一种多层异构网络协同的网络安全态势感知方法与流程

1.本发明涉及网络安全态势感知技术领域，具体涉及一种多层异构网络协同的网络安全态势感知方法。


背景技术：

2.随着5g、物联网、工业互联网等新型网络技术的发展，网络空间不再是单一的体系结构，而是由各类异构网络构成（如传统互联网、传感网络、工业控制网络等），接入设备繁杂多样，跨越云、边、端多个层级。其中，一些类型的网络结构和设备在设计时并未考虑安全因素，存在重大隐患，逐渐成为网络攻击者的主要目标，面临严峻的网络安全形式。
3.新型网络结构的多异构网互联、跨越多层的特点，以及网络攻击手段复杂化、隐蔽化和分布式的发展趋势,给网络安全态势感知带来新的挑战。网络安全态势感知主要包括对已发生攻击的检测和对未发生攻击的预测等任务。因边、端计算资源有限，现有的分析方法主要通过将网络全域数据汇集到云端使用深度学习和大数据挖掘的方法对整个网络环境的安全态势进行分析。这种方式的缺点在于：（1）大量流量、日志行为数据需要被上传到云端，占用带宽资源大；（2）数据汇集后才能进行分析，此时边、端网络可能已被攻击者破坏或控制，因而实时性差；（3）在云端分析时，单个边、端设备的细微异常容易被淹没在海量数据中，分析粒度粗。


技术实现要素：

4.本发明为了克服以上技术的不足，提供了一种充分利用了多层异构网络各层级设备的计算资源、降低了带宽占用、提升了实时性，细化了分析粒度的多层异构网络协同的网络安全态势感知方法。
5.本发明克服其技术问题所采用的技术方案是：一种多层异构网络协同的网络安全态势感知方法，包括如下步骤：(a)将网络安全态势感知值守代理部署在多层异构网络全域各个类型设备上，网络安全态势感知值守代理收集设备状态参数；(b)将网络安全态势感知值守代理收集的各个设备的状态参数传递至云端态势感知总控制器，云端态势感知总控制器根据状态参数中的网络信息建立多层异构网络全局设备拓扑的构造图，其中为多层异构网络全域中设备的集合，，为第个设备，，为多层异构网络全域中设备的总数，为边的集合，， 第个设备和第个设备之间存在通信链路，则第个设备和第个设备构成边，为边的权重矩阵，，为第个设备和第个设备之间的通信延迟值；
(c)根据设备运行操作系统和硬件组成体系结构是否相同将多层异构网络全域各个设备分为个类型，形成类型集合，，为第个类型，针对类型的所有设备，构建威胁检测模型；(d)针对多层异构网络全域的每一台设备，计算使用对应的威胁检测模型进行安全分析所需的计算代价；(e)云端态势感知总控制器调度网络安全态势感知值守代理协同进行全域安全态势感知，进行设备风险指数全域协同计算，各网络安全态势感知值守代理将风险指数发送至云端态势感知总控制器；(f) 网络安全态势感知值守代理根据预设的更新周期定时更新设备状态参数，并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域中设备的集合。
6.进一步的，步骤(a)中网络安全态势感知值守代理收集的设备状态参数包括：处理器信息、动态存储信息、静态存储信息、文件系统信息、网络信息；所述处理器信息包括：处理器峰值能力值、处理器当前负载值、处理器负载峰值；所述动态存储信息包括：动态存储器容量大小值、动态存储器当前占用量、动态存储器占用量峰值；所述静态存储信息包括：静态存储器容量大小值、静态存储器当前占用量；所述文件系统信息包括：文件数量、文件路径深度值；所述网络信息包括：平均每小时网络通信量、网络通信量峰值、在多层异构网络内有相互通信的其它设备到达该设备的延迟值。
7.进一步的，还包括在步骤(b)之后云端态势感知总控制器构建全域设备信息库，所述全域设备信息库由包含设备信息描述对象的哈希表构成，所述哈希表中的每一个单元为一个设备信息描述对象，该设备信息描述对象描述了多层异构网络中一台设备的信息，设备信息描述对象中设有一个将哈希表中的当前设备指向连接设备链表的指针，该设备链表中设有若干结点，各个节点用于存储与哈希表中的当前设备之间存在通信链路的所有设备，设备链表中的每一个结点包含两个域，第一个域存用于记录设备的id，第二个域用于记录哈希表中的当前设备到设备链表中对应的该设备的通信延迟。
8.进一步的，上述设备信息描述对象描述的多层异构网络中一台设备的信息包括：设备id的哈希值、设备型号、设备所处层级、设备型号信息、设备放置的物理位置、设备属性信息、设备由网络安全态势感知值守代理采集的状态参数、设备的风险指数。
9.进一步的，步骤(c)中威胁检测模型为基于密度聚类的异常检测算法或基于自动编码器的异常检测模型，威胁检测模型构建完成后使用知识蒸馏法对威胁检测模型进行轻量化操作。
10.进一步的，步骤(d)包括如下步骤：(d-1)第个设备的设备类型所对应的威胁检测模型为，根据威胁检测
模型的参数规模、算法语句执行次数以及第个设备中待检测数据量，使用威胁检测模型对第个设备进行威胁检测所需的代价，所述代价包括处理器的负载量和动态内存占用量；(d-2)检查多层异构网络全域设备集合中每一台设备，令为第个设备的处理器信息峰值能力值，令为第个设备的处理器当前负载值，令为第个设备的处理器负载峰值，令为第个设备的动态存储器容量大小值，令为第个设备的动态存储器当前占用量，令为第个设备的动态存储器占用量峰值；(d-3)如果且则执行步骤(d-4)，如果或则执行步骤(d-5)；(d-4)在当前第个设备本地执行威胁检测任务，第个设备的网络安全态势感知值守代理更新其状态参数并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域设备集合中第个设备的信息，使第个设备的处理器当前负载值更新为，使第个设备的动态存储器当前占用量更新为，，；(d-5)在多层异构网络全域设备集合中找到所有与第个设备之间存在通信链路的个设备，形成设备集合，将个设备按与第个设备的通信延迟由小到大加入优先队列，，其中为第个设备；(d-6)从优先队列中取出队首设备， ，队首设备的处理器信息峰值能力值为，队首设备的处理器负载峰值为，队首设备的处理器当前负载值为，队首设备的处理器的负载量为，队首设备的动态存储器容量大小值为，队首设备的动态存储器占用量峰值为，队首设备的动态存储器当前占用量为，队首设备的动态内存占用量为；
(d-7)如果且时执行步骤d-8)，设备为第个设备的威胁检测任务执行设备，如果或时，从优先队列中取出设备作为队首设备，并返回执行步骤(d-6)；(d-8)队首设备的网络安全态势感知值守代理更新其状态参数并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域设备集合中第个设备的信息，使第个设备的处理器当前负载值更新为，使第个设备的动态存储器当前占用量更新为，，；(d-9)重复执行步骤(d-1)至(d-8)直至多层异构网络全域设备集合中所有设备均找到威胁检测任务执行设备。
11.进一步的，还包括在步骤(d-9)之后将多层异构网络全域设备集合中的所有设备的威胁检测任务执行设备信息记录到态势感知任务分配表中，所述态势感知任务分配表的第一列记录多层异构网络全域设备集合中的设备的id，所述态势感知任务分配表的第二列记录对应的威胁检测任务执行设备的id。
12.进一步的，步骤(e)包括如下步骤：(e-1)第个设备的网络安全态势感知值守代理启动威胁检测任务；(e-2)判断威胁检测任务是否在第个设备本地执行，如果是，则由第个设备的网络安全态势感知值守代理执行威胁检测任务，如果否，第个设备的威胁检测任务由第个设备执行，则执行步骤(e-3)；(e-3)第个设备的网络安全态势感知值守代理与第个设备的网络安全态势感知值守代理进行通信，将威胁检测所需的数据发送到第个设备并接收检测结果；(e-4)多层异构网络全域中各设备利用威胁模型执行威胁检测，计算设备风险指数，第个设备的风险指数为，设备集合中各设备利用威胁模型执行威胁检测，计算设备风险指数，设备集合中第个设备的风险指数为；(e-5)第个设备的网络安全态势感知值守代理与设备集合中第个设
备的网络安全态势感知值守代理建立网络连接，第个设备的网络安全态势感知值守代理获取第个设备的风险指数并保存；(e-6)通过公式计算得到第轮迭代后的风险指数，当等于1时，，，式中为平衡因子，为防止风险指数为0的平滑项，为设备的权重，为与第个设备之间存在通信链路的设备的集合，为集合中设备的个数；(e-7)检查多层异构网络全域内设备的风险指数在此次迭代是否有更新，如果没有更新则停止迭代，如果有更新，则执行步骤(e-8)；(e-8)判断迭代次数是否达到预设的最大值，如果是则停止迭代，如果否则返回执行步骤(e-6)；(e-9)各网络安全态势感知值守代理将风险指数发送至云端态势感知总控制器，云端态势感知总控制器在全域设备集合中进行记录和存储。
13.进一步的，步骤(e-4)中威胁模型为基于密度聚类的异常检测算法，通过公式计算得到第个设备的风险指数，式中为第个设备产生的包含设备日志和网络流量的数据中的异常点集合，为异常点集合中第个异常点，为距离异常点最近的高密度聚簇，为异常点间的欧式距离算法，通过公式计算得到个设备的风险指数，式中为第个设备产生的包含设备日志和网络流量的数据中的异常点集合，为异常点集合中第个异常点，为距离异常点最近的高密度聚簇。
14.优选的，步骤(e-6)中云层的设备权重取值为1，边缘层的设备权重取值为0.6，终端设备权重取值为0.3，步骤(e-8)中预设的最大值为200。
15.本发明的有益效果是：能够将网络安全态势感知任务分解并分散到异构网络各层级设备上执行，即轻量、实时性要求高的任务在边、端执行，复杂任务在云上执行，任务间通过传递参数交互和协同，最终生成全局态势感知结果。本发明提供的方式充分利用了多层异构网络各层级设备的计算资源、降低了带宽占用、提升了实时性，细化了分析粒度。
附图说明
16.图1为本发明的方法流程图；图2为本发明的全域设备信息库数据结构示意图；图3为本发明的态势感知任务分配表；图4为本发明的威胁检测任务自适应分配流程示意图；图5为本发明的设备风险指数计算与更新流程示意图；图6为本发明的多层异构网络安全态势感知系统图。
具体实施方式
17.下面结合附图1至附图6对本发明做进一步说明。
18.如附图1和附图6所示，一种多层异构网络协同的网络安全态势感知方法，包括如下步骤：(a)将网络安全态势感知值守代理部署在多层异构网络全域各个类型设备上，网络安全态势感知值守代理收集设备状态参数。
19.(b)将网络安全态势感知值守代理收集的各个设备的状态参数传递至云端态势感知总控制器，云端态势感知总控制器根据状态参数中的网络信息建立多层异构网络全局设备拓扑的构造图，其中为多层异构网络全域中设备的集合，，为第个设备，，为多层异构网络全域中设备的总数，为边的集合，， 第个设备和第个设备之间存在通信链路，则第个设备和第个设备构成边，为边的权重矩阵，，为第个设备和第个设备之间的通信延迟值。云端态势感知总控制器进一步构建全域设备信息库。
20.(c)根据设备运行操作系统和硬件组成体系结构是否相同将多层异构网络全域各个设备分为个类型，形成类型集合，，为第个类型，针对类型的所有设备，构建威胁检测模型。
21.(d)针对多层异构网络全域的每一台设备，计算使用对应的威胁检测模型进行安全分析所需的计算代价。
22.(e)云端态势感知总控制器调度网络安全态势感知值守代理协同进行全域安全态势感知，进行设备风险指数全域协同计算，各网络安全态势感知值守代理将风险指数发送至云端态势感知总控制器。
23.(f)网络安全态势感知值守代理根据预设的更新周期定时更新设备状态参数，并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域中设备的集合。
24.在整个网络安全态势感知任务中，仅有设备状态参数信息、轻量化威胁检测模型
在云和边、端设备间传递，少量设备运行数据仅在当前设备无法执行威胁检测任务时在通信最优的设备间传递，与现有技术需要将大量流量、日志行为数据上传到云端的方式相比，带宽资源占用大幅降低。其次，大部分设备在本地完成威胁检测任务，少量能力不足的设备其检测任务在通信最优且空余资源充足的相连设备上进行，与现有技术相比实时性更好，单个设备的细微异常能够被及时检测，感知粒度更细，且充分利用了各层设备的计算资源。
25.具体的，步骤(a)中网络安全态势感知值守代理收集的设备状态参数包括：处理器信息、动态存储信息、静态存储信息、文件系统信息、网络信息。
26.所述处理器信息包括：处理器峰值能力值、处理器当前负载值、处理器负载峰值。
27.所述动态存储信息包括：动态存储器容量大小值、动态存储器当前占用量、动态存储器占用量峰值。
28.所述静态存储信息包括：静态存储器容量大小值、静态存储器当前占用量。
29.所述文件系统信息包括：文件数量、文件路径深度值。
30.所述网络信息包括：平均每小时网络通信量、网络通信量峰值、在多层异构网络内有相互通信的其它设备到达该设备的延迟值。
31.具体的，如附图2所示，还包括在步骤(b)之后云端态势感知总控制器构建全域设备信息库，所述全域设备信息库由包含设备信息描述对象的哈希表构成，所述哈希表中的每一个单元为一个设备信息描述对象，该设备信息描述对象描述了多层异构网络中一台设备的信息，设备信息描述对象中设有一个将哈希表中的当前设备指向连接设备链表的指针，该设备链表中设有若干结点，各个节点用于存储与哈希表中的当前设备之间存在通信链路的所有设备，设备链表中的每一个结点包含两个域，第一个域存用于记录设备的id，第二个域用于记录哈希表中的当前设备到设备链表中对应的该设备的通信延迟。
32.进一步优选的，上述设备信息描述对象描述的多层异构网络中一台设备的信息包括：设备id的哈希值、设备型号、设备所处层级、设备型号信息、设备放置的物理位置、设备属性信息、设备由网络安全态势感知值守代理采集的状态参数、设备的风险指数。
33.进一步优选的，步骤(c)中威胁检测模型可以是现有的任意能够检测共计或异常的机器学习模型，例如为基于密度聚类的异常检测算法或基于自动编码器的异常检测模型，威胁检测模型构建完成后使用知识蒸馏法对威胁检测模型进行轻量化操作。
34.具体的，如附图4所示，步骤(d)包括如下步骤：(d-1)第个设备的设备类型所对应的威胁检测模型为，根据威胁检测模型的参数规模、算法语句执行次数以及第个设备中待检测数据量，使用威胁检测模型对第个设备进行威胁检测所需的代价，所述代价包括处理器的负载量和动态内存占用量。
35.(d-2)检查多层异构网络全域设备集合中每一台设备，令为第个设备的处理器信息峰值能力值，令为第个设备的处理器当前负载值，令为第个
设备的处理器负载峰值，令为第个设备的动态存储器容量大小值，令为第个设备的动态存储器当前占用量，令为第个设备的动态存储器占用量峰值。
36.(d-3)如果且则执行步骤(d-4)，如果或则执行步骤(d-5)。
37.(d-4)在当前第个设备本地执行威胁检测任务，第个设备的网络安全态势感知值守代理更新其状态参数并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域设备集合中第个设备的信息，使第个设备的处理器当前负载值更新为，使第个设备的动态存储器当前占用量更新为，，。
38.(d-5)在多层异构网络全域设备集合中找到所有与第个设备之间存在通信链路的个设备，形成设备集合，将个设备按与第个设备的通信延迟由小到大加入优先队列，，其中为第个设备。
39.(d-6)从优先队列中取出队首设备， ，队首设备的处理器信息峰值能力值为，队首设备的处理器负载峰值为，队首设备的处理器当前负载值为，队首设备的处理器的负载量为，队首设备的动态存储器容量大小值为，队首设备的动态存储器占用量峰值为，队首设备的动态存储器当前占用量为，队首设备的动态内存占用量为。
40.(d-7)如果且时执行步骤d-8)，设备为第个设备的威胁检测任务执行设备，如果或时，从优先
队列中取出设备作为队首设备，并返回执行步骤(d-6)。
41.(d-8)队首设备的网络安全态势感知值守代理更新其状态参数并发送至云端态势感知总控制器，云端态势感知总控制器更新多层异构网络全域设备集合中第个设备的信息，使第个设备的处理器当前负载值更新为，使第个设备的动态存储器当前占用量更新为，，。
42.(d-9)重复执行步骤(d-1)至(d-8)直至多层异构网络全域设备集合中所有设备均找到威胁检测任务执行设备。
43.具体的，如附图3所示，还包括在步骤(d-9)之后将多层异构网络全域设备集合中的所有设备的威胁检测任务执行设备信息记录到态势感知任务分配表中，所述态势感知任务分配表的第一列记录多层异构网络全域设备集合中的设备的id，所述态势感知任务分配表的第二列记录对应的威胁检测任务执行设备的id。例如，在示例表中，“设备1”的威胁检测任务执行设备为其自身，而“设备2”的威胁检测任务的执行设备为“设备5”。
44.具体的，如附图5所示，步骤(e)包括如下步骤：(e-1)第个设备的网络安全态势感知值守代理启动威胁检测任务。
45.(e-2)判断威胁检测任务是否在第个设备本地执行，如果是，则由第个设备的网络安全态势感知值守代理执行威胁检测任务，如果否，第个设备的威胁检测任务由第个设备执行，则执行步骤(e-3)。
46.(e-3)第个设备的网络安全态势感知值守代理与第个设备的网络安全态势感知值守代理进行通信，将威胁检测所需的数据发送到第个设备并接收检测结果。
47.(e-4)多层异构网络全域中各设备利用威胁模型执行威胁检测，计算设备风险指数，风险指数可采用不同方式计算，可由网络安全管理员根据具体适用的威胁检测算法预定义。第个设备的风险指数为，设备集合中各设备利用威胁模型执行威胁检测，计算设备风险指数，设备集合中第个设备的风险指数为。
48.(e-5)第个设备的网络安全态势感知值守代理与设备集合中第个设备的网络安全态势感知值守代理建立网络连接，第个设备的网络安全态势感知值
守代理获取第个设备的风险指数并保存。
49.(e-6)基于淋浴内设备风险越高，其自身风险也越高的原则，通过公式计算得到第轮迭代后的风险指数，当等于1时，，，式中为平衡因子，为防止风险指数为0的平滑项，为设备的权重，为与第个设备之间存在通信链路的设备的集合，为集合中设备的个数。
50.(e-7)检查多层异构网络全域内设备的风险指数在此次迭代是否有更新，如果没有更新则停止迭代，如果有更新，则执行步骤(e-8)。
51.(e-8)判断迭代次数是否达到预设的最大值，如果是则停止迭代，如果否则返回执行步骤(e-6)。
52.(e-9)各网络安全态势感知值守代理将风险指数发送至云端态势感知总控制器，云端态势感知总控制器在全域设备集合中进行记录和存储。
53.具体的，步骤(e-4)中威胁模型为基于密度聚类的异常检测算法，采用所有异常点距离最近的高密度聚簇的距离加和计算，通过公式计算得到第个设备的风险指数，式中为第个设备产生的包含设备日志和网络流量的数据中的异常点集合，为异常点集合中第个异常点，为距离异常点最近的高密度聚簇，为异常点间的欧式距离算法，通过公式计算得到个设备的风险指数，式中为第个设备产生的包含设备日志和网络流量的数据中的异常点集合，为异常点集合中第个异常点，为距离异常点最近的高密度聚簇。
54.优选的，根据设备所处的云、边、端层级设定，处于高层级的设备其权重高于低层级的设备，步骤(e-6)中云层的设备权重取值为1，边缘层的设备权重取值为0.6，终端设备权重取值为0.3，步骤(e-8)中预设的最大值为200。
55.最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的
保护范围之内。