CN112415959A

CN112415959A - 边云协同的工业信息物理系统主动安全响应方法及架构

Info

Publication number: CN112415959A
Application number: CN202011212847.8A
Authority: CN
Inventors: 周纯杰; 叶鑫豪; 朱美潘; 邢航
Original assignee: Huazhong University of Science and Technology
Current assignee: Huazhong University of Science and Technology
Priority date: 2020-11-03
Filing date: 2020-11-03
Publication date: 2021-02-26
Anticipated expiration: 2040-11-03
Also published as: CN112415959B

Abstract

本发明公开一种边云协同的工业信息物理系统主动安全响应方法及架构，属于安全防御领域。本架构包括云层、网络层以及现场层，云层采用服务链编排技术进行策略‑服务的映射，得到网络安全服务链和现场安全服务链。编排好的网络安全服务链经解析得到流控制命令，下发到网络层，以保障云端与边缘端的通信安全，网络层利用弹性机制提高服务链的可靠性，接收云层下发的现场安全服务链并下发到现场层；现场层采用任务评价模型协调边云策略之间冲突，获取边缘任务调度表，对现场层的防护任务进行调度。该方法结合云环境下的工业信息物理系统的特点，利用边云协同防护机制对网络层和现场层分别进行主动安全协同防护，在满足系统实时性同时提高系统安全性。

Description

边云协同的工业信息物理系统主动安全响应方法及架构

技术领域

本发明属于工业信息物理系统安全防御领域，更具体地，涉及边云协同的工业信息物理系统主动安全响应方法及架构。

背景技术

工业信息物理系统(Industrial Cyber-Physical System，ICPS)是在信息物理系统的基础上发展起来的，随着OT和IT的深度融合，传统的工业控制系统与信息技术的联系越来越紧密，形成了ICPS。ICPS深度融合计算、通信、控制，是信息域和物理域的高度耦合的网络化控制系统，与IT系统不同，针对ICPS的攻击往往会造成更加严重的后果，所以，保障工业控制系统的安全运行十分重要。

随着工业互联网走入人们的视野，试图引领全球工业数字化转型浪潮，云计算与ICPS的结合开始被人们所重视。ICPS对实时性的高要求对云计算来说是一种挑战，如果云服务不能及时到达控制系统将会造成严重的后果，所以我们需要部署边缘计算服务来进行边缘安全策略的决策。这种边云协同的模式要能够解决上述问题的前提是必须对边云策略之间的冲突进行协调以及对解决冲突后的策略进行调度，否则，策略之间产生冲突得不到解决反而会使得系统不能及时执行安全策略而遭到破坏。

然而，针对云计算这种新型的网络计算范式，传统的TCP/IP网络架构已经不能满足云计算网络的要求，软件定义网络作为一种新兴的网络体系结构，具有动态性，可管理性，成本效益和适应性，已在各种场景中得到广泛应用(Google B4、工业控制系统重构)。将软件定义网络与云计算结合，管理和控制云网络将变得更加的简单和高效。

目前ICPS物理层控制系统需要满足一定的实时性和可用性，终端侧呈现出“大连接，低时延，大带宽”的需求，传统单一的集中式的云已经无法满足要求，需要利用边缘计算来弥补云计算的不足；随着信息技术的发展，攻击手段越来越复杂，传统的被动安全响应无法对入侵进行实时的响应，需要利用主动安全响应来实现响应策略的自动配置以及实时动态更新。所以针对ICPS开展边云协同的主动安全响应研究十分必要，而安全策略的有效执行是真正发挥其控制和约束作用的阶段，在主动安全响应中起着重要的作用。

发明内容

针对现有技术的缺陷和改进需求，本发明提供了一种边云协同的工业信息物理系统主动安全响应方法及架构，其目的在于解决云层安全策略与云服务之间的映射问题，便于后续云服务在网络层和现场层的执行；解决网络层中服务主机故障引发的服务链可靠性降低问题，利用VNF备份策略对SDN交换机中的流表进行更新能够保障云层与现场层之间通信的安全性与可靠性；解决现场层边云策略之间的冲突，在策略冲突协调之前，对现场系统中各子系统的安全策略进行多目标优化得到具有一定全局性的系统整体安全策略作为边缘安全策略，使得边缘安全策略与网络层下发的具有全局性的现场安全服务之间的级别保持一致，便于后续对策略冲突的协调优化；解决现场层中无冲突安全策略对现场系统的调度问题，结合无冲突安全策略生成边缘任务调度表下发至现场系统，对现场系统进行调度。

为实现上述目的，按照本发明的第一方面，提供了一种边云协同的工业信息物理系统主动安全响应架构，所述架构包括：

云层，用于解析来自工业信息物理系统的安全防护系统的安全策略，生成现场安全服务链，并将现场安全服务链下发至网络层；

网络层，用于接收云层下发的现场安全服务链，再将现场安全服务链下发至现场层；

现场层，用于基于工业信息物理系统中的现场系统的运行状态，实时生成边缘安全策略，接收网络层下发的现场安全服务链，协调所述现场安全服务链与边缘安全策略以及现场系统自身的功能安全策略之间的冲突，基于无冲突安全策略，生成边缘任务调度表下发至现场系统，对现场系统进行调度。

有益效果：本发明通过将云层生成的现场安全服务链经过网络层下发至现场层，并与现场层的边缘安全策略以及工业信息物理系统中的现场系统本身的功能安全策略进行冲突协调，最终利用无冲突安全策略生成边缘任务调度表下发至现场系统，对现场系统进行调度，从而实现一种边云协同的安全防护机制。

优选地，所述云层，还用于在安全策略的解析后，生成网络安全服务链，接收到网络层发送的网络拓扑信息后，对组成网络安全服务链的VNF进行最优化部署，得到网络安全服务链编排信息，并将网络安全服务链及编排信息下发至网络层，根据网络安全服务链编排信息进行流指令解析，得到流控制命令并下发至网络层；

所述网络层，还用于向云层发送网络拓扑信息，接收云层下发的网络安全服务链及其编排信息和流控制命令，根据流控制命令生成流表规则，根据网络安全服务链编排信息对边云间服务链最优转发路径上的网络安全服务链进行可靠性评估，并根据评估结果执行网络安全服务与基于VNF备份策略的弹性机制后，更新流表规则，再根据更新后的流表规则，将现场安全服务链下发至现场层。

有益效果：本发明通过对组成网络安全服务链的VNF进行最优化部署得到网络安全服务链编排信息，将网络安全服务链及其编排信息下发至网络层，根据网络安全服务链编排信息进行流指令解析并将流控制命令下发至网络层，网络层根据流控制指令生成流表规则并采用一种基于VNF备份策略的弹性机制来更新流表，从而实现网络层中现场安全服务链安全、可靠地转发。

优选地，所述云层包括：安全策略解析模块、服务链生成模块和VNF最优化部署模块；

安全策略解析模块，用于将安全策略解析为策略主体和策略行为，策略主体表示策略的执行者，策略行为表示所采取的具体措施，并结合云端全局安全策略库生成面向网络层和工业信息物理系统中的现场系统的安全策略，从而生成安全服务类型列表和安全服务动作列表；

服务链生成模块，用于根据安全策略解析模块生成的安全服务类型列表和安全服务动作列表构建一条完整的服务链，并根据策略主体信息将服务链分为现场安全服务链和网络安全服务链，现场安全服务链下发至网络层，由网络层转发至现场层，网络安全服务链转发至VNF最优化部署模块；

VNF最优化部署模块，用于根据网络层中SDN控制器反馈的网络拓扑信息，选择网络安全服务链中的VNF序列的最佳部署位置，并且对服务链进行链路映射，得到边云间服务链最优转发路径，将该过程中得到的网络参数信息下发给网络层中的SDN控制器。

有益效果：本发明通过解析安全策略后生成网络安全服务链和现场安全服务链，对网络安全服务链进行节点映射和链路映射，根据映射结果得到网络安全服务链编排信息，从而实现网络安全服务链在物理网络中的最优化部署，实现网络资源的充分利用。

优选地，所述边缘安全策略的生成采用一种基于角度优势排序的NSGA2算法。

有益效果：本发明通过采用一种基于角度优势排序的NSGA2算法生成边缘安全策略，在分布式的边缘计算环境下，利用该算法结合工业信息物理系统中的现场系统的运行状态对现场系统中各子系统的安全策略进行多目标优化，生成系统的整体安全策略并将该策略作为现场系统的边缘安全策略，从而实现最优策略决策，并且边缘安全策略也具有全局性，与现场安全服务链保持一致，便于后续与现场安全服务链以及工业信息物理系统中的现场系统本身的功能安全策略进行冲突协调。

优选地，冲突解决包括如下步骤：

(1)对云端全局任务、本地任务以及系统功能安全任务进行任务——功能映射，依据实现的功能对任务进行统一分组；

(2)以任务完成时间、任务实施成本以及任务实施后系统的风险作为任务的属性构建任务评价指标，利用模糊综合评价法对分组内的每个任务进行评分；

(3)选择分组中评分最低的任务，作为最终任务加入到无冲突安全任务集中，重复执行上述操作直至所有的分组都已被检验。

有益效果：本发明通过采用一种基于任务评价模型的冲突解决方案来协调边缘安全策略、现场安全服务链以及工业信息物理系统中的现场系统本身的功能安全策略之前的冲突，通过对实现相同功能的任务进行评分，选择评分最优的任务作为最终的安全任务，从而保证了实现相同功能的任务的唯一性，以此来解决上面所描述的冲突。

优选地，无冲突安全策略调度采用一种基于带约束的双适应度遗传算法。

有益效果：本发明通过采用一种基于带约束的双适应度遗传算法并结合解决冲突后的无冲突安全策略生成边缘任务调度表对现场系统进行调度，以任务平均完成时间和所有任务执行完后的系统风险为优化目标，从而实现响应时间与响应效果之间的平衡。

优选地，VNF最优化部署包括以下步骤：

(1)根据已知的网络拓扑信息，对网络安全服务链中的VNF进行服务节点映射，选择VNF实例的最佳部署节点，将服务链中该VNF所在的服务节点与其上下文VNF所在的服务节点之间可能的连接关系表示成一个有向图网络；

(2)对网络参数未知的底层网络建模并求解，获取底层网络的网络参数信息；

(3)根据有向图网络，对网络安全服务链进行链路映射，对路径上的节点进行迭代，获得满足条件的最优路径序列，利用回溯方法获得网络安全服务链的最优转发路径。

有益效果：本发明通过对网络参数未知的底层网络建模并求解模型参数信息，获取网络参数信息，对网络安全服务链分别进行节点映射和链路映射，获得服务链的最优转发路径，从而实现在底层网络参数信息未知的情况下对网络安全服务链进行编排，获取最优转发路径。

优选地，采用HMM模型对网络参数未知的底层网络建模，所述HMM模型参数为λ＝(A，B，Π)，

其中，A为状态转移矩阵，对部署VNF的服务节点之间的所有链路进行编号作为隐藏状态，矩阵元素a_i，j定义为当前时刻选择第i条链路且下一时刻选择第j条链路的概率；B为观测矩阵，对部署VNF的服务节点进行编号作为观测状态，矩阵元素b_i，j定义为服务节点之间的链路为i时VNF_j部署在其对应的服务节点上的概率，Π为初始状态参数分布矩阵。

有益效果：本发明通过对网络参数未知的底层网络建立HMM模型，分别构建HMM模型中的初始状态参数分布矩阵，状态矩阵以及观测矩阵，定义矩阵中元素的含义，最终求解得到模型参数信息，从而实现对未知网络参数信息的复杂网络系统的网络参数信息的获取。

优选地，VNF备份策略由网络层中VNF备份决策模块生成，该模块用于服务链可靠性计算、VNF最佳备份位置计算以及备份VNF最优化部署；

根据备份组成服务链的VNF对服务链可靠性的提高值与备份该VNF所需的资源的比值来确定备份的位置，即通过计算单位开销可靠性提高值来确定VNF的备份位置；

备份VNF最优化部署包括：备份VNF节点映射和链路映射，所有备份VNF序列组成一条备份服务链，对备份VNF进行节点映射；链路映射包括主备份VNF以及备份与备份VNF之间的物理链路映射，采用并联的形式将备份VNF引入服务链中，主备份VNF之间、备份与备份VNF之间都有相应的物理映射链路，判断备份后的服务链可靠性是否满足要求，若不满足则继续引入备份VNF；根据该链路映射关系生成流表更新命令对已有的流表规则进行更新。

有益效果：本发明通过对边云间服务链最优转发路径上的网络安全服务链进行可靠性评估并计算得到VNF备份位置，通过对备份VNF进行节点映射和链路映射，得到备份VNF最优转发路径，从而实现备份VNF在物理网络中的最优化部署，实现网络资源的充分利用。

为实现上述目的，按照本发明的第二方面，提供了一种采用第一方面所述的架构的主动安全响应方法，该方法包括以下步骤：

S1.云层利用已经生成的安全策略构建服务链，服务链生成过程中根据服务链中的策略主体信息将服务链分为网络安全服务链和现场安全服务链；

S2.对网络安全服务链进行最优化部署，选择服务链的最优转发路径，生成网络安全服务链编排信息，服务链编排完成后通过流指令解析生成相应的流控制指令发送给网络层，生成流表规则，实现边云通信的网络安全防护；将网络安全服务链及其编排信息和现场安全服务链下发至网络层；

S3.网络层接收云层下发的网络安全服务链及其编排信息，对网络安全服务链可靠性进行评估，当边云间服务链的最优转发路径上的网络安全服务链可靠性低于系统可靠性要求时，启用弹性机制，生成VNF备份策略，并对流表规则进行更新，按照最新流表规则进行现场安全服务链的转发；

S4.现场层接收网络层下发的现场安全服务链后，与本地生成的边缘安全策略以及现场系统功能安全策略进行协调，并结合解决冲突后的无冲突安全策略对现场系统进行调度。

总体而言，通过本发明所构思的以上技术方案，能够取得以下有益效果：

本发明包括云层、网络层以及现场层，云层采用服务链编排技术进行策略-服务的映射，得到网络安全服务链和现场安全服务链。编排好的网络安全服务链经解析得到流控制命令，下发到网络层，以保障云端与边缘端的通信安全，网络层利用弹性机制提高服务链的可靠性，接收云层下发的现场安全服务链并下发到现场层；现场层采用任务评价模型协调边云策略之间冲突，获取边缘任务调度表，对现场层的防护任务进行调度。该方法结合云环境下的工业信息物理系统的特点，利用边云协同防护机制对网络层和现场层分别进行主动安全协同防护，在满足系统实时性同时提高系统安全性。

附图说明

图1为本发明提供的一种边云协同的工业信息物理系统主动安全响应架构图；

图2为本发明提供的云层的服务链编排示意图；

图3为本发明提供的NFV管理器中VNF备份策略生成示意图；

图4为本发明提供的一种基于角度优势排序的NSGA2算法流程图；

图5为本发明提供的一种基于任务评价模型的边云策略冲突解决方案模型；

图6为本发明提供的一种基于模糊综合评价法的任务评价指标体系；

图7为本发明提供的一种基于带约束的双适应度遗传算法任务调度模型；

图8为本发明提供的一种边云协同的工业信息物理系统主动安全响应方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

如图1所示，本发明公开了一种边云协同的工业信息物理系统主动安全响应架构，所述架构包括：

云层，用于解析来自工业信息物理系统的安全防护系统的安全策略，生成现场安全服务链，并将现场安全服务链下发至网络层。

网络层，用于接收云层下发的现场安全服务链，再将现场安全服务链下发至现场层。

由于安全策略已知，云端需要将安全策略转换为安全服务下发到网络层和现场层，采用服务链编排技术对策略—服务进行映射。如图2所示，该过程主要包括安全策略解析、服务链生成以及VNF最优化部署。

安全策略解析模块，用于将安全策略解析为策略主体和策略行为，策略主体表示策略的执行者，策略行为表示所采取的具体措施，并结合云端全局安全策略库生成面向网络层和工业信息物理系统中的现场系统的安全策略，从而生成安全服务类型列表和安全服务动作列表。

对输入的安全策略进行解析，过程如下：

①将安全策略解析为策略主体及策略行为，策略主体表示策略的执行者，策略行为表示所采取的具体措施；

②结合云端全局安全策略库生成面向网络层和工业现场系统的安全策略，生成安全服务类型列表和安全服务动作列表；

服务链生成：构建服务链并将服务链分为网络安全服务链和现场安全服务链，过程如下：

①根据安全策略解析模块生成的安全服务类型列表和安全服务动作列表构建一条完整的服务链；

②根据策略主体信息将服务链分为现场安全服务链和网络安全服务链，现场安全服务链下发至网络层，由网络层将其转发至现场层，网络安全服务链转发至VNF最优化部署模块。

优选地，VNF最优化部署过程如下：

①构建服务链映射模型，将服务链映射问题转换为0-1整数规划问题；

②将VNF最优化部署分为服务节点映射和链路映射，节点映射的具体步骤如下：

步骤(1)构建服务链匹配偏好表，过程如下：

以服务链作为匹配的提出方进行博弈，将服务节点的网络能力、存储能力、计算能力表示为三维空间中的数据点，利用模糊聚类方法划分节点种类，将服务节点划分为三种类型：网络型、存储型和计算型，其聚类中心分别为x，y，z。将部署VNF时所需的资源值表示为三维空间中的一个数据点v，计算其资源偏好系数，该系数表示聚类中心与数据点间的欧氏距离，选择使系数最小的聚类服务节点作为该类VNF的可部署位置。计算服务链与类内服务节点之间资源偏差指标，计算公式如下：

其中，

表示第I_k类资源的权重系数，I_k∈{网络型、存储型、计算型}，

表示服务链c所需的第I_k类资源，

表示服务节点n提供的第I_k类资源。在满足服务链映射模型中的资源约束条件下，其值越小表示服务链与节点之间差异越小，因此更适合被选作服务链c的映射节点；

将类内服务节点按照上述偏序关系排列，构建服务链匹配偏好表；

步骤(2)构建服务节点匹配偏好表，过程如下：

按照资源需求对VNF实例进行排序，采用最佳适应算法选择使服务节点剩余资源空间最小的VNF实例，将该实例加入偏好表并标记为已读。重复执行直至所有VNF实例已读，最终输出服务节点匹配偏好表。

步骤(3)结合服务链映射过程中多个VNF实例可映射在一个服务节点上的特性，采用GS算法解决多对一双边匹配问题，本实施例中匹配博弈双方指服务链和部署VNF的服务节点，过程如下：

在服务链匹配偏好表中选择排序等级最高的服务节点，判断该节点的资源容量是否大于VNF实例化所需资源以及该VNF实例是否位于该服务节点匹配偏好表中，若是，表示服务节点接受该VNF实例，则将VNF实例匹配给该服务节点，更新节点的资源容量；若否，表示该节点拒绝该VNF实例，并且根据GS算法中的延迟接受特性，该服务节点可以拒绝接受当前VNF实例并选择偏好表中排序更高的VNF实例。若服务节点拒绝该VNF实例，则该服务节点的偏好表中排序低于此的VNF实例也将被拒绝，将上述所有VNF实例从服务节点映射偏好表中移除。重复执行直至服务链饱和，这里的饱和指所有VNF实例都匹配成功。最终输出服务链和服务节点的平稳匹配结果，该匹配结果表示对所有主VNF实例都进行了最佳部署。

③链路映射的具体步骤如下：

步骤(1)对网络参数未知的底层网络构建HMM模型，其模型参数为λ＝(A，B，Π)，其中，Π为初始状态的参数分布矩阵，A为状态转移矩阵，B为观测矩阵。本实施例中，对部署VNF的服务节点之间的所有链路进行编号作为隐藏状态，定义A中的元素a_i,j为当前时刻选择第i条链路且下一时刻选择第j条链路的概率；对部署VNF的服务节点进行编号作为观测状态，定义B中的元素b_i,j为服务节点之间的链路为i时VNF_j部署在其对应的服务节点上的概率。

步骤(2)利用EM算法求参数λ的极大似然估计，获得HMM模型的参数，利用EM算法求HMM模型参数的过程如下：

首先定义前向概率和后向概率递推公式，前向概率递推公式如下：

α₁(i)＝π_iB(q_i,o₁),i＝1,2,...,N

后向概率递推公式如下：

β_T(i)＝1,i＝1,2,...,N

然后进行EM算法中的E步：

定义一个变量表示给定模型参数λ和观测序列o，在t时刻选择第i条链路且t+1时刻选择第j条链路的概率，如下所示：

ξ_t(i，j)＝P(q_t＝i，q_t+1＝j|o，λ)

进一步可以写成：

其次，定义一个变量表示给定模型参数和观测序列，在t时刻选择链路i的概率：

进一步表示为：

再进行EM算法中的M步：

构造似然函数，假定迭代过程中估计的参数为

则似然函数表示如下：

其中，P(O，I|λ)可以表示为：

P(O,I|λ)＝π_i1B(i₁，o₁)A(i₁,i₂)B(i₂,o₂)...A(i_T-1,i_T)B(i_T,o_T)

于是将似然函数进一步表示为：

最后求解π,A,B,结果如下：

π_i＝γ₁(i)

运用上面的公式进行递推直到收敛，得到HMM的参数估计并对各矩阵进行归一化处理，从而获得底层网络的网络参数信息。

步骤(3)利用Viterbi算法根据可观测序列以及底层网络的网络参数信息获得最优转发路径，过程如下：

定义Viterbi变量δ_t(j)＝max[A(q_i,q_j)+B(q_j,o_t)]，从源节点开始，根据服务链中VNF编排顺序，在每个迭代周期内计算从服务节点q_i到服务节点q_j的δ_t(j)的最大值，递推公式如下：

按照上式搜索整个观测序列即服务链中的VNF序列下的具体服务路径，迭代的截止条件为到达目的节点。然后定义标记函数

利用标记函数依次从目的节点开始回溯，记录位于当前时刻δ_t(j)取最大值时的前一时刻部署节点以及它们之间的链路，直至计算出源节点，得到使得

最大的状态序列路径，并输出最优转发路径的构造方案

根据网络安全服务链节点映射和链路映射结果获得网络安全服务链编排策略。

VNF备份决策：网络安全服务链编排信息确定了网络安全服务链中的VNF序列的部署主机以及物理映射链路，为了使现场安全服务链在网络层的安全、可靠转发，网络安全服务链的可靠性需要得到保障。当部署VNF的物理主机发生故障时，该VNF所在的网络安全服务链的可靠性将会降低，因此需要对VNF进行备份来提高网络安全服务链的可靠性。而在VNF备份策略中确定服务链上的VNF备份位置尤为重要，本实施例中通过计算单位资源开销下服务链的可靠性提高值来决策服务链中VNF的最佳备份位置，该方案的示意图如图3所示，其具体过程如下：

①网络安全服务链可靠性计算：通过计算网络安全服务链可靠性来判断是否需要启用VNF备份，VNF的可靠性由其承载节点的可靠性决定，当物理节点发生故障时，其承载的VNF_j无法正常运行。VNF_j的可靠性表示为：

r_j＝MTBF_j×(MTBF_j+MTTR_j)^-1

其中，MTBF表示部署该主机平均故障时间，MTTR表示主机平均恢复时间。

所以服务链的可靠性为：

②VNF最佳备份位置计算：通过计算单位开销可靠性提高值来决策服务链中VNF最佳备份位置，过程如下：

步骤(1)从当前最优转发路径对应的SFC中选择任意VNF_j，计算该VNF_j的潜在可靠性提高值，公式如下：

其中，当前VNF_j的可靠性为r_j，该VNF_j的备份VNF的可靠性为r_j′，组成SFC的其余VNF的总可靠性值为r；

步骤(2)计算该VNF_j的备份VNF所对应的综合资源开销，综合资源开销值计算公式如下：

其中，a_j，b_j，c_j分别为网络、存储、计算资源权重系数，x_j，y_j，z_j分别表示备份该VNF_j所需的网络、存储、计算资源；

步骤(3)计算单位开销可靠性提高值来表示备份该VNF_j单位开销所获得的可靠性收益，计算公式如下：

步骤(4)遍历服务链中的VNF，直至计算完所有VNF的单位开销可靠性提高值；

步骤(5)备份时选择SFC中单位开销可靠性提高值最大的VNF作为服务链中需要进行备份的VNF；

③备份VNF最优化部署：SDN控制器实时监测网络状态，基于云层VNF最优化部署模块下发的网络参数信息计算得到任意时刻下的网络状态信息，获得实时的网络状态，从而对备份VNF进行最优化部署，过程如下：

步骤(1)网络层中SDN控制器接收云层VNF最优化部署模块下发的网络参数信息并实时监测网络状态，计算得到任意时刻下的网络状态信息；

步骤(2)根据当前服务主机资源使用信息利用GS算法对备份VNF进行节点映射，该算法中的备份服务链匹配偏好表不包含已经成功匹配主VNF的服务节点，从而保证主备份VNF部署的服务节点不同。根据当前网络状态选择备份VNF的最优转发路径，对备份VNF进行链路映射。

步骤(3)备份后再次计算服务链的可靠性，当不满足系统的可靠性要求时重复执行上述步骤直至服务链的可靠性达到系统要求，最终得到满足系统可靠性要求的网络安全服务链。

当网络安全服务链的可靠性低于系统要求时，NFV管理器生成VNF备份策略，根据该备份策略以及云层的网络安全服务链编排信息来管理和控制VNF的实例化过程。根据VNF备份策略生成流表更新命令，由SDN控制器生成并下发相应的流表对SDN交换机中已有的流表规则进行更新，实现一种弹性机制；反之，NFV管理器仅根据网络安全服务链编排信息来管理和控制VNF的实例化过程，并且SDN控制器仅接收云层的流控制命令生成相应的流表下发至SDN交换机。该机制能够保障现场安全服务链在网络层中安全、可靠转发。

云层的现场安全服务链经网络层下发到现场层后需要和边缘安全策略以及现场系统的功能安全策略进行协调以解决策略之间的冲突，冲突解决后根据无冲突安全策略获得边缘任务调度表。在分布式环境下现场系统中各子系统之间相互耦合，其中一个子系统中的安全策略执行会对其它子系统产生一定的影响。所以在对边云策略冲突协调之前需要得到现场系统的整体安全策略，并且将该策略作为边缘安全策略与网络层下发的现场安全服务链以及现场系统的功能安全策略进行协调，获得无冲突安全策略后再生成边缘任务调度表对现场系统进行调度。

边缘安全策略生成：在分布式环境下现场系统中各子系统之间相互耦合，其中一个子系统中的安全策略执行会对其它子系统产生一定的影响，在解决边云策略冲突之前需要得到现场系统的整体安全策略并将该策略作为边缘安全策略。

优选地，所述边缘安全策略的生成采用一种基于角度优势排序的NSGA2算法，对现场系统中各子系统的安全策略组成的策略集进行多目标优化，选择其中的最优解作为边缘安全策略。算法的主要思想是将角度优势排序方法结合遗传算法，在执行遗传算法中的选择、交叉和变异操作之前先对父代种群中的个体进行角度优势排序，从中选择合适的个体组成新父代种群，反复迭代直至满足要求。

如图4所示，其具体步骤如下：

①首先对染色体进行编码，编码方式采用二进制编码，一条染色体代表系统的整体安全策略，由各子系统的安全策略组成，染色体中的基因值为组成安全策略的安全任务；

②初始化种群，基因值为1表示策略中的任务执行，基因值为0表示任务不执行；

③选择适应度函数f，过程如下：

步骤(1)定义任务x⁰在第i个子系统的角度优势排序数为：

DRN_i(x⁰)＝|{x∈Ω|z_i(x⁰)>z_i(x)}|,i＝1,2,…,n

其中，Ω为组成策略的安全任务集，x⁰∈Ω为给定的任务变量，z_i(x)表示执行任务x后子系统i的收益，这里所指的收益是经过角度优势转换后的收益；

步骤(2)计算任务x⁰的总角度优势排序数：

步骤(3)设置适应度函数：

f＝DRN(x)，x∈Ω

④对种群中的个体进行角度优势排序，步骤如下：

步骤(1)定义目标函数为执行安全任务后子系统的收益，其中收益包括安全收益、状态收益、系统收益，安全收益指系统执行安全任务后系统损失的降低值，状态收益指系统执行安全任务后恢复到原先状态的程度，系统收益指系统执行安全任务后所降低的损失与任务执行成本之间的差值；计算每一个子系统的收益函数的边界值，在这里优化目标是收益最大化，所以求其最小值，将其值记为z^nad；

步骤(2)定义参数k∈[10,100]，定义一个点z′＝kz^nad，本实施例中k＝50；

步骤(3)获得坐标中给定点的角度优势区域，该点角度占优于区域中的任何点，根据适应度值对种群中的所有个体进行角度优势排序，最终得到当前种群的非支配解集；

步骤(4)从非支配解集中随机选择两个个体，从选择的两个个体中选择非支配等级较低的个体，当两个个体的非支配等级相同时，则比较它们的拥挤度，选择拥挤度大的个体，重复该过程直至新种群的大小等于设定的种群大小为止；

⑤对新种群中的个体执行遗传算法中的交叉和变异操作，生成下一代子群，此时进化代数值加1；

⑥将得到的后代与父代进行合并，产生新的种群，然后对新种群中的个体进行角度优势排序；

⑦计算个体拥挤度；

⑧按照步骤④中的步骤(4)生成新父代种群；

⑨执行遗传算法中的交叉和变异操作，生成下一代子群，判断进化代数是否小于预先设置的最大代数，若是则将进化代数值加1后返回执行步骤⑥；若否，则结束迭代；

⑩从得到的非劣解集中选择一个最优解作为现场系统的边缘安全策略。

边云策略冲突解决：由于现场安全服务的下发有一定的延迟，并且该服务可能会与本地连接产生中断使得服务无法到达本地控制系统，此时需要执行边缘安全策略来保证对系统的实时安全防护。当服务到达本地时，边缘安全策略已经执行了一部分任务，在该时刻下本地待执行的任务和已执行的任务与网络层下发的现场安全服务以及现场系统的功能安全任务之间可能会产生冲突，冲突产生的原因为实现相同功能的任务之间由于执行不同的动作而产生冲突。对于实现相同功能的任务集，对其中的每个任务进行评分，选择评分最优的任务作为该任务集的最终任务来有效地解决任务之间的冲突。优选地，如图5所示，冲突解决具体过程如下：

①建立任务评价指标体系，如图6所示，建立一种基于模糊综合评价法的任务评价指标体系；

②将策略表示成任务集；

③对任务集进行任务——功能映射，依据实现的功能对安全相关任务进行统一分组；

④利用模糊综合评价法对分组内每个任务进行评分，过程如下：

步骤(1)建立评语集，其中评语集表示为P_j＝(P₁,P₂,P₃,P₄,P₅)，P₁表示程度较低、P₂表示程度低、P₃表示程度中等、P₄表示程度高、P₅表示程度很高；

步骤(2)建立任务评价指标，分为任务完成时间、任务实施成本以及任务实施后系统的风险，按照评语集的划分规则均分为五个等级：极低、低、中等、高、很高；

步骤(3)构建判断矩阵，对于同一分组内的任务，由于实现的功能相同，其评价指标的判断矩阵是相同的；而不同分组之间的任务由于实现的功能不同其判断矩阵也不相同。判断矩阵中的元素表示指标间的相对重要程度，分为9个等级，如表1所示：

表1评价指标相对重要程度划分

步骤(4)对构建的判断矩阵进行一致性检验，若未通过则重新构造判断矩阵直至通过一致性检验，通过检验后判断矩阵的最大特征根所对应的特征向量(归一化)即为所得权重向量ω_j；

步骤(5)建立模糊评价矩阵，统计专家对评价指标的评语集的每项选择形成模糊评价矩阵V_j；

步骤(6)计算任务评分S_j，计算公式为：

S_j＝ω_j·V_j·P_j ^T

选择其中评分最低的任务加入到无冲突安全任务集中，重复执行直至所有分组都被检验，得到无冲突的安全任务集。

边缘任务调度：得到无冲突安全策略后，生成边缘任务调度表下发至现场系统，对现场系统进行调度。

如图7所示，优选地，无冲突安全策略调度采用一种基于带约束的双适应度遗传算法。包括以下步骤：

①首先对染色体进行编码，编码方式采用符号编码，一个染色体包括两层，第一层表示满足优先级约束的安全任务，第二层表示任务的可执行节点，因此一个染色体为一个具有一定拓扑顺序的有效调度列表；

②初始化种群，使得个体中的任务按照给定的优先级规则在其可执行节点上执行，对不满足要求的个体重新初始化；

③适应度函数选择，首先将任务i描述为τ_i＝(st_i,e_i,c_i,nl_i,r_i,δ_i)，各参数分别代表τ_i的起始执行时间、最坏执行时间、执行周期、可执行该任务的节点列表、任务实施所能降低的风险量、风险降低的滞后时间，则第i个任务实施的风险降低函数为：Δr_i(t)＝r_i×u(t-st_i-δ_i)，u(t)为单位阶跃函数。所以在任务的实施过程中，系统实时风险为：

其中，R₁(t)为任务实施前评估的动态系统风险。设计可行解与不可行解的双适应度函数，可行解的适应度函数如下：

f＝ω₁(1/W_time)+ω₂(1/W_risk)

对其进行归一化处理：

其中，ω₁，ω₂为权重系数，W_time表示任务的平均完成时间，则

Succ(τ_k)表示任务τ_k的后继任务集合，n表示任务的数量；W_risk表示个体中的所有任务实施后评估的系统风险；f_min是当代可行解中的最小适应度值，f_max是当代可行解中的最大适应度值；约束条件为R(t)≤RISK_Accept，其中，RISK_Accept为根据行业标准或专家经验确定的系统可接受风险；W_time的表达式中st_k的迭代过程如下：

如果任务τ_s[i]第一个执行，则st_s[i]＝at_s[i],at_s[i]＝st_s[i]+e_s[i],i＝i+1，其中，at_s[i]表示在当前周期内可利用的时间的起始时刻，s[i]表示个体中的第i个任务；否则，st_s[i]＝max{at_s[i],st_s[i-1]+e_s[i-1]},at_s[i]＝st_s[i]+e_s[i],i＝i+1。

不可行解的适应度函数为：

f₂＝exp{min[0,-g_j(t)]}

其中，g_j(t)＝R(t)-RISK_Accept≥0，从上式可以看出f₂越大表明个体越接近约束边界。

④采用精英保留策略将当前种群中的最优个体(适应度函数值最大的个体)直接复制到下一代，使用双轮盘赌方法选择待交叉和变异的个体。设种群规模为N，当代个体中有N_fea个可行解，N_inf个不可行解，则可行解赌轮转动次数为：

其中，函数int(z)得到不大于z的最大整数，C为可行解的平均适应度与不可行解的平均适应度之比，一般取值为1.5～2.0，加1意味着如果只有一个可行解，则它要被选择两次；若只有一个不可行解，则它要被淘汰，这是对可行解的一种保护。

不可行解赌轮转动次数为：

R_inf＝N-R_fea

⑤对步骤④中选择的待交叉和变异的个体，分别计算交叉概率和变异概率；

交叉概率和变异概率分别为：

其中，f_max为群体中最大的适应度值，f_avg为每一代群体的平均适应度值，f′为要交叉的两个个体中较大的适应度值，f为要变异个体的适应度值。

然后将种群中的个体两两配对，随机选择[0,1]的值，然后将得到的值与P_c和P_m比较，如果该随机数小于P_c或P_m表示需要进行交叉或变异操作，本实施例中交叉和变异算子分别采用单点交叉和基本位变异，对交叉或变异后的个体进行调整使其满足任务优先级约束以及任务的可执行节点约束，如果大于等于P_c或P_m表示不需要进行交叉或变异操作，继续验证下一对个体。

⑥由以上步骤得到新父代种群，反复执行步骤③-⑤直至满足迭代结束条件，得到现场系统的边缘任务调度表。

如图8所示，本发明还公开了一种采用上述架构的主动安全响应方法，该方法包括以下步骤：

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种边云协同的工业信息物理系统主动安全响应架构，其特征在于，所述架构包括：

2.如权利要求1所述的架构，其特征在于，所述云层，还用于在安全策略的解析后，生成网络安全服务链，接收到网络层发送的网络拓扑信息后，对组成网络安全服务链的VNF进行最优化部署，得到网络安全服务链编排信息，并将网络安全服务链及其编排信息下发至网络层，根据网络安全服务链编排信息进行流指令解析，得到流控制命令并下发至网络层；

3.如权利要求1或2所述的架构，其特征在于，所述云层包括：安全策略解析模块、服务链生成模块和VNF最优化部署模块；

4.如权利要求1所述的架构，其特征在于，所述边缘安全策略的生成采用一种基于角度优势排序的NSGA2算法。

5.如权利要求1所述的架构，其特征在于，冲突解决包括如下步骤：

6.如权利要求1所述的架构，其特征在于，无冲突安全策略调度采用一种基于带约束的双适应度遗传算法。

7.如权利要求2至3任一项所述的架构，其特征在于，VNF最优化部署包括以下步骤：

8.如权利要求7所述的架构，其特征在于，采用HMM模型对网络参数未知的底层网络建模，所述HMM模型参数为λ＝(A，B，Π)，

其中，A为状态转移矩阵，对部署VNF的服务节点之间的所有链路进行编号作为隐藏状态，矩阵元素a_i，i定义为当前时刻选择第i条链路且下一时刻选择第j条链路的概率；B为观测矩阵，对部署VNF的服务节点进行编号作为观测状态，矩阵元素b_i，j定义为服务节点之间的链路为i时VNF_j部署在其对应的服务节点上的概率，Π为初始状态参数分布矩阵。

9.如权利要求2所述的架构，其特征在于，VNF备份策略由网络层中VNF备份决策模块生成，该模块用于服务链可靠性计算、VNF最佳备份位置计算以及备份VNF最优化部署；

10.一种采用权利要求2至9任一项所述的架构的主动安全响应方法，其特征在于，该方法包括以下步骤：