CN111478928B - 面向边缘计算云中心的拟态防御构建方法及系统 - Google Patents

面向边缘计算云中心的拟态防御构建方法及系统 Download PDF

Info

Publication number
CN111478928B
CN111478928B CN202010570625.7A CN202010570625A CN111478928B CN 111478928 B CN111478928 B CN 111478928B CN 202010570625 A CN202010570625 A CN 202010570625A CN 111478928 B CN111478928 B CN 111478928B
Authority
CN
China
Prior art keywords
heterogeneous
module
mimicry
cloud center
edge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010570625.7A
Other languages
English (en)
Other versions
CN111478928A (zh
Inventor
羊子煜
王泽雨
陈垚
赵海宁
郁晨
陈立全
冯海生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Red Array Network Security Technology Research Institute Co ltd
Original Assignee
Nanjing Red Array Network Security Technology Research Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Red Array Network Security Technology Research Institute Co ltd filed Critical Nanjing Red Array Network Security Technology Research Institute Co ltd
Priority to CN202010570625.7A priority Critical patent/CN111478928B/zh
Publication of CN111478928A publication Critical patent/CN111478928A/zh
Application granted granted Critical
Publication of CN111478928B publication Critical patent/CN111478928B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种面向边缘计算云中心的拟态防御构建方法及系统,应用于网络安全技术领域,所述方法中包括获取边缘节点信息,构建异构池,在异构池中筛选出异构执行体集合,云中心与异构执行体集合同步拟态任务,动态异构冗余模块调度异构执行体集合中的异构执行体,重新筛选异构执行体集合。本发明利用边缘计算网络中自身存在的异构性,构建异构池与组成异构执行体集合,云中心将拟态任务同步至异构执行体,建立动态冗余异构防御机制,阻挡黑客对特定系统或者软件漏洞的攻击,冗余机制在一定程度上可以预防由未知漏洞造成的功能性异常,提高了边缘计算网络的鲁棒性与安全性,降低拟态防御的成本。

