CN110913357A - 一种基于安全态势感知的传感云双层网络防御系统及方法 - Google Patents

一种基于安全态势感知的传感云双层网络防御系统及方法 Download PDF

Info

Publication number
CN110913357A
CN110913357A CN201911104547.5A CN201911104547A CN110913357A CN 110913357 A CN110913357 A CN 110913357A CN 201911104547 A CN201911104547 A CN 201911104547A CN 110913357 A CN110913357 A CN 110913357A
Authority
CN
China
Prior art keywords
network
layer
sensing
virtual
wireless sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911104547.5A
Other languages
English (en)
Other versions
CN110913357B (zh
Inventor
王泽宏
刘建华
沈士根
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Shaoxing
Original Assignee
University of Shaoxing
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Shaoxing filed Critical University of Shaoxing
Priority to CN201911104547.5A priority Critical patent/CN110913357B/zh
Publication of CN110913357A publication Critical patent/CN110913357A/zh
Application granted granted Critical
Publication of CN110913357B publication Critical patent/CN110913357B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/38Services specially adapted for particular environments, situations or purposes for collecting sensor information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于安全态势感知的传感云双层网络防御系统及方法。所述系统包括多个用于捕获和转发异常消息的物理无线传感器网络入侵检测器、多个用于捕获和转发异常消息的虚拟传感服务网络入侵检测器、物理无线传感器网络安全态势感知器、虚拟传感服务网络安全态势感知器、以及双层安全态势感知器。所述方法包括以下步骤:在相应感知时间内,对所述传感云双层网络中的物理无线传感器网络层、和虚拟传感服务网络分别以及同时,捕获其异常消息传播的动态性并感知其安全态势,根据所述安全态势对其进行防御。本发明通过IDS协作检测异常消息并在双层网络中跟踪异常消息的动态变化趋势,从而感知双层网络的不确定性威胁的攻击态势。

