一种面向雾计算网络的网络补丁资源分配方法及系统与流程

本发明涉及网络安全领域，尤其涉及一种面向雾计算网络的网络补丁资源分配方法及系统。

背景技术：

雾计算是一个高度虚拟化的平台，如图1所示，可以提供各种网络服务，在距离移动终端更近的雾节点中进行计算和存储，以提供更快、更高效的计算服务。如果云计算被视为新一代的集中式计算，雾计算是新一代分布式计算，它以广泛分布的部署为目标，提供网络计算应用和服务。雾计算作为云计算的扩展，布置在网络边缘位置，提供位置感知，低延迟的计算服务，并支持移动性、实时交互、异质性、互操作性和联合计算。

虽然雾计算具有上述的各种优势，使得雾计算技术比以往其他各种技术都更吸引人，但它也给用户带来了新的和具有挑战性的安全威胁。由于它们部署在那些没有严格监控和保护的地方，雾节点作为一个更接近终端用户的平台，可能会遇到各种系统安全挑战。由于雾计算支持分布式虚拟环境、多用户和多域平台，从安全的角度来看，它更容易受到安全威胁和脆弱性的影响，从而吸引恶意用户攻击它。一些传统的攻击，如窃听、数据劫持等，可能会成功地威胁到雾节点。

通过向雾计算网络中雾节点分发网络补丁的方式可以避免雾节点受到威胁，但网络补丁分发时通常采用设置好的资源分配方法实现网络补丁分发，无法在保证雾节点安全的情况下对网络补丁分发所需的资源进行动态控制。

技术实现要素：

为了实现雾计算环境下网络补丁分发所需资源的动态控制与分配，本发明一实施例中，提供一种面向雾计算网络的网络补丁资源分配方法，包括：

网络补丁用于转移雾节点的状态，雾节点的状态包括易受攻击状态及恶意状态，所述方法包括：

构建雾计算网络因网络补丁分发所带来的雾节点状态转移的微分方程；

根据雾节点状态转移的微分方程构建雾节点的效用函数方程gi[·]＝f3(x(t),ci(t))，x(t)表示因网络补丁分发所带来的网络资源变化状态，ci(t)表示网络补丁i的资源分配值；

根据雾节点的效用函数方程构建雾节点的动态最优目标方程

构建雾计算网络因网络补丁分发所带来的网络资源变化微分方程

由动态最优目标方程及网络资源变化微分方程构成微分博弈模型，求解微分博弈模型得到纳什均衡解，将该纳什均衡解作为网络补丁的最优资源分配值。

本发明另一实施例中，还提供一种面向雾计算网络的网络补丁资源分配系统，网络补丁用于转移雾节点的状态，雾节点的状态包括易受攻击状态及恶意状态，所述系统包括：

第一构建模块，用于构建雾计算网络因网络补丁分发所带来的雾节点状态转移的微分方程；

第二构建模块，用于根据雾节点状态转移的微分方程构建雾节点的效用函数方程gi[·]＝f3(x(t),ci(t))，x(t)表示因网络补丁分发所带来的网络资源变化状态，ci(t)表示网络补丁i的资源分配值；

第三构建模块，用于根据雾节点的效用函数方程构建雾节点的动态最优目标方程

第四构建模块，用于构建雾计算网络因网络补丁分发所带来的网络资源变化微分方程

计算模块，用于由动态最优目标方程及网络资源变化微分方程构成微分博弈模型，求解微分博弈模型得到纳什均衡解，将该纳什均衡解作为网络补丁的最优资源分配值。

本发明提供的面向雾计算网络的网络补丁资源分配方法及系统能够在保证雾节点安全的情况下对网络补丁分发所需资源进行动态控制，从而实现合理配置网络补丁资源。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中雾计算网络的示意图；

图2为本发明实施例的面向雾计算网络的网络补丁资源分配方法的流程图；

图3为本发明实施例的面向雾计算网络的网络补丁资源分配系统的结构图。

具体实施方式

为了使本发明的技术特点及效果更加明显，下面结合附图对本发明的技术方案做进一步说明，本发明也可有其他不同的具体实例来加以说明或实施，任何本领域技术人员在权利要求范围内做的等同变换均属于本发明的保护范畴。

在本说明书的描述中，参考术语“一实施例”、“一具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本发明的实施，其中的步骤顺序不作限定，可根据需要作适当调整。

详细的说，如图1所示，雾计算网络由三层结构构成，分别为用户层、雾层及云层。

用户层为三层结构中的最底层，由数量众多的智能终端与智能终端产生的海量数据所构成。利用wi-fi技术、蓝牙技术、zigbee技术、移动adhoc网络技术等短距离通信方式，实现智能终端与雾层中的雾节点连接，享受雾计算提供的服务。

雾层位于中间，包括多个雾节点，部署在地理上分散的雾服务器上，如公园、公交车、购物中心等地的服务器上，为智能终端和云服务器之间搭起了桥梁。每个雾服务器是高度虚拟化的计算系统，类似轻量级的云服务器。通过配备大量的数据存储、计算和无线通信设备，对用户层上传的数据进行智能化处理。

云层为三层结构的最高层，由于雾服务器的处理能力有限，当有任务需要更多的计算资源时，需将待处理的用户数据通过高速有线/无线网络从雾层上传至云层，以使用云层更为丰富的资源和应用。

雾计算网络中的雾节点包括的状态有多种，本发明中，将雾节点状态分为两类：易受攻击状态及恶意状态。易受攻击状态的雾节点称为易受攻击雾节点(简记为v类雾节点)，恶意状态的雾节点称为恶意雾节点(简记为m类雾节点)。易受攻击雾节点是工作节点，易受恶意雾节点攻击。恶意雾节点是收到恶意攻击污染的节点，总是试图通过传输信息或者数据来攻击易受攻击雾节点。

通过向雾计算网络中的雾节点分发网络补丁来改变雾节点的状态，其中，网络补丁包括针对易受攻击节点的网络补丁及针对恶意攻击节点的网络补丁。如果易受攻击雾节点接收到网络补丁，该节点将免于被某些恶意雾节点攻击，但是由于网络补丁只针对某些特定的网络安全问题，这些易受攻击雾节点不会改变类型，依然是易受攻击雾节点。如果恶意雾节点接收到网络补丁，该节点将被治愈转化为易受攻击雾节点，或者没有被治愈，依然作为恶意雾节点存在。

如下实施例中，假定雾计算网络中雾节点总数为n(t)，易受攻击雾节点数量为nv(t)，恶意雾节点数量为nm(t)，易受攻击雾节点及恶意雾节点在雾节点总数中的占比分别为和且v(t)+m(t)＝1。

假定向雾计算网络中分发的安全补丁的总数量为γ0n(t)，针对易受攻击雾节点的网络补丁数量为γvn(t)，针对恶意雾节点的网络补丁γmn(t)，其中，γ0、γv、γm表示比例系数，满足γ0＝γv+γm，n(t)表示雾节点总数。

为了实现雾计算环境下网络补丁分发所需资源的动态控制与分配，本发明一实施例中，如图2所示，面向雾计算网络的网络补丁资源分配方法包括：

步骤100，构建雾计算网络因网络补丁分发所带来的雾节点状态转移的微分方程。

步骤200，根据雾节点状态转移的微分方程构建雾节点的效用函数方程gi[·]＝f3(x(t),ci(t))，x(t)表示因网络补丁分发所带来的网络资源变化状态，ci(t)表示网络补丁i的资源分配值。

步骤300，根据雾节点的效用函数方程构建雾节点的动态最优目标方程

步骤400，构建雾计算网络因网络补丁分发所带来的网络资源变化微分方程

步骤500，由动态最优目标方程及网络资源变化微分方程构成微分博弈模型，求解微分博弈模型得到纳什均衡解，将该纳什均衡解作为网络补丁的最优资源分配值。

本实施例提供的面向雾计算网络的网络补丁资源分配方法能够在保证雾节点安全的情况下对网络补丁分发所需资源进行动态控制，从而实现合理配置网络补丁资源。

本发明一实施例中，上述步骤100中，针对易受攻击雾节点，雾节点状态转移的微分方程包括：不同雾节点之间状态变化的微分方程以及易受攻击雾节点安装网络补丁后状态变化的微分方程

具体的，不同雾节点之间状态变化的微分方程的构建过程包括：

步骤101，统计雾计算网络中雾节点总数n(t)。

步骤102，构建易受攻击雾节点转化为恶意雾节点的速率speedvm(ci(t))。

详细的说，易受攻击雾节点只有在接受通信请求时才有可能转换为恶意雾节点，假设对于易受攻击雾节点来说，其接受通信请求的概率为ρv，当某个易受攻击雾节点遭到攻击时，其转化为恶意雾节点的概率是μvm，为了使易受攻击雾节点转化为恶意雾节点，需要付出一定的能量，因此，转化概率μvm可以表达为能量消耗c(t)的表达形式，因此，μvm＝1-εvmc(t)，其中，εvm表示网络资源消耗和转化率之间的线性关系。将易受攻击雾节点和恶意雾节点进行配对，可以得到nv(t)nm(t)个组合，基于配对后组合的数量，可以得到易受攻击雾节点转化为恶意雾节点的速率的表达式为：

speedvm(ci(t))＝ρvμvmnv(t)nm(t)；μvm＝1-εvmci(t)(1)

其中，ρv表示易受攻击雾节点接受通信请求的概率，nv(t)nm(t)表示易受攻击雾节点与恶意雾节点的配对组合数，μvm表示易受攻击雾节点转移为恶意雾节点的概率，εvm表示线性关系。

步骤103，构建恶意雾节点转化为易受攻击雾节点的速率speedm(ci(t))。

详细的说，通过引入参数k来表示不同类别的雾节点随网络补丁的变化。当k＝0，恶意雾节点不能被网络补丁所治愈；当k＝1，恶意雾节点可以被网络补丁所治愈，基于参数k，可以得到恶意雾节点转化为易受攻击雾节点的速率的表达式为：

speedm(ci(t))＝kρpμpvγmn(t)nm(t),μpv＝εpvci(t)(2)

其中，k表示恶意雾节点被网络补丁治愈情况，ρpμpvγmn(t)表示安装针对恶意雾节点的网络补丁的速率，ρp取决于雾节点的分布，μpv表示网络补丁分发所带来的网络资源消耗，εpv表示线性关系，γmn(t)表示针对恶意雾节点的网络补丁数量，nm(t)表示恶意雾节点个数。

步骤104，根据n(t)、speedvm(ci(t))和speedm(ci(t))计算不同雾节点之间状态变化的微分方程。

表示易受攻击雾节点在雾节点总数的占比，表示恶意雾节点在雾节点总数的占比。

具体的，易受攻击雾节点安装网络补丁后状态变化的微分方程的表达式为：

其中，ρpμpvγvn(t)表示易受攻击雾节点安装针对易受攻击雾节点的网络补丁的速率，γvn(t)表示针对易受攻击雾节点的网络补丁数量。

本发明一实施例中，网络资源变化微分方程表达式为：

其中，βici(t)表示网络补丁i分发所带来的网络资源消耗，βi表示网络补丁i分发所消耗资源在总消耗资源中的权重，εx(t)表示网络资源的衰减量，ε表示消耗率。

本发明一实施例中，针对易受攻击雾节点，效用函数方程的表达式为：

其中，

ζ1＝α1εvmρvn(t)v(t)m(t)+kεpvρpγmn(t)m(t)+α2εpvρpγv-α3εpvρpγmn(t)，

ζ2＝α1ρvn(t)v(t)m(t)，

α1、α2及α3表示参数，ρpμpvγ0n(t)表示雾节点安装网络补丁的速度，δix(t)表示分发网络补丁所带来的网络资源消耗。

具体实施时，为了方便，ci(t)可用ci表示。

本发明一实施例中，针对易受攻击雾节点，其目标是使一段时间内的效用函数最大化，因此，可以以此为目标，构建雾计算节点动态最优目标方程如下：

其中，表示t观察时刻网络资源变化的预测，t0表示初始观察时刻，r为折扣因子。

详细的说，该方程受限于网络资源变化微分方程(5)。

本发明一实施例中，利用贝尔曼微分方程求解微分博弈模型(5)(7)。根据贝尔曼方程，动态最优目标方程的纳什均衡解，为值函数所构建的贝尔曼方程的解，即存在一个最优资源分配值使得，

对于微分博弈模型(5)(7)来说，值函数vⁱ(t,x)可以表示为：

其中，gi[·]表示效用函数方程。

构建的贝尔曼方程表示为：

对上述方程求一阶微分，求解上述贝尔曼方程可以得到最优资源分配值的表达式为：

其中，

ζ1＝α1εvmρvn(t)v(t)m(t)+kεpvρpγmn(t)m(t)+α2εpvρpγv-α3εpvρpγmn(t)，

ζ2＝α1ρvn(t)v(t)m(t)。

本发明一实施例中，求解最优资源分配值的过程包括：

1)构建值函数的最简表达式。具体的，值函数的最简表达式：

vⁱ(t,x)＝[ai(t)x+bi(t)]exp[-r(t-t0)](11)

2)根据贝尔曼方程(9)求解值函数最简表达式中的ai(t)，bi(t)。

具体的，对值函数最简表达式(11)的变量t，x求偏导，可以得到：

具体的，将公式(10)(13)代入贝尔曼方程(9)可以得到，

对比公式(12)和(14)，所对应的参数ai(t)和参数bi(t)可以表达为

根据公式(15)(16)可以计算得到参数ai(t)，bi(t)的表达式。进一步，可以将最优资源分配值简化为

其中，

ζ1＝α1εvmρvn(t)v(t)m(t)+kεpvρpγmn(t)m(t)+α2εpvρpγv-α3εpvρpγmn(t)，

ζ2＝α1ρvn(t)v(t)m(t)。

基于同一发明构思，本发明实施例中还提供了一种面向雾计算网络的网络补丁资源分配系统，如下面的实施例所述。由于该系统解决问题的原理与面向雾计算网络的网络补丁资源分配方法相似，因此该系统的实施可以参见面向雾计算网络的网络补丁资源分配方法的实施，重复之处不再赘述。

如图3所示，图3为本发明实施例的面向雾计算网络的网络补丁资源分配系统，网络补丁用于转移雾节点的状态，雾节点的状态包括易受攻击状态及恶意状态，所述系统包括：

第一构建模块310，用于构建雾计算网络因网络补丁分发所带来的雾节点状态转移的微分方程，详细的说，雾节点状态转移的微分方程包括：不同雾节点之间状态变化的微分方程以及易受攻击雾节点安装网络补丁后状态变化的微分方程

第二构建模块320，用于根据雾节点状态转移的微分方程构建雾节点的效用函数方程gi[·]＝f3(x(t),ci(t))，x(t)表示因网络补丁分发所带来的网络资源变化状态，ci(t)表示网络补丁i的资源分配值。

第三构建模块330，用于根据雾节点的效用函数方程构建雾节点的动态最优目标方程

第四构建模块340，用于构建雾计算网络因网络补丁分发所带来的网络资源变化微分方程

计算模块350，用于由动态最优目标方程及网络资源变化微分方程构成微分博弈模型，求解微分博弈模型得到纳什均衡解，将该纳什均衡解作为网络补丁的最优资源分配值。

本发明提供的面向雾计算网络的网络补丁资源分配系统能够在保证雾节点安全的情况下对网络补丁分发所需资源进行动态控制，从而实现合理配置网络补丁资源。

本发明一实施例中，第一构建模块310构建不同雾节点之间状态变化的微分方程的过程包括：

统计雾计算网络中雾节点总数n(t)；

构建易受攻击雾节点转化为恶意雾节点的速率speedvm(ci(t))；

构建恶意雾节点转化为易受攻击雾节点的速率speedm(ci(t))；

根据n(t)、speedvm(ci(t))和speedm(ci(t))计算不同雾节点之间状态变化的微分方程。

本发明一实施例中，易受攻击雾节点转化为恶意雾节点的速率表达式为：

speedvm(ci(t))＝ρvμvmnv(t)nm(t),μvm＝1-εvmci(t)；

其中，v表示易受攻击状态，m表示恶意状态，ρv表示易受攻击雾节点接受通信请求的概率，nv(t)nm(t)表示易受攻击雾节点与恶意雾节点的配对组合数，μvm表示易受攻击雾节点转移为恶意雾节点的概率，εvm表示线性关系；

恶意雾节点转化为易受攻击雾节点的速率表达式为：

speedm(ci(t))＝kρpμpvγmn(t)nm(t),μpv＝εpvci(t)；

其中，k表示恶意雾节点被网络补丁治愈情况，ρpμpvγmn(t)表示安装针对恶意雾节点的网络补丁的速率，ρp取决于雾节点的分布，μpv表示网络补丁分发所带来的网络资源消耗，εpv表示线性关系，γmn(t)表示针对恶意雾节点的网络补丁数量，nm(t)表示恶意雾节点个数。

进一步的，不同雾节点之间状态变化的微分方程的表达式为：

v(t)表示易受攻击雾节点在雾节点总数的占比，m(t)表示恶意雾节点在雾节点总数的占比。

本发明一实施例中，第一构建模块310构建的易受攻击雾节点安装网络补丁后状态变化的微分方程的表达式为：

其中，ρpμpvγvn(t)表示易受攻击雾节点安装针对易受攻击雾节点的网络补丁的速率，γvn(t)表示针对易受攻击雾节点的网络补丁数量。

本发明一实施例中，第二构建模块320构建的效用函数方程的表达式为：

ζ1＝α1εvmρvn(t)v(t)m(t)+kεpvρpγmn(t)m(t)+α2εpvρpγv-α3εpvρpγmn(t)，

ζ2＝α1ρvn(t)v(t)m(t)，

其中，α1、α2及α3表示参数，ρpμpvγ0n(t)表示雾节点安装网络补丁的速度，δix(t)表示分发网络补丁所带来的网络资源消耗。

本发明一实施例中，第三构建模块330构建的动态最优目标方程的表达式为：

其中，表示t观察时刻网络资源变化的预测，t0表示初始观察时刻，r为折扣因子。

本发明一实施例中，第四构建模块340构建的网络资源变化微分方程表达式为：

其中，βici(t)表示网络补丁i分发所带来的网络资源消耗，βi表示网络补丁i分发所消耗资源在总消耗资源中的权重，εx(t)表示网络资源的衰减量，ε表示消耗率。

本发明一实施例中，计算模块350计算得到的网络补丁的最优资源分配值的表达式为：

其中，

ζ1＝α1εvmρvn(t)v(t)m(t)+kεpvρpγmn(t)m(t)+α2εpvρpγv-α3εpvρpγmn(t)，

ζ2＝α1ρvn(t)v(t)m(t)。

本发明一实施例中，还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任一实施例所述的面向雾计算网络的网络补丁资源分配方法。

本发明一实施例中，还提供一种计算机可读存储介质，所述计算机可读存储介质存储有执行计算机程序，所述计算机程序被处理器执行时实现上述任一实施例所述的面向雾计算网络的网络补丁资源分配方法。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅用于说明本发明的技术方案，任何本领域普通技术人员均可在不违背本发明的精神及范畴下，对上述实施例进行修饰与改变。因此，本发明的权利保护范围应视权利要求范围为准。