量化的边缘计算侧终端安全接入策略选择方法与流程

本发明涉及边缘计算，尤其是量化的边缘计算侧终端安全接入策略选择方法。

背景技术：

为满足工业控制、无人驾驶、虚拟现实等各种低时延需求的应用场景，出现了新的网络架构--基于边缘计算的系统构架，在传统云计算服务器和终端的系统构架上引入了边缘侧计算设备。与云计算相比，边缘计算带来了就近的数据处理，减少了网络传输量、反应时延，也使得安全性得到提高，被称为“人工智能的最后一公里”。同时，边缘计算系统本身的安全保护成为其应用的关键，面对未来物联网大量异构终端的接入，不同应用的需求，边缘侧计算设备的计算资源支持，使得其可以采用多种的安全接入策略支持异构终端和数据应用的安全接入。

技术实现要素：

本发明所要解决的技术问题是，根据面临的安全风险、系统复杂度等，将终端和数据应用面临安全风险和威胁进行量化，选择适当的算法，通过量化的客观标准进行边缘计算侧终端安全接入策略选择，实现边缘计算系统安全性能的最大优化。

本发明为解决上述技术问题所采用的技术方案是，量化的边缘计算侧终端安全接入策略选择方法，包括步骤：

1）设置边缘计算系统下终端和数据应用面临的安全风险量化值以及对应的安全风险等级，每一种安全风险均由系统风险、破坏力和脆弱性三个维度组成；边缘计算系统包括边缘侧计算设备与终端；设置终端或数据应用面临的每种威胁的安全风险的评价矩阵a：

其中，at^v是终端或数据应用面临的第v种安全风险中第t维度的量化值，t=1,2,3，v=1,2,…,s，s为安全风险总数，v为安全风险种类序号；

2）各终端的安全风险量化值wi：

其中，wvⁱ为第i个终端或数据应用面临的第v种安全风险的安全风险量化值，i=1,2,…,k，k为终端和数据应用总数，i为终端序号变量；

3）边缘侧计算设备设置安全策略的评价矩阵b：

bj^v表示边缘侧计算设备针对第v种安全风险采用第j种安全策略的影响因子，j=1,2,…,p，p为安全策略种类数，j为安全策略种类序号；影响因子为预设的针对某种安全风险采取了某种安全策略后达到的防护效果的评价值；

4)计算得到边缘侧计算设备对各终端或数据应用采用安全策略后的安全保护量化值zⁱ：

其中，zⁱj为对第i个终端或数据应用采用第j种安全策略后的安全保护量化值；

5)边缘侧计算设备根据实际需求，以得到的安全保护量化值zⁱ选择安全策略。当只选择单一安全策略时，直接选择zⁱ中zⁱj的最大值。当需要2种或2种以上安全策略的组合时，则采用机器学习算法和深度学习算法依据各终端采用各安全策略后的安全保护量化值zⁱj进行选择。

本发明充分利用边缘侧计算设备的计算能力，采用层次分析方法ahp（analytichierarchyprocess）、机器学习算法等对边缘计算侧的安全接入策略进行选择，实现边缘计算系统安全性能的最大优化。

本发明的有益效果是：

(1)通过量化的客观标准进行边缘计算侧终端安全接入策略选择，实现边缘计算系统安全性能的最大优化。

(2)通过边缘侧计算设备安全策略与终端或数据应用的风险的量化关系可以实现安全性能、复杂度的综合评估，实现满足安全需求下的资源最节约。

附图说明

图1为边缘侧计算设备安全策略与终端或数据应用的风险关系示意图；

图2为包含隐含层的bp神经网络结构。

具体实施方式

下面结合bp神经网络的方法进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下描述。

边缘计算系统包括边缘侧计算设备与终端，边缘侧计算设备与终端的连接为无线连接或有线连接。终端或数据应用的可能的遇到的安全风险包括:权限攻击、数据存储和加密攻击、漏洞威胁和远程控制等，边缘侧计算设备从系统风险、破坏力、脆弱性，这三个维度对终端或数据应用面临的风险进行量化，根据安全策略对终端或数据应用的风险进行应对，如图1所示。边缘侧计算设备采用的安全策略方法与安全策略数量可根据网络系统的需求设定。

根据边缘计算系统下终端和数据应用需求及面临的安全风险进行量化值以及等级划分，如表1所示：

表1

从系统风险、破坏力、脆弱性，这三个维度对终端或数据应用面临的风险进行量化，如式（1）所示，每种威胁的安全风险量化值可以由经验值、专家评定等方法确定。

s1.在有s种威胁的情况下，边缘侧计算设备设置终端或数据应用的安全风险评价矩阵：

（1）

若t=1,2,3，并且v=1,2,…,s，其中，at^v是某终端或数据应用第v项安全攻击所面临的安全风险的第t维度的量化值，按表1确定。

s2.边缘侧计算设备计算得到在k个终端和数据应用中第i个终端或数据应用的安全风险量化值：

（2）

其中，；

s3.设置边缘侧计算设备有p种安全策略，将边缘侧计算设备针对第v种安全风险（v=1,2,…,s）采用第j种安全策略（j=1,2,…,p）的影响因子bj^v作为安全策略评价矩阵中对应元素，安全策略评价矩阵为：

（3）

s4.共p种安全策略对第i个终端或数据应用的安全保护量化值为：

（4）

其中zⁱj为第j种安全策略对第i个终端或数据应用的安全保护量化值。

s5.边缘侧计算设备每次可以从p种安全策略中选取多种安全策略对终端进行保护，根据各安全策略的复杂度，采用bp神经网络方法按式（4）的量化值进行选择：

s5.1边缘侧计算设备根据数据集的数量确定终端数量k，安全策略种类数p，安全策略标签表示为yⁱj(i=1,2,…,k，j=1,2,…,p)，每一个安全策略标签唯一表示一种安全策略，yⁱj即为针对第i台终端采用第j种安全策略标签，将（4）中的k个安全保护量化值与安全策略标签yⁱj组合成数据集d：

（5）

其中，；；

s5.2划分数据集d，取数据集d的前m项为训练集tx，后n项为测试集che，k=m+n。即训练集tx={(z¹,y¹),(z²,y²),…,(z^m,y^m)}^t，占数据集的比例为m/(m+n)*100%，测试集che={(z^m+1,y^m+1),(z^m+2,y^m+2),…,(z^m+n,y^m+n)}^t，占数据集的比例为n/(m+n)*100%。

s5.3确定bp神经网络结构，如图2所示。使用训练集tx对bp神经网络进行训练。bp神经网络包括输入层的n1个节点、隐含层的n2个节点、输出层的n3个节点；n1<m*p，n3<p；n1与n3具体的取值与系统中设备资源以及具体的神经网络类型有关，没有确定的大小关系；n2在n1与n3之间；将从训练集tx中选择n1个数据对作为训练数据(x1,x2,…,xn1)输入至输入层，经过隐藏层提取出特征数据(x’1,x’2,…,x’n2)，再通过输出层得到结果(x”1,x”2,…,x”n3)，最后全连接层利用结果(x”1,x”2,…,x”n3)与从训练集中选择n3个数据对(t1,t2,…,tn3)计算得到的损失(∆1,∆2,…,∆n3)反向传回网络中输入层、隐含层以及输出层的节点，其中t1,t2,…,tn3为随机取自训练集tx的n3个数据。

s5.4训练完成后，将测试集che={(z^m+1,y^m+1),(z^m+2,y^m+2),…,(z^m+n,y^m+n)}^t输入bp神经网络中，从输出层输出结果中即可得到输出的安全策略标签，从而得到对应安全策略。