Description

一种基于安全态势感知的传感云双层网络防御系统及方法
技术领域
本发明属于信息安全领域,更具体地,涉及一种基于安全态势感知的传感云双层网络防御系统及方法。
背景技术
传感云技术是一种新型的物联网设备集成管理技术,它在改进物联网高效的利用资源起到重要的作用,他已经广泛应用于车联网数据分发、农业物联网等领域。无传感器节点通过边缘计算节点和传感云中平台互联组成具有双层通信链路的传感云系统。在此系统中,承载计算业务的虚拟传感服务网络和具有动态拓扑的无线传感器网络容易受到信息-物理空间的双重攻击。部署在双层传感云网络中的入侵检测系统(IDS)对不确定的双重攻击必须进行协作性防御,才能有效降低系统的安全风险。
目前关于协作IDS防御机制的研究主要通过与邻居节点协作来检测恶意节点,N.Marchang等人利用周围节点投票的方式提出了一种恶意节点识别方法(Collaborativetechniques for intrusion detection in mobile ad-hoc networks.Ad Hoc Networks,2008,6(4):508-523.)。面对复杂的攻击,针对资源受限的场景,R.Jin考虑了执行IDS防御策略的配置成本,将协作IDS的配置问题形式化为随机博弈模型(Collaborative IDSConfiguration:A two-layer game-theoretic approach.IEEE Transactions onCognitive Communications and Networking,2018,4(4):803-815.)。针对资源受限的物联网设备,为了提高入侵检测的效率,J.Arshad等人利用资源受限的传感器节点和边缘节点的协作,提出了一种物联网协作IDS框架(COLIDE:a collaborative intrusiondetection framework for Internet ofThings.IET Networks,2019,8(1):3-14.)。针对基于云的物联网安全问题,T.G.Nguyen等人引入软件定义网络和机器学习的方法,提出了一种协作、智能的网安全架构(SeArch:A collaborative and intelligent NIDSarchitecture for SDN-based cloud IoT networks.IEEE Access,2019,7:107678-107694.)。为了克服传统的IDS孤立检测恶意行为所带来的检测准确性下降问题,Q.Zhu提出了协作检测的IDS架构,使用博弈论协调管理IDS的资源(GUIDEX:A game-theoreticincentive-based mechanism for intrusion detection networks.IEEE Journal onSelected Areas in Communications,2012,30(11):2220-2230.)。M.J.Farooq等人利用随机几何和流行病学理论,开发了一个集成框架来量化异构网络设备之间的可靠信息传播问题,使用该框架根据变化的通信需求重配网络(On the secure and reconfigurablemulti-layer network Design for critical information dissemination in theinternet of battlefield things(IoBT).IEEE Transactions on WirelessCommunications,2018,17(4):2618-2632.)。N.Poolsappasit等人研究了传感云中新的威胁并考虑了安全预部署、安全预处理、安全运行时的攻击以及物理传感器网络层与虚拟层之间的依赖关系将带来高的安全风险(Challenges in secure sensor-cloudcomputing.Berlin,Germany:Springer,2011,pp.70–84.)。
这些方法存在如下不足:
(1)由于传感云中的虚拟传感服务网络具有分布式的结构,已提出的方法仅考虑单层的物理传感器网络层或双层之间的依赖关系,并没有把传感云的这种双层依赖关系应用到协作入侵检测中,并且也不能应对来自传感云双层网络中的协作攻击模式。因此,需要在传感云双层网络中分布式部署IDS并协作传递共享的异常消息来应对这种攻击方式。
(2)由于恶意节点为了隐藏自己的攻击意图,对传感云中受攻击节点及其所在的网络空间位置的选择随时间不断变化,导致入侵检测策略执行的不确定性,已有的研究主要集中在提高检测的准确率和IDS资源分配上,并没有考虑攻击者选择攻击节点和位置的不确定性。
(3)为了提高虚拟传感服务网络和物理传感器网络对安全威胁的感知能力和防御效能,IDS的防御策略需根据不同攻击程度下产生的异常消息的态势灵活地配置。已提出的方法主要集中在网络的重配上,未通过对IDS产生异常消息的变化来感知攻击态势并重配置IDS,提高不确性攻击态势的预测效率和资源约束条件下的IDS防御效能。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种基于安全态势感知的传感云双层网络防御系统和方法,其目的在于通过协作IDS产生异常消息的扩散态势捕获,对PV双层网络中异常消息驱动的安全态势进行跟踪感知,从而基于双阈值触发的IDS防御策略重配,由此解决现有技术不能应对来自传感双层网络中的协作攻击的技术问题。
为实现上述目的,按照本发明的一个方面,提供了一种基于安全态势感知的传感云双层网络防御系统,包括:
多个用于捕获和转发异常消息的物理无线传感器网络入侵检测器、多个用于捕获和转发异常消息的虚拟传感服务网络入侵检测器、物理无线传感器网络安全态势感知器、虚拟传感服务网络安全态势感知器、以及双层安全态势感知器;
所述物理无线传感器网络入侵检测器服从泊松过程的部署在物理无线传感器网络层的簇头节点上;所述虚拟传感服务网络入侵检测器服从泊松过程的部署在虚拟传感服务网络的虚拟机节点上;所述物理无线传感器网络安全态势感知器、虚拟传感服务网络安全态势感知器、以及双层安全态势感知器部署在所述传感云双层网络的控制节点上;
所述物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器通过边缘计算节点交换异常消息;所述物理无线传感器网络入侵检测器之间通过无线信道转发异常消息;所述虚拟传感服务网络入侵检测器之间通过虚拟连接转发异常消息。
优选地,所述传感云双层网络防御系统,其所述物理无线传感器网络入侵检测器其监控度分布与所述物理无线传感器网络层的簇头节点的度分布相同;所述虚拟传感服务网络入侵检测器其监控度分布与所述虚拟传感服务网络的簇头节点的度分布相同。
优选地,所述传感云双层网络防御系统,其所述物理无线传感器网络安全态势感知器,用于根据所述物理无线传感器网络入侵检测器报告的异常消息,感知物理无线传感器网络层的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器的防御策略。
优选地,所述传感云双层网络防御系统,其所述虚拟传感服务网络安全态势感知器,用于根据所述虚拟传感服务网络入侵检测器报告的异常消息,感知虚拟传感服务网络的安全态势,并根据安全态势感知结果配置虚拟传感服务网络入侵检测器的防御策略。
优选地,所述传感云双层网络防御系统,其所述双层安全态势感知器,用于根据:边缘计算节点报告的所述物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器之间交换的异常消息、无线信道转发的所述物理无线传感器网络入侵检测器之间协作交换的异常消息、以及虚拟连接转发的所述虚拟传感服务网络入侵检测器之间协作交换的异常消息,感知双层网络的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器的防御策略。
按照本发明的另一个方面,提供了一种基于安全态势感知的传感云双层网络防御方法,包括以下步骤:
在相应感知时间内,对所述传感云双层网络中的物理无线传感器网络层、和虚拟传感服务网络分别以及同时,捕获其异常消息传播的动态性并感知其安全态势,根据所述安全态势对其进行防御。
优选地,所述传感云双层网络防御方法,其采用流行病传播模型捕获其异常消息传播的动态性;进行平均动力场博弈分析感知其安全态势。
优选地,所述传感云双层网络防御方法,其在物理无线传感器网络层感知时间τ12内,对所述传感云双层网络中的物理无线传感器网络层,根据其异常消息传播的动态性感知安全态势,并根据所述安全态势对其进行防御;
所述物理无线传感器网络层感知时间τ12,按照以下方法计算:
Figure BDA0002270888340000051
其中,N1为P层网络的节点个数,k1是部署在簇头节点上的所述物理无线传感器网络入侵检测器监控的连接度,所述物理无线传感器网络入侵检测器监控的连接度分布为:
Figure BDA0002270888340000052
p1为PIDS开启监控策略的概率,PIDS部署的密度为
Figure BDA0002270888340000056
r1为PIDS的通信范围;所述物理无线传感器网络入侵检测器监控的连接平均度为<k1>=E(I1)=p1λ1πr1 2
Figure BDA0002270888340000053
Figure BDA0002270888340000054
表示P层网络中具有连接度为k1的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;
Figure BDA0002270888340000055
表示P层网络中具有连接度为k1的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
