CN112073430B - 一种基于多代理中继的网络安全监测方法 - Google Patents

一种基于多代理中继的网络安全监测方法 Download PDF

Info

Publication number
CN112073430B
CN112073430B CN202010994354.8A CN202010994354A CN112073430B CN 112073430 B CN112073430 B CN 112073430B CN 202010994354 A CN202010994354 A CN 202010994354A CN 112073430 B CN112073430 B CN 112073430B
Authority
CN
China
Prior art keywords
node
mar
message
nodes
topology
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010994354.8A
Other languages
English (en)
Other versions
CN112073430A (zh
Inventor
王栋
朱志成
孟凯锋
王其乐
王寅生
刘宇星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongneng Power Tech Development Co Ltd
Original Assignee
Zhongneng Power Tech Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongneng Power Tech Development Co Ltd filed Critical Zhongneng Power Tech Development Co Ltd
Priority to CN202010994354.8A priority Critical patent/CN112073430B/zh
Publication of CN112073430A publication Critical patent/CN112073430A/zh
Application granted granted Critical
Publication of CN112073430B publication Critical patent/CN112073430B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开的属于网络安全技术领域,具体为一种基于多代理中继的网络安全监测方法,包括Agent标识生成、Echo报文建立初始拓扑、MAR计算、TT报文拓扑传递建立拓扑、选举集中节点,其中具体的操作步骤为:S1:所述Agent标识生成算法生成各自唯一Agent标识;S2:所述Agent标识节点通过基于UDP的Echo报文发现相邻节点,并建立所述Echo报文建立初始拓扑;S3:所述MAR计算所述Echo报文建立初始拓扑节点后,将根据最小MAR集选择算法生成MAR集;本发明结构设计科学合理,实现网络安全集中监控系统的全面覆盖,实现网络安全集中监控管理的去中心化问题,实现多点冗余备份,提升系统安全系数。

Description

一种基于多代理中继的网络安全监测方法
技术领域
本发明涉及网络安全技术领域,具体为一种基于多代理中继的网络安全监测方法。
背景技术
2017年,中国国家互联网信息安全办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》。2019年12月31日,国家市场监督管理总局、国家标准化管理委员会发布的等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》开始实施。关键基础设施信息安全保护已成为国家层面上的重要关注领域之一,因而对其信息安全问题解决方案的研究已迫在眉睫。
工业领域中,工控系统的关键基础设施地理位置分散且数量众多、接入环境复杂且方式多样,易于遭受非法入侵与攻击。工业监测系统一般来说,以内部局域网为主,随着信息化、智能化的到来,工业监控系统不可避免的要与外界网络进行信息交换。外部环境,尤其是互联网环境中,网络攻击技术对于传统工业监控系统构成极大威胁。
工业监控系统,以电力监控系统为例,安全防护主要以“安全分区、网络专用、横向隔离、纵向加密”进行架构上的安全设计。在这种架构上,传统的网络安全监测系统由于逻辑隔离、物理隔离、纵向加密等边界设备的存在,网络架构内通讯安全策略主要以白名单为主,以单点为中心的集中监控系统难以做到进行整个系统的网络安全监测,从而导致关键基础设施信息安全的集中监控无法全面覆盖。
为此,我们提出一种基于多代理中继的网络安全监测方法。
发明内容
本部分的目的在于概述本发明的实施方式的一些方面以及简要介绍一些较佳实施方式。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
因此,本发明的目的是提供一种基于多代理中继的网络安全监测方法,能够解决上述提出传统的网络安全监测系统由于逻辑隔离、物理隔离、纵向加密等边界设备的存在,网络架构内通讯安全策略主要以白名单为主,以单点为中心的集中监控系统难以做到进行整个系统的网络安全监测,从而导致关键基础设施信息安全的集中监控无法全面覆盖的问题。
为解决上述技术问题,根据本发明的一个方面,本发明提供了如下技术方案:
一种基于多代理中继的网络安全监测方法,其包括:Agent标识生成、Echo报文建立初始拓扑、MAR计算、TT报文拓扑传递建立拓扑、选举集中节点,其中具体的操作步骤为:
S1:所述Agent标识生成算法生成各自唯一Agent标识;
S2:所述Agent标识节点通过基于UDP的Echo报文发现相邻节点,并建立所述Echo报文建立初始拓扑;
S3:所述MAR计算所述Echo报文建立初始拓扑节点后,将根据最小MAR集选择算法生成MAR集;
S4:将各自MAR集广播,各节点根据MAR集广播,建立各自MS集;
S5:所述MS集利用所述TT报文拓扑传递建立拓扑,并建立节点内拓扑表;
S6:各节点利用Dijkstra最短路径选路算法计算各自路由表;
S7:各中继节点利用集中节点选择算法选举集中节点。
作为本发明所述的一种基于多代理中继的网络安全监测方法的一种优选方案,其中:所述Agent标识生成的产生算法为:
步骤1:通过根据椭圆曲线算法生成私钥PrivateKey;
步骤2:获取服务器的CPU序列号和MAC地址;
步骤3:对其生成的私钥PrivateKey+CPU序列号+MAC地址连续两次sha-256运算,之后再取其前4个字节作为校验码checksum;
步骤4:再对转换过的PrivateKey的后面拼接上checksum得到字节数组result;
步骤5:最后再对字节数组result进行base64编码,得到该Agent的标识;
Agent标识与该服务器一一对应,不但包含了该Agent的私钥信息,也包含了包含了服务器的关键硬件信息。
作为本发明所述的一种基于多代理中继的网络安全监测方法的一种优选方案,其中:所述Echo报文建立初始拓扑分为两种,Echo1报文和Echo2报文,所述Echo1报文主要包含节点本身的信息,用于标明节点身份;所述Echo2报文主要包含节点的相邻节点拓扑信息,用于后续的MAR多代理中继机制构建;
具体的步骤为:
步骤1:节点i在网络内广播发出Echo1报文,同时也监听Echo1报文;
步骤2:节点i接收到相邻节点j的Echo1报文后,将j加入M1(i),同时对节点j发送Echo2报文;Echo2报文包含了所有的M1(i)节点信息和MAR(i)信息;
步骤3:节点i接受到相邻节点j的Echo2报文后,将M1(j)节点信息加入到M2(i),其中如果M1(j)集合中节点x∈M1(i),则x不能加入到M2(i);根据MAR(j)信息,更新节点i的MS(i)信息;
Echo报文基于UDP发送,以一定的时间周期为循环进行,如果节点i收到节点j的信息变化,则对其M1(i),M2(i)进行更新,并重新计算节点i的MAR及其路由表。
作为本发明所述的一种基于多代理中继的网络安全监测方法的一种优选方案,其中:所述MAR计算采用MAR多代理中继机制:
监测节点选择部分相邻代理节点作为它的中继节点,只有被选择的中继节点转发节点的消息;
MAR机制主要通过两个子算法来实现:
a.最小MAR集选择算法;
b.最短传递路径集中节点选择算法。
作为本发明所述的一种基于多代理中继的网络安全监测方法的一种优选方案,其中:所述a.最小MAR集选择算法与所述b.最短传递路径集中节点选择算法的算法要求:
网络中每个节点独立地计算自己的MAR集;
MAR集选定应满足下列条件:首先,节点i的MAR集元素取自于i的相邻节点集;其次选定的相邻节点必须能覆盖i的全部二跳节点,因此可将最小MAR集选择问题转变为如下数学模型的表达形式:定义节点i的MAR集为集合S,其一跳邻居节点的集合为M1(i),二跳邻居节点的集合为M2(i),据MAR集的选定的必要条件:
Figure GDA0003846005290000041
Figure GDA0003846005290000042
Figure GDA0003846005290000043
其中,y的集合S便是节点i的MAR集,算法要解决的问题是在符合上述条件的基础上使得MAR个数最少。
作为本发明所述的一种基于多代理中继的网络安全监测方法的一种优选方案,其中:所述a.最小MAR集选择算法与所述b.最短传递路径集中节点选择算法的算法描述:
如果节点i的相邻节点为j,则定义节点i覆盖节点j;
定义节点i在某个网络中的相邻节点数为节点i在某个集合中的覆盖数;传统的最小MAR(i)集选择算法描述如下:
步骤1:定义节点i的MAR(i)集为S,且初始化S为空;
步骤2:对于M1(i)中所有的节点,分别获取它们在M2(i)中所能覆盖的节点个数;
步骤3:对于M1(i)中的任一节点,如果该节点存在唯一的相邻节点,则将此节点加入S的集合中;
步骤4:如果M2(i)中还存在未被S中任一节点所覆盖的节点,则对于M1(i)中未被加进S的节点,将其在M2(i)中具有最大覆盖数的一个节点加入S的集合中;
步骤5:跳转到步骤4直到M2(i)中不存在未被S中任一节点所覆盖的节点;
步骤6:在将S中覆盖数最小的节点退出S的情况下,测试此时在M2(i)中是否存在未被S中任何节点覆盖的二跳节点,如果存在则说明该节点不能退出S,否则将该节点退出S;
步骤7:验证S中是否存在未选定的节点,存在则继续进行步骤3,否则算法结束;
上述方法的优点在于计算简单且快速,理想情况下算法复杂度为O(n×log(n)),最坏情况下算法复杂度为n2
算法计算完毕得到节点i的MAR(i)。
作为本发明所述的一种基于多代理中继的网络安全监测方法的一种优选方案,其中:所述MAR计算完毕后,所述TT报文拓扑传递建立拓扑对外发布拓扑信息,主要是对外告知该节点的MAR集;MAR集为空的节点不发送TT报文;
TT报文包括:节点i的拓扑信息(其中MAR(i)不能为空)、MAR(i)信息序列号MSSN、时间戳,MAR(i)信息变化是MSSN单向增加;
T_dest:目标节点;T_last:中继节点;T_seq:MSSN;T_time:该条信息保持时间,过期删除该条目;
某节点j收到节点i的TT报文后,做如下处理:
步骤1:如果节点i不属于MAR(j),节点j根据TT报文更新其内部拓扑表;拓扑表的更新遵循条件:
c)如果拓扑表中存在的条目T_last与接受到的TT报文T_dest相同,并且TT报文的MSSN值小于该条目T_seq,那么丢掉此分组;
d)如果拓扑表中存在的条目T_last与接受到的TT报文T_dest相同,并且TT报文的MSSN值大于该条目T_seq,那么删除拓扑表中所有该T_last的条目,并且记录新的拓扑信息;
如果拓扑表中不存在与接受到的TT报文T_dest相同的T_last条目,则在拓扑表中记录新的拓扑条目。
作为本发明所述的一种基于多代理中继的网络安全监测方法的一种优选方案,其中:所述路由表(Routing table)计算:
R_dest_addr:路由目标节点;R_next_addr:下一跳路由节点;R_dist:本节点到目的节点跳数。
路由协议采用Dijkstra最短路径选路算法进行选路。
作为本发明所述的一种基于多代理中继的网络安全监测方法的一种优选方案,其中:所述选举集中节点算法:各路由表确定后,在各中继节点中选举集中节点,选举节点的原则为传递路径最短;
算法步骤为:
步骤1:如果节点i,其MS(i)不为空,则节点i其他节点j请求告知j-i的R_dist路由节点跳数;
步骤2:节点i对于j-i的R_dist进行累加;
步骤3:节点i遍历完网络中所有节点,计算到Sum_dist(i),并广播Sum_dist(i);
步骤4:所有MS(i)不为空节点广播完毕后,选举Sum_dist最小节点为集中节点。
作为本发明所述的一种基于多代理中继的网络安全监测方法的一种优选方案,其中:对于网络内,每个服务器被视为一个监测节点,每个监测节点将安装一个代理,每个代理运行都相对独立,每个节点相邻节点的节点距离设定为1,节点间距离等于2的节点定义为二跳节点;
定义节点i的M1(i)为节点i的相邻节点集合;
定义节点i的M2(i)为节点i的二跳邻居节点的集合为M2(i);
定义节点i的多代理中继节点集合为MAR(i);
定义MS(i)为网络中节点i所需代理的其他节点的集合,节点i需根据自身路由表设定转发MS(i)中节点的信息;
定义MSSN为MAR(i)信息序列号;
定义所有MS(i)不为空的节点为中继节点;
定义集中节点网络中负责统一收集、记录并分发各节点基本信息和安全信息的节点。
