面向锚点网络的断层扫描方法

本发明属于网络安全，进一步涉及一种网络断层扫描技术，可用于对元宇宙空间中多维数据的均衡采集，实现对锚点网络入侵行为的检测与告警。

背景技术：

1、元宇宙是一种具有持续性的、多用户的、共享的3d虚拟场景的组合，这些虚拟空间与物理世界相互交织，由物理引擎和虚拟现实技术支撑构建。用户以虚拟形象进入元宇宙，虚拟形象间可以彼此交互，也可与元世界中的事物进行多元化的互动。元宇宙是一个由用户控制的虚拟形象、数字事物、虚拟环境以及其他计算机生成的要素构成的世界。人们可以利用虚拟身份进行交流、协作等社交活动。元宇宙形成的本质是一种“三元实体”的融合对接，即物理世界、网络空间和虚拟世界。

2、元宇宙的网络架构和传统网络架构存在根本性的差异。元宇宙中包含大量的现实世界和虚拟世界间的信息交换，其中包括从现实世界捕获的感官数据传输至虚拟世界的过程，也包括虚拟世界将元宇宙中物体、环境特征以感知反馈的形式物理响应的过程。

3、元宇宙网络由如下三部分构成：以虚拟现实设施等物理基础设备为核心的传感器层、涵盖多元化的虚拟场景的元宇宙应用层、连接上述两层实现虚拟世界与现实世界交互融合的锚点网络层。

4、传感器层是由ar/vr设备以及体感装置等传感器设备构成的物理层级。传感器层为元宇宙提供支持基础设施(包括传感/控制、通信、计算和存储基础设施)支持多感官数据感知、传输、处理、缓存和物理控制，从而实现数字世界和人类世界的高效互动。普遍存在的智能物体、传感器和致动器构成了传感/控制基础设施，以实现全方位和多模态来自环境和人体的数据感知、高精度设备控制。

5、应用层是元宇宙环境中提供用户vr/ar应用程序服务接口的赛博层级。用户在元宇宙应用场景中的社会互动构成了虚拟世界。用户通过配备智能可穿戴设备，控制自己在元宇宙应用程序中的虚拟化身进行办公、社交、娱乐、商业交易等社会活动，并与元宇宙中其他用户的化身和虚拟实体进行交互。

6、锚点网络层则是链接应用层和传感器层，实现物理空间与赛博空间的数据交互的网络层级。锚点网络层的北向接口面向虚拟世界中元宇宙服务的相关数据，南向接口则面向现实世界中基础传感器设施的信息物理融合。锚点网络层承载着现实世界与数字世界的通信任务，是元宇宙网络三层架构中的信息枢纽。因此，针对锚点网络层的攻击行为往往会造成元宇宙网络中较为严重的数据泄露和服务瘫痪。

7、现阶段新型的网络攻击的规模一直在迅速增长，攻击的趋势是采用越来越复杂的攻击策略和多样化的入侵技术。由于元宇宙集成了计算机领域的各种最新技术和系统，它们的脆弱性和内在缺陷也可能被元宇宙所继承，同时，在元宇宙世界将不可避免地大量收集用户的脑电波数据、面部表情、眼球运动、手部运动、语音和生物特征，以及周围环境信息，因此存在着难以预估的安全漏洞与隐私问题。综上所述，未来必将存在具有针对性的多阶段高级持续性威胁，这就意味着检测任务将比以往任何时候都更具挑战性。

8、ting he等人在其发表论文robust monitor placement for networktomography in dynamic networks(proc.35th annu.ieee int.conf.comput.commun,2016,pp.1–9)中提出了一种断层扫描方案，该方案通过在目标网络拓扑中构建测量路径对的方式，实现链路性能指标的测量，以克服先前测量方案中链路聚合结果不可信的缺陷。但这种方案在面临恶意自治系统、路由器后门感染、节点捕获攻击的情况下，其测量结果与真实情况仍存在一定差距。此外，在当前元宇宙网络环境越来越复杂的背景下，这种断层扫描方案在数据收集效率与实用性上的缺陷越来越明显，不再适用于元宇宙的网络架构。

9、瑞典爱立信有限公司在其申请号为cn201480083980.4的专利文献中公开一种“网络断层扫描的方法和装置”，其使用网络断层扫描监视网络性能、获得目标网络的拓扑结构及计算监视网络中的多条路径。该方法的实现步骤是，第一步：命令所计算的路径的源节点向所计算的路径的目的地节点发送探测分组，其中所述探测分组在所述网络中经历分段路由；第二步：命令所计算的路径的目的地节点基于由目的地节点接收的探测分组来实行网络性能测量；第三步：从目的地节点接收性能测量数据，使用网络断层扫描推断关于网络中的节点的性能的信息。这种方式由于没有考虑在复杂网络架构下的信息收集效率，鲁棒性较差，因而导致其测量结果易受到网络状态波动的影响和攻击方的恶意干扰，难以应对元宇宙网络中赛博世界与真实世界间海量的数据交互，无法实现元宇宙网络架构下的网络安全状态分析。

技术实现思路

1、本发明的目的是针对上述的传统网络断层扫描技术的不足，提出一种面向锚点网络的断层扫描方法，以高效地收集元宇宙中的多维数据，提高元宇宙网络下对网络监听、信息窃取的攻击抵御能力，实现元宇宙网络空间中的信息收集和安全状态分析，提高鲁棒性。

2、实现本发明目的的具体思路是：通过收集与分析传统网络中的cti威胁情报、定义元宇宙空间下的实体和关系，以规范的文法格式构建面向元宇宙网络的威胁情报数据集，扩充先验防御知识；通过构建元宇宙网络中的入侵检测规则集，设计针对于元宇宙的入侵检测系统“meta-ids”，实现面向锚点网络层的安全预警；通过采集传感器设备的流量数据并进行流量特征的提取与分析，为元宇宙网络空间中的设备识别和设备安全状态判定工作提供完备的数据支撑。

3、根据上述思路，本发明的技术方案包括以下步骤：

4、(1)搭建元宇宙网络环境：

5、(1a)启动元宇宙传感器设备，通过镜像端口的方式，对不同的传感器设备的流量数据进行均衡采集，过滤出每个设备的目标流，其包括域名解析流dns、简单

6、服务发现流ssdp及进入设备的其他本地流量；

7、(1b)开启会话，向元宇宙服务器发出访问申请，完成应用初始化，以实现后

8、续对于锚点的操作；

9、(1c)会话开启后，在用户活动空间中的特定位置上收集环境数据，并以点云的形式获知周围的环境特征，实现对锚点的位置标定；

10、(1d)标定完成后，每个锚点会在其周围部署一个功能面板和安全数据面板，该功能面板用于控制锚点关联的虚拟现实场景相关操作，该安全数据面板用于对操

11、作过程中的数据进行展示；

12、(1e)通过触发锚点功能面板，用户进入锚点连接的虚拟现实场景，通过手势

13、操作、语音指令与上述虚拟现实场景进行交互；

14、(1f)共享锚点的用户通过触发“锚点功能面板”上的“共享锚点”功能,以实现对锚点数据的发布，获取锚点的用户在云端下载锚点数据，并在相同的空间位置上生成锚点，实现同一个虚拟现实场景的多用户共同操作；

15、(2)启动元宇宙监测系统：

16、(2a)通过触发锚点功能面板上的“锚点数据提取”按键，实现每个锚点的属性信息和用户的日志记录的云端存储，即生成锚点属性数据和锚点日志文件；

17、(2b)通过先后触发某一锚点功能面板上的“建立连接”选项和另一锚点的“接受连接”选项，对需要场景互动的两个锚点建立“关联关系”，实现这两个锚点间的数据互通；

18、(2c)基于上述的锚点属性信息字段生成锚点网络拓扑，将多维的锚点数据及

19、其关联关系以图的形式展现出来，呈现直观的元宇宙网络锚点空间布局；

20、(2d)通过触发锚点功能面板上的“锚点安全数据展示”选项，读取现有的锚点文件中的信息，将其显示在场景内的安全数据面板上，以进行文件审阅；

21、(2e)构建元宇宙入侵检测规则集，通过触发锚点功能面板上的“启动meta-ids”功能，系统将循环扫描上述的锚点属性文件和锚点日志文件，若发现异常字段，则将此次触发的相应规则、涉及到的锚点信息、时间信息写入告警文件；

22、(3)整合断层扫描结果：

23、(3a)在元宇宙监测系统运行过程中，使用网络爬虫技术批量获取cti情报网站的威胁情报数据，对收集到的信息进行自定义格式的过滤，依据过滤后的情报数据以规范的文法格式构造元宇宙威胁情报数据集，即元宇宙应用层的扫描结果；

24、(3b)结束对元宇宙传感设备的流量采集，对收集到的流量数据进行预处理，即在多个时间尺度下统计每个流的“平均数据包大小”和“平均字节传输速率”这

25、两个关键属性，得到元宇宙传感器层扫描结果；

26、(3c)从元宇宙传感器的云平台中导出上述保存的“锚点属性文件”、“锚点

27、日志记录”、“告警文件”，对其合并整理后得到锚点网络层扫描结果；

28、(3d)使用锚点功能面板上的“清除锚点”完成对该网络锚点相关数据的清理，

29、结束会话，关闭传感器设备，完成断层扫描工作。

30、本发明与现有技术相比具有如下优点：

31、1.信息收集效率高，威胁预警能力强。

32、现阶段，元宇宙领域还未提出成体系、成规模、具有针对性的入侵检测系统。

33、本发明提出的元宇宙入侵检测方案能够可靠地收集元宇宙三层网络数据，具备支撑网络透明化表征工作的高适用性的数据预处理功能，提高了元宇宙网络的信息收集效率和威胁预警能力。

34、2.提高了检测模型的可优化性。

35、现阶段的网络攻击预防工作中，很少考虑利用cti威胁情报，这实际上是对实时性的专业知识的浪费。

36、本发明通过采集并处理cti网络威胁情报，实现较短时间内的元宇宙网络安全状态评估，以对现有的入侵检测模型进行调整，丰富了现有的元宇宙网络防御先验知识；由于网络威胁情报数据的实时性，检测模型能够持续进行优化完善。

37、3.流量数据处理的鲁棒性强。

38、现有的流量采集工作中很少涉及到针对vr/ar设备的特征提取和数据处理的任务。

39、本发明实现了针对元宇宙传感设备的流量采集和流量特征提取，能够支持后续对于传感设备安全状态的检测工作，提高了传感器设备流量数据处理的鲁棒性。