所述对所述传感云双层网络中的物理无线传感器网络层,根据其异常消息传播的动态性感知安全态势,并根据所述安全态势对其进行防御,具体包括以下步骤:
(P1)使用流行病扩散模型捕获所述物理无线传感器网络入侵检测器检测并估计到的物理无线传感器网络层产生异常的网络安全阈值ξa1,进入步骤(P2);所述物理无线传感器网络层产生异常的网络安全阈值为PIDS检测到的异常消息占所有消息的比例;
(P2)使用平均动力场博弈根据步骤(P1)获得的估计的物理无线传感器网络层产生异常的网络安全阈值ξa1,感知所述物理无线传感器网络层的安全态势是否处于风险状态;所述物理无线传感器网络层的安全态势处于风险状态,即所述步骤(P1)估计的P层产生异常的网络安全阈值ξa1超过PIDS产生异常的网络安全阈值Ma1,所述PIDS产生异常的网络安全阈值Ma1使得物理无线传感器网络层网络中异常消息的产生和终止处于均衡状态;具体地:
所述物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1,按照如下方法计算:
Figure BDA0002270888340000061
其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例;
当ξa1≥Ma1时,即感知所述物理无线传感器网络层的安全态势处于风险状态,即所述物理无线传感器网络层发生网络攻击事件,进入步骤(P3);否则,感知所述物理无线传感器网络层的安全态势处于安全状态,进入步骤(P1);
(P3)重配所述物理无线传感器网络入侵检测器签名验证策略,阻断恶意数据包的传输和非法节点的持续接入传感云边缘节点,进入步骤(P1)。
优选地,所述传感云双层网络防御方法,其在虚拟传感服务网络层感知时间τ21内,对所述传感云双层网络中的虚拟传感服务网络层,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
所述虚拟传感服务网络层感知时间τ21,按照以下方法计算:
Figure BDA0002270888340000071
其中,N2为V层网络的节点个数,k2是部署在虚拟机节点上的所述虚拟传感服务网络入侵检测器监控的连接度,所述虚拟传感服务网络入侵检测器监控的连接度分布为:
Figure BDA0002270888340000072
p2为VIDS开启监控的概率,VIDS部署的密度为
Figure BDA0002270888340000073
b2为部署在虚拟机节点上的VIDS的虚拟链路带宽;所述虚拟传感服务网络入侵检测器监控连接平均度为
Figure BDA0002270888340000074
Figure BDA0002270888340000075
表示V层网络中具有连接度为k2的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;β2表示V层网络中具有连接度为k2的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
所述对所述传感云双层网络中的虚拟传感服务网络层,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
(V1)使用流行病扩散模型捕获所述虚拟传感服务网络入侵检测器检测并估计到的虚拟传感服务网络层产生异常的网络安全阈值ξa2,进入步骤(V2);所述估计的虚拟传感服务网络层产生异常的网络安全阈值为VIDS检测到的异常消息占所有消息的比例;
(V2)使用平均动力场博弈根据步骤(V1)获得的虚拟传感服务网络层产生异常的网络安全阈值ξa2,感知所述虚拟传感服务网络层的安全态势是否处于风险状态;所述虚拟传感服务网络层的安全态势处于风险状态,即所述步骤(V1)估计的虚拟传感服务网络层产生异常的网络安全阈值ξa2超过VIDS产生异常的网络安全阈值Ma2,所述VIDS产生异常的网络安全阈值Ma2使得虚拟传感服务网络层网络中异常消息的产生和终止处于均衡状态;具体地:
所述虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2,按照如下方法计算:
Figure BDA0002270888340000081
其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例;
当ξa2≥Ma2时,即感知所述虚拟传感服务网络层的安全态势处于风险状态,即所述虚拟传感服务网络层发生网络攻击事件,进入步骤(V3);否则,感知所述虚拟传感服务网络层的安全态势处于安全状态,进入步骤(V1);
(V3)重配所述虚拟传感服务网络入侵检测器中计算密集型分析功能模块,进入步骤(V1)。
优选地,所述传感云双层网络防御方法,其在传感云双层网络感知时间τ=τ1221内,对所述传感云双层网络中的传感云双层网络,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
所述传感云双层网络感知时间τ=τ1221
所述对所述传感云双层网络中的传感云双层网络,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
(D1)使用流行病扩散模型同时捕获所述传感云双层网络入侵检测器(IDS)检测并估计到的传感云双层网络产生异常的网络安全阈值ξa1,a2,进入步骤(D2);所述估计的传感云双层网络产生异常的网络安全阈值为IDS检测到的异常消息占所有消息的比例;
(D2)使用平均动力场博弈根据步骤(D1)获得的估计的传感云双层网络产生异常的网络安全阈值ξa1,a2,感知所述传感云双层网络的安全态势是否处于风险状态;所述传感云双层网络的安全态势处于风险状态,即所述步骤(D1)估计的传感云双层网络产生异常的网络安全阈值ξa1,a2超过传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2使得传感云双层网络网络中异常消息的产生和终止处于均衡状态。具体地:
所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,按照如下方法计算:
Figure BDA0002270888340000091
其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例。
当ξa1,a2≥Ma1,a2时,即感知所述传感云双层网络的安全态势处于风险状态,即所述传感云双层网络发生网络攻击事件,进入步骤(D3);否则,感知所述传感云双层网络的安全态势处于安全状态,进入步骤(D1);
(D3)重配置PIDS向虚拟传感服务网络的所述虚拟传感服务网络入侵检测器提交检测样本,重配并启动所述虚拟传感服务网络入侵检测器中计算密集型分析功能模块,进入步骤(D1)。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
本发明通过IDS协作检测异常消息并在双层网络中跟踪异常消息的动态变化趋势,从而感知双层网络的不确定性威胁的攻击态势。本发明结合平均动力场博弈和流行病模型开发了安全态势感知框架去模型化双层网络中异常消息的状态变化并感知双层网络的安全态势,预测传感云双层网络安全态势切换感知阈值和异常消息数阈值,从而确定受攻击状态并重配IDS防御策略。
附图说明
图1是本发明实施例1提供的基于安全态势感知的传感云双层网络防御系统结构示意图;
图2是本发明实施例1提供的IDS协作监测连接示意图;
图3是本发明实施例1提供的双层网络安全态势交互状态示意图;
图4是本发明实施例2提供的基于安全态势感知的传感云双层网络防御方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本文结合流行病扩散模型和平均动力场博弈分析传感云双层网络异常消息的变化过程,克服已提出方法的不足,提供一个新视角来感知传感云双层网络安全变化态势并设计高效的协作防御机制。主要贡献总结如下:(1)提出新的感知安全态势的博弈模型,用来刻画分析传感云节点的安全状态和PIDS和VIDS产生异常消息的行为。(2)提出了一个双层的PIDS和VIDS协作安全态势感知框架,使用流行病传染模型分析和计算双层网络中异常消息的变化状态,从而了解安全态势。由于网络异常和攻击时很难区分,根据双层网络中产生异常的网络安全阈值来判断网络攻击态势,从而对不确定攻击的防御策略重配。(3)在PIDS和VIDS防御策略重配中,本发明考虑了资源约束条件,提高了防御系统的效能。
本发明提供的基于安全态势感知的传感云双层网络防御系统,包括:
多个用于捕获和转发异常消息的物理无线传感器网络入侵检测器(PIDS)、多个用于捕获和转发异常消息的虚拟传感服务网络入侵检测器(VIDS)、物理无线传感器网络安全态势感知器(PSSA)、虚拟传感服务网络安全态势感知器(VSSA)、以及双层安全态势感知器(DSSA);
所述物理无线传感器网络入侵检测器(PIDS),服从泊松过程的部署在物理无线传感器网络层(P层)的簇头节点上,其监控度分布与所述物理无线传感器网络层(P层)的簇头节点的度分布相同;所述虚拟传感服务网络入侵检测器(VIDS),服从泊松过程的部署在虚拟传感服务网络(V层)的虚拟机节点上,其监控度分布与所述虚拟传感服务网络(V层)的簇头节点的度分布相同;所述物理无线传感器网络安全态势感知器(PSSA)、虚拟传感服务网络安全态势感知器(VSSA)、以及双层安全态势感知器(DSSA)部署在所述传感云双层网络的控制节点上。
所述物理无线传感器网络入侵检测器(PIDS)和虚拟传感服务网络入侵检测器(VIDS)通过边缘计算节点交换异常消息;所述物理无线传感器网络入侵检测器(PIDS)之间通过无线信道转发异常消息;所述虚拟传感服务网络入侵检测器(VIDS)之间通过虚拟连接转发异常消息。