与现有技术相比:该基于多代理中继的网络安全监测方法,由逻辑隔离、物理隔离等设备设施存在的前提下,通过多代理中继机制实现安全信息的中继传递,实现网络安全集中监控系统的全面覆盖,实现网络安全集中监控管理的去中心化问题,实现多点冗余备份,提升系统安全系数。
附图说明
为了更清楚地说明本发明实施方式的技术方案,下面将结合附图和详细实施方式对本发明进行详细说明,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明整体算法流程图;
图2为本发明MAR多代理中继架构下的网络安全集中监控系统示意图;
图3为本发明Echo1报文的组成示意图;
图4为本发明Echo2报文的组成示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施方式的限制。
其次,本发明结合示意图进行详细描述,在详述本发明实施方式时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。
本发明提供一种基于多代理中继的网络安全监测方法,具有实现网络安全集中监控管理的去中心化问题,实现多点冗余备份,提升系统安全系数的优点,请参阅图1-图4;包括Agent标识生成、Echo报文建立初始拓扑、MAR计算、TT报文拓扑传递建立拓扑、选举集中节点,其中具体的操作步骤为:
S1:所述Agent标识生成算法生成各自唯一Agent标识;
S2:所述Agent标识节点通过基于UDP的Echo报文发现相邻节点,并建立所述Echo报文建立初始拓扑;
S3:所述MAR计算所述Echo报文建立初始拓扑节点后,将根据最小MAR集选择算法生成MAR集;
S4:将各自MAR集广播,各节点根据MAR集广播,建立各自MS集;
S5:所述MS集利用所述TT报文拓扑传递建立拓扑,并建立节点内拓扑表;
S6:各节点利用Dijkstra最短路径选路算法计算各自路由表;
S7:各中继节点利用集中节点选择算法选举集中节点;
对于网络内,每个服务器被视为一个监测节点,每个监测节点将安装一个代理,每个代理运行都相对独立,每个节点相邻节点的节点距离设定为1,节点间距离等于2的节点定义为二跳节点;
定义节点i的M1(i)为节点i的相邻节点集合;
定义节点i的M2(i)为节点i的二跳邻居节点的集合为M2(i);
定义节点i的多代理中继节点集合为MAR(i);
定义MS(i)为网络中节点i所需代理的其他节点的集合,节点i需根据自身路由表设定转发MS(i)中节点的信息;
定义MSSN为MAR(i)信息序列号;
定义所有MS(i)不为空的节点为中继节点;
定义集中节点网络中负责统一收集、记录并分发各节点基本信息和安全信息的节点。
进一步的,所述Agent标识生成的产生算法为:
步骤1:通过根据椭圆曲线算法生成私钥PrivateKey;
步骤2:获取服务器的CPU序列号和MAC地址;
步骤3:对其生成的私钥PrivateKey+CPU序列号+MAC地址连续两次sha-256运算,之后再取其前4个字节作为校验码checksum;
步骤4:再对转换过的PrivateKey的后面拼接上checksum得到字节数组result;
步骤5:最后再对字节数组result进行base64编码,得到该Agent的标识;
Agent标识与该服务器一一对应,不但包含了该Agent的私钥信息,也包含了包含了服务器的关键硬件信息。
进一步的,所述Echo报文建立初始拓扑分为两种,Echo1报文和Echo2报文,所述Echo1报文主要包含节点本身的信息,用于标明节点身份;所述Echo2报文主要包含节点的相邻节点拓扑信息,用于后续的MAR多代理中继机制构建;
具体的步骤为:
步骤1:节点i在网络内广播发出Echo1报文,同时也监听Echo1报文;
步骤2:节点i接收到相邻节点j的Echo1报文后,将j加入M1(i),同时对节点j发送Echo2报文;Echo2报文包含了所有的M1(i)节点信息和MAR(i)信息;
步骤3:节点i接受到相邻节点j的Echo2报文后,将M1(j)节点信息加入到M2(i),其中如果M1(j)集合中节点x∈M1(i),则x不能加入到M2(i);根据MAR(j)信息,更新节点i的MS(i)信息;
Echo报文基于UDP发送,以一定的时间周期为循环进行,如果节点i收到节点j的信息变化,则对其M1(i),M2(i)进行更新,并重新计算节点i的MAR及其路由表。
进一步的,所述MAR计算采用MAR多代理中继机制;
如图4所示,众节点中,通过MAR机制选择网络拓扑中的A、C、E、F组成骨干节点,其中C、E、F为中继节点,A为集中节点;
监测节点选择部分相邻代理节点作为它的中继节点,只有被选择的中继节点转发节点的消息;
MAR机制主要通过两个子算法来实现:
a.最小MAR集选择算法;
b.最短传递路径集中节点选择算法。
进一步的,所述a.最小MAR集选择算法与所述b.最短传递路径集中节点选择算法的算法要求:
网络中每个节点独立地计算自己的MAR集;
MAR集选定应满足下列条件:首先,节点i的MAR集元素取自于i的相邻节点集;其次选定的相邻节点必须能覆盖i的全部二跳节点,因此可将最小MAR集选择问题转变为如下数学模型的表达形式:定义节点i的MAR集为集合S,其一跳邻居节点的集合为M1(i),二跳邻居节点的集合为M2(i),据MAR集的选定的必要条件:
Figure GDA0003846005290000121
Figure GDA0003846005290000122
Figure GDA0003846005290000123
其中,y的集合S便是节点i的MAR集,算法要解决的问题是在符合上述条件的基础上使得MAR个数最少。
进一步的,所述a.最小MAR集选择算法与所述b.最短传递路径集中节点选择算法的算法描述:
如果节点i的相邻节点为j,则定义节点i覆盖节点j;
定义节点i在某个网络中的相邻节点数为节点i在某个集合中的覆盖数;传统的最小MAR(i)集选择算法描述如下:
步骤1:定义节点i的MAR(i)集为S,且初始化S为空;
步骤2:对于M1(i)中所有的节点,分别获取它们在M2(i)中所能覆盖的节点个数;
步骤3:对于M1(i)中的任一节点,如果该节点存在唯一的相邻节点,则将此节点加入S的集合中;
步骤4:如果M2(i)中还存在未被S中任一节点所覆盖的节点,则对于M1(i)中未被加进S的节点,将其在M2(i)中具有最大覆盖数的一个节点加入S的集合中;
步骤5:跳转到步骤4直到M2(i)中不存在未被S中任一节点所覆盖的节点;
步骤6:在将S中覆盖数最小的节点退出S的情况下,测试此时在M2(i)中是否存在未被S中任何节点覆盖的二跳节点,如果存在则说明该节点不能退出S,否则将该节点退出S;
步骤7:验证S中是否存在未选定的节点,存在则继续进行步骤3,否则算法结束;
上述方法的优点在于计算简单且快速,理想情况下算法复杂度为O(n×log(n)),最坏情况下算法复杂度为n2
算法计算完毕得到节点i的MAR(i)。
进一步的,节点i的MAR计算完毕后,由拓扑表传递(Topology Transfer)报文(TT报文)对外发布拓扑信息,主要是对外告知该节点的MAR集,MAR集为空的节点不发送TT报文;
TT报文包括:节点i的拓扑信息(其中MAR(i)不能为空)、MAR(i)信息序列号MSSN、时间戳。MAR(i)信息变化是MSSN单向增加。
Figure GDA0003846005290000131
TT报文
T_dest T_last T_seq T_time
节点内拓扑表格式
T_dest:目标节点;T_last:中继节点;T_seq:MSSN;T_time:该条信息保持时间,过期删除该条目。
某节点j收到节点i的TT报文后,做如下处理:
步骤1:如果节点i不属于MAR(j),节点j根据TT报文更新其内部拓扑表;拓扑表的更新遵循条件:
e)如果拓扑表中存在的条目T_last与接受到的TT报文T_dest相同,并且TT报文的MSSN值小于该条目T_seq,那么丢掉此分组。
f)如果拓扑表中存在的条目T_last与接受到的TT报文T_dest相同,并且TT报文的MSSN值大于该条目T_seq,那么删除拓扑表中所有该T_last的条目,并且记录新的拓扑信息。
g)如果拓扑表中不存在与接受到的TT报文T_dest相同的T_last条目,则在拓扑表中记录新的拓扑条目。
Figure GDA0003846005290000141
TT报文发送示意
进一步的:所述路由表(Routing table)计算:
R_dest_addr R_next_addr R_dist
节点内路由表格式
R_dest_addr:路由目标节点;R_next_addr:下一跳路由节点;R_dist:本节点到目的节点跳数;
路由协议采用Dijkstra最短路径选路算法进行选路。
进一步的,所述选举集中节点算法:各路由表确定后,在各中继节点中选举集中节点,选举节点的原则为传递路径最短;
算法步骤为:
步骤1:如果节点i,其MS(i)不为空,则节点i其他节点j请求告知j-i的R_dist路由节点跳数;
步骤2:节点i对于j-i的R_dist进行累加;
步骤3:节点i遍历完网络中所有节点,计算到Sum_dist(i),并广播Sum_dist(i);
步骤4:所有MS(i)不为空节点广播完毕后,选举Sum_dist最小节点为集中节点。
在具体使用时,对于网络内,每个服务器被视为一个监测节点,每个监测节点将安装一个代理;
各节点根据Agent标识生成算法生成各自唯一Agent标识;
各节点间通过基于UDP的Echo报文发现相邻节点,并建立初始拓扑;
各节点根据最小MAR集选择算法生成MAR集,并将各自MAR集广播;
各结点根据MAR集广播,建立各自MS集;
各节点利用TT报文进行拓扑传递,并建立节点内拓扑表;
各节点利用Dijkstra最短路径选路算法计算各自路由表;
各中继节点利用集中节点选择算法选举出集中节点;
集中节点按照固定时间周期收集各节点的关键配置信息和网络安全信息,并进行记录和分发,从而实现网络内各节点的网络安全集中监控;
由于集中节点定时对全网的关键配置信息和网络安全信息进行了分发,原则上所有节点对于该网络的网络安全信息进行了冗余备份;
为了避免节点资源枯竭,各节点可以选择配置是否对集中节点分发的网络安全信息进行存储和备份。
虽然在上文中已经参考实施方式对本发明进行了描述,然而在不脱离本发明的范围的情况下,可以对其进行各种改进并且可以用等效物替换其中的部件。尤其是,只要不存在结构冲突,本发明所披露的实施方式中的各项特征均可通过任意方式相互结合起来使用,在本说明书中未对这些组合的情况进行穷举性的描述仅仅是出于省略篇幅和节约资源的考虑。因此,本发明并不局限于文中公开的特定实施方式,而是包括落入权利要求的范围内的所有技术方案。

Claims (8)

1.一种基于多代理中继的网络安全监测方法,其特征在于:包括Agent标识生成、Echo报文建立初始拓扑、MAR计算、TT报文拓扑传递建立拓扑、选举集中节点,其中具体的操作步骤为:
S1:所述Agent标识生成算法生成各自唯一Agent标识;
S2:所述Agent标识节点通过基于UDP的Echo报文发现相邻节点,并通过所述Echo报文建立初始拓扑;
S3:所述MAR计算所述Echo报文建立初始拓扑节点后,将根据最小MAR集选择算法生成MAR集;
S4:将各自MAR集广播,各节点根据MAR集广播,建立各自MS集MS(i),MS(i)为网络中节点i所需代理的其他节点的集合;
S5:所述MS集利用所述TT报文拓扑传递建立拓扑,并建立节点内拓扑表;
S6:各节点利用Dijkstra最短路径选路算法计算各自路由表;
S7:各中继节点利用集中节点选择算法选举集中节点;
所述Agent标识生成的产生算法为:
步骤1:根据椭圆曲线算法生成私钥PrivateKey;
步骤2:获取服务器的CPU序列号和MAC地址;
步骤3:对其生成的私钥PrivateKey+CPU序列号+MAC地址连续两次sha-256运算,之后再取其前4个字节作为校验码checksum;
步骤4:再将转换过的PrivateKey的后面拼接上checksum得到字节数组result;
步骤5:最后再将字节数组result进行base64编码,得到该Agent的标识;
Agent标识与该服务器一一对应,不但包含了该Agent的私钥信息,也包含了服务器的关键硬件信息;
所述Echo报文建立初始拓扑分为两种,Echo1报文和Echo2报文,所述Echo1报文包含节点本身的信息,用于标明节点身份;所述Echo2报文包含节点的相邻节点拓扑信息,用于后续的MAR多代理中继机制构建;
具体的步骤为:
步骤1:节点i在网络内广播发出Echo1报文,同时也监听Echo1报文;
步骤2:节点i接收到相邻节点j的Echo1报文后,将j加入M1(i),同时对节点j发送Echo2报文;Echo2报文包含了所有的M1(i)节点信息和MAR(i)信息;
步骤3:节点i接收到相邻节点j的Echo2报文后,将M1(j)节点信息加入到M2(i),其中如果M1(j)集合中节点x∈M1(i),则x不能加入到M2(i);根据MAR(j)信息,更新节点i的MS(i)信息;
Echo报文基于UDP发送,以一定的时间周期为循环进行,如果节点i收到节点j的信息变化,则对其M1(i),M2(i)进行更新,并重新计算节点i的MAR及其路由表。
2.根据权利要求1所述的一种基于多代理中继的网络安全监测方法,其特征在于,所述MAR计算采用MAR多代理中继机制:
监测节点选择部分相邻代理节点作为它的中继节点,只有被选择的中继节点转发节点的消息;
MAR机制通过两个子算法来实现:
a.最小MAR集选择算法;
b.最短传递路径集中节点选择算法。
3.根据权利要求2所述的一种基于多代理中继的网络安全监测方法,其特征在于,所述a.最小MAR集选择算法与所述b.最短传递路径集中节点选择算法的算法要求:
网络中每个节点独立地计算自己的MAR集;
MAR集选定应满足下列条件:首先,节点i的MAR集元素取自于i的相邻节点集;其次选定的相邻节点必须能覆盖i的全部二跳节点,因此将最小MAR集选择问题转变为如下数学模型的表达形式:定义节点i的MAR集为集合S,其一跳邻居节点的集合为M1(i),二跳邻居节点的集合为M2(i),MAR集的选定的必要条件:
Figure FDA0003852958100000031
Figure FDA0003852958100000032
Figure FDA0003852958100000033
其中,y的集合S便是节点i的MAR集,算法要解决的问题是在符合上述条件的基础上使得MAR个数最少。
4.根据权利要求3所述的一种基于多代理中继的网络安全监测方法,其特征在于,所述a.最小MAR集选择算法与所述b.最短传递路径集中节点选择算法的算法描述:
如果节点i的相邻节点为j,则定义节点i覆盖节点j;
定义节点i在某个网络中的相邻节点数为节点i在某个集合中的覆盖数;传统的最小MAR(i)集选择算法描述如下:
步骤1:定义节点i的MAR(i)集为S,且初始化S为空;
步骤2:对于M1(i)中所有的节点,分别获取它们在M2(i)中所能覆盖的节点个数;
步骤3:对于M1(i)中的任一节点,如果该节点存在唯一的相邻节点,则将此节点加入S的集合中;
步骤4:如果M2(i)中还存在未被S中任一节点所覆盖的节点,则对于M1(i)中未被加进S的节点,将其在M2(i)中具有最大覆盖数的一个节点加入S的集合中;
步骤5:跳转到步骤4直到M2(i)中不存在未被S中任一节点所覆盖的节点;
步骤6:在将S中覆盖数最小的节点退出S的情况下,测试此时在M2(i)中是否存在未被S中任何节点覆盖的二跳节点,如果存在则说明该节点不能退出S,否则将该节点退出S;
步骤7:验证S中是否存在未选定的节点,存在则继续进行步骤3,否则算法结束;
上述方法的优点在于计算简单且快速,理想情况下算法复杂度为O(n×log(n)),最坏情况下算法复杂度为n2
算法计算完毕得到节点i的MAR(i)。
5.根据权利要求1所述的一种基于多代理中继的网络安全监测方法,其特征在于,所述MAR计算完毕后,所述TT报文拓扑传递建立拓扑对外发布拓扑信息,对外告知该节点的MAR集;MAR集为空的节点不发送TT报文;
TT报文包括:节点i的拓扑信息、MAR(i)信息序列号MSSN、时间戳,MAR(i)信息变化是MSSN单向增加,其中MAR(i)不能为空;
T_dest:目标节点;T_last:中继节点;T_seq:MSSN;T_time:该条信息保持时间,过期删除该条目;
某节点j收到节点i的TT报文后,做如下处理:
步骤1:如果节点i不属于MAR(j),节点j根据TT报文更新其内部拓扑表;拓扑表的更新遵循条件:
a)如果拓扑表中存在的条目T_last与接收到的TT报文T_dest相同,并且TT报文的MSSN值小于该条目T_seq,那么丢掉此分组中拓扑表中存在的条目T_last;
b)如果拓扑表中存在的条目T_last与接收到的TT报文T_dest相同,并且TT报文的MSSN值大于该条目T_seq,那么删除拓扑表中所有该T_last的条目,并且记录新的拓扑信息;
如果拓扑表中不存在与接受到的TT报文T_dest相同的T_last条目,则在拓扑表中记录新的拓扑条目。
6.根据权利要求1所述的一种基于多代理中继的网络安全监测方法,其特征在于,所述路由表(Routing table)计算:
R_dest_addr:路由目标节点;R_next_addr:下一跳路由节点;R_dist:本节点到目的节点跳数;
路由协议采用Dijkstra最短路径选路算法进行选路。
7.根据权利要求1所述的一种基于多代理中继的网络安全监测方法,其特征在于,所述集中节点选举算法:各路由表确定后,在各中继节点中选举集中节点,选举节点的原则为传递路径最短;
算法步骤为:
步骤1:如果节点i,其MS(i)不为空,则节点i向其他节点j请求告知j-i的R_dist路由节点跳数;
步骤2:节点i对于j-i的R_dist进行累加;
步骤3:节点i遍历完网络中所有节点,计算到Sum_dist(i),并广播Sum_dist(i);
步骤4:所有MS(i)不为空节点广播完毕后,选举Sum_dist最小节点为集中节点。
8.根据权利要求1所述的一种基于多代理中继的网络安全监测方法,其特征在于,对于网络内,每个服务器被视为一个监测节点,每个监测节点将安装一个代理,每个代理运行都相对独立,每个节点相邻节点的节点距离设定为1,节点间距离等于2的节点定义为二跳节点;
定义节点i的M1(i)为节点i的相邻节点集合;
定义节点i的M2(i)为节点i的二跳邻居节点的集合为M2(i);
定义节点i的多代理中继节点集合为MAR(i);
节点i需根据自身路由表设定转发MS(i)中节点的信息;
定义MSSN为MAR(i)信息序列号;
定义所有MS(i)不为空的节点为中继节点;
定义集中节点网络中负责统一收集、记录并分发各节点基本信息和安全信息的节点。
CN202010994354.8A 2020-09-21 2020-09-21 一种基于多代理中继的网络安全监测方法 Active CN112073430B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010994354.8A CN112073430B (zh) 2020-09-21 2020-09-21 一种基于多代理中继的网络安全监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010994354.8A CN112073430B (zh) 2020-09-21 2020-09-21 一种基于多代理中继的网络安全监测方法

Publications (2)

Publication Number Publication Date
CN112073430A CN112073430A (zh) 2020-12-11
CN112073430B true CN112073430B (zh) 2022-11-15

Family

ID=73680822

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010994354.8A Active CN112073430B (zh) 2020-09-21 2020-09-21 一种基于多代理中继的网络安全监测方法

Country Status (1)

Country Link
CN (1) CN112073430B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417663A (zh) * 2018-04-27 2019-11-05 奥维飞越通信有限公司 一种基于主动式路由协议的多因素混合路由算法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020145978A1 (en) * 2001-04-05 2002-10-10 Batsell Stephen G. Mrp-based hybrid routing for mobile ad hoc networks
FR2991534B1 (fr) * 2012-05-29 2014-07-11 Sagem Defense Securite Procede de selection de noeuds servant de relais multipoints
CN109586834B (zh) * 2018-12-26 2020-03-31 中国电子科技集团公司第二十研究所 一种辅助时间基准自动选择的方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417663A (zh) * 2018-04-27 2019-11-05 奥维飞越通信有限公司 一种基于主动式路由协议的多因素混合路由算法

Also Published As

Publication number Publication date
CN112073430A (zh) 2020-12-11

Similar Documents

Publication Publication Date Title
US7902973B2 (en) Alarm reordering to handle alarm storms in large networks
Toh et al. Load balanced routing protocols for ad hoc mobile wireless networks
CN102238443B (zh) 一种满足波长连续性约束条件的跨域路径建路方法
EP2661028B1 (en) Duplicate Packet Suppression
Hsiao Geographical region summary service for geographical routing
EP2230802A1 (en) A method and apparatus for maintaining route information
CN115002863A (zh) 适用于大规模网络的无线网络路由方法及存储介质
Abraham et al. Routing strategies in delay tolerant networks: a survey
CN112073430B (zh) 一种基于多代理中继的网络安全监测方法
CN1953409A (zh) 一种半网状网的组网方法及其系统
Yu et al. Sink location service for geographic routing in wireless sensor networks
Renold et al. Source based trusted aodv routing protocol for mobile ad hoc networks
JP6003893B2 (ja) グループ毎同報配信経路設定方法および通信装置
EP1983699A1 (en) Multicast routing protocol for a clustered mobile ad hoc network
CN100454861C (zh) 级联组网系统中的节点寻址方法
Murugan et al. Cluster based node misbehaviour detection, isolation and authentication using threshold cryptography in mobile Ad hoc networks
Li et al. Hierarchical agent-based secure and reliable multicast in wireless mesh networks
Ghasemi et al. Level-based on-demand multicast routing protocol for mobile ad hoc networks
Majumder et al. A forward pointer based mobility management scheme for multi-hop multi-path wireless mesh network
Biswas et al. Application layer multicasting for mobile ad-hoc networks with network layer support
CN103501272B (zh) 一种组播流量转发方法及设备
Haddad et al. A distributed strict strong coloring algorithm for broadcast applications in ad hoc networks
JP3591482B2 (ja) デマンドの収容判定装置、ルートサーバ、ノードおよびデマンドの収容判定方法
Dutra et al. Active prefixes for mobile ad-hoc networks
Al-Arnaout et al. Exploiting graph partitioning for hierarchical replica placement in WMNs

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant