基于边边协同的边缘节点网络安全威胁监测方法技术

本发明专利技术涉及一种基于边边协同的边缘节点网络安全威胁监测方法，属于网络安全技术领域。每个边缘核心节点与其邻域内响应速度最快的边缘核心节点互为协同核心节点，每个边缘监测单元与协同监测单元互连；边缘监测单元获取本节点和协同核心节点的网络安全威胁告警信息，并将信息上报云监测中心，从而实现边边协同的网络安全威胁监测与信息上报；云监测中心部署有紧急威胁研判中心，通过机器学习方法对信息的紧急程度进行预测，最后将结果按紧急程度排序的方式反馈给用户。本方法能够快速判定信息的冗余性和高效预测信息的紧急程度，实现对边缘节点不同安全威胁信息的快速研判和安全告警。全告警。全告警。

【技术实现步骤摘要】
基于边边协同的边缘节点网络安全威胁监测方法


[0001]本专利技术涉及一种基于边边协同的边缘节点网络安全威胁监测方法，属于网络安全


技术介绍

[0002]边缘计算是云计算能力从中心到边缘的一次下沉，通常被称为“用户的最后一公里”。边缘计算使得大量实时交互的计算在边缘节点完成，将大大提升处理效率，减轻云端的工作负荷。当前，智慧城市、智能家居、车联网等物联网应用的落地都离不开边缘计算。然而，大量的设备从不同位置接入网络将极大地增加网络的攻击概率，它在带来新的发展机遇的同时，也面临着各种各样的安全问题，比如物理攻击、端口攻击、恶意流量攻击、APT攻击等。
[0003]边缘节点南向连接的终端物联网设备通常具有移动性和实时性等特点，因此，边缘安全是边缘计算的重要保障。若不能及时研判和处理边缘节点监测出的安全威胁信息，比如，节点网络遭受DDOS攻击导致无法正常工作，比如在自动驾驶场景下，很可能造成车毁人亡甚至更加严峻的公共安全问题。