Description

面向边缘计算云中心的拟态防御构建方法及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种面向边缘计算云中心的拟态防御构建方法及系统。
背景技术
拟态防御技术于2013年提出,其根本起源是受生物拟态现象启迪,借鉴生物自我免疫系统工作机理,所提出的具有内生安全效应的网络空间拟态防御理论,把安全基因植根到网络信息系统中,从而建立起内生的免疫体系。拟态防御提出后,得到了国内学术和产业界的普遍关注和广泛认可,相关部门和单位都给予了大力支持,拟态技术研究与系统开发已在国家科技计划层面全面布局。拟态防御系统的原理时动态异构冗余架构,当有消息输入时,通过输入代理传输到异构池中每个异构执行体,所有异构执行体处理消息后将结果传输至多模裁决模块,若结果一致则输出,若不一致,可以识别某个执行体输出消息异常,进而实现系统的主动防御,可以抵御黑客对特定漏洞的攻击,还能规避由未知系统或硬件漏洞导致的系统异常。
边缘计算是面向未来物联网提出的数据信息运算解决方案,由于传统云计算是集中式处理,而集中式处理无法应对未来物联网TB/秒的数据生成量。边缘计算在网络边缘设备上增加执行任务计算和数据分析的处理能力,将原有云计算模型的部分或全部计算任务迁移到网络边缘设备上,降低云计算中心的计算负载。
目前业界对边缘计算云中心的防御技术,如渗透检测、漏洞扫描等等技术均可归类为传统的被动防御技术,对于未知漏洞的防御效果有限。
发明内容
技术目的:针对现有技术中边缘计算中对未知漏洞的防御能力弱以及主动构建冗余异构体成本大的缺陷,本发明公开了一种面向边缘计算云中心的拟态防御构建方法及系统,利用边缘计算网络中自身存在的异构性,构建异构池与组成异构执行体集合,云中心将拟态任务同步至异构执行体,建立动态冗余异构防御机制,阻挡黑客对特定系统或者软件漏洞的攻击,冗余机制在一定程度上可以预防由未知漏洞造成的功能性异常,提高了边缘计算网络的鲁棒性与安全性,降低拟态防御的成本。
技术方案:为实现上述技术目的,本发明采用以下技术方案。
一种面向边缘计算云中心的拟态防御构建方法,其特征在于,包括以下步骤:
S1、获取边缘网络节点信息:在边缘网络中获取边缘网络设备的边缘网络节点信息,边缘网络节点信息包括资源信息,所述边缘网络节点均为异构节点;
S2、构建异构池:从边缘网络中不断地抽取异构节点构建异构池,对构建的异构池计算异构池丰度,直至所述异构池丰度超出设定的丰度阈值;
S3、在异构池中筛选出异构执行体集合:从异构池中不断地筛选异构节点作为异构执行体,组成异构执行体集合,计算异构执行体集合的异构性,直至所述异构执行体集合的异构性超出设定的异构性阈值,执行S4;若异构池中所有的异构节点都筛选到异构执行体集合中且该异构执行体集合的异构性仍未超出设定的异构性阈值,则返回S2,向异构池中增加新的异构节点;
S4、云中心与异构执行体集合双向认证,实现同步拟态任务:异构执行体可同步进行正常任务和拟态任务,云中心与异构执行体集合双向认证,实现同步拟态任务,异构执行体集合中的所有异构执行体在执行正常任务的基础上开辟拟态任务进程;
S5、动态异构冗余模块调度异构执行体集合中的异构执行体,重新筛选异构执行体集合:异构执行体集合内所有异构执行体并行执行云中心发起的拟态任务,多模裁决模块接收异构执行体集合中输出的所有处理结果,将判定安全的裁决结果作为多模裁决模块的输出,并标记裁决判定为不安全的异构执行体,策略调度模块根据标记结果对异构执行体集合进行清洗调度,重新筛选出异构执行体集合,返回S3;
所述S2中对构建的异构池计算异构池丰度,其中异构池丰度的计算过程为:
S21、计算边缘网络中每个网络资源的相对频率:
Figure 338945DEST_PATH_IMAGE001
其中,
Figure 32095DEST_PATH_IMAGE002
为异构池中的节点集合,
Figure 952646DEST_PATH_IMAGE003
为边缘网 络中网络资源的集合,
Figure 705839DEST_PATH_IMAGE004
Figure 462573DEST_PATH_IMAGE005
节点中对应的网络资源,
Figure 959414DEST_PATH_IMAGE006
表示对任意的节点
Figure 609838DEST_PATH_IMAGE007
而言,其对应的网络资源
Figure 658565DEST_PATH_IMAGE008
出现的相对次数,
Figure 27230DEST_PATH_IMAGE009
表示所 有出现的不同资源的总类数;
S22、根据香浓多样性指数计算异构池丰度:
Figure 937548DEST_PATH_IMAGE010
其中,G为构建的异构池,
Figure 708058DEST_PATH_IMAGE011
表示节点
Figure 927687DEST_PATH_IMAGE007
对应的网络资源
Figure 783647DEST_PATH_IMAGE008
出现的相对频率。
优选地,所述S3中计算异构执行体集合的异构性,其具体过程为:
S31、计算异构执行体集合的复杂度:
Figure 232077DEST_PATH_IMAGE012
其中,
Figure 122673DEST_PATH_IMAGE013
表示节点
Figure 388569DEST_PATH_IMAGE007
中网络资源
Figure 590880DEST_PATH_IMAGE014
出现的相对频率,
