基于边边协同的边缘节点网络安全威胁监测方法与流程

本发明涉及一种基于边边协同的边缘节点网络安全威胁监测方法，属于网络安全。

背景技术：

1、边缘计算是云计算能力从中心到边缘的一次下沉，通常被称为“用户的最后一公里”。边缘计算使得大量实时交互的计算在边缘节点完成，将大大提升处理效率，减轻云端的工作负荷。当前，智慧城市、智能家居、车联网等物联网应用的落地都离不开边缘计算。然而，大量的设备从不同位置接入网络将极大地增加网络的攻击概率，它在带来新的发展机遇的同时，也面临着各种各样的安全问题，比如物理攻击、端口攻击、恶意流量攻击、apt攻击等。

2、边缘节点南向连接的终端物联网设备通常具有移动性和实时性等特点，因此，边缘安全是边缘计算的重要保障。若不能及时研判和处理边缘节点监测出的安全威胁信息，比如，节点网络遭受ddos攻击导致无法正常工作，比如在自动驾驶场景下，很可能造成车毁人亡甚至更加严峻的公共安全问题。

技术实现思路

1、本发明基于上述存在的问题，提供一种基于边边协同的边缘节点网络安全威胁监测方法。

2、本发明采用了以下技术方法：

3、基于边边协同的边缘节点网络安全威胁监测方法，包括边缘核心层和云核心层；边缘核心层和云核心层相互通信；

4、边缘核心层，包括边缘核心节点；边缘核心节点北向连接云平台，南向连接终端物联网设备并采集终端的数据；边缘核心节点部署有监测单元和海量边缘设备；监测单元获取本边缘核心节点的网络安全威胁信息，包括硬件安全监测模块、异常行为监测模块、节点漏洞监测模块和数据安全监测模块；每个边缘核心节点与相邻的边缘核心节点互为协同核心节点；每个边缘核心节点的监测单元与协同核心节点的监测单元信号连接；

5、所述云核心层，包括云平台；云平台部署有云监测中心；云监测中心部署有威胁库和紧急威胁研判中心；威胁库包括分钟库、小时库、日库和周库；监测单元北向连接云监测中心；

6、所述边缘监测单元获取边缘核心节点和协同核心节点的网络安全威胁告警信息，将该信息上报云监测中心，实现边边协同的网络安全威胁监测与信息上报。

7、作为优选的，协同核心节点的确定方法如下：对于每个边缘核心节点，设定邻域阈值t，在此邻域内选定至少两个边缘核心节点，每个边缘核心节点向它们发送若干个响应数据包，将平均响应速度最快的边缘核心节点确定为协同核心节点。每个边缘核心节点依次按照上述方式进行配对，除首、尾节点外，其余节点均有两个协同核心节点。

8、基于边边协同的边缘节点网络安全威胁监测方法，包括以下步骤：

9、s1：从首个边缘核心节点开始，匹配和它响应速度最快的边缘核心节点，称为协同核心节点，然后此协同核心节点再匹配和它响应速度最快的边缘核心节点，直到最后一个核心节点与其协同核心节点匹配成功为止；

10、s2：边缘核心节点的监测单元，与协同核心节点的监测单元进行通信认证，发送获取协同核心节点的网络安全威胁信息的请求；协同核心节点的监测单元收到该请求后，周期性地将其所在节点的网络安全威胁信息发送给请求方；若双方通信中断，进入步骤s3，否则进入步骤s6；

11、s3：进入重认证握手模式，若三次认证握手失败，进入步骤s4，否则进入步骤s5；

12、s4：上报协同节点故障信息至云监测中心；

13、s5：若认证成功，双方继续获取对方的安全威胁信息；

14、s6：所有边缘核心节点将所监测和收集的安全威胁信息上报云监测中心；

15、s7：云监测中心对上报信息与最近接收的数据进行对比，对上报信息的冗余性进行判定；

16、s8：根据步骤s7的比对结果，如果该条信息为冗余上报信息，删除这条冗余信息，并将未删除的信息的“告警频次”加1，否则进入步骤s9；

17、s9：云监测中心使用机器学习方法来快速预测这条监测信息紧急程度的类别；机器学习算法采用贝叶斯网络分类器；监测信息的紧急程度分为特急、紧急、常规；

18、s10：将确认了紧急程度的监测信息同步至威胁紧急研判中心，并向用户发送监测结果告警信息，依次按特急、紧急、常规的顺序进行排序展示；

19、s11：边缘核心节点的一次网络安全监测执行完毕，进入下一个监测周期。

20、步骤s1中协同核心节点确定方法如下：对于每个边缘核心节点，设定邻域阈值t，在此邻域内选定至少两个边缘核心节点，每个边缘核心节点向它们发送若干个响应数据包，将平均响应速度最快的边缘核心节点确定为协同核心节点。每个边缘核心节点依次按照上述方式进行配对，除首、尾节点外，其余节点均有两个协同核心节点。

21、步骤s2中，每个监测和收集的网络安全威胁信息字段，包括节点唯一标识码、监测单元告警时间、告警频次、发送方唯一标识码、威胁信息具体内容；

22、所述节点唯一标识码，用于识别上报信息的边缘核心节点，可以自定义；

23、所述监测单元告警时间，即监测单元发现安全威胁信息产生告警信息的时间；

24、所述告警频次，即监测单元对信息的告警频次初始化为1，当云监测中心检测到信息冗余时，会在该字段中累加频次；

25、所述发送方的唯一标识码，用于识别上报信息的发送方，可以自定义；

26、所述威胁信息具体内容，用于表示监测出的具体网络安全威胁信息；

27、所述快速预测安全威胁信息紧急程度类别的机器学习方法，还包括以下步骤：

28、l1：边缘核心节点的监测单元，对本边缘核心节点进行实时监测，并对监测出的安全威胁信息进行记录，发送至云监测中心；

29、l2：云监测中心收集汇总各个边缘核心节点的监测信息，生成训练集和测试集；

30、l3：将云监测中心的训练数据集进行预处理，按照紧急程度打标签分类；

31、l4：通过机器学习算法贝叶斯网络对云监测中心的训练数据集进行学习并用测试集来测试模型的准确率。

32、作为优选的，步骤s6中，云监测中心对上报信息的冗余性判定步骤如下：

33、p1：威胁库按时间划分，定义分钟库数据集m＝{m1，m2,…mm}，m是当前分钟库信息的条数，ms表示第s条信息，1≤s≤m，分钟库每分钟更新一次；时库数据集h＝{h1，h2,…hh}，h是当前时库信息的条数，hs表示第s条信息，1≤s≤h，时库每小时更新一次；日库数据集d＝{d1，d2,…dd}，d是当前日库信息的条数，ds表示第s条信息，1≤s≤d，日库每日更新一次；周库数据集w＝{w1，w2,…ww}，w是当前周库信息的条数，ws表示第s条信息，1≤s≤w，周库每周更新一次；

34、p2：在威胁库中的分钟库中，将此信息和其他现存的信息进行匹配，若匹配失败，进入步骤p3，否则进入步骤s8；

35、p3：在威胁库中的时库中，将此信息和其他现存的信息进行匹配，若匹配失败，进入步骤p4，否则进入步骤s8；

36、p4：在威胁库中的日库中，将此信息和其他现存的信息进行匹配，若匹配失败，进入步骤p5，否则进入步骤s8；

37、p5：在威胁库中的周库中，将此信息和其他现存的信息进行匹配，若匹配失败，进入步骤s9，否则进入步骤s8。

38、进一步，匹配方法如下：

39、m1：比较当前信息与当前威胁库中的所有信息，查看威胁信息具体内容、节点唯一识别码、监测单元告警时间中的年、月是否一致，若一致，进入步骤m2，否则进入步骤s9；

40、m2：比较发送方是否一致，若不一致，进入步骤m3，否则进入步骤s8；

41、m3：将该条信息丢弃。

42、与现有的方法相比，本发明具有的优势在于：

43、1，每个边缘核心节点在邻域内寻找响应速度最快的边缘核心节点为协同核心节点，除首、尾节点外，其余边缘核心节点均有两个邻居，这样的拓扑结构将所有边缘核心节点连成了一条线，既保证了协同监测，同时也能避免节点与节点之间通信连接过多而引发更多的安全问题。

44、2，为了更快速地判定上报信息是否冗余，在云监测中心设立威胁库，每条监测信息依次在分钟库、时库、日库、周库中进行匹配，一般地，若为冗余信息，该信息在分钟库匹配成功的概率很大，又因为分钟库所包含的信息条目数量最少，因此大大降低了查找的时间复杂度。

45、3，为了更快速研判安全威胁信息的紧急程度，并实时向用户展示，在云监测中心设立紧急威胁研判中心，通过机器学习方法来预测每条监测信息的紧急程度，并将特急信息优先向用户展示，保证用户可以最先处理紧急安全事件。