署在mobile-edge网络和安全软件实现的。有两种类型的安全功能:SFC-unaware安全功能和SFC-aware的。大多数存在安全功能前,应与安全服务代理合作。它接收翻译流从代理并执行预定义的安全规定,代理服务功能。其他安全功能是专门为NSH封装设计流。不需要准备额外的代理SFC-aware安全功能状态。

虚拟化的工作流安全函数说明了实现一个有状态的防火墙的一个例子。图3展示了这无状态的防火墙是担任一个有状态和SFC-aware防火墙与代理。

有两个流,流1和流2,进入给定的服务同时货代。一旦服务货代检测新流,它将转发到相应的安全服务代理。

当代理接收到的第一个新数据包流,它将deencapsulate NSH头并记录其流ID。在那之后,立即流发送到连接防火墙。同时,代理写的5-tuple信息流入其服务状态列表并启动一个计时器。如果防火墙允许这个流通过根据预定义的规则,第一个包会返回到代理。然后,代理将知道它的状态和记录服务状态为“允许的。“否则,服务状态将会写成“否认“当时间结束了。在这个例子中,我们可以看到流1被拒绝但流2是允许的。

填写服务状态的流之后,代理可以处理以下的数据包流没有防火墙的帮助。换句话说,下面流的数据包处理不需要的防火墙。流2将被转发到服务货代代理下次和流1将直接删除。最后,对于流程2这是允许转发到下一个服务功能,代理将恢复NSH封装流程2之前发送出来。

3.4。网关

网关在mobile-edge网络类似于P-GW在传统的移动网络。它被认为是一种包出口mobile-edge网络和互联网的入口。换句话说,任何想要的流量达到互联网应该通过网关。此外,因为mobile-edge网络的网关是最后一跳(安全服务连锁的结束),它会检查是否deencapsulated NSH头流的。

一句话,拟议的架构的核心思想是把安全服务从传统的移动网络和云上部署虚拟化安全功能接近用户。这种变化使得网络系统更好地满足灵活和可伸缩的移动安全需求。

4所示。优化的安全服务链接

提出了移动通信体系结构,提出了一种安全服务链条,以满足灵活的用户安全需求脱钩逻辑安全服务与云环境中的物理资源。然后,与已知的安全需求,我们需要生成一个相应的安全服务链接将需要安全服务为一个序列。在这种情况下,关键是确定序列的次序,这取决于很多因素。然而,很难找到一个最好的最优部署解决方案,因为许多对象是互相冲突的。例如,如果我们想要减少服务处理延迟,我们必须选择一个服务节点CPU使用率较低,这并不有利于节省电力的云。因此,可行的方法来解决这个问题是要找到一个适当的平衡,这不仅是保证移动用户的体验也尽可能减少能源消耗。

在本节中,我们首先提出一个基于图模型的安全功能部署,用于找到恰当的顺序算法所需的安全功能。由于给定的安全服务连锁的性能受到很多因素的影响,我们将讨论如何做出决定同时与多个因素。最后,我们提出一个安全服务组合算法基于以上考虑,用于选择一个合适的安全服务链条最可接受的性能。

4.1。基于图的安全服务模型

安全服务链接需要一个复杂的和集成的安全服务,由一系列专门的安全功能。为了避免干扰他人,不同的安全功能部署在不同的云中的虚拟机(vm)。因为安全功能的执行是为了和没有安全功能重用在一个安全服务链条,我们用图论来描述所有安全功能和它们的执行顺序。的定义如下。

以下4.4.1。安全函数图

根据安全服务链接的特点,有向无环图是用来描述所有服务功能和它们的执行顺序。安全函数图形式化,在那里的顶点和吗边的集合。

4.1.2。顶点

在安全函数图,顶点代表一个可用的云中的虚拟机。因此,虚拟化安全功能可以部署在这个顶点。除此之外,有两个特殊的顶点,代表相应的分类器和云的网关。分类器的顶点作为唯一的入口点,和网关顶点作为唯一退出顶点。为了避免干扰,每个VM只能运行一个安全服务的安全功能链。此外,可能会有多个安全函数运行在同一个虚拟机对不同安全连锁服务。

4.1.3。边缘

安全函数图的每条边表示两个必需的安全功能之间的连接性。边两个不同vm之间是直接的,因为安全功能部署在他们执行。安全函数前顶点之前应该执行后(下一跳)。如果有几个安全服务链条,一些顶点可能有一个边缘定向到不同的下一跳。他们可以用于不同的安全连锁服务部署的安全功能相同的顶点。此外,至少有一个直接从分类器边缘顶点和一个指示边缘网关安全函数图中的顶点。

4.1.4。安全函数路径

考虑到安全功能的成分,安全函数路径可以表示为一个安全功能图的子图。因为所有安全服务连锁店从分类器开始和结束在网关,一个安全功能路径被认为是一种路径从分类器的网关安全函数图。这是正式的,在那里是的一个子集和是的一个子集。

4.1.5。安全服务连锁

安全服务连锁店由几种不同的安全功能,部署在安全函数路径。一个给定的安全服务连锁是正式的一个序列在哪里的总数是必需的安全功能。之间有一对一的映射关系安全服务的安全功能链和其相应的安全函数路径的顶点。此外,的大小应该大于或等于如果安全功能的数量等于。尽管每个安全服务连锁是对应于一个独特的安全功能路径,可能会有一些顶点和边在安全函数图中重用。

用图的基础安全服务模型,我们可以形式化安全服务连锁路径和相应的安全功能。安全功能的顺序可以视为他们之间的比赛,这是我们的算法的基础。例如,图4显示了一个安全功能图,在那里。顶点和分别代表了分类器和网关。另一个顶点是正常的vm在这个图表,我们可以部署所需的安全功能。由行。我们纪念特定安全函数路径与完整的线,而另一个虚线代表其他存在安全函数的路径图。这个安全路径可以被描述为函数,在那里。我们可以部署一个安全服务链条在顶点在秩序,有一个函数及其位置之间的匹配。

4.2。约束优化的安全服务

为了满足用户尽可能的安全需求,我们选择所需的安全功能来创建安全连锁服务。然而,这些功能应该是优化的顺序,由许多额外的影响因素。

为了解决这个多目标优化,我们应该为这些目标分配适当的体重。传统上,我们决定由我们的经验或专家的建议。但这种方式是粗粒度的,因为我们必须用精确的数字来描述评价模糊和语义的单词。因此,我们使用一个模糊推理系统来描述他们的体重,它使用模糊集理论与定义的规则映射的输入输出(24]。有两个受欢迎的类型的模糊推理系统,Mamdani(25),Takagi-Sugeno。我们选择的Mamdani重心去模糊化,因为它更接近人类的思维。输入是由影响因素的数量决定的,但是输出是独一无二的。模糊规则是由经验或专家建议。

在本文中,我们考虑两个典型方面,用户体验和系统能耗。移动用户体验而言,最重要的因素是延迟,包括传输延迟和功能处理延迟。前时就已确定安全函数路径,而后者决定的顺序序列。另一方面,我们选择每个VM的CPU使用率来评估它的能源消耗。因此,两个主要的优化目标是处理延迟和CPU使用率。在最好的情况下,我们想要选择一个最低的安全功能的合成处理延迟和CPU使用率最高。

对于我们的模糊推理系统,输入处理延迟和CPU使用率,这三个层次进行分类:低,中间,和高。隶属度函数的两个输入都是相同的,如图5(一个)。只有一个输出是验收标准,在五个层次分类,如图5 (b)。输入值和输出值都是标准化的数字。在这种情况下,输出值“0”在输出结果是完全不可接受的,而“一”意味着它是高度可接受的价值。规则如表所示2,这是由我们的经验。例如,第一个规则意味着如果处理延迟低,CPU使用率高,它被认为是一种高度可接受的结果。

如图6,提出了模糊推理系统能够描述输出的可接受的水平的CPU使用量和处理延迟。换句话说,这种模糊推理系统描述了这些影响因素的更合理的体重。

4.3。FIS基础安全服务组合

对于一个给定的安全函数路径,有候选人VM节点可采用必要的安全功能。考虑到许多不同的影响因素,如他们的处理延迟和CPU使用率,我们需要找到一个合适的部署这些安全功能。因此,基于模糊推理系统,我们提出一种新的算法来找到匹配所需的安全功能和它们的位置(订单)。通过这种方式,我们假设每个安全功能的选择影响因素测量。

算法找到最合适的安全函数组合提出了如下。

步骤1。设置每个安全功能的影响因素为每个替代VM节点关于安全的功能用。

步骤2。计算相对隶属度的VM节点和安全功能有不同的影响因素。一定有影响力的因素,如果更大影响力的因素是更好的,它显示了相对隶属度 在哪里是最低和是最大的。
否则,显示了其相对隶属度

步骤3。设置相对隶属度的选择的影响因素作为输入的模糊推理系统;然后我们可以获得可接受的水平在输出。

步骤4。因此,模糊关系矩阵所示

第5步。使用匈牙利法(26]找到独立0元素代表之间的匹配关系的安全功能和其相应的虚拟机。

步骤6。部署这些安全功能。

5。实施和评价

5.1。原型实现

对于一个典型的场景3 gpp LTE网络,我们提议mobile-edge架构应包括一个问题,一些必要的访问服务LTE, P-GW,必需的安全功能,接口到互联网。然而,要弄清楚,我们只实现提出mobile-edge云在我们的原型。

如图7原型由一个分类器,网关,四个安全功能和相应的代理和服务代理。分类器是负责创建一个流,并分配一个适当的安全服务链条。流将通过安全功能1 - 4。最后,网关接收这个流。每个服务之间有一个安全功能的代理货代和其安全功能将从IP流NSH封装,反之亦然。每一个都运行在一个VM与双核CPU, 2 GB记忆和几个网卡,这是由在OpenStack基于内核的虚拟机(KVM)。

分类器和服务代理由OpenVSwitch实现(27]。OpenVSwitch软件开关,能够提出具体的流根据预定义的规则。在我们的原型中,我们使用SDN控制器痘(28)控制OpenVSwitch的行为。达到证监会路由、服务代理配有Nshkmod [29日]。Nshkmod是一个开源的Linux内核模块实现网络服务的头,用于封装和deencapsulate NSH服务流。安全函数的实现代理也是基于OpenVSwitch Nshkmod,为了删除/插入NSH封装的数据包并将他们重定向到下一个服务货代或接收器。

达到标准的证监会路由两个不同vm之间,每个虚拟NSH接口(名为nshx),由Nshkmod,与网卡(名为ethx)在ov net-bridge。在ov net-bridge有能力从虚拟NSH接口转发数据包相关的NIC以封装NSH头,反之亦然。此外,两个虚拟NSH接口之间的数据传输是通过一种特殊的隧道在Linux内核。通过这种方式,服务货代代理可以与相应的安全功能。服务的安全功能的代理货代可以发送/接收数据/从其相应的安全功能在传统的路由方式(IP路由)。

考虑到移动网络中最常见的安全服务,我们选择防火墙,网络地址翻译(NAT),深层数据包检测(DPI),和负载均衡器(磅)作为一个例子。防火墙和NAT都由iptables实现(30.),将其集成到Linux内核。DPI由nDPI实现(31日),一个著名的开放源码软件。磅是由Linux虚拟服务器实现(lv) [32),一个受欢迎的服务器负载均衡技术。

我们假设安全函数路径如图所决定7。我们选择两个重要影响因素中提到的部分4、安全的处理延迟函数和相应的vm的CPU使用率。基于原型,我们测量这些参数为每个安全功能四个独立决定vm。处理延迟的测量结果如表所示3和CPU使用情况如表所示4。

5.2。对比算法安全服务组合

为了评估算法的性能,对比算法来解决安全服务组合的问题。简单的加性加权(看到)33广泛用于服务组合,将多目标优化转化为简略优化。然而,看到算法没有模糊理论传统。让它合理评估我们的模糊算法,我们提出一个基于模糊看到算法,它结合了看到算法与模糊关系理论。

安全服务组合问题和它的条件是相同的部分4.3。具体算法如下。

步骤1。设置每个安全功能的业绩评估为每个替代VM节点关于安全的功能用。

步骤2。计算相对隶属度的VM节点和安全功能不同的绩效评估。对于一个特定的性能评估如果更大的绩效评估是更好的,它显示了相对隶属度 在哪里是最低和是最大的。
否则,显示了其相对隶属度

步骤3。设置模糊权重,在那里根据我们的经验或专家的建议。

步骤4。根据模糊的重量,计算出总模糊绩效评估,所示

第5步。因此,模糊关系矩阵所示

步骤6。使用匈牙利方法找到独立0元素代表之间的匹配关系的安全功能和其相应的虚拟机。

步骤7。部署这些安全功能。

5.3。评价方法和标准

简略的优化算法可以很容易地通过计算评价最好的价值,因为它的目标是发现只有一个给定问题的极值。然而,很难评价多目标优化算法。通常,一个多目标优化问题是受到一些因素的影响,在彼此冲突。是不可能找到解决方案,以满足每一个最优的目标。因此,对于多目标优化,存在大量的帕累托最优解。帕累托最优的解决方案不能改善任何目标这个问题如果我们不降低其他目标。帕累托面前是一套所有的帕累托最优的结果,可以用来描述一个多目标优化问题的最佳解决方案。

因此,有必要找到帕累托前在我们评估算法。因为前面的帕累托提出安全服务组合问题是未知的,它应该选择一个现有的算法来估计帕累托。遗传算法是一种最流行的多目标优化算法,它可以帮助我们获得帕累托。在本文中,我们使用NSGA-II [34)算法,它是一种改进的遗传算法,估计帕累托。因为帕累托前通过该算法是有限的每个运行时的动态改变,我们运行这个算法在相同的情况下收集10倍帕累托点尽可能多。

NSGA-II算法我们使用取决于三个主要参数:人口规模,一代的最大数量,适应度函数为我们的问题。没有全面的解决方案设置人口规模和几代人的最大数量。例如,使用一个较小的人口,快速找到解决方案,但可能会导致局部最优,而一个更大的人口可能会导致低效率。最大数量的决定代类似于人口规模。因此,我们评估算法在一些情况下设置不同的人口规模和几代人的最大数量。

另一方面,重要的是为我们的问题选择合适的适应度函数,它有一个伟大的影响算法的收敛速度。节中提出的模型4.3,我们假设每个安全功能和影响因素选择虚拟机节点与各自的安全功能和的值k影响因素在每个VM来标示。此外,这些因素可以分为两类:积极的因素和负面因素。对于前者来说,大的值意味着越好,而对于后者,小意味着更好的价值。然后,健身功能所示

根据计算结果,我们可以获得大量的帕累托最优点。每个点可能是我们的问题的最佳解决方案,这被认为是估计的帕累托最优。估计帕累托面前,下一步是评估我们的基于模糊优化算法。合理的评价多目标优化算法的方法是进行比较计算结果和帕累托。有一个广泛使用的指标来描述之间的差异估计帕累托面前,结果计算了我们的算法,称为IGD。IGD代表距离结果通过我们的算法来估计帕累托。很明显,一个较小的值是更好,因为它更接近帕累托。IGD可以计算 在哪里帕累托最优的点的总数,结果的影响力的向量,向量的影响因素帕累托最优点。

因此,我们可以使用NSGA-II算法找到帕累托在一定情况下的面前。然后,我们计算给定的IGD价值安全服务组合算法根据实现帕累托。最后,我们评估不同算法的性能通过比较它们之间的IGD值,和IGD值较小的算法更好。

5.4。实验结果

根据该算法,我们首先计算每个测量相应的相对隶属度,如表所示5和6,分别。

然后,我们使用模糊推理系统在部分4这两个因素之间作出取舍决定。设置处理延迟的相对隶属度和CPU使用率作为输入;然后我们得到模糊关系矩阵。

最后,我们使用匈牙利法找出安全功能和vm之间的匹配关系,由“0”标志着在桌子上7。

根据表7,我们应该部署安全VM2函数1,函数2 VM1,函数3 VM3和服务VM4 4。因此,给定的安全服务的服务部署顺序链函数,函数1,函数3,和函数4。总以这种方式处理延迟= 37.5及其相应的总CPU使用= 205.5。

评估算法,同样的问题也模糊看到基础算法在计算的部分5.2。我们将参考模糊权重。这意味着处理延迟的影响有点比CPU使用率,这类似于规则我们定义我们的模糊推理系统。不同的算法,用精确的数字来描述我们的主观感受。有了这个经验模糊权重,我们使用(6)计算综合隶属度,所示(11)。 所以,引用模糊关系矩阵 同样,我们使用匈牙利法找出参考安全功能和vm之间匹配关系,这是“0”标志的表8。

根据表8,我们应该部署安全VM2函数1,VM4函数二,函数3 VM1, VM3服务4。因此,给定的安全服务的服务部署顺序链函数,函数1,函数4,和功能2。总以这种方式处理延迟= 40.3及其相应的总CPU使用= 206.3。

客观地评价我们的算法,我们也算两个极端情况下在这个场景中,这是最短的总处理延迟和最大总CPU使用情况。在前者情况下,总处理延迟= 36.9及其相应的总CPU使用= 203.2。在后者的情况下的总处理延迟= 39.8和它的总CPU使用率= 209.3。

为了方便起见,我们的四个案例,案例1 - 4:案例1代表FIS的部署算法为基础,第二种情况是部署基于模糊看到的算法,和案例3和4代表最短处理延迟案件和最大的CPU使用情况,分别。

要明确,我们将讨论这两个因素,总处理延迟和总CPU使用率独立平等。图8(一个)显示了不同情况下的总处理延迟。我们可以看到1非常类似于案件3,代表最小总处理延迟。很明显,部署我们的算法可以获得较低的处理延迟,这是接近我们的目标。在例2和例4比他们高得多,尤其是2等于甚至高于案件4。第二种情况可能是最坏的情况下在这种情况下,因为它获得最短的处理延迟和CPU使用率最高。虽然对比算法的主观感受似乎FIS的基础算法,结果表明,它是非常不同的。原因是这些因素的标准语义和复杂性。很难描述的标准只有一个精确的数字。结果也证明了我们的模糊推理系统是有用的来解决这个问题。

另一方面,数字8 (b)显示了不同情况下的总CPU使用率。虽然没有其他类似案件4代表的最大总CPU使用率,例1和例2远高于例3。情况下可能是最低成本的CPU使用情况在这个场景中最短的处理延迟。情况下是非常接近1,所以他们可以部署CPU使用率较高的候选人。然而,根据上面的分析处理延迟,第二种情况是最糟糕的解决方案。因此,最适当的部署是案例1。换句话说,我们的算法提供了一个最好的这两个因素之间的权衡。它证明了我们提出的算法是有用的服务创建一个适当的安全链与多个影响因素。

5.5。性能分析

在本节中,我们首先估计NSGA-II帕累托面前,我们的问题的算法,因为有四个vm需要部署安全功能在上面的场景中,两个影响因素要考虑。所以,(4),应该是健身功能

为了使它更接近真实的场景中,我们设置这些决策变量两个适应度函数(目标函数)的基于表的测量3和4。因此,这些决策变量的范围如下:

因为人口规模和几代人的最大数量是很难确定在这个场景中,我们使用四个不同人口规模和双值产生的最大数量来评估算法的性能。这些成对的值设置为(100)、(200)、(100)和(100、200),前者代表着其人口规模,后者代表了一代的最大数量。

在我们获得所有的帕累托最优分情况下,计算其IGD值(8)。在这篇文章中,我们计算IGD值都基于FIS算法和模糊算法在以上四种不同的情况。如图9,加号的虚线代表IGD价值观提出FIS的算法,而虚线星号代表了基于模糊的看见的算法。每一行包含4个点,每个点代表一个情况。例如,第一点在虚线加号意味着IGD FIS的价值为基础计算算法与人口规模20和100年几代人的最大数量。

很明显,星号的虚线是总是低于加号的虚线。此外,有衰退的虚线图所示9。可能的原因是人口规模不够大NSGA-II找到足够数量的帕累托最优的点的算法。此外,过多的后代基因突变也使IGD值大,是因为IGD值意味着选择样品的稳定性。一般来说,IGD FIS的基础算法的值总是小于每种情况下的基于模糊看到的算法。结果表明,通过我们的算法是接近最佳解决方案(帕累托面前)。因此,FIS的基础算法的解决方案比模糊算法。

此外,我们也做个比较不同算法的执行时间图所示10。的虚线圆圈代表提出FIS的基础算法的执行时间,加号的虚线代表的比较算法,和虚线的星号代表NSGA-II算法。在这个实验中,我们计算每个算法的执行时间不同数量的必要的安全功能安全服务链条,从2到12。显然,NSGA-II总是更大的执行时间比其他算法。随着所需的安全功能的数量增加,执行时间也增加。然而,根据我们的实现结果,FIS的基础算法的性能类似于模糊看到基础算法,并且基于金融中间人和模糊看到算法的执行时间低于1毫秒。因此,它是可以接受的安全服务链接选择基于FIS算法或模糊的看见一个的执行时间。

基于上述分析,FIS的基础算法的总体性能优于基于模糊看到的算法。

6。结论

在本文中,我们提出一个新的架构可持续MEC的安全服务链接。该服务链接可以满足更多的多样性和灵活的移动用户需求。此外,我们提出一个安全代理功能,它提供了传统安全功能的兼容性的新架构。我们也提出一个算法来找到一个合适的方法来合成所需的安全功能与多个影响因素。在细节,安全服务连锁图模型描述,并采用模糊推理系统找到合适的订单所需的安全功能。最后,用一个原型实现,我们计算和分析算法的性能通过比较一种广泛使用的算法。显然实验结果证明提出的基于FIS比对比算法有一个共同的评价标准。

相互竞争的利益

作者宣称没有利益冲突有关的出版。

确认

这项工作是由中国国家高技术(“863计划”)批准号中国2015 aa015702,国家基础研究计划(“973计划”)批准号2013年cb329101,自然科学基金委批准号下的中国61271202也没有。61602030,和NSAF批准号U1530118。

引用

1. 思科,思科视觉网络指数:全球移动数据流量预测更新,2015 - 20202016年,思科。
2. m . Patel b·诺顿c . Chan et al .,“Mobile-edge computing-introductory技术白皮书,“技术。众议员1,欧洲电信标准协会,2014。视图:谷歌学术搜索
3. c·e·翁诉沙玛,h . c . Chen和c·h·毛,“同行:附近节能路由算法对无线传感器网络来说,“《互联网服务和信息安全》第六卷,没有。1,47-56,2016页。视图:谷歌学术搜索
4. 美国亚兰、i Khosa却和e . Pasero”节约能源通过神经感知数据的预测,”杂志的无线移动网络,无处不在的计算,和可靠的应用程序》第六卷,没有。1,第97 - 74页,2015。视图:谷歌学术搜索
5. g .奥尔西尼d吩咐,w . Lamersdorf”计算在移动优势:设计弹性android应用程序计算卸载,”第八届联合会无线和移动网络研讨会论文集(WMNC 15)德国慕尼黑,页112 - 119,,2015。视图:谷歌学术搜索
6. l . x Chen焦、w·李和x赋,“有效的多用户计算卸载mobile-edge云计算,“IEEE / ACM交易网络,24卷,不。5,2795 - 2808年,2015页。视图:出版商的网站|谷歌学术搜索
7. s . Sardellitti g .斯库台湖,巴巴罗萨,”联合优化无线电和多单元的计算资源mobile-edge计算,”IEEE在网络信号和信息处理,1卷,不。2、89 - 103年,2015页。视图:出版商的网站|谷歌学术搜索|MathSciNet
8. m·t·贝克菲尔德,a . Fichtner c . Linnhoff-Popien和t . Schimper”ME-VoLTE:节能视频转码在移动网络功能优势,”情报学报18国际会议在下一代网络(ICIN 15)2015年2月,巴黎,法国,。视图:出版商的网站|谷歌学术搜索
9. e . j . Halpern和e·c·Pignataro”服务功能链接(证监会)体系结构中,“技术。众议员RFC 7665,互联网工程任务组(IETF), 2015年。视图:谷歌学术搜索
10. b Rashidi c . Fung,“android安全威胁和防御的调查。”杂志的无线移动网络,无处不在的计算,和可靠的应用程序》第六卷,没有。3,3-35,2015页。视图:谷歌学术搜索
11. p·奎因和美国Elzur”网络服务头。”IETF Internet-Draft,2016,https://datatracker.ietf.org/doc/draft-ietf-sfc-nsh/04/。视图:谷歌学术搜索
12. f . Callegati w . Cerroni、c . Contoli和g . Santandrea“虚拟网络的动态链接函数基于云计算的网络边缘,”学报第一IEEE会议网络Softwarization (NETSOFT 15)2015年4月,IEEE,伦敦,英国。视图:出版商的网站|谷歌学术搜索
13. b . Lantz b·海勒和n部,“网络笔记本电脑:快速成型软件定义网络,”学报》第九届ACM SIGCOMM车间在网络热门话题(HotNets-IX 10)美国,页1 - 6,加州蒙特利,2010。视图:谷歌学术搜索
14. s . s . John a . Gember a•克里希纳穆尔蒂et al .,“Stratos:虚拟造成的网络感知编排层云,“https://arxiv.org/abs/1305.0209。视图:谷歌学术搜索
15. s . k . Fayazbakhsh l .蒋介石诉Sekar m . Yu和j . c .大亨,“强制进行政策的动态使用flowtags middlebox行动,”学报》第11届USENIX大会网络系统设计和实现(NSDI 14)西雅图,页543 - 546年,洗,美国,2014。视图:谷歌学术搜索
16. z . a·卡齐。涂,l .蒋介石r .苗族诉Sekar和m . Yu”SIMPLE-fying middlebox使用SDN策略实施,”诉讼的ACM SIGCOMM会议应用程序,用于计算机通信技术、体系结构和协议(SIGCOMM 13),页27-38,香港,中国,2013年8月。视图:出版商的网站|谷歌学术搜索
17. c . Yu和M.-T。元,“Web服务组合使用图模型,”第二届IEEE国际会议信息管理和工程(ICIME 10)IEEE,页656 - 660年,成都,中国,2010年4月。视图:出版商的网站|谷歌学术搜索
18. p . j .太阳,p . c . Zhang w·r·李x j .郭和j .冯”Sky-MCSP-R:一个有效的基于Web服务组合方法,”20亚太软件工程研讨会论文集(APSEC 13)IEEE,页589 - 594年,曼谷,泰国,2013年12月。视图:出版商的网站|谷歌学术搜索
19. C.-Q。江、w·杜和c c。咦,“web服务组合的方法基于两偶图最优匹配和QoS,”《互联网技术与应用国际会议(ITAP”以开始试验于10)IEEE,页1 - 5,武汉,中国,2010年8月。视图:出版商的网站|谷歌学术搜索
20. s . A·达席尔瓦、h·马和m . j .,“基于粒子群优化方法QoS-aware web服务组合和选择,”《IEEE国会进化计算(CEC的14),第3134 - 3127页,北京,中国,2014年7月。视图:谷歌学术搜索
21. n Kashyap、k . Tyagi“动态组合web服务的基于Qos参数使用模糊逻辑”第二届国际会议上的进步计算机工程与应用(ICACEA 15)2015年3月,页778 - 782。视图:出版商的网站|谷歌学术搜索
22. f m . Bakhshi Mardukhi n . Nematbakhsh”fuzzy-based方法选择最优组合的服务根据用户偏好,”第二届国际会议上计算机和自动化工程(ICCAE 10)5卷,2010年2月。视图:出版商的网站|谷歌学术搜索
23. a . v . Dastjerdi和r . Buyya Compatibility-aware云服务组合下模糊偏好的用户,”IEEE云计算,卷2,不。1,1-13,2014页。视图:出版商的网站|谷歌学术搜索
24. 洛杉矶德”,模糊逻辑=计算的话,”IEEE模糊系统,4卷,不。2、103 - 111年,1996页。视图:出版商的网站|谷歌学术搜索
25. e·h·Mamdani s Assilian,“语言实验合成与模糊逻辑控制器,”国际人机研究杂志》上,7卷,不。1,1-13,1975页。视图:出版商的网站|谷歌学术搜索
26. h·w·库恩”,指派问题的匈牙利方法。”海军研究物流的季度,2卷,第97 - 83页,1955年。视图:出版商的网站|谷歌学术搜索|Zentralblatt数学|MathSciNet
27. b .普法夫,j·佩蒂特,t . Koponen et al .,“open vswitch,”的设计和实现学报》第12届USENIX大会网络系统设计与实现(NSDI 15),页117 - 130,奥克兰,加利福尼亚州,美国,2015年。视图:谷歌学术搜索
28. n .回购和贡献者,痘控制器,2012 - 2014,https://github.com/noxrepo/pox。
29. r .中村Nshkmod, 2015 - 2016,https://github.com/upa/nshkmod。
30. Netfilter核心团队和贡献者,iptables, 1999 - 2014,http://www.netfilter.org/projects/iptables/index.html。
31. Ntop团队,nDPI, 2016,http://www.ntop.org/。
32. 2016年Linux虚拟服务器,http://www.linuxvirtualserver.org/。
33. S.-J。陈和C.-L。黄,模糊多属性决策卷,375课堂讲稿的经济学和数学系统斯普林格出版社,柏林,德国,1992年。视图:出版商的网站|MathSciNet
34. k . Deb, A .普拉塔普,美国阿加瓦尔和t . Meyarivan”一个快速和精英多目标遗传算法:NSGA-II,”IEEE进化计算》第六卷,没有。2、182 - 197年,2002页。视图:出版商的网站|谷歌学术搜索

版权

版权©2017 Guanwen李等。这是一个开放分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。