基于分布式与人工智能的双工赋能网络攻防的方法及系统与流程

本发明涉及网络安全领域，更为具体来说，本发明涉及基于分布式与人工智能的双工赋能网络攻防的方法及系统。

背景技术：

随着互联网的发展，物联网正加速融入人们的生产生活，当前，不少物联网设备生产厂商侧重追求新功能，对安全重视不足，当前主流的物联网管理模式有直连模式、网关模式和云模式。直连模式是指管理端与终端之间不经过其他节点直接相连，这种模式一般用于近距离通信，例如无线蓝牙、wifi热点等；网关模式主要用于家庭和企业局域网，一般用于近距离管理多个终端；云模式是指用户通过云服务管理各种设备，其特点是突破了设备管理的地理区域限制，比如智能家居和工业云服务。“不论在哪种模式下，目前都难以完全杜绝安全隐患。作为一种新技术，物联网的行业标准以及相关管理刚刚起步，但物联网基数大、扩散快、技术门槛低，已经成为互联网上不得不重视的安全问题。”物联网安全问题比如某个物联网设备存在安全隐患，并不只影响单个设备，还可能引发系统性的安全事件。比如，某些设备中存在的弱口令、已知漏洞等风险，可能被恶意代码感染成为“僵尸主机”。一方面，这些被感染的设备会“传染”其他设备，组成大规模的物联网“僵尸网络”；另一方面，它们接受并执行来自控制服务器的指令后，一旦发动大规模ddos(分布式拒绝服务)攻击，将会对互联网基础设施造成严重的破坏。

其次，在众多的互联网分支中，产业互联网是从消费互联网引申出的概念，是指传统产业借力大数据、云计算、智能终端以及网络优势，提升内部效率和对外服务能力，是传统产业通过“互联网+”实现转型升级的重要路径之一。产业互联网的兴起，意味着制造、农业、能源、物流、交通、教育等诸多传统领域相继都将被互联网所改变和重构，并通过互联网提高跨行业协同的效率，实现跨越式发展。但是，当前产业互联网协同方式是商业协同，存在着安全性和效率比较低的问题，如果应对未来的商业行为，需要更加智能的弹性协同方式。其中工业互联网是产业互联网中的一个重要内容，产业互联网着眼于交易问题，工业互联网着眼于制造问题，但是工业互联网中很多内容通过互联网进行交互仍然效率很低，如果可以将工业互联网的效率提高，则意味着新一轮的工业革命。

综上所述，现有技术存在的问题是：网络设备众多，商家为提高销售量，而不顾安全问题；大数据时代，网络攻击的目的性更强，攻击的技术手段增多、技术更高、更隐蔽，黑客可能为了利益而对物联网云服务实施攻击；产业互联网需要升级协同方式，由商业协同到智能协同；这些问题基本可以归于网络性能效率低、智能化低的问题，所以如何智能强化网络性能及网络攻防成为了本领域技术人员急需解决的技术问题和研究的重点。

技术实现要素：

为解决现有网络性能中存在的效率低、智能化低及网络设备安全性低等问题，本发明提供了基于分布式与人工智能的双工赋能网络攻防的方法及系统。

本发明的实现方法：s101.采集网络状态信息，记为网络状态1.0，然后提取并识别网络状态信息的特征，如果识别特征属于网络攻击状态特征，则优先处理网络攻击状态特征，即网络攻击状态特征处理优先级高于非网络攻击状态特征；s102.如果识别成功，调取本地专家系统中相对应的最优解决方案，记为解决方案1.0，然后根据方案调用分布式网络计算，从而解决此网络状态中的问题；此时得到一组网络状态及相对应的解决方案(1.0,1.0)；s103.如果识别不成功，则认为此网络状态为新网络状态，记为网络状态1.1，然后调取本地专家系统中相对应的次最优解决方案，记为解决方案1.1，然后根据方案调用分布式网络计算，从而相对解决此新网络状态中的问题；此时得到一组网络状态及对应的解决方案(1.1,1.1)；s104.循环s101～s103，可得多组络状态及其解决方案组合，记为(1.2,1.2),…(1.i,1.i)，这些组合形成数据集1；s105.利用对抗网络的方法，基于数据集1，可学习得到更多网络状态及其解决方案组合，记为(1.i+1,1.i+1),…,(1.n,1.n)，这些组合形成数据集3；s106.利用然后强化学习的方法，基于数据集3，可学习得到最优网络状态及其解决方案组合；s107.最后，利用区块链技术将学习得到的最优网络状态及其解决方案进行封装，传入到分布式本地专家系统中。

步骤s101：提取并识别采集到的网络状态信息处理过程：

采集网络状态信息数据，包括：当前网络设备的类型type、当前网络设备的ip地址、发送与接受的开放端口号portnum、当前使用的服务service等信息；

记当前采集到的网络状态信息为1.0；

然后使用聚类算法及矢量量化算法提取网络状态信息的特征；

对s101提取得到的特征与本地专家系统中的特征进行对比，得到状态特征相似性概率排序结果，筛选出不小于α(如α＝0.67)的排序结果及不大于α的排序结果；

步骤s102,如果特征识别成功则调用解决方案及分布式网络计算，处理过程：

根据步骤s101选取最大相似性概率的特征，作为识别成功标志，即采集到的网络状态信息1.0与本地专家系统中最相似的特征，并调取此最相似特征的对应解决方案；

根据解决方案中1.0调用分布式网络计算为解决此网络状态提供算力支持，支持算力的范围为(解决方案1.0中设置的默认算力值，解决此网络状态所需算力支持的1.5～2.0倍)，从而解决网络状态1.0中的问题；

并得到一个组合网络状态1.0及其解决方案1.0，记为(1.0,1.0)；

步骤s103,如果特征识别失败则按照新网络状态方法进行处理，处理过程：

选取相似特征概率不大于α的排序结果，作为识别失败的标志，则将当前网络状态信息认为是新网络状态信息，记为1.1；

然后选出不大于α排序结果中的最大值，作为识别特征的结果，然后调取本地专家系统中与此结果相对应的解决方案，记为1.1；

根据解决方案1.1中调用分布式网络计算为解决此网络状态提供算力支持，支持算力的范围为(解决方案中设置的默认算力值，解决此网络状态所需算力支持的1.5～2.0倍)，从而相对解决网络状态1.1中的问题；

并得到另一个组合新网络状态特征1.1及其解决方案1.1，记为(1.1，1.1)；

步骤s104：得到更多网络状态及解决方案组合，处理过程：

循环步骤s101～s103,其中采集网络的频率为60hz，得到i组网络状态及其解决方案组合，记为(1.2,1.2),(1.3,1.3),...,(1.i,1.i)；

将得到的多组组数据合保存成可用来学习的数据集，记为数据集1；

步骤s105：利用对抗网络(gan)学习数据集1得更多网络状态及解决方案组合，对抗网络由生成网络g和判别网络d组成，生成网络g的目标是产生尽量生成真实的数据去欺骗判别网络d，而判别网络d的目标就是尽量把生成网络g生成的数据与真实数据分别开来，在这个过程中会产生大量的数据，处理过程：

首先将s104得到的数据集1与本地专家系统中的网络状态及其解决方案组合结合起来，作为对抗网络中生成网络g的训练数据；

经过生成网络g对上述数据的学习，产生非真实更多网络状态信息及其解决方案组合的数据，作为数据集2；

然后通过对抗网络的判别网络d将数据集2与本地专家系统中的数据进行对比，即对比(数据集2，本地专家系统中的数据)，并对对比结果进行阈值标注，阈值设为β(如β＝0.67)；

删除上述小于阈值β的数据，并将删除后剩余的数据集、数据集1和本地专家系统中的数据合并为数据集3；

数据集3包括网络状态信息及其解决方案的n组组合，记为(1.0,1.0),(1.1,1.1),...,(1.i,1.i),(1.i+1,1.i+1),...,(1.n,1.n)；

步骤s106，利用增强学习(rl)的方法学习数据集3得到网络状态及其解决方案的最优组合，处理过程：

将已建立的分布式本地专家系统中需要进行强化学习的节点作为智能体agent；

将数据集3中的每一条网络状态信息及其解决方案，如(1.1,1.1)作为增强学习的输入a；

智能体会将a输入到评价环境env中，评价环境会给出输入a后的一个奖励结果r以及评价环境当前的状态s，其中评价环境是本地专家系统库，奖励结果r是本地专家系统将当前学习结果与本地专家系统库预设的结果对比出来的结果，属于相似性概率值，而状态s是本地专家系统库对于奖励结果r是否需要再次学习的反馈；相似性可以采用现有的相似性比较算法实现，状态s与是否需要再次学习间的对应关系可根据经验或需求进行设定。

然后智能体根据得到的奖励结果r和当前状态s给出下一个输入a；

循环上述三小步,最后对每一条输入a得到的奖励结果r进行排序，选取前75％作为最优的结果，即获得多组最优的网络状态及解决方案组合；

步骤s107：利用区块链技术将步骤s106获得的组合进行封装，处理过程：

利用区块链技术将步骤s106获得的最优网络状态及其解决方案组合进行加密封装，采用对称加密算法；

然后给所有节点分发hash值，给定向节点分发专家系统库文件碎片；

进一步，步骤s101所述采集的网络信息数据为：

本发明公开的方案中网络状态信息包含各种网络性能信息，不仅局限于分发速度(tps)、抗拥堵(ddos)、网络加速(cdn)等；

进一步，步骤s102所述的本地专家系统结构为：

最初的本地专家系统，由开放人员输入的，包括每一条网络状态及其解决方案，本地专家系统是由若干个子专家系统构成，每一个自专家系统由若干个网络状态及其解决方案构成，结构图如图2所示。

进一步，步骤s101中如果识别特征属于网络攻击状态特征(如ddos)，则优先处理网络攻击状态特征，即网络攻击状态特征处理优先级高于非网络攻击状态特征；

进一步，步骤s101中如果识别出的特征为网络攻击状态特征，则在步骤s102～s106中通过分布式网络计算提供更多的资源支持，如算力范围为(默认算力，分布式网络计算可提供的总算力，算力是由基于区块链技术的分布式网络计算中的节点提供，网络状态优先级及计算资源支持函数图参考图4；

本发明提供的技术方案的有益效果为：

如图3所示，本发明公开的方案中分布式存储系统由多个子节点组成，每个节点都会存储一份专家系统，这样在任何一个节点存在网络状态问题时都可以调用专家系统中的解决方案，且每个节点在学习后都可以共享给分布式存储系统中的任何一个节点，具有高共享性及高安全性；

本发明公开的方案中分布网络计算系统也是由多个子节点组成，系统中的任何一个节点在进行计算时所需要的算力，都可以由其他节点进行支持，达到高速区块链分布式数据库检索聚合功能，具有较高负载性、健壮性和可扩展性。

本发明公开的方案中提出的专家系统，具有不断学习、强化的专家系统具有较高的智能化、可扩展性和鲁棒性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通发票技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提出方法的整体流程图；

图2是专家系统的组成结构图；

图3是子节点将学习到的方案通过分布式网络计算共享给其他节点的效果图；

图4是网络状态优先级与计算资源支持函数图；

图5是ddos网络攻防0.15s解决方案；

图6是ddos网络攻防0.4s解决方案；

具体实施方式

为了使本发明的技术方案更加清楚明白，以下结合实施例，对发明内容备的ip地址、发送与接受的开放端口做更加详细地说明，但发明的保护范围不限于下述的实例，本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

下面结合附图对原理做进一步说明。

如图1所示，本发明实施例提供的基于分布式与人工智能的双工赋能网络攻防的方法及系统，建立包括以下步骤：

主要可以分成两部分，第一部分是建立初始本地专家系统；第二部分是学习、强化本地专家系统；

第一部分初始本地专家系统，包括以下步骤：

开发人员通过网络抓包方式，采集网络状态信息数据；

通过聚类算法和矢量量化算法提取网络状态信息的特征；

将提取到的网络状态信息特征作为样本，建立网络状态信息特征库；

同样采用类似以上的方法，建立与网络状态信息特征库中每条网络状态信息相对应的解决方案；

逐条提取网络状态信息特征库的网络状态信息特征及其在解决方案库中的解决方案，形成多组组合；

按不同网络状态信息类别，形成不同的子专家系统库，同一个子专家系统库中包含多组同类别的网络状态信息特征及对应的解决方案，子专家系统库结构参考图2所示；

不同的子专家系统库组成本地专家系统库，本地专家系统结构参考图2所示；

同时，每组网络状态信息及其解决方案使用区块链技术封装；

然后利用分布式网络计算将本地专家系统存储到分布式存储系统下的每个节点中，每个节点重复存三份；

每个节点存储的是本地专家系统库的hash文件、本地专家系统库的碎片文件、本地专家系统库的冗余文件；

至此，一个初始本地专家系统已建立完成，并被拆分成三种文件分别存储在分布式存储系统下的每个节点中，且每个节点重复存取三份，这样保证了文件安全性，并且调用·其他节点调用本地专家系统库时，只需调用其hash文件，保证了调用时的轻量化和高效性；

第二部分学习、强化本地专家系统，具体步骤如下：

第二部分内容在前面的“发明内容”中已做详细阐述，不再赘述；

为了更好地从实例方面了解本方案，下面通过网络攻防中的ddos攻防进行说明：

ddos网络攻防从0.15s网络状态到0.4s网络状态两种网络状态进行过程描述；

假设在步骤s101识别特征后，得出特征是网络攻击状态，则将处理的优先级提升到非网络状态优先级之前；

假设此时识别到的是ddos网络攻击0.15s状态，则调取本地专家系统中的对应解决方案；

在这里说明下，如图5所示的ddos网络攻击0.15s状态，下面比较下传统对于0.15s的ddos网络攻击的解决方案与本发明提出方案中的解决方案：

0.15s的ddos网络攻击的传统解决方案过程：

节点a第一次攻击节点m时，节点a周围节点b、c、d、e四个节点检测到节点a的攻击行为后，会通过b、c、d、e四个节点中的一个节点对节点a进行反ddos攻击，相当于使节点a被冻结；

计算资源支持上通过增大此节点的软硬件性能来实现，这样虽然使节点b达到了高防服务器的性能，并且也成功防住了节点a的后续攻击，但是此种对单一节点增加软硬件性能却是成本极高及效率极低，所以不可取；

但是，由于传统节点在反ddos过程中带来的成本极高及效率极低的缺陷，本发明提出的解决方案中也对此进行了更大的革新，通过多点协同来实现，如图5所示：

节点a第一次攻击节点m时，节点a周围节点b、c、d、e四个节点检测到节点a的攻击行为后，会通过b、c、d、e四个节点中共同对节点a进行反ddos攻击；

计算资源支持上本发明提出的解决方案是采用分布式网络计算调用多个节点协同(如b,c,d,e四个节点)防御，如果不够则继续调取更多节点(如f,g,i,h节点等)进行，只要在分布式网络计算系统下的节点都可以提供资源支持，当任何一个节点遭受网络攻击时，其余节点也可以为其防御提供更多资源，本发明提出的解决方案具有高负载性、高效性及较低成本的优点。

然后通过0.15s网络状态特征调用的解决方案，调取分布式网络计算，从而高速解决此攻击问题，并得到0.15s网络攻击状态及其解决方案组合(1.0,1.0)；

如果识别的不是0.15s网络攻击状态特征，则认为此网络状态特征是新网络攻击特征，假设是0.4s网络攻击状态特征；

特征识别的原因是0.15s攻击状态与0.4s攻击状态，都包含一个节点去攻击其他节点，只是0.15s攻防方法没有防御成功，导致图6中的b,c,d,e,f,g节点全部都被感染，而被加点a操控这几个节点同时攻击节点m，形成一次性大容量攻击；

同样，与传统应对0.4s网络攻击状态的方法不同，本发明提出的方案采用多节点分散攻击压力实现；

传统应对0.4s网络攻击状态时采用的是节点m周围的节点对节点m提供资源支持，使节点m短时间内拥有高防服务器性能，从而防御节点a的攻击，但是此方法效率低、成本高；

本发明提出的解决方案采用分布式网络计算为节点m遭受高负载攻击时，建立节点m几乎一致的虚拟节点m，形成对高负载攻击的攻击分流目的，从而快速、高效地解决此网络攻击。

然后记0.4s网络攻击状态的解决方案为1.1，从而得0.4s网络攻击状态及其解决方案组合(1.1,1.1)；

其余步骤s104～s107步骤在“发明内容”中已做详细阐述，不再赘述；

如图3所示，本发明公开的方案中分布式存储系统由多个子节点组成，每个节点都会存储一份专家系统，这样在任何一个节点存在网络状态问题时都可以调用专家系统中的解决方案，且每个节点在学习后都可以共享给分布式存储系统中的任何一个节点，具有高共享性及高安全性；

本发明公开的方案中分布网络计算系统也是由多个子节点组成，系统中的任何一个节点在进行计算时所需要的算力，都可以由其他节点进行支持，达到高速区块链分布式数据库检索聚合功能，具有较高负载性、健壮性、可扩展性高及成本低的优点。

本发明公开的方案中提出的专家系统，具有不断学习、强化的专家系统具有较高的智能化、可扩展性和鲁棒性。