一种多层异构网络协同的网络安全态势感知方法技术

一种多层异构网络协同的网络安全态势感知方法，涉及网络安全态势感知技术领域，将网络安全态势感知任务分解并分散到异构网络各层级设备上执行，即轻量、实时性要求高的任务在边、端执行，复杂任务在云上执行，任务间通过传递参数交互和协同，最终生成全局态势感知结果。本发明专利技术提供的方式充分利用了多层异构网络各层级设备的计算资源、降低了带宽占用、提升了实时性，细化了分析粒度。细化了分析粒度。细化了分析粒度。

【技术实现步骤摘要】
一种多层异构网络协同的网络安全态势感知方法


[0001]本专利技术涉及网络安全态势感知
，具体涉及一种多层异构网络协同的网络安全态势感知方法。

技术介绍

[0002]随着5G、物联网、工业互联网等新型网络技术的发展，网络空间不再是单一的体系结构，而是由各类异构网络构成（如传统互联网、传感网络、工业控制网络等），接入设备繁杂多样，跨越云、边、端多个层级。其中，一些类型的网络结构和设备在设计时并未考虑安全因素，存在重大隐患，逐渐成为网络攻击者的主要目标，面临严峻的网络安全形式。
[0003]新型网络结构的多异构网互联、跨越多层的特点，以及网络攻击手段复杂化、隐蔽化和分布式的发展趋势,给网络安全态势感知带来新的挑战。网络安全态势感知主要包括对已发生攻击的检测和对未发生攻击的预测等任务。因边、端计算资源有限，现有的分析方法主要通过将网络全域数据汇集到云端使用深度学习和大数据挖掘的方法对整个网络环境的安全态势进行分析。这种方式的缺点在于：（1）大量流量、日志行为数据需要被上传到云端，占用带宽资源大；（2）数据汇集后才能进行分析，此时边、端网络可能已被攻击者破坏或控制，因而实时性差；（3）在云端分析时，单个边、端设备的细微异常容易被淹没在海量数据中，分析粒度粗。

