CN113824643A - 泛在网络拓扑图构建方法及网络安全防护方法 - Google Patents

泛在网络拓扑图构建方法及网络安全防护方法 Download PDF

Info

Publication number
CN113824643A
CN113824643A CN202111409073.2A CN202111409073A CN113824643A CN 113824643 A CN113824643 A CN 113824643A CN 202111409073 A CN202111409073 A CN 202111409073A CN 113824643 A CN113824643 A CN 113824643A
Authority
CN
China
Prior art keywords
node
ubiquitous
network
communication
ubiquitous network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111409073.2A
Other languages
English (en)
Other versions
CN113824643B (zh
Inventor
李凤华
房梁
李子孚
郭云川
耿魁
张玲翠
陈操
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202111409073.2A priority Critical patent/CN113824643B/zh
Publication of CN113824643A publication Critical patent/CN113824643A/zh
Application granted granted Critical
Publication of CN113824643B publication Critical patent/CN113824643B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种泛在网络拓扑图构建方法及网络安全防护方法,其中构建方法包括:确定待构建的泛在互联网络;以泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图;节点包括端节点、汇集接入节点和控制节点;原子操作用于对节点和/或边进行调整,原子操作包括交运算、并运算和融合运算中的至少一种,基于此可以进行网络安全防护能力编排、部署与管理,威胁处置,网络安全监管。本发明提供的方法,通过普适性、最小性、可组合性的原子操作构建泛在网络拓扑图,使得泛在网络拓扑图可适应泛在互联网络的大尺度高动态特性,在此基础上进行网络安全防护,保证了网络安全防护的安全性和完备性。

Description

泛在网络拓扑图构建方法及网络安全防护方法
技术领域
本发明涉及网络安全技术领域,尤其涉及泛在网络拓扑图构建方法及网络安全防护方法。
背景技术
随着卫星通信技术、移动通信技术、网络技术和计算技术的持续发展演进和广泛应用,形成了包含因特网、移动互联网、物联网、卫星通信网/卫星互联网、天地一体化网络、智慧城市等异构互联的泛在互联网络环境。
为了确保网络安全,需要能指导安全保障体系实现的安全防护方法。当前,在业界广泛使用的信息系统安全防护方法包括:PDR(Protection Detection Response,防护、检测、响应)方法、PPDR(Policy Protection Detection Response,策略、防护、检测、响应)方法、PDRR(Protection Detection Response Recovery,保护、检测、响应和恢复)方法、MPDRR(Management Protection Detection Response Recovery,管理、保护、检测、响应和恢复)方法和WPDRRC(Warning Protection Detection Response RecoveryCounterattack,预警、保护、检测、响应、恢复、反击)方法等。
上述方法仅仅包含预警、保护、检测、响应、恢复和反击等环节间协作关系以及环节间的反馈,仅涉及到主体、动作、流程框架,与网络具体的拓扑是无关的,与网络的组成也没有直接的映射关系。