所述物理无线传感器网络安全态势感知器(PSSA),用于根据所述物理无线传感器网络入侵检测器(PIDS)报告的异常消息,感知物理无线传感器网络层的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器的防御策略;所述虚拟传感服务网络安全态势感知器(VSSA),用于根据所述虚拟传感服务网络入侵检测器(VIDS)报告的异常消息,感知虚拟传感服务网络的安全态势,并根据安全态势感知结果配置虚拟传感服务网络入侵检测器的防御策略;所述双层安全态势感知器(DSSA),用于根据:边缘计算节点报告的所述物理无线传感器网络入侵检测器(PIDS)和虚拟传感服务网络入侵检测器(VIDS)之间交换的异常消息、无线信道转发的所述物理无线传感器网络入侵检测器(PIDS)之间协作交换的异常消息、以及虚拟连接转发的所述虚拟传感服务网络入侵检测器(VIDS)之间协作交换的异常消息,感知双层网络的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器的防御策略。
本发明提供的一种基于安全态势感知的传感云双层网络防御方法,包括以下步骤:
在相应感知时间内,对所述传感云双层网络中的物理无线传感器网络层(P层)、和虚拟传感服务网络(V层)分别以及同时,采用流行病传播模型捕获其异常消息传播的动态性并进行平均动力场博弈分析感知其安全态势,根据所述安全态势对其进行防御。具体地:
P:在物理无线传感器网络层(P层)感知时间τ12内,对所述传感云双层网络中的物理无线传感器网络层(P层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
所述物理无线传感器网络层(P层)感知时间τ12,按照以下方法计算:
Figure BDA0002270888340000121
其中,N1为P层网络的节点个数,k1是部署在簇头节点上的所述物理无线传感器网络入侵检测器(PIDS)监控的连接度,所述物理无线传感器网络入侵检测器(PIDS)监控的连接度分布为:
Figure BDA0002270888340000131
p1为PIDS开启监控策略的概率,PIDS部署的密度为
Figure BDA0002270888340000132
r1为PIDS的通信范围;所述物理无线传感器网络入侵检测器(PIDS)监控连接平均度为<k1>=E(I1)=p1λ1πr1 2
Figure BDA0002270888340000133
Figure BDA0002270888340000134
表示P层网络中具有连接度为k1的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;
Figure BDA0002270888340000135
表示P层网络中具有连接度为k1的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
所述对所述传感云双层网络中的物理无线传感器网络层(P层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
(P1)使用流行病扩散模型捕获所述物理无线传感器网络入侵检测器(PIDS)检测并估计到的物理无线传感器网络层(P层)产生异常的网络安全阈值ξa1,进入步骤(P2);所述物理无线传感器网络层产生异常的网络安全阈值为PIDS检测到的异常消息占所有消息的比例;
(P2)使用平均动力场博弈根据步骤(P1)获得的估计的物理无线传感器网络层(P层)产生异常的网络安全阈值ξa1,感知所述物理无线传感器网络层(P层)的安全态势是否处于风险状态;所述物理无线传感器网络层(P层)的安全态势处于风险状态,即所述步骤(P1)估计产生异常的网络安全阈值ξa1超过物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1,所述物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1使得物理无线传感器网络层(P层)网络中异常消息的产生和终止处于均衡状态。
具体地:
所述物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1,按照如下方法计算:
Figure BDA0002270888340000141
其中,k1表示物理无线传感器网络层(P层)网络中所述物理无线传感器网络入侵检测器(PIDS)所监控的连接度;θ1表示物理无线传感器网络层(P层)中所述物理无线传感器网络入侵检测器(PIDS)产生异常消息的比例;k2表示虚拟传感服务网络(V层)中所述虚拟传感服务网络入侵检测器(VIDS)所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器(VIDS)产生异常消息的比例。
当ξa1≥Ma1时,即感知所述物理无线传感器网络层(P层)的安全态势处于风险状态,即所述物理无线传感器网络层(P层)发生网络攻击事件,进入步骤(P3);否则,感知所述物理无线传感器网络层(P层)的安全态势处于安全状态,进入步骤(P1);
(P3)重配所述物理无线传感器网络入侵检测器(PIDS)签名验证策略,阻断恶意数据包的传输和非法节点的持续接入传感云边缘节点,进入步骤(P1)。
V:在虚拟传感服务网络层(V层)感知时间τ21内,对所述传感云双层网络中的虚拟传感服务网络层(V层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
所述虚拟传感服务网络层(V层)感知时间τ21,按照以下方法计算:
Figure BDA0002270888340000142
其中,N2为V层网络的节点个数,k2是部署在虚拟机节点上的所述虚拟传感服务网络入侵检测器(VIDS)监控的连接度,所述虚拟传感服务网络入侵检测器(VIDS)监控的连接度分布为:
Figure BDA0002270888340000151
p2为VIDS开启监控的概率,VIDS部署的密度为
Figure BDA0002270888340000152
b2为部署在虚拟机节点上的VIDS的虚拟链路带宽;所述虚拟传感服务网络入侵检测器(VIDS)监控连接平均度为
Figure BDA0002270888340000153
Figure BDA0002270888340000154
表示V层网络中具有连接度为k2的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;β2表示V层网络中具有连接度为k2的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
所述对所述传感云双层网络中的虚拟传感服务网络层(V层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
(V1)使用流行病扩散模型捕获所述虚拟传感服务网络入侵检测器(VIDS)检测并估计到的虚拟传感服务网络层(V层)产生异常的网络安全阈值ξa2,进入步骤(V2);所述估计的虚拟传感服务网络层产生异常的网络安全阈值为VIDS检测到的异常消息占所有消息的比例;
(V2)使用平均动力场博弈根据步骤(V1)估计的虚拟传感服务网络层(V层)产生异常的网络安全阈值ξa2,感知所述虚拟传感服务网络层(V层)的安全态势是否处于风险状态;所述虚拟传感服务网络层(V层)的安全态势处于风险状态,即所述步骤(V1)估计到的虚拟传感服务网络层(V层)产生异常的网络安全阈值ξa2超过虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2,所述虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2使得虚拟传感服务网络层(V层)中异常消息的产生和终止处于均衡状态。具体地:
所述虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2,按照如下方法计算:
Figure BDA0002270888340000161
其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例;
当ξa2≥Ma2时,即感知所述虚拟传感服务网络层(V层)的安全态势处于风险状态,即所述虚拟传感服务网络层(V层)发生网络攻击事件,进入步骤(V3);否则,感知所述虚拟传感服务网络层(V层)的安全态势处于安全状态,进入步骤(V1);
(V3)重配所述虚拟传感服务网络入侵检测器(VIDS)中计算密集型分析功能模块,进入步骤(V1)。
D:在传感云双层网络(双层)感知时间τ=τ1221内,对所述传感云双层网络中的传感云双层网络(双层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
所述传感云双层网络(双层)感知时间τ=τ1221
所述对所述传感云双层网络中的传感云双层网络(双层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
(D1)使用流行病扩散模型同时捕获所述传感云双层网络入侵检测器(IDS)检测并估计到的传感云双层网络(双层)产生异常的网络安全阈值ξa1,a2,进入步骤(D2);所述估计的传感云双层网络产生异常的网络安全阈值为IDS检测到的异常消息占所有消息的比例;
(D2)使用平均动力场博弈根据步骤(D1)估计的传感云双层网络(双层)产生异常的网络安全阈值ξa1,a2,感知所述传感云双层网络(双层)的安全态势是否处于风险状态;所述传感云双层网络(双层)的安全态势处于风险状态,即所述步骤(D1)估计的传感云双层网络(双层)产生异常的网络安全阈值ξa1,a2超过传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2使得传感云双层网络(双层)网络中异常消息的产生和终止处于均衡状态。具体地:
所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,按照如下方法计算:
Figure BDA0002270888340000171
其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例。
当ξa1,a2≥Ma1,a2时,即感知所述传感云双层网络(双层)的安全态势处于风险状态,即所述传感云双层网络(双层)发生网络攻击事件,进入步骤(D3);否则,感知所述传感云双层网络(双层)的安全态势处于安全状态,进入步骤(D1);
(D3)重配置PIDS向虚拟传感服务网络(V层)的所述虚拟传感服务网络入侵检测器(VIDS)提交检测样本,重配并启动所述虚拟传感服务网络入侵检测器(VIDS)中计算密集型分析功能模块,进入步骤(D1)。
以下为实施例:
实施例1
一种基于安全态势感知的传感云双层网络防御系统,如图1所示,包括:
多个用于捕获和转发异常消息的物理无线传感器网络入侵检测器(PIDS)、多个用于捕获和转发异常消息的虚拟传感服务网络入侵检测器(VIDS)、物理无线传感器网络安全态势感知器(PSSA)、虚拟传感服务网络安全态势感知器(VSSA)、以及双层安全态势感知器(DSSA);
所述物理无线传感器网络入侵检测器(PIDS),服从泊松过程的部署在物理无线传感器网络层(P层)的簇头节点上,其监控度分布与所述物理无线传感器网络层(P层)的簇头节点的度分布相同;虚拟传感服务网络入侵检测器(VIDS),服从泊松过程的部署在虚拟传感服务网络(V层)的虚拟机节点上,其监控度分布与所述虚拟传感服务网络(V层)的虚拟机节点的度分布相同;所述物理无线传感器网络安全态势感知器(PSSA)、虚拟传感服务网络安全态势感知器(VSSA)、以及双层安全态势感知器(DSSA)部署在所述传感云双层网络的控制节点上。
所述物理无线传感器网络入侵检测器(PIDS)和虚拟传感服务网络入侵检测器(VIDS)通过边缘计算节点交换异常消息;所述物理无线传感器网络入侵检测器(PIDS)之间通过无线信道转发异常消息;所述虚拟传感服务网络入侵检测器(VIDS)之间通过虚拟连接转发异常消息。
所述物理无线传感器网络安全态势感知器(PSSA),用于根据所述物理无线传感器网络入侵检测器(PIDS)报告的异常消息,感知物理无线传感器网络层的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器的防御策略;所述虚拟传感服务网络安全态势感知器(VSSA),用于根据所述虚拟传感服务网络入侵检测器(VIDS)报告的异常消息,感知虚拟传感服务网络的安全态势,并根据安全态势感知结果配置虚拟传感服务网络入侵检测器的防御策略;所述双层安全态势感知器(DSSA),用于根据:边缘计算节点报告的所述物理无线传感器网络入侵检测器(PIDS)和虚拟传感服务网络入侵检测器(VIDS)之间交换的异常消息、无线信道转发的所述物理无线传感器网络入侵检测器(PIDS)之间协作交换的异常消息、以及虚拟连接转发的所述虚拟传感服务网络入侵检测器(VIDS)之间协作交换的异常消息,感知双层网络的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器的防御策略。具体地:
按照PIDS和VIDS的监控度分布,我们使用流行病扩散模型去捕获被监控节点发送出的异常消息,利用平均动力场博弈分析稳定状态时IDS产生异常消息的行为。在传感云双层网络中,使用传染病模型分析的结果作为PIDS和VIDS防御策略重配的决策依据来确保PIDS和VIDS在不确定性攻击和资源约束条件下自适应防御恶意攻击。为了实现传感云双层网络中IDS间的协作防御,IDS之间交换并共享异常消息,从而决策其受攻击的态势,并为其配置相应的防御功能模块。
传感云中双层网络的部署服从泊松分布,PIDS和VIDS的部署服从参数为λ的泊松过程。IDS的位置和类型描述为Δ={Li,Oi},这里Li表示IDS部署的网络位置,且Li∈{1,2},Li=1表示IDS部署在物理传感器网络层,Li=2表示IDS部署在虚拟传感服务层。Oi∈{1,2},Oi=1表示IDS为PIDS类型,他运行在物理传感器网络层的簇头节点上。Oi=2表示IDS为VIDS类型,他运行在虚拟传感服务网络的出口VM节点或入口VM节点上(即簇头节点)。PIDS和VIDS之间通过边缘节点作为中继相互交换异常消息。在传感云双层网络中,假设IDS为Oi=1型的PIDS开启监控策略的概率p1,且在物理传感器网络层开启监控策略的PIDS集合表示为Δ1={Li=1,Oi=1},PIDS部署的密度为
Figure BDA0002270888340000191
同理IDS为Oi=2型的VIDS开启监控的概率为p2,且在虚拟传感服务网络层的VIDS结合表示为Δ2={Li=2,Oi=2},VIDS部署的密度为
Figure BDA0002270888340000201
PIDS之间通过无线信道转发异常消息;VIDS之间通过虚拟连接转发异常消息;PIDS和VIDS之间通过边缘计算节点交换异常消息。部署在簇头节点上PIDS的通信范围为r1,部署在虚拟机节点上的VIDS的虚拟链路带宽为b2。参数r1和b2分别决定了PIDS和VIDS可监控的连接度。
传感云环境下IDS所监控的连接度分布分析:
IDS监控连接度分布包括:物理传感器网络层中监控的连接度分布、虚拟传感服务网络中的监控连接度分布、双层网络监控连接度分布。在部署IDS的传感云双层网络中,处于激活状态的IDS之间相互转发产生的异常消息来报告网络的攻击态势。一个IDS所能监控的连接是由其所在节点的度决定的。令Im,m∈{1,2}表示IDS所部署节点的度分布。由于物理传感器网络层节点部署服从泊松分布,部署在簇头节点上的PIDS监控的连接度分布k1是一个泊松随机变量,PIDS监控的连接度分布表示如下
Figure BDA0002270888340000202
对于足够大的参数值λ1,r1,P层的PIDS监控连接平均度为<k1>=E(I1)=p1λ1πr1 2
同理对于虚拟传感服务网络层中VIDS监控的连接度分布为
Figure BDA0002270888340000203
对于足够大的参数值λ2,b2,V层的VIDS监控连接平均度为:
Figure BDA0002270888340000204
传感云双层网络监控连接的平均度分布为
Figure BDA0002270888340000205
本实施例提供的基于安全态势感知的传感云双层网络防御系统,其安全态势感知模型,按照以下分析获得:
异常消息传播的动态性:
在传感云的P层和V层部署的IDS产生的异常消息传输给同层或不同层的IDS。控制节点需要这些共享的异常消息来决策开启或切换相应的防御功能模块。由于IDS随机产生异常消息,本发明使用流行病扩散模型和平均动力场统计和分析异常消息的变化情况及IDS产生异常消息的监控行为。具有连接度为k的IDS所监控的连接有两种状态,产生异常消息状态gk或未产生异常消息状态qk。IDS使用了传染病模型来跟踪双层网络中IDS产生和广播异常消息的动态过程。为了预测双层网络的安全态势,IDS之间协作传递和报告异常消息。IDS协作监测连接示意如图2所示。其中连接1,2,3被PIDS成功捕获和防御。连接5是来自同一层网络协作IDS产生的异常消息,连接4是来自不同层网络协作IDS产生的异常消息。
异常消息共享的双层网络协作安全态势感知分析:
为了降低耦合性,在安全态势感知方程中只跟踪P层网络或V层网络中的异常消息。但是传感云是一个双层耦合的信息交换网络。如果P层网络和V层网络同时受到协作攻击时,单层切换态势感知不能进行联合协作防御。因此,通过双层网络中的IDS协作跟踪攻击产生的共享异常信息流可有效防御双层攻击。在传感云双层网络攻击中,攻击者可能对P和V层网络同时发起攻击,导致IDS监控器中产生的异常信息流同时变化,或者单层先变化,然后双层同时变化。为了更好地分析双层攻击,我们把双层攻击态势的变化分成四个状态,其状态空间为S={Se1,e2,Sa1,e2,Se1,a2,Sa1,a2},其中,Se1,e2表示P层和V层网络均未产生异常消息;Sa1,e2表示P层网络产生异常消息,V层网络未产生异常消息;Se1,a2表示P层网络未产生异常消息,V层网络产生异常消息;Sa1,a2表示P层和V层网络均产生异常消息。这些状态变量表示为在传感云中P层和V层网络中IDS状态比例。为了模型化双层网络中IDS协作跟踪攻击异常消息流的变化态势,我们使用传染病模型分析双层交互状态图,如图3所示。在图3中给出了这个四个状态的转移图。图中,k1表示P层网络中PIDS所监控的连接度。θ1表示P层网络中PIDS产生异常消息的比例。k2表示V层网络中VIDS所监控的连接度。θ2表示V层网络中VIDS产生异常消息的比例。箭头上的标识表示状态转移概率。
实施例2
应用实施例1提供的系统的基于安全态势感知的传感云双层网络防御方法,如图4所示,包括以下步骤:
(1)IDS中心控制器先初始化安全态势感知空间为P层网络,即Li=1;
(P1)在PIDS上统计异常消息并估计产生异常的网络安全阈值ξa1,进入步骤(P2);所述物理无线传感器网络层产生异常的网络安全阈值为PIDS检测到的异常消息占所有消息的比例;
(P2)所述物理无线传感器网络安全态势感知器(PSSA)感知异物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1,并感知P层的安全态势:如果ξa1≥Ma1,则判断在P层网络发生大规模攻击,进行步骤(P3),否则进入步骤(P1);其中
