CN112291253B - 基于异构冗余的多接入边缘计算中服务器安全调度方法 - Google Patents

基于异构冗余的多接入边缘计算中服务器安全调度方法 Download PDF

Info

Publication number
CN112291253B
CN112291253B CN202011220399.6A CN202011220399A CN112291253B CN 112291253 B CN112291253 B CN 112291253B CN 202011220399 A CN202011220399 A CN 202011220399A CN 112291253 B CN112291253 B CN 112291253B
Authority
CN
China
Prior art keywords
server
servers
heterogeneous
candidate
edge computing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011220399.6A
Other languages
English (en)
Other versions
CN112291253A (zh
Inventor
付雄
岳阳阳
邓松
王俊昌
程春玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhenze Xuanjin Information Technology (Yangzhou) Co.,Ltd.
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202011220399.6A priority Critical patent/CN112291253B/zh
Publication of CN112291253A publication Critical patent/CN112291253A/zh
Application granted granted Critical
Publication of CN112291253B publication Critical patent/CN112291253B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1031Controlling of the operation of servers by a load balancer, e.g. adding or removing servers that serve requests

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于异构冗余的多接入边缘计算中服务器安全调度方法,将异构冗余引入边缘计算服务器,边缘计算服务器进行相应的任务处理,通过裁决处理记录服务器的可信度,当某个服务器的可信度过低时,通过随机调度算法从异构池服务器集合中挑选并进行替代,保证替代者和原服务器差异度不能过低,并且替代后的服务器集合保持一定程度的异构性。本发明不仅能够保持服务器集合的异构性,而且系统的安全性高。

Description

基于异构冗余的多接入边缘计算中服务器安全调度方法
技术领域
本发明涉及一种边缘计算中服务器安全调度方法,属于边缘计算安全领域。
背景技术
边缘计算是指在靠近终端用户或数据源的网络边缘侧,集网络、计算和存储于一体的分布式开放平台。作为云计算和移动边缘计算的补充,欧洲电信标准化协会(ETSI,European Telecommunications Standards Institute)于2018年提出了多接入边缘计算(MEC,multi-access edge computing)。MEC扩展了边缘计算的定义和应用,在网络边缘节点提供各种类型的IT业务,能够同时为固定用户和移动用户提供边缘计算服务,将部分数据和计算任务迁移至MEC节点进行处理,可大幅度降低回传至远程数据中心的带宽占用。同时,由于缩短了通信路径,端到端的时延和安全问题都能获得有效解决。MEC作为5G大数据时代的核心技术之一,近几年受到国内外学术界与产业界的广泛关注。
目前,MEC服务器在安全性能上具有以下3个特点:1)应用的软/硬件多种多样,其中,大部分软/硬件具有无法预知的安全缺陷和漏洞后门;2)网络结构和端口等主要应用独立静态配置,攻击者持续的探测攻击使得系统安全性能随时间的增长而下降;3)服务器中应用的防御技术大部分为被动防御如防火墙等,无法对未知的漏洞和威胁提供有效预防措施。因此,“动态防御”成为网络安全领域的主要研究问题。
基于此,主动防御技术成为了研究焦点,拟态防御是国内研究者邬江兴院士提出的一种主动防御方法,借鉴结合了移动目标防御和非相似度冗余构造的防御机理,利用动态异构冗余(dynamic heterogeneous redundancy,简称DHR)理念的动态、异构和冗余等特性,使得系统具有内生的安全性,从而进一步提高系统的安全。但是对于异构性的评估和服务器的调度没有一个具体的方法。
发明内容
发明目的:为了克服现有技术中存在的不足,本发明提供一种基于异构冗余的多接入边缘计算中服务器安全调度方法,本发明为了提高边缘计算服务器的安全性,将异构冗余引入多接入边缘计算。以可信度指标来替换不可信服务器,在加入新的服务器的同时计算新的服务器集合的多样度来保证服务器集合的异构性。使用本发明提出的方法可以有效提高系统的安全性。
技术方案:为实现上述目的,本发明采用的技术方案为:
一种基于异构冗余的多接入边缘计算中服务器安全调度方法,主体思路是:MEC服务器进行相应的任务处理,通过裁决处理记录服务器的可信度,当某个MEC服务器的可信度过低时,通过随机调度算法从MEC异构池服务器集合中挑选并进行替代,保证替代者和原MEC服务器差异度不能过低,并且替代后的MEC服务器集合同时保持一定程度的异构性。保持MEC服务器集合的异构性,MEC服务器应尽可能地保证在各种属性或特征上的异构,才能避免相同漏洞的同时出现,异构的层面越多,能够防御的漏洞越多,攻击难度就越高,通过实现处理器,操作系统,文件系统,服务器软件,数据库的不同来实现多层异构,然后通过香农多样性指数计算服务器集合的异构性,具体包括以下步骤:
步骤1:n个MEC服务器集合M={m1,m2,m3,...,mn},数据和任务通过发送代理sp发送给MEC服务器集合M进行相应的任务处理,处理的结果集合A={a1,a2,a3,...,an}交由接收代理rp。
步骤2:接收代理rp中的裁决器arb对结果集合A进行裁决处理,选出结果集合中出现次数最多的一项ai,如果ai唯一,将其作为正确结果ra输出;如果ai不唯一,则随机选择其中一个作为正确结果ra输出。与正确结果ra不一致的结果则表示该服务器未通过裁决。
步骤3:统计服务器集合M的累计失败次数集合F={f1,f2,f3,...,fn},fi为服务器mi从第一次处理任务开始累计未通过的裁决次数。初始化不可信服务器集合UB={}。
步骤4:计算服务器集合M中所有服务器的可信度bi
Figure BDA0002761757610000021
其中,num为累计裁决处理的总次数,当可信度bi小于可信度阈值时将mi加入不可信服务器集合UB。
步骤5:不可信服务器集合UB为空则转步骤1处理下一个任务,如果不可信服务器集合UB不为空,统计不可信服务器集合UB中服务器个数us,从服务器集合M中将处于不可信集合UB中的服务器删除。
步骤6:计算服务器mi的特征值evi=(ri,1,ri,2,ri,3,ri,4,ri,5),ri,1为服务器mi的处理器编号,ri,2为服务器mi的操作系统编号,ri,3为服务器mi的文件系统编号,ri,4为服务器mi的服务器软件编号,ri,5为服务器mi的数据库编号。特征值evi不同代表不同种类服务器。
步骤7:计算两个服务器mx和my之间的差异度dx,y
Figure BDA0002761757610000031
其中,
Figure BDA0002761757610000032
初始化候补服务器集合C={},初始化服务器异构池集合DM={dm1,dm2,…,dmn},DM∩M={}。
步骤8:计算候补服务器集合C:从服务器异构池集合DM中随机选取一个服务器dmi,计算服务器dmi和不可信服务器集合UB中每个服务器的差异度,若差异度均小于差异度阈值,则将其加入候补服务器集合C中,并从服务器异构池集合DM中删除服务器dmi,否则,将服务器dmi放回服务器异构池集合DM中。
步骤9:如果候补服务器集合C中服务器个数小于不可信集合UB中服务器个数us时,转步骤8继续计算候补服务器集合C,否则进行步骤10。
步骤10:计算候补服务器集合C和服务器集合M中所有服务器C∪M的多样度vC∪M
Figure BDA0002761757610000033
其中,S为所有异构体服务器的种类数,pi为第i种服务器占服务器总数的比例。若vC∪M大于等于多样度阈值,则将候补服务器集合C加入到服务器集合M中并清空C。否则找出C∪M中数目最多的一类服务器mk,从C∪M中删除一个mk并将其加入到服务器异构池集合DM中,转步骤9重新计算候补服务器集合C。
步骤11:对不可信集合UB中的服务器进行重置,然后加入到服务器异构池集合DM中。
优选的:可信度阈值为0.6-0.8。
优选的:差异度阈值为2-4。
优选的:多样度阈值为2-3。
优选的:可信度bi越大表示服务器可信度越高。
优选的:差异度dx,y越大表示服务器之间相似度越低,不容易受到相同的入侵。
本发明相比现有技术,具有以下有益效果:
本发明是以提高多接入边缘计算系统安全的调度方法,将异构冗余引入边缘计算服务器,通过该调度方法保证服务器集合的异构性从而提高系统的安全性。边缘计算服务器进行相应的任务处理,通过裁决处理记录服务器的可信度,当某个服务器的可信度过低时,通过随机调度算法从异构池服务器集合中挑选并进行替代,保证替代者和原服务器差异度不能过低,并且替代后的服务器集合保持一定程度的异构性,从而提高系统的安全性。
附图说明
图1为本发明流程图。
具体实施方式
下面结合附图和具体实施例,进一步阐明本发明,应理解这些实例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
如图1所示,一种基于异构冗余的多接入边缘计算中服务器安全调度方法,包括以下步骤:
步骤1:n个MEC服务器集合M={m1,m2,m3,...,mn},数据和任务通过发送代理sp发送给MEC服务器集合M进行相应的任务处理,处理的结果集合A交由接收代理rp。
步骤2:接收代理rp中的裁决器arb对结果集合A进行裁决处理,选出结果集合中出现次数最多的一项ai,如果ai唯一,将其作为正确结果ra输出;如果ai不唯一,则随机选择其中一个作为正确结果ra输出。与正确结果ra不一致的结果则表示该服务器未通过裁决。
步骤3:统计服务器集合M的累计失败次数集合F={f1,f2,f3,...,fn},fi为服务器mi从第一次处理任务开始累计未通过的裁决次数。初始化不可信服务器集合UB={}。
步骤4:按照公式(1)计算服务器集合M中所有服务器的可信度bi
Figure BDA0002761757610000041
其中,num为累计裁决处理的总次数,当可信度bi小于可信度阈值(默认为0.7)时将mi加入不可信服务器集合UB。
步骤5:不可信服务器集合UB为空则可以转步骤1处理下一个任务,如果不可信服务器集合UB不为空,统计不可信服务器集合UB中服务器个数us,从服务器集合M中将处于不可信集合UB中的服务器删除。
步骤6:计算服务器mi的特征值evi=(ri,1,ri,2,ri,3,ri,4,ri,5),ri,1为服务器mi的处理器编号,ri,2为服务器mi的操作系统编号,ri,3为服务器mi的文件系统编号,ri,4为服务器mi的服务器软件编号,ri,5为服务器mi的数据库编号。特征值evi不同代表不同种类服务器。
步骤7:按照公式(2)计算两个服务器mx和my之间的差异度dx,y
Figure BDA0002761757610000051
其中,
Figure BDA0002761757610000052
差异度越大表示服务器之间相似度越低,不容易受到相同的入侵。初始化候补服务器集合C={},初始化服务器异构池集合DM={dm1,dm2,…,dmn},DM∩M={}。
步骤8:计算候补服务器集合C:从服务器异构池集合DM中随机选取一个服务器dmi,按公式(2)计算服务器dmi和不可信服务器集合UB中每个服务器的差异度,若差异度均小于差异度阈值(默认为3),则将其加入候补服务器集合C中,并从服务器异构池集合DM中删除服务器dmi,否则,将服务器dmi放回服务器异构池集合DM中。
步骤9:如果候补服务器集合C中服务器个数小于不可信集合UB中服务器个数us时,转步骤8继续计算候补服务器集合C,否则进行步骤10。
步骤10:按照公式(3)计算候补服务器集合C和服务器集合M中所有服务器C∪M的多样度vC∪M
Figure BDA0002761757610000053
其中,S为所有异构体服务器的种类数,pi为第i种服务器占服务器总数的比例,vC∪M越大表示异构程度越大。若vC∪M大于等于多样度阈值(默认为1.5),则将候补服务器集合C加入到服务器集合M中并清空C。否则找出C∪M中数目最多的一类服务器mk,从C∪M中删除一个mk并将其加入到服务器异构池集合DM中,转步骤9重新计算候补服务器集合C。
步骤11:对不可信集合UB中的服务器进行重置,然后加入到服务器异构池集合DM中。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (6)

1.一种基于异构冗余的多接入边缘计算中服务器安全调度方法,其特征在于,包括以下步骤:
步骤1:n个MEC服务器集合M={m1,m2,m3,...,mn},数据和任务通过发送代理sp发送给MEC服务器集合M进行相应的任务处理,处理的结果集合A={a1,a2,a3,...,an}交由接收代理rp;
步骤2:接收代理rp中的裁决器arb对结果集合A进行裁决处理,选出结果集合中出现次数最多的一项ai,如果ai唯一,将其作为正确结果ra输出;如果ai不唯一,则随机选择其中一个作为正确结果ra输出;与正确结果ra不一致的结果则表示该服务器未通过裁决;
步骤3:统计服务器集合M的累计失败次数集合F={f1,f2,f3,...,fn},fi为服务器mi从第一次处理任务开始累计未通过的裁决次数;初始化不可信服务器集合UB={};
步骤4:计算服务器集合M中所有服务器的可信度bi
Figure FDA0002761757600000011
其中,num为累计裁决处理的总次数,当可信度bi小于可信度阈值时将mi加入不可信服务器集合UB;
步骤5:不可信服务器集合UB为空则转步骤1处理下一个任务,如果不可信服务器集合UB不为空,统计不可信服务器集合UB中服务器个数us,从服务器集合M中将处于不可信集合UB中的服务器删除;
步骤6:计算服务器mi的特征值evi=(ri,1,ri,2,ri,3,ri,4,ri,5),ri,1为服务器mi的处理器编号,ri,2为服务器mi的操作系统编号,ri,3为服务器mi的文件系统编号,ri,4为服务器mi的服务器软件编号,ri,5为服务器mi的数据库编号;特征值evi不同代表不同种类服务器;
步骤7:计算两个服务器mx和my之间的差异度dx,y
Figure FDA0002761757600000012
其中,
Figure FDA0002761757600000013
初始化候补服务器集合C={},初始化服务器异构池集合DM={dm1,dm2,…,dmn},DM∩M={};
步骤8:计算候补服务器集合C:从服务器异构池集合DM中随机选取一个服务器dmi,计算服务器dmi和不可信服务器集合UB中每个服务器的差异度,若差异度均小于差异度阈值,则将其加入候补服务器集合C中,并从服务器异构池集合DM中删除服务器dmi,否则,将服务器dmi放回服务器异构池集合DM中;
步骤9:如果候补服务器集合C中服务器个数小于不可信集合UB中服务器个数us时,转步骤8继续计算候补服务器集合C,否则进行步骤10;
步骤10:计算候补服务器集合C和服务器集合M中所有服务器C∪M的多样度vC∪M
Figure FDA0002761757600000021
其中,S为所有异构体服务器的种类数,pi为第i种服务器占服务器总数的比例;若vC∪M大于等于多样度阈值,则将候补服务器集合C加入到服务器集合M中并清空C;否则找出C∪M中数目最多的一类服务器mk,从C∪M中删除一个mk并将其加入到服务器异构池集合DM中,转步骤9重新计算候补服务器集合C;
步骤11:对不可信集合UB中的服务器进行重置,然后加入到服务器异构池集合DM中。
2.根据权利要求1所述基于异构冗余的多接入边缘计算中服务器安全调度方法,其特征在于:可信度阈值为0.6-0.8。
3.根据权利要求2所述基于异构冗余的多接入边缘计算中服务器安全调度方法,其特征在于:差异度阈值为2-4。
4.根据权利要求3所述基于异构冗余的多接入边缘计算中服务器安全调度方法,其特征在于:多样度阈值为2-3。
5.根据权利要求4所述基于异构冗余的多接入边缘计算中服务器安全调度方法,其特征在于:可信度bi越大表示服务器可信度越高。
6.根据权利要求5所述基于异构冗余的多接入边缘计算中服务器安全调度方法,其特征在于:差异度dx,y越大表示服务器之间相似度越低,不容易受到相同的入侵。
CN202011220399.6A 2020-11-05 2020-11-05 基于异构冗余的多接入边缘计算中服务器安全调度方法 Active CN112291253B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011220399.6A CN112291253B (zh) 2020-11-05 2020-11-05 基于异构冗余的多接入边缘计算中服务器安全调度方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011220399.6A CN112291253B (zh) 2020-11-05 2020-11-05 基于异构冗余的多接入边缘计算中服务器安全调度方法

Publications (2)

Publication Number Publication Date
CN112291253A CN112291253A (zh) 2021-01-29
CN112291253B true CN112291253B (zh) 2022-05-27

Family

ID=74351900

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011220399.6A Active CN112291253B (zh) 2020-11-05 2020-11-05 基于异构冗余的多接入边缘计算中服务器安全调度方法

Country Status (1)

Country Link
CN (1) CN112291253B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113422721B (zh) * 2021-08-24 2021-11-09 之江实验室 一种拟态工业边缘计算网关的实现方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108134740A (zh) * 2017-12-08 2018-06-08 中国电子科技集团公司第三十研究所 一种基于物理异构冗余的加权裁决及随机调度方法
CN111478928A (zh) * 2020-06-22 2020-07-31 南京红阵网络安全技术研究院有限公司 面向边缘计算云中心的拟态防御构建方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108134740A (zh) * 2017-12-08 2018-06-08 中国电子科技集团公司第三十研究所 一种基于物理异构冗余的加权裁决及随机调度方法
CN111478928A (zh) * 2020-06-22 2020-07-31 南京红阵网络安全技术研究院有限公司 面向边缘计算云中心的拟态防御构建方法及系统

Also Published As

Publication number Publication date
CN112291253A (zh) 2021-01-29

Similar Documents

Publication Publication Date Title
US11063967B2 (en) Network threat indicator extraction and response
US11405417B2 (en) Distributed denial of service (DDoS) defense techniques for applications hosted in cloud computing platforms
US11122063B2 (en) Malicious domain scoping recommendation system
Karami et al. A fuzzy anomaly detection system based on hybrid PSO-Kmeans algorithm in content-centric networks
US8516595B2 (en) Method and system for estimating the reliability of blacklists of botnet-infected computers
Hosseinpour et al. An intrusion detection system for fog computing and IoT based logistic systems using a smart data approach
US8495737B2 (en) Systems and methods for detecting email spam and variants thereof
Fung et al. FACID: A trust-based collaborative decision framework for intrusion detection networks
US11550905B2 (en) Intelligent security risk assessment
US20180069883A1 (en) Detection of Known and Unknown Malicious Domains
US8667587B1 (en) Real-time website safety reputation system
Buchegger et al. Coping with false accusations in misbehavior reputation systems for mobile ad-hoc networks
Shen et al. Optimal privacy preservation strategies with signaling Q-learning for edge-computing-based IoT resource grant systems
US9571454B2 (en) Dynamic re-ordering of scanning modules in security devices
US11770409B2 (en) Intrusion management with threat type clustering
CN112291253B (zh) 基于异构冗余的多接入边缘计算中服务器安全调度方法
Yang et al. Secure hot path crowdsourcing with local differential privacy under fog computing architecture
CN113255004A (zh) 一种安全且高效的联邦学习内容缓存方法
Li et al. Distributed threat intelligence sharing system: a new sight of P2P botnet detection
Sun et al. A hybrid deep learning model based low‐rate DoS attack detection method for software defined network
Chen et al. Anomaly detection on dynamic bipartite graph with burstiness
US20240089260A1 (en) System and method for graduated deny list
Song Feature selection for intrusion detection system
CN109983746B (zh) 速度事件评估系统
Niranjan et al. EKNIS: Ensemble of KNN, Naïve Bayes Kernel and ID3 for Efficient Botnet Classification Using Stacking

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220901

Address after: 2A-470, No. 8, Science and Technology Park Road, Hanjiang District, Yangzhou City, Jiangsu Province, 225008

Patentee after: Zhenze Xuanjin Information Technology (Yangzhou) Co.,Ltd.

Address before: 210000 new model road, Nanjing, Nanjing, Jiangsu

Patentee before: NANJING University OF POSTS AND TELECOMMUNICATIONS