Figure 498794DEST_PATH_IMAGE015
为节点
Figure 602752DEST_PATH_IMAGE007
中网络资源 的总数;
S32、采用Jaccard算法计算各异构执行体之间的Jaccard均值:
Figure 305129DEST_PATH_IMAGE016
其中,
Figure 994736DEST_PATH_IMAGE004
Figure 909602DEST_PATH_IMAGE005
节点中对应的网络资源,
Figure 774790DEST_PATH_IMAGE017
Figure 257855DEST_PATH_IMAGE018
节点中对应的网 络资源,
Figure 310125DEST_PATH_IMAGE005
Figure 153316DEST_PATH_IMAGE018
异构执行体集合
Figure 873010DEST_PATH_IMAGE019
的元素;
S33、计算异构执行体集合的差异度:
Figure 526977DEST_PATH_IMAGE020
其中,
Figure 66542DEST_PATH_IMAGE021
Figure 854370DEST_PATH_IMAGE005
节点和
Figure 287625DEST_PATH_IMAGE018
节点之间的Jaccard均值;
S34、根据异构执行体集合的复杂度和差异度计算异构执行体集合的异构性:
Figure 237127DEST_PATH_IMAGE022
其中,C为S31中计算的异构执行体集合的复杂度,D为S33中计算的异构执行体集合的差异度。
优选地,所述S5中动态异构冗余模块调度异构执行体集合中的异构执行体,重新筛选异构执行体集合,其具体过程为:
S51、异构执行体集合执行拟态任务:云中心通过代理服务器将拟态服务请求发送至异构执行体集合,异构执行体集合中的所有异构执行体并行处理拟态服务请求,执行拟态任务,并将所有的处理结果发送至多模裁决模块;
S52、多模裁决模块输出裁决结果:多模裁决模块接收异构执行体集合中所有的处理结果,并对所有处理结果进行一致性裁决,输出裁决结果;多模裁决模块将判定安全的裁决结果作为多模裁决模块的输出,并发送至云中心;多模裁决模块根据判定安全的裁决结果找出裁决判定为不安全的异构执行体,将裁决判定为不安全的异构执行体标记为待清洗异构执行体,并将标记信息发送至策略调度模块;
S53、策略调度模块对异构执行体集合进行清洗调度:策略调度模块调度异构执行体集合中未标记的异构执行体返回步骤S3,在异构池中筛选出异构执行体集合;策略调度模块清洗已标记的待清洗异构执行体,并控制待清洗异构执行体终止拟态任务。
优选地,所述S53中策略调度模块控制待清洗异构执行体终止拟态任务后,待清洗异构执行体作为边缘节点,执行正常任务。
优选地,所述S1中资源信息包括边缘网络节点的底层芯片指令集、操作系统、服务器、编程语言、数据库和传输协议。
优选地,所述S4中异构执行体可同步进行正常任务和拟态任务,其中正常任务包括异构执行体在边缘网络中为边缘网络设备提供的数据服务;拟态任务为异构执行体与云中心双向认证后由云中心发布的任务。
一种面向边缘计算云中心的拟态防御构建系统,用于实现以上任一所述的一种面向边缘计算云中心的拟态防御构建方法,包括:云中心、若干边缘网络设备和拟态防御装置;所述云中心与各边缘网络节点相连,边缘节点正常状态下执行正常的数据任务,与云中心的交互为正常数据业务;所述云中心与各边缘节点还通过拟态防御装置进行交互,构建拟态防御,边缘节点通过拟态防御装置执行云中心下发的拟态任务;
所述拟态防御装置包括异构池构建模块、异构执行体筛选模块、边缘节点同步模块和动态异构冗余模块;所述异构池构建模块与边缘网络设备连接,异构执行体筛选模块与异构池构建模块连接,边缘节点同步模块与云中心、异构执行体筛选模块连接,动态异构冗余模块与云中心和异构执行体筛选模块连接。
优选地,所述动态异构冗余模块包括异构执行模块、多模裁决模块和策略调度模块;
所述异构执行模块接收异构执行体筛选模块输出的异构执行体集合信息,并接收云中心发布的拟态服务请求,异构执行模块向多模裁决模块输出处理结果;多模裁决模块向云中心发送判定安全的裁决结果,并向策略调度模块输出标记结果;策略调度模块根据标记结果清洗异构执行模块,并控制异构执行体筛选模块重新筛选异构执行体集合。
有益效果:
1、本发明利用边缘计算网络中自身存在的异构性,构建异构池与组成异构执行体集合,云中心将拟态任务同步至异构执行体,建立动态冗余异构防御机制,实现对边缘计算云中心的拟态防御,阻挡黑客对特定系统或者软件漏洞的攻击,冗余机制在一定程度上可以预防由未知漏洞造成的功能性异常,提高了边缘计算网络的鲁棒性与安全性,降低拟态防御的成本;
2、本发明充分利用网络资源,通过量化计算来构建异构池与组成异构执行体集合,定义异构池丰度和异构执行体集合的异构性,通过丰度阈值和异构性阈值限定异构池和异构执行体集合,避免异构池资源过于单一,并保证异构执行体集合中不同异构执行体间有足够的异构性完成拟态防御的任务;
3、本发明中被清洗的异构执行体无需执行挂起或关闭等操作,只需结束拟态任务进程,不影响边缘计算网络的正常任务,并省去了系统进程阻塞或者重启的性能开销。
附图说明
图1为本发明的边缘计算网络的结构示意图;
图2为本发明的系统结构示意图;
图3为本发明的动态异构冗余模块结构示意图;
图4为本发明的总方法流程图;
图5为本发明中云中心与异构执行体集合双向认证示意图。
具体实施方式
本发明公开了一种面向边缘计算云中心的拟态防御构建方法及系统,以下结合附图对本方案做进一步的说明和解释。
边缘计算是在边缘网络设备上增加拟态任务和数据分析的处理功能,将原有云计算模型的部分或全部计算任务迁移到边缘网络设备上,降低云计算中心的计算负载。边缘网络的结构如附图1所示,靠近物联网的边缘网络设备的处理节点即是边缘网络节点,边缘网络节点负责处理其近端物联网节点的服务请求,云中心主要负责边缘网络节点的监管以及网络数据的同步。
边缘网络有如下特性:
1)由于物联网的特性,不同边缘网络节点在底层硬件、操作系统、应用协议等方面均有不同,有着天然的异构性;
2)边缘网络的边缘计算模型中,云中心与边缘网络节点之间依然是一个主从关系,边缘网络节点与云中心之间建立功能接口,即边缘网络节点可接收来自云中心的请求,并将处理的结果反馈给云中心。
本方案中基于边缘网络的两大特性,随机选取不同的边缘网络节点构建起异构池,配套上相应的节点异构性量化方法、裁决模块和调度算法建立动态冗余防御机制,实现对云中心的主动防御,从而加强边缘计算中云中心的安全性,进而提升整个边缘网络的安全性与鲁棒性。
如附图2所示,一种面向边缘计算云中心的拟态防御构建系统,包括:云中心、若干边缘网络设备和拟态防御装置,云中心与各边缘网络设备的边缘网络节点连接,用于各边缘网络设备执行云中心下发的正常任务;云中心与各边缘网络设备通过拟态防御装置连接,用于各边缘网络设备执行云中心下发的拟态任务;
拟态防御装置包括异构池构建模块、异构执行体筛选模块、边缘节点同步模块和动态异构冗余模块;异构池构建模块与边缘网络设备连接,用于抽取边缘网络节点构建异构池;异构执行体筛选模块与异构池构建模块连接,用于从异构池中筛选边缘网络节点作为异构执行体,组成并输出异构执行体集合;边缘节点同步模块用于连接云中心和异构执行体筛选模块,用于云中心与异构执行体集合之间同步拟态任务;动态异构冗余模块与云中心、异构执行体筛选模块连接,用于建立动态异构冗余防御机制,调度异构执行体集合中的所有异构执行体,实现拟态防御。
如附图3所示,动态异构冗余模块包括异构执行模块、多模裁决模块和策略调度模块。
异构执行模块内包含筛选出的异构执行体集合,异构执行体需要和云中心同步任务,同步完成后异构执行体集合内的多个异构执行体并行处理云中心同步的任务请求,处理完毕后多个异构执行体会将输出结果发送至一致性裁决模块。
多模裁决模块主要负责对异构执行模块输出的结果进行一致性裁决,根据裁决内容的一致性将异构执行模块的异构执行体分为需要清洗和无需清洗两大类,并将需要清洗的节点信息反馈给策略调度模块,输出裁决判定安全的结果作为最终多模裁决模块的输出。
策略调度模块负责管理异构执行模块,在接收到多模裁决模块的输出后,将需要清洗的异构执行体清理出异构执行模块,并将需要补全的集合信息发送至异构执行体筛选模块,根据异构执行体筛选模块选出新的异构执行体补全异构执行集,新的异构执行体需要与云中心实现同步。
本发明利用边缘计算网络中自身存在的异构性,构建异构池与组成异构执行体集合,云中心将拟态任务同步至异构执行体,建立动态冗余异构防御机制,实现对边缘计算云中心的拟态防御,阻挡黑客对特定系统或者软件漏洞的攻击,冗余机制在一定程度上可以预防由未知漏洞造成的功能性异常,提高了边缘计算网络的鲁棒性与安全性,降低拟态防御的成本。
如附图4所示,一种面向边缘计算云中心的拟态防御构建方法,包括以下步骤:
步骤1:在保证异构池丰度的前提下,选取不同的边缘网络节点构建异构池:在边缘网络中获取边缘网络设备的边缘网络节点信息,边缘网络节点信息包括资源信息,边缘节点均为异构节点。从边缘网络中不断地抽取异构节点构建异构池,对构建的异构池计算异构池丰度,直至所述异构池丰度超出设定的丰度阈值。
步骤2:根据异构性量化方法,标记出符合要求的异构执行体集合:从异构池中不断地筛选异构节点作为异构执行体,组成异构执行体集合,计算异构执行体集合的异构性,直至异构执行体集合的异构性超出设定的异构性阈值,执行下一步;若异构池中所有的异构节点都筛选到异构执行体集合中且该异构执行体集合的异构性仍未超出设定的异构性阈值,则返回步骤2,向异构池中增加新的边缘网络节点。
步骤3:对于被标记为异构执行体的边缘节点,云中心与异构执行体集合双向认证,实现同步拟态任务,边缘节点会开辟进程,在保证其正常任务不受影响的前提下运行拟态任务,操作系统分配内存空间,启动新的进程来运行拟态任务。需要说明的是,正常任务指异构执行体对其近端物联网设备提供的数据服务,拟态任务为异构执行体与云中心双向认证后由云中心发布的任务,即需要构建拟态防御来确保安全性的一些服务,比如权限变更,数据同步等等。
步骤4:云中心发起拟态服务请求,代理服务器会将拟态服务请求发送至异构执行体,所有异构执行体并行处理拟态服务请求,执行拟态任务,并将结果转发至多模裁决模块。
步骤5:多模裁决模块对接受到的输出结果进行一致性裁决,将安全的输出结果输出,将裁决判定为不安全的异构执行体标记为待清洗异构执行体,多模裁决模块将判定安全的裁决结果作为多模裁决模块的输出,并发送至云中心;多模裁决模块并标记输出异常的异构执行体,将处理结果异常的异构执行体标记为待清洗异构执行体,将标记结果发送至策略调度模块。
步骤6:策略调度模块接收到多模裁决模块的输出后,对异构执行体集合进行清洗,将标记为待清洗异构执行体清洗出异构执行体集合,将清洗后的异构执行体集合发送至异构体筛选模块,并调度被清洗的异构执行体终止拟态任务。
