用啟發式算法設計分布式計算架構提升網絡安全的可行性研究

聶禎，詹天成，徐樂，袁翔，高明

（江蘇艾盾網絡科技有限公司，江蘇南京，210000）

0 引言

分布式技術是指用普通計算機搭建出分布式的系統架構，依靠該系統架構進行擴容，實現多數據處理。在分布式計算結構中，系統的處理任務會被不斷分解，原來是依靠系統的中央處理器處理的任務，在分布式計算結構中被分解給了互聯網絡的各處理器，不同處理器共享系統的外設與軟件，完成對任務的處理，這種處理模式可以減少中央處理器的內存負荷，讓系統的邏輯結構精簡化，響應速度、處理速度得到提升。但同時，處理器的增多讓進程也開始增多，分布式計算結構中的主機與主機是依靠網絡進行連接，因此如何維護網絡安全成為確保分布式計算架構合理運行的要點。

1 分布式計算架構的組成

分布式計算系統的架構由客戶服務器和分布式處理服務器共同組成，兩者在計算系統中分擔不同的任務，前者負責相關任務信息的發送和呈遞，后者負責處理前者下發的分解任務，在完成任務分解后將最終的結果送回到前者，客戶服務器節點在接收到分布式處理服務器節點后將結果信息進行融合處理，服務器節點間可以直接進行通信，比較常見的分布式計算架構設計如圖1所示。

圖1 分布式計算架構示意圖

從圖1所示，分布式計算系統對任務的處理過程涉及多主機上的多個進程，不同的服務器節點能夠直接通信，如客戶服務器節點是任務信息的發放點，下發的任務信息會被派送到分布式處理服務器節點，因此客戶服務器節點和分布式處理服務器節點需要始終保持通信通暢，這提高了分布式系統的安全監管成本。如果安全防護措施不當，勢必會引起網絡安全事故，給分布式計算環境造成巨大問題[1]。故基于安全性設計的考量，分布式系統的架構組成需要進行優化處理，其藍本如圖2所示。

圖2 以安全性為目標的分布式系統架構優化設計思路

2 分布式計算架構的安全設計思路

在信號傳輸時，傳輸的過程會形成對通信資源的占用，通信帶寬對通信資源的占用主要涉及占用率以及占用的時長，兩者都可以用兩節點的傳輸距離進行等效表示。結合這一特點，在設計分布式系統的安全結構時，要注意客戶服務器節點和處理服務器節點信息到達信息安全監控服務器的期望時間，所以在設計其安全結構時，任務的分解和計算過程都不是設計師的考慮重點[2]。服務器的狀態，對任務情況的接受和輸出結果才是設計要點。設計者要根據使用者的實際需求，對分布式任務處理器的任務接收和輸出結果進行定制.提高信息傳輸的實時性，控制信息傳輸時對網絡資源的占用.確保信息抵達安全監控服務器的時間在期望時間以內。

在服務器的信息傳輸中，有一個起始點和終止點，起始點指的是客戶服務器節點發出的關于自身的信息和任務信息，該信息會被分布式處理服務器節點接收并打包，并依次向下個服務器節點傳遞，在打包信息抵達信息安全監控服務器后停止，在這個過程中起始點不會出現變化，其服務器信息傳輸的起始點有且始終只有一個，為系統的客戶服務器節點。如果分布式系統中所有服務器節點之間的通信傳輸能力都一致.那么不能把在同一位置，但信息請求的信息安全監控服務器時間不同，那么分布式處理服務器不能當作同一個，而是作為不同的分布式處理服務器對待[3]。在分布式系統中，服務器傳輸的通信量一定會低于物理鏈路所能承載的服務傳輸能力.且終止點始終為信息安全監控服務器節點，即終止點始終固定。

根據上述特征，將固定的起始點作為節點0，在分布式服務器運行中，節點0會在某個時段對n個服務器節點進行響應，服務器的點集表示為N=1，2，...，n，節點0向n個服務器節點發布任務，一直傳輸到安全監控服務器節點，即n+1，而所有分布式處理服務器節點的增加數量都用pi表示，i=1，2，...，n，且不容許拆分，當pi＞0，用bij來表示安全監控服務器節點和處理服務器節點群的相鄰節點i和j。以不出現通道通信擁堵為大前提，則傳輸通道需要承載兩大信息量，其一是客戶服務器發送的信息外道通信，其二余下的信息量P（P≧pi），用V來表示所有由客戶服務器節點發送的任務，V即為客戶服務器節點的任務集合，下標則用k來表示。在這種安全設計架構中，信息安全監控服務器節點只依照客戶服務器節點給出的任務進行監控。信息抵達監控服務器的時間用i表示，Min(i)表示信息到達安全監控服務器的最早時間窗，Max(i)表示信息到達安全監控服務器的最遲時間窗。

則其模型如下所示：

公式（1）到公式（8）是分布式系統結構的數據模型，公式（1）表示分布式系統在運行中需要達到的目標函數，公式（2）表示最小的通信路徑，是確?？蛻舴掌鞴濣c發出的信息能順利到達信息安全監控服務器的關鍵，公式（3）是保證所有分布式處理服務器節點在進行信息傳輸時，信息的傳輸有且僅有一次，公式（4）是對傳輸通道除去客戶服務器發送的信息外通信通道額外還能承載的信息量限制；公式（5）是對所有節點出入度平衡的保證，公式（6）和公式（7）是達到信息安全監控服務器的最早期望時間和最遲期望時間，公式（8）是0～1的變量邏輯關系。

3 啟發式算法的設計

3.1 多節點增刪線性規劃處理

通信網絡結構中都含有一個節點集V，而在這個節點集中又分別包括一個供應點集（VA）和需求點集（VB），其關系可表示為V={VA,VB}。由于通信網絡中各個節點之間的邏輯關聯相對固定，更改其傳輸通道后難以重建且造價非常高，因此一般情況下不可隨意更改[4]。多節點連接控制一般使用線材或無線電磁波頻率，為合理規劃布置通信網絡中的多個節點，應明確如式（1）所示的規劃約束條件：

在以上約束式中，各參數意義如下：

C——線性規劃求解結果

J——節點數

N——供應節點數

cj——j行的節點線性規劃數量結果

利用式（1）的約束條件，可以分四步計算并確定節點增刪位置和數量，相關步驟如下：

第一步：建矩陣，即建立權重和拓撲結構矩陣。我們用字母K代指約束關系中的常量。

第二步：確認節點數，初始化設置狀態矢量，然后根據矢量判明整個通信網絡節點集中存在的節點數量。

第三步：求解節點集，再引入Dijkstra（迪杰斯特拉）算法，對集合全部需求節點的最優路徑進行計算，同時根據計算結果來建立需求節點的最優路徑矩陣，算式如下：

上式中各參數意義為：

Pj——多節點增刪線性規劃最優矩陣

vjn——起點最優路徑長度

ven——終點的最優路徑長度

利用建立的最優路徑矩陣，在通信網絡中任選一處節點并以其為中心點，結合得到的最優路徑長度來找到符合條件的可達性需求點，并將這些點去除；其他的需求節點都歸入到剩余集合中；將當前的供應節點作為起點，并對其可達性予以判定；按需增減或刪除相關節點，由此實現對線性規劃的增刪處理[5]。

3.2 均衡分配多節點對應資源需求量

經過對多節點增刪線性規劃處理后，通信網絡的全局節點布設也已初步完成，下一步工作的重心就是均衡配置，為實現更為理想的配置效率，必須首先保證多節點的對應資源需求量分配均衡，同時需要明確各節點傳輸距離間的最少耗時，以及相對應節點之間的路徑耗時[6]。通信網絡中可以借助網絡傳輸路徑來實現對多個節點的串聯，然后可以使用商業數學軟件MATLAB來增刪優化整個通信網絡結構中的節點。就近分配是通信網絡中供應節點到需求節點的基本運行原則，整個通信網絡相當于一個由眾多子網絡構成的分布式拓撲結構，各個子網絡解耦中都配有一個基站，負責信號資源的收發處理。

3.3 多節點布局優化重配置

在不改變供應節點的前提下，根據需求節點對資源的實際需求量重新分配和連接優化，提高其布局合理性，進而實現對整個通信網絡結構的優化處理。實際操作時，應充分結合通信網絡的傳輸特性來重新考慮配置劃分問題，首先，針對網絡資源有限的情況，在不改變資源總量的情況下以優先滿足需求節點的服務要求為根本目標，在最大成本限度內盡量保證單次資源配置的質量。按照這一配置方案可以盡可能地確保每個供應節點和需求節點的一一對應，從而改變供需節點配置不合理的現象。其次，需要在充分配置資源的基礎上兼顧考慮資源的合理消耗問題。解決這類問題的關鍵在于對節點能力的把握，以現有的供應節點為條件，以降低配置成本為目標，按照每個供應節點的配置能力來合理配對需求節點，配置能力較強的供應節點可對應多個需求節點，由此保證服務質量和效率，實現對多節點的優化重配置。

4 結語

為了提高分布式環境下的信息量傳輸實時性和安全性，對具有實時性安全監控要求的分布式計算架構資源優化問題進行建模，然后通過啟發式算法獲得最優資源優化結果。該算法能在有效地保證系統實時性和安全性的基礎上，將資源利用達到最優化，因此該設計思路在容量限制的通信環境下能對資源起到良好的優化效果，是提升分布式系統架構的最佳選擇，適合在分布式環境中推廣和應用。