发明内容
本发明提供一种泛在网络拓扑图构建方法及网络安全防护方法,用以解决现有技术中安全防护方法不适用泛在互联网络,导致泛在互联网络的安全性和完备性无法得到保障的问题。
本发明提供一种泛在网络拓扑图构建方法,包括:
确定待构建的泛在互联网络;
以所述泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图,所述泛在网络拓扑图用于网络安全防护;
所述节点包括端节点、汇集接入节点和控制节点;
所述原子操作用于对节点和/或边进行调整,所述原子操作包括交运算、并运算和融合运算中的至少一种。
根据本发明提供的一种泛在网络拓扑图构建方法,所述构建泛在网络拓扑图,之后还包括:
若所述泛在互联网络中存在节点变化,则基于关系生成规则,以及加运算操作和/或减运算操作,调整所述泛在网络拓扑图;
所述关系生成规则基于各通信主体的信号收发数据确定;
所述加运算操作和所述减运算操作基于所述原子操作实现;
所述泛在网络拓扑图基于所述泛在互联网络中各通信主体,应用所述关系生成规则,以及所述加运算操作和/或所述减运算操作构建。
根据本发明提供的一种泛在网络拓扑图构建方法,若所述泛在互联网络中存在节点变化,则基于关系生成规则,以及加运算操作和/或减运算操作,调整所述泛在网络拓扑图,包括:
若所述节点变化为新增任一节点,则基于所述加运算操作,在所述泛在网络拓扑图中新建所述任一节点,并基于所述关系生成规则,生成所述任一节点在所述泛在网络拓扑图中的连接边;
若所述节点变化为下线任一节点,则基于所述减运算操作,在所述泛在网络拓扑图中下线所述任一节点以及所述任一节点的连接边;
若所述节点变化为修改任一节点的连接关系,则基于所述减运算操作,在所述泛在网络拓扑图中下线所述任一节点以及所述任一节点的连接边,和/或基于加运算操作,在所述泛在网络拓扑图中新建所述任一节点,并基于关系生成规则,生成所述任一节点在所述泛在网络拓扑图中的连接边。
根据本发明提供的一种泛在网络拓扑图构建方法,所述加运算操作基于加点运算、加边运算、状态管理运算、所述交运算、所述并运算和所述融合运算中的至少一种实现,所述减运算操作基于减点运算、减边运算、状态管理运算、所述交运算、所述并运算和所述融合运算中的至少一种实现。
根据本发明提供的一种泛在网络拓扑图构建方法,所述加点运算用于在满足给定加点条件下,将新通信主体加入到所述泛在网络拓扑图,并维护泛在网络运行状态;
所述加边运算用于在满足给定加边条件下,将新通信主体加入到所述泛在互联网络时,于所述泛在网络拓扑图中新增新通信主体与网络的连接关系,和/或,所述泛在互联网络中已有通信主体新增连接关系,并维护网络运行状态;
所述减点运算用于在满足给定减点条件下,将在网通信主体离开所述泛在互联网络,并维护网络运行状态;
所述减边运算用于在满足给定减边条件下,去掉待下线的通信主体与其他已在网的通信主体的连接关系,和/或,减少所述泛在互联网络中的通信主体间的连接关系,并维护网络运行状态;
所述状态管理运算用于管理节点和/或节点间连接的边的状态。
根据本发明提供的一种泛在网络拓扑图构建方法,所述交运算是针对通信主体双方或者多方存在或预期存在共同的通信链路的情况,计算存在共同或预期存在共同通信的链路,以构建并维护所述泛在网络拓扑图的运算操作;
所述并运算是针对通信双方或多方不存在单中继可达的中继节点,且存在若干条潜在中继可达的通信链路的情况,运算构建通信链路,并维护所述泛在网络拓扑图的运算操作;
所述融合运算是针对端节点不存在单中继可达的汇集接入节点,但存在若干条中继可达的汇集接入节点,且多个汇集接入节点共享同一控制节点的情况,构建通信链路,并维护所述泛在网络拓扑图的运算操作。
本发明还提供一种网络安全防护方法,包括:
确定泛在网络拓扑图,所述泛在网络拓扑图是基于如上所述的泛在网络拓扑图构建方法构建的;
基于所述泛在网络拓扑图,进行网络安全防护。
根据本发明提供的一种网络安全防护方法,所述基于所述泛在网络拓扑图,进行安全防护,包括:
从所述泛在网络拓扑图中,确定出防护所需的局部视图;
基于所述局部视图,进行网络安全防护。
根据本发明提供的一种网络安全防护方法,所述从泛在网络拓扑图中,确定出防护所需的局部视图,包括:
基于防护所需的目标属性范围,以及所述泛在网络拓扑图的多维索引,从所述泛在网络拓扑图中索引得到所述局部视图;
所述多维索引基于所述泛在网络拓扑图中各节点的节点属性构建。
根据本发明提供的一种网络安全防护方法,所述基于所述局部视图,进行网络安全防护,包括:
基于日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,以及所述局部视图,确定防护方案;
基于所述防护方案,进行网络安全防护。
根据本发明提供的一种网络安全防护方法,所述基于日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,以及所述局部视图,确定防护方案,包括:
基于所述日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,构建源匹配子图;
对所述源匹配子图和所述局部视图进行子图匹配,得到所述防护方案;
所述安全要求包括:节点/网络的防护要求、策略配置、采集要求、处置指令分解要求、处置响应要求、柔性重构要求、脱敏控制要求、信息过滤要求、分布式分析要求、边缘管控要求、可用防护资源中的至少一种。
本发明还提供一种泛在网络拓扑图构建装置,包括:
网络确定单元,用于确定待构建的泛在互联网络;
拓扑图构建单元,用于以所述泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图,所述泛在网络拓扑图用于网络安全防护;
所述节点包括端节点、汇集接入节点和控制节点;
所述原子操作用于对节点和/或边进行调整,所述原子操作包括交运算、并运算和融合运算中的至少一种。
本发明还提供一种网络安全防护装置,包括:
拓扑图确定单元,用于确定泛在网络拓扑图,所述泛在网络拓扑图是基于如上所述的泛在网络拓扑图构建方法构建的;
安全防护单元,用于基于所述泛在网络拓扑图,进行网络安全防护。本发明还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述任一种所述泛在网络拓扑图构建方法或网络安全防护方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述泛在网络拓扑图构建方法或网络安全防护方法的步骤。
本发明提供的泛在网络拓扑图构建方法及网络安全防护方法,通过普适性、最小性、可组合性的原子操作构建泛在网络拓扑图,使得泛在网络拓扑图可以适应泛在互联网络的大尺度高动态特性,在泛在网络拓扑图的基础上进行网络安全防护,保证了网络安全防护的安全性和完备性。
附图说明
为了更清楚地说明本发明中的技术方案,下面将对实施例描述中所需要使用的附图简要地说明,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的泛在网络拓扑图构建方法的流程示意图;
图2是本发明提供的交运算示意图;
图3是本发明提供的并运算示意图之一;
图4是本发明提供的并运算示意图之二;
图5是本发明提供的融合运算示意图;
图6是本发明提供的网络安全防护方法的流程示意图;
图7是本发明提供的卫星互联网下的交运算示意图;
图8是本发明提供的卫星互联网下的并运算示意图之一;
图9是本发明提供的卫星互联网下的并运算示意图之二;
图10是本发明提供的卫星互联网下的融合运算示意图;
图11是本发明提供的5g/6g网络下的交运算示意图;
图12是本发明提供的5g/6g网络下的并运算示意图之一;
图13是本发明提供的5g/6g网络下的并运算示意图之二;
图14是本发明提供的5g/6g网络下的融合运算示意图;
图15是本发明提供的卫星互联网和5g/6g网络异构网络下的并运算示意图之一;
图16是本发明提供的卫星互联网和5g/6g网络异构网络下的并运算示意图之二;
图17是本发明提供的卫星互联网和5g/6g网络异构网络下的融合运算示意图;
图18是本发明提供的卫星互联网、5g/6g网络、车载网异构网络下的并运算、融合运算示意图;
图19是本发明提供的泛在网络拓扑图构建装置的结构示意图;
图20是本发明提供的网络安全防护装置的结构示意图;
图21是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
当前,在业界广泛使用的信息系统安全防护方法例如PDR方法、PPDR方法、PDRR方法、MPDRR方法和WPDRRC方法等,虽然能够涵盖预警、保护、检测、响应、恢复和反击等环节,实现动态反馈,但是上述方法并不能够适应泛在互联网络,具体原因如下:
首先,泛在互联网络涵盖了卫星通信网/卫星互联网、天地一体化网络、因特网、移动网、物联网、车联网,具有大尺度性、动态性、开放性、异构性等典型特性,传统网络安全防护方法并不能够描述上述典型特征。
其次,当前的网络安全防护方法只能指导安全防护中的部分环节,例如架构设计、技术研发和组件部署等,无法在全流程上进行安全防护指导,并且不同环节间的安全防护机制存在语义鸿沟,不能有机融合;因此,亟需一种能够在全流程上指导架构设计、技术研发和组件部署等环节的安全防护机制。
另外,为了确保网络安全防护方法自身的安全性和完备性,需要精准抽象泛在互联网络中最细粒度的原子要素和原子操作;但是当前的安全防护方法,仅能够从宏观层面上给出保障环节,并不具备普适性、最小性、可组合性的原子操作,因此无法刻画泛在网络拓扑图的动态变化,不能任意角度描述拓扑视图,不能确保安全防护方法自身的完备性和安全性。
针对上述问题,本发明实施例提供了一种应用于泛在互联网络的安全防护方法,具体思路是针对泛在互联网络构建泛在网络拓扑图,将泛在网络拓扑图应用于网络安全防护。此处所指的泛在互联网络可应用于卫星互联网、智慧城市、物联网、车联网等场景,也可应用于上述多种场景的组合,例如卫星互联网与智慧城市网络相连,卫星互联网与物联网相连,智慧城市网络与物联网相连,卫星互联网、智慧城市网络与物联网相连,或者移动网络(5G/6G)、车联网、卫星互联网相连,等等。
图1是本发明提供的泛在网络拓扑图构建方法的流程示意图,如图1所示,该方法包括:
步骤110,确定待构建的泛在互联网络;
步骤120,以所述泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图,所述泛在网络拓扑图用于网络安全防护;
所述节点包括端节点、汇集接入节点和控制节点;
所述原子操作用于对节点和/或边进行调整,所述原子操作包括交运算、并运算和融合运算中的至少一种。
具体地,待构建的泛在互联网络即需要进行拓扑图构建的泛在互联网络。泛在互联网络中的所有通信主体,例如卫星互联网、智慧城市、物联网等网络中的所有设备、系统与网络的混合体,均可以视为泛在网络拓扑图中的节点,而各通信主体之间的关系,包括物理连接关系和/或逻辑连接关系,可以视为泛在网络拓扑图中用于表示各个节点之间连接关系的边。
本发明实施例中,泛在互联网络中的通信主体在作为泛在网络拓扑图中的节点时,可以根据节点功能、部署位置等因素划分为如下三类节点:
(1)端节点:端节点用t表示,指通信的终端设备,用来完成所需业务功能和接入通信网络等,包括但不限于:卫星通信终端、手机、智能终端、物联网节点、智联终端、车联网汽车通信模块、桌面终端、信息系统的前端系统(包括APP)等。
卫星通信终端包括但不限于:窄带卫星通信终端和宽带卫星通信终端等。
宽带卫星通信终端包括但不限于:普通的宽带卫星通信终端、混合的宽带通信终端(比如,同时包含5G基站和宽带卫星的功能)。
需要说明的是,端节点是一种相对的定义,与其处于的网络位置有关,某些接入节点和端节点共同组成端节点。比如,电脑通过手机热点连接到网络,那么在这个层面上,手机相当于接入节点,广义上,手机和电脑都对上一级接入节点而言,都是端节点,也就是说如果有多级接入节点,下层接入节点及附属的端节点相对于上层接入节点而言均为整体形成一个端节点。
(2)汇集接入节点:汇集接入节点用s表示,指用来转发信息的通信设备,包括但不限于:移动通信基站、卫星、无线访问节点(Access Point,AP)、物联网汇集终端、车联网交通控制系统、信息系统接入服务器等。
(3)控制节点:控制节点用g表示,指用来控制网络通信的设备,包括但不限于:卫星通信系统的信关站、移动通信系统核心网、智慧城市的云中心、物联网的后台服务平台等。
为了能够在最细粒度上表征泛在互联网络的实际情况,并且适应泛在互联网络动态变化的特征,在构建泛在互联网络的泛在网络拓扑图,以及后续在对泛在网络拓扑图进行调整时,需要应用最细粒度的操作方式,即原子操作,此处的原子操作是指可以针对泛在网络拓扑图中的节点和/或边这一粒度的信息进行调整的操作,不同类型的原子操作相互独立且可以灵活组合应用,原子操作可以包括加点运算、加边运算、减点运算、减边运算、状态管理运算、交运算、并运算、融合运算中的至少一种。