步骤7:异构体筛选模块接收到策略调度模块的输出后,根据异构性量化方法从异构池中选取出符合要求的边缘节点以补全异构执行集,并将集合回传至策略调度模块。
步骤8:根据传回的新异构执行集,重复步骤3,步骤4。
在步骤3中,云中心与异构执行体集合双向认证,具体过程如附图5所示,包括:
1)云中心向异构执行体集合中的所有异构执行体发起同步请求;
2)异构执行体向云中心回复确认同步请求;
3)云中心准备拟态任务,并向所有异构执行体下发拟态任务;
4)操作系统分配额外的内存空间,在异构执行体内开辟新的进程来运行拟态任务,准备就绪后向云中心回复准备完毕。
附图5中所提到的边缘节点指被筛选到异构执行体集合中的边缘网络节点。
本发明充分利用网络资源,通过量化计算来构建异构池与组成异构执行体集合,定义异构池丰度和异构执行体集合的异构性,通过丰度阈值和异构性阈值限定异构池和异构执行体集合,避免异构池资源过于单一,并保证异构执行体集合中不同异构执行体间有足够的异构性完成拟态防御的任务。
其中,对于异构池构建模块,异构池构建模块会从边缘网络节点中随机抽取m个边 缘网络节点构建异构池,以下计算公式中所称的节点均为边缘网络节点。本方案中引入丰 度系数来规范异构池,避免异构池资源过于单一,丰度系数借鉴于生物网络中对于网络多 样性的定义,对于异构池G,给定异构池节点集合的元素个数为m,则异构池节点集合可表示 为
Figure 139355DEST_PATH_IMAGE002
,而网络中不同网络资源的集合R的元素总数为k,集合R可表示为
Figure 465294DEST_PATH_IMAGE003
,集合R的幂集定义为
Figure 753056DEST_PATH_IMAGE023
,定义各个资源与节点之间的映射关系定义为
Figure 139038DEST_PATH_IMAGE024
,由此可得出,异构池中每个资源的相对频率为:
Figure 653196DEST_PATH_IMAGE001
(1)
其中,
Figure 389683DEST_PATH_IMAGE004
Figure 407318DEST_PATH_IMAGE005
节点中对应的网络资源,
Figure 354414DEST_PATH_IMAGE006
表示对任意 的节点
Figure 90289DEST_PATH_IMAGE007
而言,其对应的网络资源
Figure 367817DEST_PATH_IMAGE008
出现的相对次数,
Figure 771117DEST_PATH_IMAGE025
表示所有出现的 不同资源的总类数。当每个节点的网络资源均一致时,
Figure 498901DEST_PATH_IMAGE026
,当每个节点的网络资源均不 一样时,
Figure 581127DEST_PATH_IMAGE027
根据香农多样性指数,定义有效资源丰度,则异构池G的丰度可表示为:
Figure 52560DEST_PATH_IMAGE010
(2)
其中,
Figure 185732DEST_PATH_IMAGE011
表示节点
Figure 818838DEST_PATH_IMAGE007
对应的网络资源
Figure 653939DEST_PATH_IMAGE008
出现的相对频率。从公式(2)中可 以看出,通过设置的阈值即丰度阈值来使得异构池的整体丰度维持在一定标准,以免出现 资源重复率过高导致构建的异构执行集合异构度不足。在公式(2)中可以看出,
Figure 929063DEST_PATH_IMAGE028
的最 小值为1,最大值为k,最小时表明所有执行体资源都是一致,最大时表明所有执行体资源均 不相同且唯一。
其中,对于异构执行体筛选模块,需要定义异构执行体集合异构性的量化方法。传统的软硬件异构性定义仅仅侧重于集合间的异构元素的数量多少,而忽视了各个元素之间可能存在的关联,所以本方法将集合元素的复杂度和差异度作为衡量集合异构执行体集合的两个核心参数。定义异构执行体集合的异构性为H,异构执行体集合的复杂度为C,异构执行体集合的差异性为D,则异构执行体集合的异构性定义为:
Figure 775796DEST_PATH_IMAGE029
(3)
对于给定的异构执行体集合
Figure 720749DEST_PATH_IMAGE030
,其中
Figure 918513DEST_PATH_IMAGE031
描述了节点
Figure 856382DEST_PATH_IMAGE032
所有的网络资源信息,
Figure 88780DEST_PATH_IMAGE033
Figure 63689DEST_PATH_IMAGE034
中的网络 资源,
Figure 627044DEST_PATH_IMAGE035
为节点
Figure 978391DEST_PATH_IMAGE034
集合中不同资源的总量,如给定节点的底层芯片指令集为x86,操作系 统为Centos7,web服务器为Nginx,功能主要实现语言为Java,数据库为MySQL,传输协议为 https,则可表示为R={x86, Centos7,Nginx, Java, MySQL, Https}。执行体集合的复杂度 即为此集合资源的丰度,对于大小为n的异构执行体集合F,可以直接借鉴之前定义异构池 丰度的计算公式(1)和公式(2)得到异构执行体集合F的复杂度C为:
Figure 924350DEST_PATH_IMAGE036
(4)
其中,
Figure 335740DEST_PATH_IMAGE013
表示节点
Figure 117883DEST_PATH_IMAGE007
中网络资源
Figure 272920DEST_PATH_IMAGE014
出现的相对频率,
Figure 73386DEST_PATH_IMAGE015
为节点
Figure 921256DEST_PATH_IMAGE007
中网络资源 的总数。
而对于执行体集合的差异度D,统计学中一般采用Jaccard距离来衡量两个不同集合之间的差异度,定义集合的差异度为各个节点之间的Jaccard的均值:
Figure 315329DEST_PATH_IMAGE016
(5)
其中,
Figure 149424DEST_PATH_IMAGE004
Figure 945341DEST_PATH_IMAGE005
节点中对应的网络资源,
Figure 823167DEST_PATH_IMAGE017
Figure 438957DEST_PATH_IMAGE018
节点中对应的网 络资源;
Figure 201376DEST_PATH_IMAGE037
(6)
由此可得集合的异构性为:
Figure 727167DEST_PATH_IMAGE038
(7)
设定异构性H的阈值即异构性阈值可以保证集合间不同执行体间有足够的异构性来完成拟态防御的任务,当异构执行体间资源互异且唯一时,Jaccard距离达到最大值,为1,则异构性最大为k;同理,当所有执行体均一致时,异构性达到最小为0。而在拟态防御的策略调度中,当集合中元素不足时,将会随机从异构池中抽取新的边缘节点,再次计算集合的异构性,若不能达到异构性阈值则抽取新的边缘节点。
其中,对于被清洗的异构执行体,对应的边缘网络节点无需执行挂起或者关闭等操作,被清洗的异构执行体仅需将之前处理拟态任务的进程终止即可,不影响边缘计算网络的正常任务,并省去了系统进程阻塞或者重启的性能开销。而新的异构执行体仅需要开辟拟态任务的进程空间并与云中心同步。
本发明提供了一种面向边缘网络的拟态防御构建方法及系统,此种构建思想不仅限于边缘计算场景,对于其他异构性良好的网络系统,本发明也有很好的参考意义。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种面向边缘计算云中心的拟态防御构建方法,其特征在于,包括以下步骤:
S1、获取边缘网络节点信息:在边缘网络中获取边缘网络设备的边缘网络节点信息,边缘网络节点信息包括资源信息,所述边缘网络节点均为异构节点;
S2、构建异构池:从边缘网络中不断地抽取异构节点构建异构池,对构建的异构池计算异构池丰度,直至所述异构池丰度超出设定的丰度阈值;
S3、在异构池中筛选出异构执行体集合:从异构池中不断地筛选异构节点作为异构执行体,组成异构执行体集合,计算异构执行体集合的异构性,直至所述异构执行体集合的异构性超出设定的异构性阈值,执行S4;若异构池中所有的异构节点都筛选到异构执行体集合中且该异构执行体集合的异构性仍未超出设定的异构性阈值,则返回S2,向异构池中增加新的异构节点;
S4、云中心与异构执行体集合双向认证,实现同步拟态任务:异构执行体可同步进行正常任务和拟态任务,云中心与异构执行体集合双向认证,实现同步拟态任务,异构执行体集合中的所有异构执行体在执行正常任务的基础上开辟拟态任务进程;
S5、动态异构冗余模块调度异构执行体集合中的异构执行体,重新筛选异构执行体集合:异构执行体集合内所有异构执行体并行执行云中心发起的拟态任务,多模裁决模块接收异构执行体集合中输出的所有处理结果,将判定安全的裁决结果作为多模裁决模块的输出,并标记裁决判定为不安全的异构执行体,策略调度模块根据标记结果对异构执行体集合进行清洗调度,重新筛选出异构执行体集合,返回S3;
所述S2中对构建的异构池计算异构池丰度,其中异构池丰度的计算过程为:
S21、计算边缘网络中每个网络资源的相对频率:
Figure 169078DEST_PATH_IMAGE001
其中,
Figure 11133DEST_PATH_IMAGE002
为异构池中的节点集合,
Figure 625916DEST_PATH_IMAGE003
为边缘网络中网络 资源的集合,
Figure 909130DEST_PATH_IMAGE004
Figure 466013DEST_PATH_IMAGE005
节点中对应的网络资源,
Figure 936308DEST_PATH_IMAGE006
表示对任意的节点
Figure 869629DEST_PATH_IMAGE007
而言,其对应的网络资源
Figure 991038DEST_PATH_IMAGE008
出现的相对次数,
Figure 718823DEST_PATH_IMAGE009
表示所有出现的不同资源的总类数;
S22、根据香浓多样性指数计算异构池丰度:
Figure 941994DEST_PATH_IMAGE010
其中,G为构建的异构池,
Figure 147847DEST_PATH_IMAGE011
表示节点
Figure 905455DEST_PATH_IMAGE007
对应的网络资源
Figure 69720DEST_PATH_IMAGE008
出现的相对频率。
2.根据权利要求1所述的一种面向边缘计算云中心的拟态防御构建方法,其特征在于,所述S3中计算异构执行体集合的异构性,其具体过程为:
S31、计算异构执行体集合的复杂度:
Figure 514607DEST_PATH_IMAGE012
其中,
Figure DEST_PATH_IMAGE013
表示节点
Figure 258573DEST_PATH_IMAGE007
中网络资源出现的相对频率,为节点中网络资源的总 数;
S32、采用Jaccard算法计算各异构执行体之间的Jaccard均值:
Figure 90765DEST_PATH_IMAGE020
其中,
Figure 654733DEST_PATH_IMAGE004
Figure 621552DEST_PATH_IMAGE005
节点中对应的网络资源,
Figure 596461DEST_PATH_IMAGE021
Figure 281520DEST_PATH_IMAGE022
节点中对应的网络 资源,
Figure 882135DEST_PATH_IMAGE005
Figure 969040DEST_PATH_IMAGE022
异构执行体集合
Figure 380429DEST_PATH_IMAGE023
的元素;
S33、计算异构执行体集合的差异度:
Figure 287206DEST_PATH_IMAGE024
其中,
Figure DEST_PATH_IMAGE025
Figure 658888DEST_PATH_IMAGE005
节点和
Figure 600299DEST_PATH_IMAGE022
节点之间的Jaccard均值;
S34、根据异构执行体集合的复杂度和差异度计算异构执行体集合的异构性:
Figure 917011DEST_PATH_IMAGE026
其中,C为S31中计算的异构执行体集合的复杂度,D为S33中计算的异构执行体集合的差异度。
3.根据权利要求1所述的一种面向边缘计算云中心的拟态防御构建方法,其特征在于:所述S5中动态异构冗余模块调度异构执行体集合中的异构执行体,重新筛选异构执行体集合,其具体过程为:
S51、异构执行体集合执行拟态任务:云中心通过代理服务器将拟态服务请求发送至异构执行体集合,异构执行体集合中的所有异构执行体并行处理拟态服务请求,执行拟态任务,并将所有的处理结果发送至多模裁决模块;
S52、多模裁决模块输出裁决结果:多模裁决模块接收异构执行体集合中所有的处理结果,并对所有处理结果进行一致性裁决,输出裁决结果;多模裁决模块将判定安全的裁决结果作为多模裁决模块的输出,并发送至云中心;多模裁决模块根据判定安全的裁决结果找出裁决判定为不安全的异构执行体,将裁决判定为不安全的异构执行体标记为待清洗异构执行体,并将标记信息发送至策略调度模块;
S53、策略调度模块对异构执行体集合进行清洗调度:策略调度模块调度异构执行体集合中未标记的异构执行体返回步骤S3,在异构池中筛选出异构执行体集合;策略调度模块清洗已标记的待清洗异构执行体,并控制待清洗异构执行体终止拟态任务。
4.根据权利要求3所述的一种面向边缘计算云中心的拟态防御构建方法,其特征在于:所述S53中策略调度模块控制待清洗异构执行体终止拟态任务后,待清洗异构执行体作为边缘节点,仍执行正常任务。
5.根据权利要求1所述的一种面向边缘计算云中心的拟态防御构建方法,其特征在于:所述S1中资源信息包括边缘网络节点的底层芯片指令集、操作系统、服务器、编程语言、数据库和传输协议。
6.根据权利要求1所述的一种面向边缘计算云中心的拟态防御构建方法,其特征在于:所述S4中异构执行体可同步进行正常任务和拟态任务,其中正常任务包括异构执行体在边缘网络中为边缘网络设备提供的数据服务;拟态任务为异构执行体与云中心双向认证后由云中心发布的任务。
7.一种面向边缘计算云中心的拟态防御构建系统,用于实现如权利要求1-6任一所述的一种面向边缘计算云中心的拟态防御构建方法,其特征在于,包括:云中心、若干边缘网络设备和拟态防御装置;所述云中心与各边缘网络节点相连,边缘节点正常状态下执行正常的数据任务,与云中心的交互为正常数据业务;所述云中心与各边缘节点还通过拟态防御装置进行交互,构建拟态防御,边缘节点通过拟态防御装置执行云中心下发的拟态任务;
所述拟态防御装置包括异构池构建模块、异构执行体筛选模块、边缘节点同步模块和动态异构冗余模块;所述异构池构建模块与边缘网络设备连接,异构执行体筛选模块与异构池构建模块连接,边缘节点同步模块与云中心、异构执行体筛选模块连接,动态异构冗余模块与云中心和异构执行体筛选模块连接。
8.根据权利要求7所述的一种面向边缘计算云中心的拟态防御构建系统,其特征在于:所述动态异构冗余模块包括异构执行模块、多模裁决模块和策略调度模块;
所述异构执行模块接收异构执行体筛选模块输出的异构执行体集合信息,并接收云中心发布的拟态服务请求,异构执行模块向多模裁决模块输出处理结果;多模裁决模块向云中心发送判定安全的裁决结果,并向策略调度模块输出标记结果;策略调度模块根据标记结果清洗异构执行模块,并控制异构执行体筛选模块重新筛选异构执行体集合。
CN202010570625.7A 2020-06-22 2020-06-22 面向边缘计算云中心的拟态防御构建方法及系统 Active CN111478928B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010570625.7A CN111478928B (zh) 2020-06-22 2020-06-22 面向边缘计算云中心的拟态防御构建方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010570625.7A CN111478928B (zh) 2020-06-22 2020-06-22 面向边缘计算云中心的拟态防御构建方法及系统

Publications (2)

Publication Number Publication Date
CN111478928A CN111478928A (zh) 2020-07-31
CN111478928B true CN111478928B (zh) 2020-09-22

Family

ID=71763970

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010570625.7A Active CN111478928B (zh) 2020-06-22 2020-06-22 面向边缘计算云中心的拟态防御构建方法及系统

Country Status (1)

Country Link
CN (1) CN111478928B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112347519B (zh) * 2020-10-28 2022-10-21 河南信大网御科技有限公司 一种拟态OpenStack组件和拟态OpenStack云平台
CN112291253B (zh) * 2020-11-05 2022-05-27 南京邮电大学 基于异构冗余的多接入边缘计算中服务器安全调度方法
CN112702205B (zh) * 2020-12-24 2023-02-14 中国人民解放军战略支援部队信息工程大学 拟态dhr架构下执行体状态监测方法及系统
CN112929208B (zh) * 2021-01-25 2022-02-11 浙江大学 一种拟态虚拟交换机的同分异构体裁决方法
CN116094948B (zh) * 2023-04-12 2023-07-04 乾讯信息技术(无锡)有限公司 一种拟态构造的服务类密码产品实现系统及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995409A (zh) * 2020-02-27 2020-04-10 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10063458B2 (en) * 2013-10-13 2018-08-28 Nicira, Inc. Asymmetric connection with external networks
CN110445787A (zh) * 2019-08-09 2019-11-12 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于dhr架构拟态防御平台的异构性测试装置及方法
CN111010410B (zh) * 2020-03-09 2020-06-16 南京红阵网络安全技术研究院有限公司 一种基于证书身份认证的拟态防御系统及证书签发方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995409A (zh) * 2020-02-27 2020-04-10 南京红阵网络安全技术研究院有限公司 基于部分同态加密算法的拟态防御裁决方法和系统

Also Published As

Publication number Publication date
CN111478928A (zh) 2020-07-31

Similar Documents

Publication Publication Date Title
CN111478928B (zh) 面向边缘计算云中心的拟态防御构建方法及系统
JP6692000B2 (ja) リスク識別方法、リスク識別装置、クラウドリスク識別装置及びシステム
US8701112B2 (en) Workload scheduling
Ali et al. A cost and energy efficient task scheduling technique to offload microservices based applications in mobile cloud computing
CN101715001A (zh) 一种控制网格任务执行的方法
CN112118321A (zh) 一种工业区块链的实用拜占庭容错共识机制优化系统
US7076417B2 (en) Method for modeling and processing asynchronous functional specification for system level architecture synthesis
CN110058949B (zh) 一种基于智能边缘计算的传感云低耦合控制方法
CN104615945A (zh) 一种基于多gpu破解设备的密码破解方法和系统
CN114077742B (zh) 软件漏洞智能挖掘方法和装置
Huang et al. Enabling DNN acceleration with data and model parallelization over ubiquitous end devices
Malik et al. Optimistic synchronization of parallel simulations in cloud computing environments
WO2022029560A1 (en) Managing communication between microservices
Pinyoanuntapong et al. Toward scalable and robust AIoT via decentralized federated learning
Lin et al. A realization of cyber-physical manufacturing control system through industrial internet of things
Zhang et al. Txallo: Dynamic transaction allocation in sharded blockchain systems
Hu et al. Spread: Decentralized model aggregation for scalable federated learning
CN117829313A (zh) 模型训练方法、系统、计算机设备和存储介质
Martyshkin et al. Queueing Theory to Describe Adaptive Mathematical Models of Computational Systems with Resource Virtualization and Model Verification by Similarly Configured Virtual Server
CN116132420B (zh) 一种面向通用互联网平台的集群密码加速方法及装置
CN116582407A (zh) 一种基于深度强化学习的容器化微服务编排系统及方法
Rocha et al. Improving and modeling the performance of a publish-subscribe message broker
Batista et al. Self-adjusting grid networks
Jing et al. Reliability-aware DAG scheduling with primary-backup in cloud computing
Duan et al. Accelerating Distributed DNN Training via Transport Layer Scheduling

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant