虚拟网络功能迁移方法、装置、电子设备及存储介质与流程

1.本发明属于网络安全技术领域，尤其涉及一种虚拟网络功能迁移方法、装置、电子设备及存储介质。


背景技术：

2.sdn(software defined network，软件定义网络)数控分离的特性为信息通信的平台化和解决大规模组网的成本与运维问题提供了很好的可行方案。sdn的工业化定制改造，可以根据综合业务情况，通过资源动态分配技术，在基础传输平面上动态地划分出不同的虚拟通信网络，为不同业务提供独立传输通道以保障实时、可靠和安全。各业务系统通过api(application programming interface，应用程序编程接口)实现针对不同业务的管道定制化，为各系统提供“通信、信息、业务”的互动运行能力。通过流规则的设定能够为各种流量提供不同服务，同时控制器能够轻松获得全网信息，实现电力通信网络的可观察、可控制。sdn是整个信息通信行业的总体技术发展方向，所以智能电网向sdn的发展，也能为将来可能的合作整合提供保障。
3.在数据通信网中，端到端服务的交付往往需要包括传统网络设备在内的各种服务功能以及特定应用的功能。常见的服务功能有防火墙、负载均衡器、事务代理(例如垃圾过滤器)、内容过滤器、http(hyper text transfer protocol，超文本传输协议)头扩充、深度包检查、入侵检测系统/入侵预防系统、网络地址转换/端口地址转换、广域网加速器和内容缓存等，这些被广泛部署在数据通信网中。和sdn结合的nfv(network functions virtualization，网络功能虚拟化)技术使虚拟网络功能具备和硬件网络功能一样处理能力，为网络服务提供了功能性保障。nfv旨在解决管理目前电力数据通信网络中部署的封闭和专有设备到来的运营挑战和高昂成本问题，它通过标准的it虚拟化技术将传统专用硬件上实现的网络功能整合到行业标准的高容量服务器上，这些服务功能可以在一系列工业标准服务器硬件上运行，并且可以根据需要移动到网络中的不同位置或者在网络中的不同位置实例化，而不需要安装新的设备。以软件形式运行在服务器上的服务功能也称作vnf(virtualization network functions，虚拟网络功能)，使用云技术，可以在降低整体网络运营成本和资本成本的同时，实现更大的灵活性，加速新服务的部署。
4.但是，vnf共用同一物理服务器，面临虚拟环境下带来的侧通道攻击、虚拟节点溢出、信息泄露等安全问题。在网络服务映射到物理网络之后，如何在动态环境中进一步提高网络服务的安全性和稳定性是亟需解决的问题。


技术实现要素：

5.有鉴于此，本发明实施例提供了一种虚拟网络功能迁移方法、装置、电子设备及存储介质，以提高vnf网络服务的安全稳定性。
6.本发明实施例的第一方面提供了一种虚拟网络功能迁移方法，包括：
7.获取虚拟网络功能在物理网络中的部署信息；
8.根据部署信息，计算每个物理节点中的每个虚拟网络功能是否存在共存时间超过预设时长阈值的虚拟网络功能，若存在则将该虚拟网络功能确定为待迁移虚拟网络功能，得到待迁移虚拟网络功能集；
9.确定待迁移虚拟网络功能集的迁移策略集；
10.根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移策略，基于最优的迁移策略，对待迁移虚拟网络功能进行迁移。
11.结合第一方面，在第一方面的一种可能的实现方式中，确定待迁移虚拟网络功能集的迁移策略集，包括：
12.确定待迁移虚拟网络功能集的所有满足预设的约束条件的迁移策略，得到迁移策略集；
13.约束条件包括以下的一项或多项：虚拟网络功能部署合理性约束、节点资源约束、链路资源约束、最短共存时间约束。
14.结合第一方面，在第一方面的一种可能的实现方式中，近端策略优化算法的奖励函数根据迁移成本和物理网络的服务器负载率确定。
15.结合第一方面，在第一方面的一种可能的实现方式中，近端策略优化算法的奖励函数为：
[0016][0017]
其中，d为迁移成本，为服务器负载率。
[0018]
结合第一方面，在第一方面的一种可能的实现方式中，迁移成本的计算公式为：
[0019]
d＝α
·
d1+β
·
d2+γ
·
d3；
[0020]
α+β+γ＝1；
[0021]
其中，d1为物理网络的服务器在迁移前后的能耗变化，d2为迁移虚拟网络功能的开销，d3为迁移物理链路的开销，α、β、γ为预设比重值。
[0022]
结合第一方面，在第一方面的一种可能的实现方式中，根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移策略，包括：
[0023]
选取使奖励函数的值最大的迁移策略作为最优的迁移策略。
[0024]
本发明实施例的第二方面提供了一种虚拟网络功能迁移装置，包括：
[0025]
获取模块，用于获取虚拟网络功能在物理网络中的部署信息；
[0026]
第一处理模块，用于根据部署信息，计算每个物理节点中的每个虚拟网络功能是否存在共存时间超过预设时长阈值的虚拟网络功能，若存在则将该虚拟网络功能确定为待迁移虚拟网络功能，得到待迁移虚拟网络功能集；
[0027]
第二处理模块，用于确定待迁移虚拟网络功能集的迁移策略集；
[0028]
第三处理模块，用于根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移策略，基于最优的迁移策略，对待迁移虚拟网络功能进行迁移。
[0029]
结合第二方面，在第二方面的一种可能的实现方式中，近端策略优化算法的奖励函数根据迁移成本和物理网络的服务器负载率确定。
[0030]
本发明实施例的第三方面提供了一种电子设备，包括存储器、处理器以及存储在
存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述第一方面或第一方面的任意一种可能的实现方式中的虚拟网络功能迁移方法的步骤。
[0031]
本发明实施例的第四方面提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现如上述第一方面或第一方面的任意一种可能的实现方式中的虚拟网络功能迁移方法的步骤。
[0032]
本发明实施例与现有技术相比存在的有益效果是：
[0033]
本发明实施例以同一物理节点中虚拟网络功能的共存时间作为触发动机，对共存时间超过预设时长阈值的虚拟网络功能进行迁移处理，以提高vnf网络服务的安全防御性能。共存时间不超过预设时长阈值的虚拟网络功能不进行迁移处理，以在取得预期防护效果的情况下，降低迁移频率，减小迁移开销，并合理缩小动作空间，降低算法复杂度。最后，通过近端策略优化算法，从迁移策略集中选择最优的迁移策略，提高了收敛速度和迁移决策的准确性。
附图说明
[0034]
为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0035]
图1是本发明实施例提供的虚拟网络功能迁移方法的流程示意图；
[0036]
图2是本发明实施例提供的虚拟网络功能迁移装置的结构示意图；
[0037]
图3是本发明实施例提供的电子设备的结构示意图。
具体实施方式
[0038]
以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本发明实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。
[0039]
为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。
[0040]
在本实施例中，物理网络用g＝(n,l)表示，n为物理节点的集合，每个物理节点为一个物理服务器，l则为物理链路的集合。对nk∈n，可以表示为其中为节点nk的最大资源容量，为节点nk可以承载的vnf集合，为该节点的状态，表示该节点处于运行状态，能耗为e1，表示该节点处于休眠状态，能耗为e0。对于l
pq
∈l，带宽容量为
[0041]
一个网络服务由具有顺序的虚拟网络功能(vnf)组成，在时刻t的网络服务集合为为vnf集合，对于资源需求为可与其他网络服务共存时间为络服务共存时间为为虚拟链路集合，对于带宽需求为带宽需求为为vnf的隔离级别。
[0042]
vnf迁移涉及到下面两个变量：
[0043]
x＝{x
ik
|i＝1,2,
…
,|v|,k＝1,2,
…
|n|}表示vnf和物理节点间的映射关系矩阵，如果x
ik
＝1，表示虚拟网络功能vi映射至节点nk，否则x
ik
＝0。
[0044]
表示虚拟链路和物理链路间的映射关系矩阵，如果则代表虚拟链路l
fg
映射到物理链路l
pq
，否则
[0045]
面对虚拟环境下多个vnf共用同一物理服务器带来的侧通道攻击、虚拟节点溢出、信息泄露等安全问题，相关的解决方案主要分为两类：
[0046]
第一类是根据网络攻击类型修改底层物理基础设施，针对性的修改可以有效防御对应类型的网络攻击，但是具有很大的局限性，每遇到新的攻击类型都要再次修改，也带来了较高的防御成本。
[0047]
第二类是对同一物理服务器上的vnf进行全部迁移，以缩短vnf共存时间，增加攻击难度，具有更加广泛的防御范围，但频繁迁移也会带来不可忽视的迁移开销和迁移失败风险。
[0048]
例如：
[0049]
相关技术一提出了一种基于viterbi算法的启发式算法，能够以低计算复杂度确定迁移策略，用于确定迁移vnf的时间和地点，以响应服务功能链请求强度的变化。目标是最小化包括固结能量和迁移能量的总能量消耗。
[0050]
相关技术二通过将虚拟机迁移到更少数量的物理机中，最大限度地提高云服务器的利用率，降低云数据中心的能耗。
[0051]
相关技术三提出了基于深度强化学习的虚拟网络功能迁移决策优化算法。该算法优化了节点负载，解决了单个节点负载过大、链路故障、网络中的虚功能实例等导致的业务中断问题。
[0052]
相关技术四考虑收入效益最大化和迁移成本最小化，将弹性控制优化问题建模为马尔可夫决策过程。以二进制整数规划模型为约束，设计基于多智能体深度强化学习的弹性控制方法来解决长期利润最大化的优化问题。
[0053]
其中，上述相关技术一、二基于启发式算法，在变化的网络负载和物理设施状态环境中，通过对网络服务中虚拟网络功能动态迁移(包括迁移资源利用率极低的服务器上的vnf并关闭服务器，迁移负载过高的服务器上的vnf到其他服务器等)，可以在提高资源利用率，均衡负载等方面起到积极的作用，但应用启发式算法智能化较低，算法自适应性有待提升。上述相关技术三、四将强化学习算法应用到vnf迁移问题中，以优化单个节点负载和降低迁移成本和资源开销为目标，提高了迁移决策的准确性和网络资源管理的智能化，但未考虑vnf迁移在安全防御方面的作用。
[0054]
本发明的目的是研究一种同时考虑迁移成本和安全防御的迁移方法，旨在提高安全防御性能的情况下，降低迁移的资源开销。
[0055]
参见图1所示，本发明实施例提供的虚拟网络功能迁移方法，包括：
[0056]
步骤s101，获取虚拟网络功能在物理网络中的部署信息。
[0057]
在本实施例中，可以每10分钟为一个动作步长，获取一次虚拟网络功能在物理网络中的部署状态，以此为依据进行下一步的迁移动作。虚拟网络功能在物理网络中的部署
状态包括但不限于每个物理节点上的vnf的部署情况和cpu资源消耗、虚拟链路映射到物理链路的情况和带宽资源消耗、物理服务器的状态(休眠或运行)、是否有vnf之间的共存时间超过阈值等。
[0058]
步骤s102，根据部署信息，计算每个物理节点中的每个虚拟网络功能是否存在共存时间超过预设时长阈值的虚拟网络功能，若存在则将该虚拟网络功能确定为待迁移虚拟网络功能，得到待迁移虚拟网络功能集。
[0059]
在本实施例中，共存时间为两个或两个以上虚拟网络功能同时部署在统一物理服务器上的时间。多个虚拟网络功能在同一物理服务器上的共存时间越长，越容易受到攻击，需要将共存时间过长的虚拟网络功能全部或部分迁移到其它物理服务器，以提高防御性能。例如物理服务器z上有z1、z2、z3、z4、z5五个虚拟网络功能，其中z1与z2、z1与z3的共存时间超过预设时长阈值，则将z1、z2、z3确定为待迁移虚拟网络功能。所有物理服务器的待迁移虚拟网络功能形成待迁移虚拟网络功能集。
[0060]
本实施例不对共存时间未达到预设时长阈值的vnf进行迁移，从而降低迁移频率，减小迁移开销，并合理缩小动作空间，降低算法复杂度。
[0061]
步骤s103，确定待迁移虚拟网络功能集的迁移策略集。
[0062]
在本实施例中，迁移策略集包括多个迁移策略，迁移策略为待迁移虚拟网络功能集中的所有待迁移虚拟网络功能完成迁移的可能方案，包括哪几个待迁移虚拟网络功能需要迁移，以及每个待迁移虚拟网络功能从哪个源物理节点迁移到哪个目的物理节点。
[0063]
步骤s104，根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移策略，基于最优的迁移策略，对待迁移虚拟网络功能进行迁移。
[0064]
在本实施例中，针对vnf迁移动态决策这一连续动作过程，使用近端策略优化(proximal policy optimization，ppo)算法进行vnf迁移决策。ppo计算迁移策略集中的每个迁移策略的目标函数值，并选择最优的迁移策略。例如上述的z1、z2、z3中，迁移z1或者迁移z2、z3后，均能够实现物理服务器z上不存在共存时间超过预设时长阈值的虚拟网络功能，提升安全防御性能，但ppo计算迁移z1到某个特定物理服务器的目标函数值最大，则确定最优的迁移策略为迁移z1到该特定物理服务器。并且，ppo算法是强化学习中基于策略方法的延伸，可以较为快速准确地完成离散时间的连续决策问题，具有很好的收敛性和稳定性。通过将vnf迁移决策问题转化为强化学习问题，将vnf的部署状态和虚拟及物理网络状态作为输入，vnf的迁移作为动作集，算法会根据每次迁移的开销给模型以正反馈或负反馈，具有在线学习不断优化的能力，最终达到收敛，能够准确有效地保障网络服务。
[0065]
可见，本实施例以同一物理节点中虚拟网络功能的共存时间作为触发动机，对共存时间超过预设时长阈值的虚拟网络功能进行迁移处理，以提高vnf网络服务的安全防御性能。共存时间不超过预设时长阈值的虚拟网络功能不进行迁移处理，以在取得预期防护效果的情况下，降低迁移频率，减小迁移开销，并合理缩小动作空间，降低算法复杂度。最后，通过近端策略优化算法，从迁移策略集中选择最优的迁移策略，提高了收敛速度和迁移决策的准确性。
[0066]
作为一种可能的实现方式，为了提高近端策略优化算法的处理速率，在得到待迁移虚拟网络功能集之后，还可以执行如下步骤：
[0067]
计算待迁移虚拟网络功能集中的每个待迁移虚拟网络功能的数量值；其中，某个
待迁移虚拟网络功能的数量值为待迁移虚拟网络功能集中与该待迁移虚拟网络功能共存时间超过预设时长阈值的待迁移虚拟网络功能的数量；
[0068]
从待迁移虚拟网络功能集中提取数量值最大的待迁移虚拟网络功能作为目标待迁移虚拟网络功能，其中，若数量值最大的待迁移虚拟网络功能有两个或两个以上，则任意选择其中一个作为目标待迁移虚拟网络功能；
[0069]
计算待迁移虚拟网络功能集中剩余的每个待迁移虚拟网络功能的数量值，并继续提取数量值最大的待迁移虚拟网络功能作为目标待迁移虚拟网络功能，直至待迁移虚拟网络功能集中的每个待迁移虚拟网络功能的数量值为零，所有待迁移虚拟网络功能集中提取的目标待迁移虚拟网络功能形成目标待迁移虚拟网络功能集，由于该目标待迁移虚拟网络功能集制中的目标待迁移虚拟网络均需要迁移，能够大大降低迁移策略集中的迁移策略的数量。
[0070]
示例性的，假设物理服务器z上z1与z2、z1与z3、z1与z4、z3与z4的共存时间超过预设时长阈值。z1与三个待迁移虚拟网络功能的共存时间均超过预设时长阈值，因此z1的数量值为3。类似的，z3、z4的数量值均为2，z2的数量值为1。将z1作为目标待迁移虚拟网络功能，从而在迁移走z1后，物理服务器z的待迁移虚拟网络功能集中只剩下z2、z3、z4，此时z2的数量值为0，z3、z4的数量值为1，只需要再将z3、z4中的一个作为目标待迁移虚拟网络功能迁移到其他物理服务器，即可保证物理服务器z上不存在共存时间超过预设时长阈值的虚拟网络功能，从而达到提高防御性能的效果。如此可以大大减少迁移策略集中的迁移策略数量，提高ppo算法速率。并且通过对共存时间达到预设时长阈值的vnf实施部分迁移，也能进一步减小迁移开销。
[0071]
作为一种可能的实现方式，步骤s104中，确定待迁移虚拟网络功能集的迁移策略集，包括：
[0072]
确定待迁移虚拟网络功能集的所有满足预设的约束条件的迁移策略，得到迁移策略集；
[0073]
约束条件包括但不限于以下的一项或多项：虚拟网络功能部署合理性约束、节点资源约束、链路资源约束、最短共存时间约束。
[0074]
(1)虚拟网络功能部署合理性约束包括：
[0075]
在任意时刻，对于任意一个网络服务，保证其所需的vnf均部署在唯一物理节点上，即：
[0076][0077]
在任意时刻，每一物理节点最多承载同一网络服务中的一个vnf，即：
[0078][0079]
(2)节点资源约束为：
[0080][0081]
(3)链路资源约束为：
[0082][0083]
(4)最短共存时间约束为：
[0084][0085]
作为一种可能的实现方式，近端策略优化算法的奖励函数根据迁移成本和物理网络的服务器负载率确定。
[0086]
具体的，近端策略优化算法的奖励函数可以是：
[0087][0088]
其中，d为迁移成本，为服务器负载率。
[0089]
将迁移问题用强化学习算法解决的关键在于状态空间、动作空间、奖励函数三个部分的定义和交互。其中状态空间s
t
是对环境的量化描述，即上述的虚拟网络功能在物理网络中的部署信息。动作空间a
t
即vnf的迁移策略。而奖励函数r
t
表示在当前状态下采取动作a
t
后得到的奖励。本实施例以降低迁移成本为目标，所以奖励函数的值与迁移成本成反比。
[0090]
此外，为了在保障网络服务安全性的同时兼顾均衡负载，避免出现物理服务器过载的情况，定义了物理服务器的负载率为：
[0091][0092]
当负载率大于预设限值k(典型值为95％)时，奖励函数取-1作为惩罚。
[0093]
从而，基于ppo的迁移算法可以在达到安全防御效果的情况下最小化迁移成本，兼顾物理服务器的负载均衡，维持网络性能的稳定。
[0094]
作为一种可能的实现方式中，迁移成本的计算公式为：
[0095]
d＝α
·
d1+β
·
d2+γ
·
d3；
[0096]
α+β+γ＝1；
[0097]
其中，d1为物理网络的服务器在迁移前后的能耗变化，d2为迁移虚拟网络功能的开销，d3为迁移物理链路的开销，α、β、γ为预设比重值。
[0098]
在本实施例中，假设迁移单位节点资源和单位带宽资源的开销是一样的，不考虑资源迁移过程中远近带来的影响。
[0099]
表示物理服务器迁移前后的能耗变化，物理服务器分为休眠状态和运行状态，休眠状态服务器能耗为e0，运行状态服务器能耗为e1。
[0100][0101]
表示迁移vnf的开销，由部署在上面的vnf资源数量变化决定，为每个
物理服务器上迁移单位资源量所需的开销。
[0102][0103]
表示迁移物理链路的开销，由每条物理链路迁移前后带宽资源变化量决定，其中φ为每条物理链路上迁移单位带宽资源所需的开销。
[0104][0105]
除以最大值的目的是进行归一化处理。
[0106]
因此，迁移成本的计算公式为
[0107]
作为一种可能的实现方式中，步骤s105中，根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移策略，包括：
[0108]
选取使奖励函数的值最大的迁移策略作为最优的迁移策略。
[0109]
根据上述实施例可以看出，奖励函数是迁移成本d的倒数，d的值越小，奖励函数的值越大。因此选取使奖励函数的值最大的迁移策略，也就是选取迁移成本最小的迁移策略。
[0110]
以下对ppo算法进行介绍：
[0111]
ppo算法在策略网络中引入了重要性采样比重r
t
(θ)来描述新旧策略的差异其中π
θ
(a
t
|s
t
)是新策略的概率分布，是旧策略的概率分布。ppo算法将新旧策略的比值限制在一定范围内以控制更新的步长，保持算法的稳定。
[0112][0113]
ppo算法的目标函数为：
[0114]jclip
(θ)＝e
t
[min(r
t
(θ)a
t
,clip(r
t
(θ),1-ε,1+ε)a
t
]
[0115]
其中，θ是策略参数，a
t
表示优势函数，ε为超参数，clip(r
t
(θ),1-ε,1+ε)将重要性采样比重r
t
(θ)限制在(1-ε,1+ε)范围内，e
t
为经验期望。
[0116]
ppo算法使用时序差分算法计算优势函数一般估计(generalized advantage estimation，gae)，这样构造可以有效降低方差，提高算法稳定性。
[0117]at
＝δ
t
+(γλ)δ
t+1
+...+(γλ)
t-t+1
δ
t-1
[0118]
δ
t
＝r
t
+γv(s
t+1
)-v(s
t
)
[0119]
其中，a
t
为优势函数，γ一般为0.99，λ取值范围一般是0.95到1，v(*)表示值函数，r
t
表示奖励函数。
[0120]
整体来说，ppo算法的每次迭代可以分为以下几步：
[0121]
第一步，在t时刻得到状态空间s
t
并选择策略执行动作a
t
；
[0122]
第二步，根据执行的动作获得奖励函数和差分误差，得到优势函数估计值和重要性采样比重，从而确定最优迁移策略；
[0123]
第三步，更新状态空间s
t
和动作空间a
t
，进入到s
t+1
。
[0124]
在优势函数的驱动下，该算法可以通过与环境的交互和自学习，达到动态迁移避
免vnf共存时间过长的目的，并能较好地避免物理服务器过载情况的发生。且ppo算法具有适应性强、训练稳定的特点，在多回合训练中可以以小步长小数量样本迭代更新，避免策略梯度算法更新差异过大。
[0125]
结合以上内容，本实施例的主要发明点包括：
[0126]
(1)提出了一种面向安全防御的vnf迁移问题模型，以同一物理服务器上vnf共存时间作为迁移的触发动机，从而在提高防御性能的情况下，降低迁移成本。
[0127]
(2)在目标函数中引入了物理服务器的负载率，在降低迁移成本的同时兼顾了避免服务器过载，维持网络性能稳定。
[0128]
(3)将迁移过程建模为连续动作决策过程，使用强化学习的改进ppo算法进行迁移决策，提高了训练收敛速度和迁移决策的准确性。
[0129]
应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
[0130]
本实施例还提供了一种虚拟网络功能迁移装置，参见图2所示，该装置20包括：
[0131]
获取模块21，用于获取虚拟网络功能在物理网络中的部署信息。
[0132]
第一处理模块22，用于根据所述部署信息，计算每个物理节点中的每个虚拟网络功能是否存在共存时间超过预设时长阈值的虚拟网络功能，若存在则将该虚拟网络功能确定为待迁移虚拟网络功能，得到待迁移虚拟网络功能集。
[0133]
第二处理模块23，用于确定待迁移虚拟网络功能集的迁移策略集。
[0134]
第三处理模块24，用于根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移策略，基于所述最优的迁移策略，对待迁移虚拟网络功能进行迁移。
[0135]
作为一种可能的实现方式，第二处理模块23具体用于：
[0136]
确定待迁移虚拟网络功能集的所有满足预设的约束条件的迁移策略，得到迁移策略集；
[0137]
约束条件包括但不限于以下的一项或多项：虚拟网络功能部署合理性约束、节点资源约束、链路资源约束、最短共存时间约束。
[0138]
作为一种可能的实现方式，近端策略优化算法的奖励函数根据迁移成本和物理网络的服务器负载率确定。
[0139]
作为一种可能的实现方式，近端策略优化算法的奖励函数为：
[0140][0141]
其中，d为迁移成本，为服务器负载率。
[0142]
作为一种可能的实现方式，迁移成本的计算公式为：
[0143]
d＝α
·
d1+β
·
d2+γ
·
d3；
[0144]
α+β+γ＝1；
[0145]
其中，d1为物理网络的服务器在迁移前后的能耗变化，d2为迁移虚拟网络功能的开销，d3为迁移物理链路的开销，α、β、γ为预设比重值。
[0146]
作为一种可能的实现方式，第三处理模块24具体用于：
[0147]
选取使奖励函数的值最大的迁移策略作为最优的迁移策略。
[0148]
图3是本发明一实施例提供的电子设备30的示意图。如图3所示，该实施例的电子设备30包括：处理器31、存储器32以及存储在存储器32中并可在处理器31上运行的计算机程序33，例如虚拟网络功能迁移程序。处理器31执行计算机程序33时实现上述各个虚拟网络功能迁移方法实施例中的步骤，例如图1所示的步骤s101至s104。或者，处理器31执行计算机程序33时实现上述各装置实施例中各模块的功能，例如图2所示模块21至24的功能。
[0149]
示例性的，计算机程序33可以被分割成一个或多个模块/单元，一个或者多个模块/单元被存储在存储器32中，并由处理器31执行，以完成本发明。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序33在电子设备30中的执行过程。
[0150]
电子设备30可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。电子设备30可包括，但不仅限于，处理器31、存储器32。本领域技术人员可以理解，图3仅仅是电子设备30的示例，并不构成对电子设备30的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如电子设备30还可以包括输入输出设备、网络接入设备、总线等。
[0151]
所称处理器31可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0152]
存储器32可以是电子设备30的内部存储单元，例如电子设备30的硬盘或内存。存储器32也可以是电子设备30的外部存储设备，例如电子设备30上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。进一步地，存储器32还可以既包括电子设备30的内部存储单元也包括外部存储设备。存储器32用于存储计算机程序以及电子设备30所需的其他程序和数据。存储器32还可以用于暂时地存储已经输出或者将要输出的数据。
[0153]
所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本技术的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0154]
在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。
[0155]
本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟
以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
[0156]
在本发明所提供的实施例中，应该理解到，所揭露的装置/电子设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/电子设备实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。
[0157]
作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0158]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0159]
集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。
[0160]
以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。

技术特征：
1.一种虚拟网络功能迁移方法，其特征在于，包括：获取虚拟网络功能在物理网络中的部署信息；根据所述部署信息，计算每个物理节点中的每个虚拟网络功能是否存在共存时间超过预设时长阈值的虚拟网络功能，若存在则将该虚拟网络功能确定为待迁移虚拟网络功能，得到待迁移虚拟网络功能集；确定待迁移虚拟网络功能集的迁移策略集；根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移策略，基于所述最优的迁移策略，对待迁移虚拟网络功能进行迁移。2.如权利要求1所述的虚拟网络功能迁移方法，其特征在于，确定待迁移虚拟网络功能集的迁移策略集，包括：确定待迁移虚拟网络功能集的所有满足预设的约束条件的迁移策略，得到迁移策略集；所述约束条件包括以下的一项或多项：虚拟网络功能部署合理性约束、节点资源约束、链路资源约束、最短共存时间约束。3.如权利要求1所述的虚拟网络功能迁移方法，其特征在于，所述近端策略优化算法的奖励函数根据迁移成本和物理网络的服务器负载率确定。4.如权利要求3所述的虚拟网络功能迁移方法，其特征在于，所述近端策略优化算法的奖励函数为：其中，d为迁移成本，为服务器负载率。5.如权利要求4所述的虚拟网络功能迁移方法，其特征在于，所述迁移成本的计算公式为：d＝α
·
d1+β
·
d2+γ
·
d3；α+β+γ＝1；其中，d1为物理网络的服务器在迁移前后的能耗变化，d2为迁移虚拟网络功能的开销，d3为迁移物理链路的开销，α、β、γ为预设比重值。6.如权利要求3所述的虚拟网络功能迁移方法，其特征在于，根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移策略，包括：选取使所述奖励函数的值最大的迁移策略作为最优的迁移策略。7.一种虚拟网络功能迁移装置，其特征在于，包括：获取模块，用于获取虚拟网络功能在物理网络中的部署信息；第一处理模块，用于根据所述部署信息，计算每个物理节点中的每个虚拟网络功能是否存在共存时间超过预设时长阈值的虚拟网络功能，若存在则将该虚拟网络功能确定为待迁移虚拟网络功能，得到待迁移虚拟网络功能集；第二处理模块，用于确定待迁移虚拟网络功能集的迁移策略集；第三处理模块，用于根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移
策略，基于所述最优的迁移策略，对待迁移虚拟网络功能进行迁移。8.如权利要求7所述的虚拟网络功能迁移装置，其特征在于，所述近端策略优化算法的奖励函数根据迁移成本和物理网络的服务器负载率确定。9.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述方法的步骤。10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述方法的步骤。

技术总结
本发明适用于网络安全技术领域，提供了一种虚拟网络功能迁移方法、装置、电子设备及存储介质，该方法包括：获取虚拟网络功能在物理网络中的部署信息；根据部署信息，计算每个物理节点中的每个虚拟网络功能是否存在共存时间超过预设时长阈值的虚拟网络功能，若存在则将该虚拟网络功能确定为待迁移虚拟网络功能，得到待迁移虚拟网络功能集；确定待迁移虚拟网络功能集的迁移策略集；根据预设的近端策略优化算法，从迁移策略集中选择最优的迁移策略，对待迁移虚拟网络功能进行迁移。本实施例能够提高VNF网络服务的安全稳定性。提高VNF网络服务的安全稳定性。提高VNF网络服务的安全稳定性。


技术研发人员：樊会丛 赵建华 刘洋 李文霄 耿少博 苏汉 朱士加 梁莞笛 于洪光 齐晓光 张倩茅 安佳坤 徐田丰
受保护的技术使用者：国网河北省电力有限公司 国家电网有限公司
技术研发日：2023.08.10
技术公布日：2023/10/15