技术实现思路

[0004]本专利技术为了克服以上技术的不足，提供了一种充分利用了多层异构网络各层级设备的计算资源、降低了带宽占用、提升了实时性，细化了分析粒度的多层异构网络协同的网络安全态势感知方法。
[0005]本专利技术克服其技术问题所采用的技术方案是：一种多层异构网络协同的网络安全态势感知方法，包括如下步骤：(a)将网络安全态势感知值守代理部署在多层异构网络全域各个类型设备上，网络安全态势感知值守代理收集设备状态参数；(b)将网络安全态势感知值守代理收集的各个设备的状态参数传递至云端态势感知总控制器，云端态势感知总控制器根据状态参数中的网络信息建立多层异构网络全局设备拓扑的构造图，其中为多层异构网络全域中设备的集合，，为第个设备，，为多层异构网络全域中设备的总数，为边的集合，， 第个设备和第个设备之间存在通信链路，则第个设备和第个设备构成边，为边的权重矩阵，，为第个设备和第个设备之间的通信延迟值；
(c)根据设备运行操作系统和硬件组成体系结构是否相同将多层异构网络全域各个设备分为个类型，形成类型集合，，为第个类型，针对类型的所有设备，构建威胁检测模型；(d)针对多层异构网络全域的每一台设备，计算使用对应的威胁检测模型进行安全分析所需的计算代价；(e)云端态势感知总控制器调度网络安全态势感知值守代理协同进行全域安全态势感知，进行设备风险指数全域协同计算，各网络安全态势感知值守代理将风险指数发送至云端态势感知总控制器；(f) 网络安全态势感知值守代理根据预设的更新周期定时更新设备状态参数，并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域中设备的集合。
[0006]进一步的，步骤(a)中网络安全态势感知值守代理收集的设备状态参数包括：处理器信息、动态存储信息、静态存储信息、文件系统信息、网络信息；所述处理器信息包括：处理器峰值能力值、处理器当前负载值、处理器负载峰值；所述动态存储信息包括：动态存储器容量大小值、动态存储器当前占用量、动态存储器占用量峰值；所述静态存储信息包括：静态存储器容量大小值、静态存储器当前占用量；所述文件系统信息包括：文件数量、文件路径深度值；所述网络信息包括：平均每小时网络通信量、网络通信量峰值、在多层异构网络内有相互通信的其它设备到达该设备的延迟值。
[0007]进一步的，还包括在步骤(b)之后云端态势感知总控制器构建全域设备信息库，所述全域设备信息库由包含设备信息描述对象的哈希表构成，所述哈希表中的每一个单元为一个设备信息描述对象，该设备信息描述对象描述了多层异构网络中一台设备的信息，设备信息描述对象中设有一个将哈希表中的当前设备指向连接设备链表的指针，该设备链表中设有若干结点，各个节点用于存储与哈希表中的当前设备之间存在通信链路的所有设备，设备链表中的每一个结点包含两个域，第一个域存用于记录设备的ID，第二个域用于记录哈希表中的当前设备到设备链表中对应的该设备的通信延迟。
[0008]进一步的，上述设备信息描述对象描述的多层异构网络中一台设备的信息包括：设备ID的哈希值、设备型号、设备所处层级、设备型号信息、设备放置的物理位置、设备属性信息、设备由网络安全态势感知值守代理采集的状态参数、设备的风险指数。
[0009]进一步的，步骤(c)中威胁检测模型为基于密度聚类的异常检测算法或基于自动编码器的异常检测模型，威胁检测模型构建完成后使用知识蒸馏法对威胁检测模型进行轻量化操作。
[0010]进一步的，步骤(d)包括如下步骤：(d
‑
1)第个设备的设备类型所对应的威胁检测模型为，根据威胁检测
模型的参数规模、算法语句执行次数以及第个设备中待检测数据量，使用威胁检测模型对第个设备进行威胁检测所需的代价，所述代价包括处理器的负载量和动态内存占用量；(d
‑
2)检查多层异构网络全域设备集合中每一台设备，令为第个设备的处理器信息峰值能力值，令为第个设备的处理器当前负载值，令为第个设备的处理器负载峰值，令为第个设备的动态存储器容量大小值，令为第个设备的动态存储器当前占用量，令为第个设备的动态存储器占用量峰值；(d
‑
3)如果且则执行步骤(d
‑
4)，如果或则执行步骤(d
‑
5)；(d
‑
4)在当前第个设备本地执行威胁检测任务，第个设备的网络安全态势感知值守代理更新其状态参数并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域设备集合中第个设备的信息，使第个设备的处理器当前负载值更新为，使第个设备的动态存储器当前占用量更新为，，；(d
‑
5)在多层异构网络全域设备集合中找到所有与第个设备之间存在通信链路的个设备，形成设备集合，将个设备按与第个设备的通信延迟由小到大加入优先队列，，其中为第个设备；(d
‑
6)从优先队列中取出队首设备， ，队首设备的处理器信息峰值能力值为，队首设备的处理器负载峰值为，队首设备的处理器当前负载值为，队首设备的处理器的负载量为，队首设备的动态存储器容量大小值为，队首设备的动态存储器占用量峰值为，队首设备的动态存储器当前占用量为，队首设备的动态内存占用量为；
(d
‑
7)如果且时执行步骤d
‑
8)，设备为第个设备的威胁检测任务执行设备，如果或时，从优先队列中取出设备作为队首设备，并返回执行步骤(d
‑
6)；(d
‑
8)队首设备的网络安全态势感知值守代理更新其状态参数并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域设备集合中第个设备的信息，使第个设备的处理器当前负载值更新为，使第个设备的动态存储器当前占用量本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多层异构网络协同的网络安全态势感知方法，其特征在于，包括如下步骤：(a)将网络安全态势感知值守代理部署在多层异构网络全域各个类型设备上，网络安全态势感知值守代理收集设备状态参数；(b)将网络安全态势感知值守代理收集的各个设备的状态参数传递至云端态势感知总控制器，云端态势感知总控制器根据状态参数中的网络信息建立多层异构网络全局设备拓扑的构造图，其中为多层异构网络全域中设备的集合，，为第个设备，，为多层异构网络全域中设备的总数，为边的集合，， 第个设备和第个设备之间存在通信链路，则第个设备和第个设备构成边，为边的权重矩阵，，为第个设备和第个设备之间的通信延迟值；(c)根据设备运行操作系统和硬件组成体系结构是否相同将多层异构网络全域各个设备分为个类型，形成类型集合，，为第个类型，针对类型的所有设备，构建威胁检测模型；(d)针对多层异构网络全域的每一台设备，计算使用对应的威胁检测模型进行安全分析所需的计算代价；(e)云端态势感知总控制器调度网络安全态势感知值守代理协同进行全域安全态势感知，进行设备风险指数全域协同计算，各网络安全态势感知值守代理将风险指数发送至云端态势感知总控制器；(f)网络安全态势感知值守代理根据预设的更新周期定时更新设备状态参数，并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域中设备的集合。2.根据权利要求1所述的多层异构网络协同的网络安全态势感知方法，其特征在于，步骤(a)中网络安全态势感知值守代理收集的设备状态参数包括：处理器信息、动态存储信息、静态存储信息、文件系统信息、网络信息；所述处理器信息包括：处理器峰值能力值、处理器当前负载值、处理器负载峰值；所述动态存储信息包括：动态存储器容量大小值、动态存储器当前占用量、动态存储器占用量峰值；所述静态存储信息包括：静态存储器容量大小值、静态存储器当前占用量；所述文件系统信息包括：文件数量、文件路径深度值；所述网络信息包括：平均每小时网络通信量、网络通信量峰值、在多层异构网络内有相互通信的其它设备到达该设备的延迟值。3.根据权利要求1所述的多层异构网络协同的网络安全态势感知方法，其特征在于：还包括在步骤(b)之后云端态势感知总控制器构建全域设备信息库，所述全域设备信息库由包含设备信息描述对象的哈希表构成，所述哈希表中的每一个单元为一个设备信息描述对象，该设备信息描述对象描述了多层异构网络中一台设备的信息，设备信息描述对象中设
有一个将哈希表中的当前设备指向连接设备链表的指针，该设备链表中设有若干结点，各个节点用于存储与哈希表中的当前设备之间存在通信链路的所有设备，设备链表中的每一个结点包含两个域，第一个域存用于记录设备的ID，第二个域用于记录哈希表中的当前设备到设备链表中对应的该设备的通信延迟。4.根据权利要求3所述的多层异构网络协同的网络安全态势感知方法，其特征在于：所述设备信息描述对象描述的多层异构网络中一台设备的信息包括：设备ID的哈希值、设备型号、设备所处层级、设备型号信息、设备放置的物理位置、设备属性信息、设备由网络安全态势感知值守代理采集的状态参数、设备的风险指数。5.根据权利要求1所述的多层异构网络协同的网络安全态势感知方法，其特征在于：步骤(c)中威胁检测模型为基于密度聚类的异常检测算法或基于自动编码器的异常检测模型，威胁检测模型构建完成后使用知识蒸馏法对威胁检测模型进行轻量化操作。6.根据权利要求3所述的多层异构网络协同的网络安全态势感知方法，其特征在于，步骤(d)包括如下步骤：(d
‑
1)第个设备的设备类型所对应的威胁检测模型为，根据威胁检测模型的参数规模、算法语句执行次数以及第个设备中待检测数据量，使用威胁检测模型对第个设备进行威胁检测所需的代价，所述代价包括处理器的负载量和动态内存占用量；(d
‑
2)检查多层异构网络全域设备集合中每一台设备，令为第个设备的处理器信息峰值能力值，令为第个设备的处理器当前负载值，令为第个设备的处理器负载峰值，令为第个设备的动态存储器容量大小值，令为第个设备的动态存储器当前占用量，令为第个设备的动态存储器占用量峰值；(d
‑
3)如果且则执行步骤(d
‑
4)，如果或则执行步骤(d
‑
5)；(d
‑
4)在当前第个设备本地执行威胁检测任务，第个设备的网络安全态势感知值守代理更新其状态参数并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域设备集合中第个设备的信息，使第个设备的处理器当前负载值更新为，使第个设备的动态存储器当前占用量更新为，，；(d
‑
5)在多层异构网络全域设备集合中找到所有与第...

【专利技术属性】
技术研发人员：韩晓晖，刘伟华，左文波，刘广起，罗雪姣，徐正源，王志文，
申请(专利权)人：山东省计算中心国家超级计算济南中心，
类型：发明
国别省市：