Figure BDA0002270888340000221
(P3)所述物理无线传感器网络安全态势感知器(PSSA)重配PIDS签名验证策略,阻断恶意数据包的传输和非法节点的持续接入传感云边缘节点,如果未达到时间阈值τ1=τ12则进入步骤(P1);否则,即P层网络安全态势感知时间阈值τ1=τ12到达,进入步骤(2);其中,
Figure BDA0002270888340000222
其中,N1为P层网络的节点个数,k1是部署在簇头节点上的所述物理无线传感器网络入侵检测器(PIDS)监控的连接度,所述物理无线传感器网络入侵检测器(PIDS)监控的连接度分布为:
Figure BDA0002270888340000231
p1为PIDS开启监控策略的概率,PIDS部署的密度为
Figure BDA0002270888340000232
r1为PIDS的通信范围;所述物理无线传感器网络入侵检测器(PIDS)监控连接平均度为〈k1〉=E(I1)=p1λ1πr1 2
Figure BDA0002270888340000233
Figure BDA0002270888340000234
表示P层网络中具有连接度为k1的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;
Figure BDA0002270888340000235
表示P层网络中具有连接度为k1的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
(2)IDS中心控制器先初始化安全态势感知空间为V层网络,即Li=2;
(V1)在VIDS上统计异常消息并估计产生异常的网络安全阈值ξa2,进入步骤(V2);所述估计的虚拟传感服务网络层产生异常的网络安全阈值为VIDS检测到的异常消息占所有消息的比例;
(V2)所述虚拟传感服务网络安全态势感知器(VSSA)感知虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2,并感知V层的安全态势:如果ξa2≥Ma2,则判断在V层网络发生大规模攻击,进行步骤(V3),否则进入步骤(V1);其中
Figure BDA0002270888340000236
(V3)所述虚拟传感服务网络安全态势感知器(VSSA)重配VIDS中计算密集型分析功能模块,如果未达到时间阈值τ2=τ21则进入步骤(V1);否则,即V层网络安全态势感知时间阈值τ2=τ21到达,进入步骤(3);其中,
Figure BDA0002270888340000237
其中,N2为V层网络的节点个数,k2是部署在虚拟机节点上的所述虚拟传感服务网络入侵检测器(VIDS)监控的连接度,所述虚拟传感服务网络入侵检测器(VIDS)监控的连接度分布为:
Figure BDA0002270888340000241
p2为VIDS开启监控的概率,VIDS部署的密度为
Figure BDA0002270888340000242
b2为部署在虚拟机节点上的VIDS的虚拟链路带宽;所述虚拟传感服务网络入侵检测器(VIDS)监控连接平均度为
Figure BDA0002270888340000243
Figure BDA0002270888340000244
表示V层网络中具有连接度为k2的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;β2表示V层网络中具有连接度为k2的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
(3)IDS中心控制器切换安全态势感知空间为双层网络;
(D1)在PIDS和VIDS上同时统计异常消息并估计产生异常的网络安全阈值ξa1,a2,进入步骤(D2);所述估计的传感云双层网络产生异常的网络安全阈值为IDS检测到的异常消息占所有消息的比例;
(D2)所述双层安全态势感知器(DSSA)感知传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,并感知双层的安全态势:如果ξa1,a2≥Ma1,a2则判断双层网络同时受到了大规模攻击,进入步骤(D3),否则进入步骤(D1);其中
Figure BDA0002270888340000245
(D3)所述双层安全态势感知器(DSSA)重配置PIDS向V层网络的VIDS提交检测样本,重配并启动VIDS中计算密集型分析功能模块,如果未达到时间阈值τ=τ1221则进入步骤(D1);否则,即双层网络安全态势感知时间阈值τ=τ1221到达,进入步骤(1)。
双层网络安全态势切换感知条件分析,获得网络安全态势感知时间阈值,如下:
传感云双层网络切换的条件依赖于μk(t)值的变化,当μk(t)的值达到一定阈值时表明感知到了所监控连接的安全态势并且监测到了异常消息。μk(t)值增加的越快,安全态势感知时间τ值就越小,其中
Figure BDA0002270888340000251
Figure BDA0002270888340000252
当传感云受到单层攻击时,IDS在P层和V层之间进行切换感知安全态势,切换感知时间阈值为
Figure BDA0002270888340000253
其中,τ12表示从P层网络切换到V层网络感知时的时间阈值,τ21表示从V层网络切换到P层网络感知时的时间阈值。N1为P层网络的节点个数。N2为V层网络的节点个数。
平均动力场博弈分析安全态势感条件分析:
在平均动力场博弈中,对于双层攻击态势的变化的四个状态S={Se1,e2,Sa1,e2,Se1,a2,Sa1,a2}中每个状态的动态微分方程如下:
Figure BDA0002270888340000254
Figure BDA0002270888340000255
Figure BDA0002270888340000256
Figure BDA0002270888340000261
由于IDS的防御策略,通过平均动力场博弈,使得双层网络中IDS异常消息的产生和终止处于均衡状态。传感云双层网络的安全风险处于安全等级的边界,一旦攻击者持续改变攻击策略发到新的攻击,传感云双层网络的安全等级降为低,即处于风险中。因此,通过分析传感云双层网络平均动力场博弈平衡状态,我们可以获得安全风险处于安全等级的边界时异常消息数的阈值,从而能够驱动IDS配置防御策略。在受到攻击的三个消息状态Sa1,e2,Se1,a2,Sa1,a2中,IDS异常消息的产生和终止达到稳定状态时的条件为:
Figure BDA0002270888340000262
受到攻击时,由异常消息产生于终止的稳定条件(13)式和Se1,e2=1-Sa1,e2-Se1,a2-Sa1,a2
可得下面的方程组
Figure BDA0002270888340000263
通过解方程(14)可以得出安全风险处于安全等级的边界时产生异常的网络安全阈值,对于P层网络PIDS产生异常的网络安全阈值为
Figure BDA0002270888340000264
对于V层网络VIDS产生异常的网络安全阈值为
Figure BDA0002270888340000265
对于双层网络IDS产生异常的网络安全阈值为
Figure BDA0002270888340000271
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于安全态势感知的传感云双层网络防御系统,其特征在于,包括:
多个用于捕获和转发异常消息的物理无线传感器网络入侵检测器、多个用于捕获和转发异常消息的虚拟传感服务网络入侵检测器、物理无线传感器网络安全态势感知器、虚拟传感服务网络安全态势感知器、以及双层安全态势感知器;
所述物理无线传感器网络入侵检测器服从泊松过程的部署在物理无线传感器网络层的簇头节点上;所述虚拟传感服务网络入侵检测器服从泊松过程的部署在虚拟传感服务网络的虚拟机节点上;所述物理无线传感器网络安全态势感知器、虚拟传感服务网络安全态势感知器、以及双层安全态势感知器部署在所述传感云双层网络的控制节点上;
所述物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器通过边缘计算节点交换异常消息;所述物理无线传感器网络入侵检测器之间通过无线信道转发异常消息;所述虚拟传感服务网络入侵检测器之间通过虚拟连接转发异常消息。
2.如权利要求1所述的传感云双层网络防御系统,其特征在于,所述物理无线传感器网络入侵检测器其监控度分布与所述物理无线传感器网络层的簇头节点的度分布相同;所述虚拟传感服务网络入侵检测器其监控度分布与所述虚拟传感服务网络的簇头节点的度分布相同。
3.如权利要求1所述的传感云双层网络防御系统,其特征在于,所述物理无线传感器网络安全态势感知器,用于根据所述物理无线传感器网络入侵检测器报告的异常消息,感知物理无线传感器网络层的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器的防御策略。
4.如权利要求1所述的传感云双层网络防御系统,其特征在于,所述虚拟传感服务网络安全态势感知器,用于根据所述虚拟传感服务网络入侵检测器报告的异常消息,感知虚拟传感服务网络的安全态势,并根据安全态势感知结果配置虚拟传感服务网络入侵检测器的防御策略。
5.如权利要求1所述的传感云双层网络防御系统,其特征在于,所述双层安全态势感知器,用于根据:边缘计算节点报告的所述物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器之间交换的异常消息、无线信道转发的所述物理无线传感器网络入侵检测器之间协作交换的异常消息、以及虚拟连接转发的所述虚拟传感服务网络入侵检测器之间协作交换的异常消息,感知双层网络的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器的防御策略。
6.一种基于安全态势感知的传感云双层网络防御方法,其特征在于,包括以下步骤:
在相应感知时间内,对所述传感云双层网络中的物理无线传感器网络层、和虚拟传感服务网络分别以及同时,捕获其异常消息传播的动态性并感知其安全态势,根据所述安全态势对其进行防御。
7.如权利要求6所述的传感云双层网络防御方法,其特征在于,采用流行病传播模型捕获其异常消息传播的动态性;进行平均动力场博弈分析感知其安全态势。
8.如权利要求7所述的传感云双层网络防御方法,其特征在于,在物理无线传感器网络层感知时间τ12内,对所述传感云双层网络中的物理无线传感器网络层,根据其异常消息传播的动态性感知安全态势,并根据所述安全态势对其进行防御;
所述物理无线传感器网络层感知时间τ12,按照以下方法计算:
Figure FDA0002270888330000031
其中,N1为P层网络的节点个数ξa1,k1是部署在簇头节点上的所述物理无线传感器网络入侵检测器监控的连接度,所述物理无线传感器网络入侵检测器监控的连接度分布为:
Figure FDA0002270888330000032
p1为PIDS开启监控策略的概率,PIDS部署的密度为
Figure FDA0002270888330000033
r1为PIDS的通信范围;所述物理无线传感器网络入侵检测器监控的连接平均度为<k1>=E(I1)=p1λ1πr1 2
Figure FDA0002270888330000034
Figure FDA0002270888330000035
表示P层网络中具有连接度为k1的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;
Figure FDA0002270888330000036
表示P层网络中具有连接度为k1的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
所述对所述传感云双层网络中的物理无线传感器网络层,根据其异常消息传播的动态性感知安全态势,并根据所述安全态势对其进行防御,具体包括以下步骤:
(P1)使用流行病扩散模型捕获所述物理无线传感器网络入侵检测器检测并估计到的物理无线传感器网络层产生异常的网络安全阈值ξa1,进入步骤(P2);所述物理无线传感器网络层产生异常的网络安全阈值ξa1为PIDS检测到的异常消息占所有消息的比例;
(P2)使用平均动力场博弈根据步骤(P1)获得的估计的物理无线传感器网络层产生异常的网络安全阈值,感知所述物理无线传感器网络层的安全态势是否处于风险状态;所述物理无线传感器网络层的安全态势处于风险状态,即所述步骤(P1)估计的P层产生异常的网络安全阈值ξa1超过PIDS产生异常的网络安全阈值Ma1,所述PIDS产生异常的网络安全阈值Ma1使得物理无线传感器网络层网络中异常消息的产生和终止处于均衡状态;具体地:
所述物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1,按照如下方法计算:
Figure FDA0002270888330000041
其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例;
当ξa1≥Ma1时,即感知所述物理无线传感器网络层的安全态势处于风险状态,即所述物理无线传感器网络层发生网络攻击事件,进入步骤(P3);否则,感知所述物理无线传感器网络层的安全态势处于安全状态,进入步骤(P1);
(P3)重配所述物理无线传感器网络入侵检测器签名验证策略,阻断恶意数据包的传输和非法节点的持续接入传感云边缘节点,进入步骤(P1)。
9.如权利要求7所述的传感云双层网络防御方法,其特征在于,在虚拟传感服务网络层感知时间τ21内,对所述传感云双层网络中的虚拟传感服务网络层,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
所述虚拟传感服务网络层感知时间τ21,按照以下方法计算:
Figure FDA0002270888330000042
其中,N2为V层网络的节点个数,k2是部署在虚拟机节点上的所述虚拟传感服务网络入侵检测器监控的连接度,所述虚拟传感服务网络入侵检测器监控的连接度分布为:
Figure FDA0002270888330000051
p2为VIDS开启监控的概率,VIDS部署的密度为
Figure FDA0002270888330000052
b2为部署在虚拟机节点上的VIDS的虚拟链路带宽;所述虚拟传感服务网络入侵检测器监控连接平均度为
Figure FDA0002270888330000053
Figure FDA0002270888330000054
表示V层网络中具有连接度为k2的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;β2表示V层网络中具有连接度为k2的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
所述对所述传感云双层网络中的虚拟传感服务网络层,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
(V1)使用流行病扩散模型捕获所述虚拟传感服务网络入侵检测器检测并估计到的虚拟传感服务网络层产生异常的网络安全阈值ξa2,进入步骤(V2);所述估计的虚拟传感服务网络层产生异常的网络安全阈值ξa2为VIDS检测到的异常消息占所有消息的比例;
(V2)使用平均动力场博弈根据步骤(V1)获得的虚拟传感服务网络层产生异常的网络安全阈值ξa2,感知所述虚拟传感服务网络层的安全态势是否处于风险状态;所述虚拟传感服务网络层的安全态势处于风险状态,即所述步骤(V1)估计的虚拟传感服务网络层产生异常的网络安全阈值ξa2超过VIDS产生异常的网络安全阈值Ma2,所述VIDS产生异常的网络安全阈值Ma2使得虚拟传感服务网络层网络中异常消息的产生和终止处于均衡状态;具体地:
所述虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2,按照如下方法计算:
Figure FDA0002270888330000061
其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例;
当ξa2≥Ma2时,即感知所述虚拟传感服务网络层的安全态势处于风险状态,即所述虚拟传感服务网络层发生网络攻击事件,进入步骤(V3);否则,感知所述虚拟传感服务网络层的安全态势处于安全状态,进入步骤(V1);
(V3)重配所述虚拟传感服务网络入侵检测器中计算密集型分析功能模块,进入步骤(V1)。
10.如权利要求7所述的传感云双层网络防御方法,其特征在于,在传感云双层网络感知时间τ=τ1221内,对所述传感云双层网络中的传感云双层网络,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
所述传感云双层网络感知时间τ=τ1221
所述对所述传感云双层网络中的传感云双层网络,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
(D1)使用流行病扩散模型同时捕获所述传感云双层网络入侵检测器检测并估计到的传感云双层网络产生异常的网络安全阈值ξa1,a2,进入步骤(D2);所述估计的传感云双层网络产生异常的网络安全阈值ξa1,a2为IDS检测到的异常消息占所有消息的比例;
(D2)使用平均动力场博弈根据步骤(D1)获得的估计的传感云双层网络产生异常的网络安全阈值ξa1,a2,感知所述传感云双层网络的安全态势是否处于风险状态;所述传感云双层网络的安全态势处于风险状态,即所述步骤(D1)估计的传感云双层网络产生异常的网络安全阈值ξa1,a2超过传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2使得传感云双层网络网络中异常消息的产生和终止处于均衡状态。具体地:
所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,按照如下方法计算:
Figure FDA0002270888330000071
其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例。
当ξa1,a2≥Ma1,a2时,即感知所述传感云双层网络的安全态势处于风险状态,即所述传感云双层网络发生网络攻击事件,进入步骤(D3);否则,感知所述传感云双层网络的安全态势处于安全状态,进入步骤(D1);
(D3)重配置PIDS向虚拟传感服务网络的所述虚拟传感服务网络入侵检测器提交检测样本,重配并启动所述虚拟传感服务网络入侵检测器中计算密集型分析功能模块,进入步骤(D1)。
CN201911104547.5A 2019-11-13 2019-11-13 一种基于安全态势感知的传感云双层网络防御系统及方法 Active CN110913357B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911104547.5A CN110913357B (zh) 2019-11-13 2019-11-13 一种基于安全态势感知的传感云双层网络防御系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911104547.5A CN110913357B (zh) 2019-11-13 2019-11-13 一种基于安全态势感知的传感云双层网络防御系统及方法

Publications (2)

Publication Number Publication Date
CN110913357A true CN110913357A (zh) 2020-03-24
CN110913357B CN110913357B (zh) 2020-10-09

Family

ID=69816402

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911104547.5A Active CN110913357B (zh) 2019-11-13 2019-11-13 一种基于安全态势感知的传感云双层网络防御系统及方法

Country Status (1)

Country Link
CN (1) CN110913357B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641593A (zh) * 2020-05-09 2020-09-08 深圳供电局有限公司 一种物联网安全架构及其信息安全交互方法
CN111988415A (zh) * 2020-08-26 2020-11-24 绍兴文理学院 基于模糊博弈的移动传感设备计算任务安全卸载方法
CN112202762A (zh) * 2020-09-28 2021-01-08 绍兴文理学院 传感边缘云智能干扰攻击的博弈防御策略优化方法及系统
CN113839935A (zh) * 2021-09-14 2021-12-24 上海纽盾科技股份有限公司 网络态势感知方法、装置及系统
CN114257395A (zh) * 2021-11-01 2022-03-29 清华大学 基于协作学习的定制化网络安全态势感知方法及装置
CN114301796A (zh) * 2021-12-20 2022-04-08 上海纽盾科技股份有限公司 预测态势感知的验证方法、装置及系统
CN115277249A (zh) * 2022-09-22 2022-11-01 山东省计算中心(国家超级计算济南中心) 一种多层异构网络协同的网络安全态势感知方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179602A (zh) * 2013-03-15 2013-06-26 无锡清华信息科学与技术国家实验室物联网技术中心 一种无线传感器网络异常数据检测方法和装置
US20180306609A1 (en) * 2017-04-24 2018-10-25 Carnegie Mellon University Virtual sensor system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179602A (zh) * 2013-03-15 2013-06-26 无锡清华信息科学与技术国家实验室物联网技术中心 一种无线传感器网络异常数据检测方法和装置
US20180306609A1 (en) * 2017-04-24 2018-10-25 Carnegie Mellon University Virtual sensor system

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
JIANHUA LIU,ET AL: "Energy-Efficient Two-Layer Cooperative Defense Scheme to Secure Sensor-Clouds", 《IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY》 *
曾建电等: "传感云研究综述", 《计算机研究与发展》 *
沈士根等: "基于扩展传染病模型的异质传感网恶意程序", 《传感技术学报》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641593A (zh) * 2020-05-09 2020-09-08 深圳供电局有限公司 一种物联网安全架构及其信息安全交互方法
CN111988415A (zh) * 2020-08-26 2020-11-24 绍兴文理学院 基于模糊博弈的移动传感设备计算任务安全卸载方法
CN112202762A (zh) * 2020-09-28 2021-01-08 绍兴文理学院 传感边缘云智能干扰攻击的博弈防御策略优化方法及系统
CN113839935A (zh) * 2021-09-14 2021-12-24 上海纽盾科技股份有限公司 网络态势感知方法、装置及系统
CN113839935B (zh) * 2021-09-14 2024-01-23 上海纽盾科技股份有限公司 网络态势感知方法、装置及系统
CN114257395A (zh) * 2021-11-01 2022-03-29 清华大学 基于协作学习的定制化网络安全态势感知方法及装置
CN114257395B (zh) * 2021-11-01 2022-09-27 清华大学 基于协作学习的定制化网络安全态势感知方法及装置
CN114301796A (zh) * 2021-12-20 2022-04-08 上海纽盾科技股份有限公司 预测态势感知的验证方法、装置及系统
CN114301796B (zh) * 2021-12-20 2023-10-03 上海纽盾科技股份有限公司 预测态势感知的验证方法、装置及系统
CN115277249A (zh) * 2022-09-22 2022-11-01 山东省计算中心(国家超级计算济南中心) 一种多层异构网络协同的网络安全态势感知方法

Also Published As

Publication number Publication date
CN110913357B (zh) 2020-10-09

Similar Documents

Publication Publication Date Title
CN110913357B (zh) 一种基于安全态势感知的传感云双层网络防御系统及方法
Napiah et al. Compression header analyzer intrusion detection system (CHA-IDS) for 6LoWPAN communication protocol
Khan et al. A survey on intrusion detection and prevention in wireless ad-hoc networks
Shamshirband et al. Cooperative game theoretic approach using fuzzy Q-learning for detecting and preventing intrusions in wireless sensor networks
Kumar et al. Intrusion detection in mobile ad hoc networks: techniques, systems, and future challenges
Singh et al. Machine-learning-assisted security and privacy provisioning for edge computing: A survey
Zhang et al. Intrusion detection in wireless ad-hoc networks
Bhayo et al. An efficient counter-based DDoS attack detection framework leveraging software defined IoT (SD-IoT)
Xenakis et al. A comparative evaluation of intrusion detection architectures for mobile ad hoc networks
Godala et al. A study on intrusion detection system in wireless sensor networks
Singh et al. Mitigation of Cyber Attacks in SDN-Based IoT Systems Using Machine Learning Techniques
Al Qurashi et al. An architecture for resilient intrusion detection in IoT networks
Sharathkumar et al. Distributed Clustering based Denial of Service Attack Prevention Mechanism using a Fault Tolerant Self Configured Controller in a Software Defined Network
Junosza-Szaniawski et al. Exact and approximation algorithms for sensor placement against DDoS attacks
Mabrouk et al. Signaling Game-based Approach to Improve Security in Vehicular Networks.
Boora et al. A survey on security issues in mobile ad-hoc networks
Sarkunavathi et al. A Scrutinized study on DoS attacks in Wireless Sensor Networks and need of SDN in Mitigating DoS attacks
Abdel-Fattah et al. Dynamic intrusion detection technique for dynamic mobile ad hoc network
Ahmed et al. IoT based smart systems using machine learning (ML) and artificial intelligence (AI): vulnerabilities and intelligent solutions
Rughinis et al. TinyAFD: Attack and fault detection framework for wireless sensor networks
Rai et al. A review of ‘MANET’s security aspects and challenges’
Menaria et al. Comparative study of distributed intrusion detection in ad-hoc networks
Mamatha et al. Quantitative Behavior Based Intrusion Detection System for MANETS
Tariq et al. The industrial internet of things (iiot): An anomaly identification and countermeasure method
Arunkumar et al. A recent analysis of intrusion detection and prevention system for protecting range of attack using data gathering technique in MANET

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant