CN111988184B - 一种基于态势感知的广播风暴检测与处理方法 - Google Patents

Abstract

本发明公开了一种基于态势感知的广播风暴检测与处理方法，包括以下步骤：步骤一：收集与本地节点建立连接的其他节点信息以及其他节点发送的广播数据包；步骤二：由态势感知系统对广播数据包进行安全评估；步骤三：根据评估出来的结果对其他节点进行健康值评价；步骤四：基于健康值的行为策略；步骤五：态势感知系统对本地节点所处环境进行威胁评估并处理。本发明的方法可针对广播风暴这种威胁进行检测与处理，通过指定时间间隔内有多少节点被列为“不可连接”状态，来判断本地节点的p2p网络总体健康状况，能自动处理广播风暴问题，当2/3节点都采用此系统后，广播风暴将被遏制在节点自身，而不会影响整个p2p网络。

Description

一种基于态势感知的广播风暴检测与处理方法

技术领域

本发明涉及网络态势感知和区块链技术，特别涉及一种基于态势感知的广播风暴检测与处理方法。

背景技术

区块链是一种去中心化的协议，由节点参与的分布式数据库系统，能安全存储数据，且信息透明不可篡改，可以自动执行智能合约，无需任何中心化机构审核。

目前区块链2.0的技术架构采用的是五层架构如图1所示，从下到上分别是数据层、网络层、共识层、激励层、智能合约层。

数据层是最底层的技术，主要是存储区块数据，保证账户和交易的安全。数据存储主要基于Merkle树，通过区块的方式和链式结构实现。账户和交易的安全是基于数字签名，哈希函数以及非对称加密技术实现的。

网络层主要通过P2P网络实现节点的连接和通讯，没有中心服务器，用户之间互相交换信息，每个用户节点都有服务器的功能。

共识层主要实现全网所有节点对交易和数据达成一致，防止各种共识攻击，所以在这一层使用的算法叫做共识算法。

激励层主要通过发行机制实现区块链代币的发行和通过分配机制实现区块链代币的分配。

智能合约就是一段可执行的计算机程序，满足条件时即自动执行。基于区块链的智能合约包括事务处理和保存的机制，以及一个完备的状态机，用于接受和处理各种智能合约；并且事务的保存和状态处理都在区块链上完成。

安全态势感知可以理解为客户的安全大脑，是一个集检测、预警、响应处置为一体的大数据安全分析平台。其以全流量分析为核心，结合威胁报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术，实现威胁可视化、攻击与可疑流量可视化等功能。可有效帮助客户在高级威胁入侵之后，损失发生之前及时发现威胁。

目前区块链主要应用于金融业，金融业本身对大规模共识有需求，且参与人数众多。在交易并发量很大的情况下易产生广播风暴。

发明内容

为了解决上述技术问题，本发明提供一种算法简单、检测精度高的基于态势感知的广播风暴检测与处理方法。

本发明解决上述问题的技术方案是：一种基于态势感知的广播风暴检测与处理方法，包括以下步骤：

步骤一：收集与本地节点建立连接的其他节点信息以及其他节点发送的广播数据包；

步骤二：由态势感知系统对广播数据包进行安全评估；

步骤三：根据评估出来的结果对其他节点进行健康值评价；

步骤四：基于健康值的行为策略；

步骤五：态势感知系统对本地节点所处环境进行威胁评估并处理。

上述基于态势感知的广播风暴检测与处理方法，所述步骤二具体过程为：

2-1)对与本地节点L建立连接的节点P进行识别，先与本地数据库进行身份匹配，若本地数据库不存在节点P信息，则建立新的节点P的身份信息；

2-2)对节点P发送的数据包进行筛选，查看节点P是否在设定时间间隔内发送20次以上相同的广播数据包，若否，则认定节点P此次连接处于正常状态，若是，则认定节点P此次连接处于异常状态，即发生广播风暴；

2-3)将此次连接处于异常状态的节点的吞吐量进行小波包分解，再使用LSTM模型进行匹配计算，针对处于异常状态的节点每分钟发送的数据包量来判断异常节点下一次连接是否发生广播风暴。

上述基于态势感知的广播风暴检测与处理方法，所述步骤2-3)中，LSTM模型匹配计算过程为：

LSTM的结构如下：

第一层神经元是遗忘门的乙状窦控制层：

f_t＝σ(W_f[h_t-1，x_t]+b_f) (1)

f_t表示遗忘门的输出，σ是sigmoid激活函数，W_f是遗忘门的权重，b_f是遗忘门的偏差，[h_t-1，x_t]表示具有相同列合并行数的矩阵或向量，其中h_t-1代表上一次隐层状态向量，x_i代表LSTM的输入向量；

第二层是输入门的sigmoid控制层：

i_t＝σ(W_i[h_t-1，x_t]+b_i) (2)

i_t表示输入门的输出，W_i是输入门的权重，b_i是输入门的偏差；

第三层是tanh层：

表示tanh层的输出，tanh为双曲正切激活函数，W_C是升级值的权重，b_C是升级值的偏差；

通过公式(4)，单元C_t-1的旧状态更新为

C_t-1代表上一次单元的输入激活向量；

最后，公式(5)通过tanh层后，sigmoid的输出门如公式(6)所示，将tanh层的输出与输出门相乘，使遗忘和记忆参数到达最终输出位置；

O_t＝σ(W_o[h_t-1，x_t]+b_o) (5)

h_t＝O_ttanh(C_t) (6)

O_t为输出门的输出，W_o是输出门的权重，b_o是输出门的偏置。

上述基于态势感知的广播风暴检测与处理方法，所述步骤2-3)中，判断异常节点下一次连接是否发生广播风暴的过程为：

当节点在设定时间间隔内发送20次以上相同的广播数据包，则将节点状态认定为异常状态，处于异常状态的节点，态势感知系统基于节点前一小时发送的数据包计算出发包率、传输速率、吞吐量、抖动率、时延网络特征，连接时间不足一小时则以一小时内发送的数据包进行计算，使用这些网络特征进行LSTM模型匹配计算，预测下一分钟节点网络的状态。

上述基于态势感知的广播风暴检测与处理方法，所述步骤三中，

每个与本地节点L建立连接的节点P在正常状态下都有一个预设的健康值，设第一次连接处于正常状态下的预设健康值为P₀；建立健康评价模型如下：

正常状态下：

R_n＝R_n-1+T×W_R，R_n∈{0，100}，W_R∈{0，10}

R₁＝P₀+T×W_R

异常状态下：

R_n＝R_n-1-t_i，t_i∈{0，100}

P₀表示预设健康值，R_n和R_n-1分别代表第n和n-1次建立连接的节点健康值，W_R表示健康值权重，T为时间权重，低于1小时则为0，超过一小时则为1；t_i为时间累加值，每10秒自加1；当某个节点连接已超过一小时，则当此节点断开后再连接时，W_R自加1；

当节点P处于正常状态下，增加节点P的健康值，节点健康值的上限值为100，到达上限值后健康值不再增加；

当节点P处于异常状态下，降低节点P的健康值，若异常节点P在指定时间间隔内恢复正常，则返还扣除的健康值；当节点P持续处于异常状态下，节点P的健康值将不断减低直至设定的危险阈值，此时节点P处于危险状态。

上述基于态势感知的广播风暴检测与处理方法，所述步骤四中，基于健康值的行为策略为：

当节点处于正常状态时，节点健康值随时间的增加而持续增加，下一次本地节点L优先连接健康值更高的节点；

当节点处于异常状态时，判断异常节点的健康值是否满足本地节点L连接所设定阈值，若满足，则本地节点L继续保持与此异常节点的连接，若不满足，则暂时断开与此异常节点的连接，基于异常节点的当前健康值与健康值上限的差值，判断下一次建立连接的时间间隔；

具体公式如下：

T_n+1＝(100-R_n)×3600

T_n+1为下次建立连接的时间间隔，单位为秒；

当节点处于危险状态时，即节点的健康值下降至危险阈值；本地节点L在数据库中对此危险节点标记为“不可连接”；下次危险节点尝试与本地节点L建立连接，本地节点L拒绝连接。

上述基于态势感知的广播风暴检测与处理方法，所述步骤五具体过程为：

5-1)态势感知系统实时计算本地节点在某时段内“不可连接”的节点数目，针对“不可连接”节点数目进行网络环境的威胁评估；当“不可连接”的节点数目达到总节点数目的三分之一时，威胁等级为一级，此时进入步骤5-2)；当“不可连接”的节点数目达到总节点数目的二分之一时，威胁等级为二级，此时进入步骤5-3)；“不可连接”的节点数目达到总节点数目的三分之二时，进入步骤5-4)；

5-2)态势感知系统对本地节点进行网络预警，进入步骤5-5)；

5-3)态势感知系统发送预警信息给本地节点，交由本地节点进行处理；当本地节点不进行处理时，态势感知系统自动断开与异常节点的连接，进入步骤5-5)；

5-4)态势感知系统直接自动断开与异常节点的连接，扼制广播风暴的进一步扩散，进入步骤5-5)；

5-5)态势感知系统将处理结果反馈给本地节点，以日志形式保持。

本发明的有益效果在于：本发明首先收集与本地节点建立连接的其他节点信息以及其他节点发送的广播数据包；然后由态势感知系统对广播数据包进行安全评估；接着根据评估出来的结果对其他节点进行健康值评价；再基于健康值进行行为策略；最后步骤五：态势感知系统对本地节点所处环境进行威胁评估并处理。本发明的方法可针对广播风暴这种威胁进行检测与处理，通过指定时间间隔内有多少节点被列为“不可连接”状态，来判断本地节点的p2p网络总体健康状况，能自动处理广播风暴问题，当2/3节点都采用此系统后，广播风暴将被遏制在节点自身，而不会影响整个p2p网络。

附图说明

图1为区块链2.0技术的架构图。

图2为本发明的工作流程图。

图3为本发明中态势感知系统的构建流程图。

图4为LSTM模型图。

具体实施方式

下面结合附图和实施例对本发明做进一步的说明。

如图2所示，一种基于态势感知的广播风暴检测与处理方法，包括以下步骤：

步骤一：收集与本地节点建立连接的其他节点信息以及其他节点发送的广播数据包。

步骤二：由态势感知系统对广播数据包进行安全评估。具体过程为：

2-1)对与本地节点L建立连接的节点P进行识别，先与本地数据库进行身份匹配，若本地数据库不存在节点P信息，则建立新的节点P的身份信息并赋予初始健康值；

2-2)对节点P发送的数据包进行筛选，查看节点P是否在设定时间间隔内发送20次以上相同的广播数据包，若否，则认定节点P此次连接处于正常状态，若是，则认定节点P此次连接处于异常状态，即发生广播风暴；

2-3)将此次连接处于异常状态的节点的吞吐量进行小波包分解，再使用LSTM模型进行匹配计算，针对处于异常状态的节点每分钟发送的数据包量来判断异常节点下一次连接是否发生广播风暴。

图4为LSTM模型示意图，LSTM模型的构建过程为：首先模拟本地区块链网络，提高并发量以产生广播风暴；抓取数据包并记录每分钟的网络特征，使用小波包分解对数据进行预处理；采用LSTM模型进行训练，查看与真实值的误差并进行进一步调整，得到训练好的LSTM模型。

LSTM模型匹配计算过程为：

LSTM的结构如下：

第一层神经元是遗忘门的乙状窦控制层：

f_t＝σ(W_f[h_t-1，x_t]+b_f) (1)

f_t表示遗忘门的输出，σ是sigmoid激活函数，W_f是遗忘门的权重，b_f是遗忘门的偏差，[h_t-1，x_t]表示具有相同列合并行数的矩阵或向量，其中h_t-1代表上一次隐层状态向量，x_t代表LSTM的输入向量；

第二层是输入门的sigmoid控制层：

i_t＝σ(W_i[h_t-1，x_i]+b_i) (2)

i_t表示输入门的输出，W_i是输入门的权重，b_i是输入门的偏差；

第三层是tanh层：

表示tanh层的输出，tanh为双曲正切激活函数，W_C是升级值的权重，b_C是升级值的偏差；

通过公式(4)，单元C_t-1的旧状态更新为

C_t-1代表上一次单元的输入激活向量；

最后，公式(5)通过tanh层后，sigmoid的输出门如公式(6)所示，将tanh层的输出与输出门相乘，使遗忘和记忆参数到达最终输出位置；

O_t＝σ(W_o[h_t-1，x_t]+b_o) (5)

h_t＝O_ttanh(C_t) (6)

O_t为输出门的输出，W_o是输出门的权重，b_o是输出门的偏置。

判断异常节点下一次连接是否发生广播风暴的过程为：

当节点在设定时间间隔内发送20次以上相同的广播数据包，则将节点状态认定为异常状态，处于异常状态的节点，态势感知系统基于节点前一小时发送的数据包计算出发包率、传输速率、吞吐量、抖动率、时延网络特征，连接时间不足一小时则以一小时内发送的数据包进行计算，使用这些网络特征进行LSTM模型匹配计算，预测下一分钟节点网络的状态。

步骤三：根据评估出来的结果对其他节点进行健康值评价。

每个与本地节点L建立连接的节点P在正常状态下都有一个预设的健康值，设第一次连接处于正常状态下的预设健康值为P₀；每个节点基于连接时间长短和次数，都增加节点健康值；健康值的计算由本地节点完成，每个p2p节点所处环境不同，健康值的增幅也不同；建立健康评价模型如下：

正常状态下：

R_n＝R_n-1+T×W_R，R_n∈{0，100}，W_b∈{0，10}

R₁＝P₀+T×W_R

异常状态下：

R_n＝R_n-1-t_i，t_i∈{0，100}

P₀表示预设健康值，R_n和R_n-1分别代表第n和n-1次建立连接的节点健康值，W_R表示健康值权重，T为时间权重，低于1小时则为0，超过一小时则为1；t_i为时间累加值，每10秒自加1；当某个节点连接已超过一小时，则当此节点断开后再连接时，W_R自加1。

当节点P处于正常状态下，增加节点P的健康值，节点健康值的上限值为100，到达上限值后健康值不再增加；

当节点P处于异常状态下，降低节点P的健康值，若异常节点P在指定时间间隔内恢复正常，则返还扣除的健康值；当节点P持续处于异常状态下，节点P的健康值将不断减低直至设定的危险阈值，此时节点P处于危险状态。

步骤四：基于健康值的行为策略。

当节点处于正常状态时，节点健康值随时间的增加而持续增加，下一次本地节点L优先连接健康值更高的节点；

当节点处于异常状态时，判断异常节点的健康值是否满足本地节点L连接所设定阈值，若满足，则本地节点L继续保持与此异常节点的连接，若不满足，则暂时断开与此异常节点的连接，基于异常节点的当前健康值与健康值上限的差值，判断下一次建立连接的时间间隔；

具体公式如下：

T_n+1＝(100-R_n)×3600

T_n+1为下次建立连接的时间间隔，单位为秒；

当节点处于危险状态时，即节点的健康值下降至危险阈值；本地节点L在数据库中对此危险节点标记为“不可连接”；下次危险节点尝试与本地节点L建立连接，本地节点L拒绝连接。

步骤五：态势感知系统对本地节点所处环境进行威胁评估并处理。具体过程为：

5-1)态势感知系统实时计算本地节点在某时段内“不可连接”的节点数目，针对“不可连接”节点数目进行网络环境的威胁评估；当“不可连接”的节点数目达到总节点数目的三分之一时，威胁等级为一级，此时进入步骤5-2)；当“不可连接”的节点数目达到总节点数目的二分之一时，威胁等级为二级，此时进入步骤5-3)；“不可连接”的节点数目达到总节点数目的三分之二时，进入步骤5-4)；

5-2)态势感知系统对本地节点进行网络预警，进入步骤5-5)；

5-3)态势感知系统发送预警信息给本地节点，交由本地节点进行处理；当本地节点不进行处理时，态势感知系统自动断开与异常节点的连接，进入步骤5-5)；

5-4)态势感知系统直接自动断开与异常节点的连接，扼制广播风暴的进一步扩散，进入步骤5-5)；

5-5)态势感知系统将处理结果反馈给本地节点，以日志形式保持。

Claims (3)

1.一种基于态势感知的广播风暴检测与处理方法，其特征在于，包括以下步骤：

步骤一：收集与本地节点建立连接的其他节点信息以及其他节点发送的广播数据包；

步骤二：由态势感知系统对广播数据包进行安全评估；

所述步骤二具体过程为：

2-1)对与本地节点L建立连接的节点P进行识别，先与本地数据库进行身份匹配，若本地数据库不存在节点P信息，则建立新的节点P的身份信息；

2-2)对节点P发送的数据包进行筛选，查看节点P是否在设定时间间隔内发送20次以上相同的广播数据包，若否，则认定节点P此次连接处于正常状态，若是，则认定节点P此次连接处于异常状态，即发生广播风暴；

2-3)将此次连接处于异常状态的节点的吞吐量进行小波包分解，再使用LSTM模型进行匹配计算，针对处于异常状态的节点每分钟发送的数据包量来判断异常节点下一次连接是否发生广播风暴；

所述步骤2-3)中，判断异常节点下一次连接是否发生广播风暴的过程为：

当节点在设定时间间隔内发送20次以上相同的广播数据包，则将节点状态认定为异常状态，处于异常状态的节点，态势感知系统基于节点前一小时发送的数据包计算出发包率、传输速率、吞吐量、抖动率、时延网络特征，连接时间不足一小时则以一小时内发送的数据包进行计算，使用这些网络特征进行LSTM模型匹配计算，预测下一分钟节点网络的状态；

步骤三：根据评估出来的结果对其他节点进行健康值评价；

所述步骤三中，每个与本地节点L建立连接的节点P在正常状态下都有一个预设的健康值，设第一次连接处于正常状态下的预设健康值为P₀；建立健康评价模型如下：

正常状态下：

R_n＝R_n-1+T×W_R，R_n∈{0，100}，W_R∈{0，10}

R₁＝P₀+T×W_R

异常状态下：

R_n＝R_n-1-t_i，t_i∈{0，100}

P₀表示预设健康值，R_n和R_n-1分别代表第n和n-1次建立连接的节点健康值，W_R表示健康值权重，T为时间权重，低于1小时则为0，超过一小时则为1；t_i为时间累加值，每10秒自加1；当某个节点连接已超过一小时，则当此节点断开后再连接时，W_R自加1；

当节点P处于正常状态下，增加节点P的健康值，节点健康值的上限值为100，到达上限值后健康值不再增加；

当节点P处于异常状态下，降低节点P的健康值，若异常节点P在指定时间间隔内恢复正常，则返还扣除的健康值；当节点P持续处于异常状态下，节点P的健康值将不断减低直至设定的危险阈值，此时节点P处于危险状态；

步骤四：基于健康值的行为策略；

基于健康值的行为策略为：

当节点处于正常状态时，节点健康值随时间的增加而持续增加，下一次本地节点L优先连接健康值更高的节点；

当节点处于异常状态时，判断异常节点的健康值是否满足本地节点L连接所设定阈值，若满足，则本地节点L继续保持与此异常节点的连接，若不满足，则暂时断开与此异常节点的连接，基于异常节点的当前健康值与健康值上限的差值，判断下一次建立连接的时间间隔；

具体公式如下：

T_n+1＝(100-R_n)×3600

T_n+1为下次建立连接的时间间隔，单位为秒；

当节点处于危险状态时，即节点的健康值下降至危险阈值；本地节点L在数据库中对此危险节点标记为“不可连接”；下次危险节点尝试与本地节点L建立连接，本地节点L拒绝连接；

步骤五：态势感知系统对本地节点所处环境进行威胁评估并处理。

2.根据权利要求1所述的基于态势感知的广播风暴检测与处理方法，其特征在于，所述步骤2-3)中，LSTM模型匹配计算过程为：

LSTM的结构如下：

第一层神经元是遗忘门的乙状窦控制层：

f_t＝σ(W_f[h_t-1，x_t]+b_f) (1)

f_t表示遗忘门的输出，σ是sigmoid激活函数，W_f是遗忘门的权重，b_f是遗忘门的偏差，[h_t-1，x_t]表示具有相同列合并行数的矩阵或向量，其中h_t-1代表上一次隐层状态向量，x_t代表LSTM的输入向量；

第二层是输入门的sigmoid控制层：

i_t＝σ(W_i[h_t-1，x_t]+b_i) (2)

i_t表示输入门的输出，W_i是输入门的权重，b_i是输入门的偏差；

第三层是tanh层：

表示tanh层的输出，tanh为双曲正切激活函数，W_C是升级值的权重，b_C是升级值的偏差；

通过公式(4)，单元C_t-1的旧状态更新为

C_t-1代表上一次单元的输入激活向量；

最后，公式(5)通过tanh层后，sigmoid的输出门如公式(6)所示，将tanh层的输出与输出门相乘，使遗忘和记忆参数到达最终输出位置；

O_t＝σ(W_o[h_t-1，x_t]+b_o) (5)

h_t＝O_ttanh(C_t) (6)

Q_t为输出门的输出，W_o是输出门的权重，b_o是输出门的偏置。

3.根据权利要求2所述的基于态势感知的广播风暴检测与处理方法，其特征在于，所述步骤五具体过程为：

5-1)态势感知系统实时计算本地节点在某时段内“不可连接”的节点数目，针对“不可连接”节点数目进行网络环境的威胁评估；当“不可连接”的节点数目达到总节点数目的三分之一时，威胁等级为一级，此时进入步骤5-2)；当“不可连接”的节点数目达到总节点数目的二分之一时，威胁等级为二级，此时进入步骤5-3)；“不可连接”的节点数目达到总节点数目的三分之二时，进入步骤5-4)；

5-2)态势感知系统对本地节点进行网络预警，进入步骤5-5)；

5-3)态势感知系统发送预警信息给本地节点，交由本地节点进行处理；当本地节点不进行处理时，态势感知系统自动断开与异常节点的连接，进入步骤5-5)；

5-4)态势感知系统直接自动断开与异常节点的连接，扼制广播风暴的进一步扩散，进入步骤5-5)；

5-5)态势感知系统将处理结果反馈给本地节点，以日志形式保持。

Images