技术实现思路

[0004]本专利技术基于上述存在的问题，提供一种基于边边协同的边缘节点网络安全威胁监测方法。
[0005]本专利技术采用了以下技术方法：
[0006]基于边边协同的边缘节点网络安全威胁监测方法，包括边缘核心层和云核心层；边缘核心层和云核心层相互通信；
[0007]边缘核心层，包括边缘核心节点；边缘核心节点北向连接云平台，南向连接终端物联网设备并采集终端的数据；边缘核心节点部署有监测单元和海量边缘设备；监测单元获取本边缘核心节点的网络安全威胁信息，包括硬件安全监测模块、异常行为监测模块、节点漏洞监测模块和数据安全监测模块；每个边缘核心节点与相邻的边缘核心节点互为协同核心节点；每个边缘核心节点的监测单元与协同核心节点的监测单元信号连接；
[0008]所述云核心层，包括云平台；云平台部署有云监测中心；云监测中心部署有威胁库和紧急威胁研判中心；威胁库包括分钟库、小时库、日库和周库；监测单元北向连接云监测中心；
[0009]所述边缘监测单元获取边缘核心节点和协同核心节点的网络安全威胁告警信息，将该信息上报云监测中心，实现边边协同的网络安全威胁监测与信息上报。
[0010]作为优选的，协同核心节点的确定方法如下：对于每个边缘核心节点，设定邻域阈值T，在此邻域内选定至少两个边缘核心节点，每个边缘核心节点向它们发送若干个响应数据包，将平均响应速度最快的边缘核心节点确定为协同核心节点。每个边缘核心节点依次按照上述方式进行配对，除首、尾节点外，其余节点均有两个协同核心节点。
[0011]基于边边协同的边缘节点网络安全威胁监测方法，包括以下步骤：
[0012]S1：从首个边缘核心节点开始，匹配和它响应速度最快的边缘核心节点，称为协同核心节点，然后此协同核心节点再匹配和它响应速度最快的边缘核心节点，直到最后一个核心节点与其协同核心节点匹配成功为止；
[0013]S2：边缘核心节点的监测单元，与协同核心节点的监测单元进行通信认证，发送获取协同核心节点的网络安全威胁信息的请求；协同核心节点的监测单元收到该请求后，周期性地将其所在节点的网络安全威胁信息发送给请求方；若双方通信中断，进入步骤S3，否则进入步骤S6；
[0014]S3：进入重认证握手模式，若三次认证握手失败，进入步骤S4，否则进入步骤S5；
[0015]S4：上报协同节点故障信息至云监测中心；
[0016]S5：若认证成功，双方继续获取对方的安全威胁信息；
[0017]S6：所有边缘核心节点将所监测和收集的安全威胁信息上报云监测中心；
[0018]S7：云监测中心对上报信息与最近接收的数据进行对比，对上报信息的冗余性进行判定；
[0019]S8：根据步骤S7的比对结果，如果该条信息为冗余上报信息，删除这条冗余信息，并将未删除的信息的“告警频次”加1，否则进入步骤S9；
[0020]S9：云监测中心使用机器学习方法来快速预测这条监测信息紧急程度的类别；机器学习算法采用贝叶斯网络分类器；监测信息的紧急程度分为特急、紧急、常规；
[0021]S10：将确认了紧急程度的监测信息同步至威胁紧急研判中心，并向用户发送监测结果告警信息，依次按特急、紧急、常规的顺序进行排序展示；
[0022]S11：边缘核心节点的一次网络安全监测执行完毕，进入下一个监测周期。
[0023]步骤S1中协同核心节点确定方法如下：对于每个边缘核心节点，设定邻域阈值T，在此邻域内选定至少两个边缘核心节点，每个边缘核心节点向它们发送若干个响应数据包，将平均响应速度最快的边缘核心节点确定为协同核心节点。每个边缘核心节点依次按照上述方式进行配对，除首、尾节点外，其余节点均有两个协同核心节点。
[0024]步骤S2中，每个监测和收集的网络安全威胁信息字段，包括节点唯一标识码、监测单元告警时间、告警频次、发送方唯一标识码、威胁信息具体内容；
[0025]所述节点唯一标识码，用于识别上报信息的边缘核心节点，可以自定义；
[0026]所述监测单元告警时间，即监测单元发现安全威胁信息产生告警信息的时间；
[0027]所述告警频次，即监测单元对信息的告警频次初始化为1，当云监测中心检测到信息冗余时，会在该字段中累加频次；
[0028]所述发送方的唯一标识码，用于识别上报信息的发送方，可以自定义；
[0029]所述威胁信息具体内容，用于表示监测出的具体网络安全威胁信息；
[0030]所述快速预测安全威胁信息紧急程度类别的机器学习方法，还包括以下步骤：
[0031]L1：边缘核心节点的监测单元，对本边缘核心节点进行实时监测，并对监测出的安全威胁信息进行记录，发送至云监测中心；
[0032]L2：云监测中心收集汇总各个边缘核心节点的监测信息，生成训练集和测试集；
[0033]L3：将云监测中心的训练数据集进行预处理，按照紧急程度打标签分类；
[0034]L4：通过机器学习算法贝叶斯网络对云监测中心的训练数据集进行学习并用测试
集来测试模型的准确率。
[0035]作为优选的，步骤S6中，云监测中心对上报信息的冗余性判定步骤如下：
[0036]P1：威胁库按时间划分，定义分钟库数据集M＝{M1，M2,
…
M
m
}，m是当前分钟库信息的条数，M
s
表示第s条信息，1≤s≤m，分钟库每分钟更新一次；时库数据集H＝{H1，H2,
…
H
h
}，h是当前时库信息的条数，H
s
表示第s条信息，1≤s≤h，时库每小时更新一次；日库数据集D＝{D1，D2,
…
D
d
}，d是当前日库信息的条数，D
s
表示第s条信息，1≤s≤d，日库每日更新一次；周库数据集W＝{W1，W2,
…
W
w
}，w是本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于边边协同的边缘节点网络安全威胁监测方法，其特征在于：边缘核心层和云核心层相互通信；边缘核心层，包括边缘核心节点；边缘核心节点北向连接云平台，南向连接终端物联网设备并采集终端的数据；边缘核心节点部署有监测单元和海量边缘设备；监测单元获取本边缘核心节点的网络安全威胁信息，包括硬件安全监测模块、异常行为监测模块、节点漏洞监测模块和数据安全监测模块；每个边缘核心节点与相邻的边缘核心节点互为协同核心节点；每个边缘核心节点的监测单元与协同核心节点的监测单元信号连接；云核心层，包括云平台；云平台部署有云监测中心；云监测中心部署有威胁库和紧急威胁研判中心；威胁库包括分钟库、小时库、日库和周库；边缘监测单元获取边缘核心节点和协同核心节点的网络安全威胁告警信息，将该信息上报云监测中心，实现边边协同的网络安全威胁监测与信息上报。2.基于边边协同的边缘节点网络安全威胁监测方法，其特征在于，包括以下步骤：S1：从首个边缘核心节点开始，匹配和它响应速度最快的边缘核心节点，称为协同核心节点，然后此协同核心节点再匹配和它响应速度最快的边缘核心节点，直到最后一个核心节点与其协同核心节点匹配成功为止；S2：边缘核心节点的监测单元，与协同核心节点的监测单元进行通信认证，发送获取协同核心节点的网络安全威胁信息的请求；协同核心节点的监测单元收到该请求后，周期性地将其所在节点的网络安全威胁信息发送给请求方；若双方通信中断，进入步骤S3，否则进入步骤S6；S3：进入重认证握手模式，若三次认证握手失败，进入步骤S4，否则进入步骤S5；S4：上报协同节点故障信息至云监测中心；S5：若认证成功，双方继续获取对方的安全威胁信息；S6：所有边缘核心节点将所监测和收集的安全威胁信息上报云监测中心；S7：云监测中心对上报信息与最近接收的数据进行对比，对上报信息的冗余性进行判定；S8：根据步骤S7的比对结果，如果该条信息为冗余上报信息，删除这条冗余信息，并将未删除的信息的“告警频次”加1，否则进入步骤S9；S9：云监测中心使用机器学习方法来快速预测这条监测信息紧急程度的类别；机器学习算法采用贝叶斯网络分类器；监测信息的紧急程度分为特急、紧急、常规；S10：将确认了紧急程度的监测信息同步至威胁紧急研判中心，并向用户发送监测结果告警信息，依次按特急、紧急、常规的顺序进行排序展示；S11：边缘核心节点的一次网络安全监测执行完毕，进入下一个监测周期。3.根据权利要求2所述的基于边边协同的边缘节点网络安全威胁监测方法，其特征在于，步骤S1中协同核心节点确定方法如下：对于每个边缘核心节点，设定邻域阈值T，在此邻域内选定至少两个边缘核心节点，每个边缘核心节点向它们发送若干个响应数据包，将平均响应速度最快的边缘核心节点确定为协同核心节点，每个边缘核心节点依次按照上述方式进行配对，除首、尾节点外，其余节点均有两个协同核心节点。4.根据权利要求2所述的基于边边协同的边缘节点网络安全威胁监测方法，其特征在于，步骤S2中，每个监测和收集的网络安全威胁信息的字段，包括节点唯一标识码、监测单
元告警时间、告警频次、...

【专利技术属性】
技术研发人员：虞雁群，吴艳，刘彦伸，郭银锋，朱涛涛，
申请(专利权)人：浙江御安信息技术有限公司，
类型：发明
国别省市：