作为优选,原子操作可以包括交运算、并运算和融合运算,此三者可用于描述泛在互联网络中的通信行为。其中,交运算是针对通信主体双方或者多方存在或预期存在共同的通信链路的情况,计算存在共同或预期存在共同通信的链路,以构建并维护泛在网络拓扑图的运算操作;所述并运算是针对通信双方或多方不存在单中继可达的中继节点,且存在若干条潜在中继可达的通信链路的情况,运算构建通信链路,并维护泛在网络拓扑图的运算操作;所述融合运算是针对端节点不存在单中继可达的汇集接入节点,但存在若干条中继可达的汇集接入节点,且多个汇集接入节点共享同一控制节点的情况,构建通信链路,并维护泛在网络拓扑图的运算操作。
需要说明的是,步骤120中的确定泛在网络拓扑图,可以指首次构建泛在网络拓扑图,也可以指在前次更新的泛在网络拓扑图的基础上进行调整,以得到更新后的泛在网络拓扑图。
由此得到的泛在网络拓扑图,可直接应用于泛在互联网络的安全防护中,从而保证网络安全防护的安全性和完备性。
本发明实施例提供的泛在网络拓扑图构建方法,依赖于大尺度、高动态的泛在网络的描述方式和普适性、最小性、可组合性的原子操作,实现了真实的泛在互联网络的拓扑生成,在泛在网络拓扑图的基础上进行网络安全防护,保证了网络安全防护的安全性和完备性。
基于上述任一实施例,泛在网络拓扑图中不仅包含节点,以及连接各节点的边,还包含节点状态。此处,节点状态可以包含节点属性,也可以包含与节点相连的边的边属性。随着泛在网络拓扑图里面的节点、节点状态、节点间的连接关系的变化,泛在网络拓扑图是动态变化的。
基于上述任一实施例,泛在网络拓扑图中,每一节点均具备其对应的节点属性,此处的节点属性可以包含通用属性和安全属性两种。
其中,针对任一节点,其通用属性genAttr可以包括如下属性中的任意一种或者多种:唯一标识(uuid)、控制者(controller)、星载设备集sDevs、信关站是否可见(visibility)、传输协议(tProtocol)、计算能力(cAbility)、存储能力(sAbility)、功能(func)、接入速率(aVelocity)、接入策略(aPolicy)、接入协议(aProtocol)、通信频段(spectrum)、支持的用户数量(uNumber)、接入总带宽(aBandwith)、信道总数量(tcNumber)、工作信道数量(bcNumber)、空闲信道数量(fcNumber)、空间位置(sPosition)。
针对任一节点,其安全属性secAttr可以包含如下属性中的任意一种或者多种:安全级别(secLevel)、安全功能(secFunction)、密码算法 (crypAlgorithm)、密码参数(crypParameter)、节点密钥对(keyPair)、会话密钥集(sessionKeys)、加密类型(enType)、加密速率(enSpeed)、安全态势信息(secSituation)、安全部件(secComponent)、安全软件(secSoftware)。
基于上述任一实施例,泛在网络拓扑图中,节点间的边均具备其对应的边属性,边属性用于反映网络运行状态。边属性同样可以包含通用属性和安全属性两种。
针对任意一条边,其通用属性包括如下属性中的任意一种或者多种:边唯一标识(uuid)、带宽(bandwidth)、服务质量(QoS)、时延(delay)、链路类型(linkType)、传输协议(tProtocol)、邻接点对(nPair)。
针对任意一条边,其安全属性包括如下属性中的任意一种或者多种:密码算法(crypAlgorithm)、密码参数(crypParameter)、加密类型(encType)、认证协议(authProtocol)、认证类型(authType)、认证有效时间(validTime)、安全协议(secProtocol)。
基于上述任一实施例,步骤120之后还包括:
若所述泛在互联网络中存在节点变化,则基于关系生成规则,以及加运算操作和/或减运算操作,调整所述泛在网络拓扑图;
所述关系生成规则基于各通信主体的信号收发数据确定;
所述加运算操作和所述减运算操作基于所述原子操作实现;
所述泛在网络拓扑图的初始拓扑图基于所述泛在互联网络中各通信主体,应用所述关系生成规则,以及所述加运算操作和/或减运算操作构建。
此处,关系生成规则用于确定非在网络节点、离线网络节点新加入网络时应与哪个在网节点连接,和/或,用于确定因节点被删除、退网而引起的需要修改网络中节点间连接关系,即关系生成规则用于确定泛在网络拓扑图中是否需要新增/删除/修改边。
关系生成规则的依据即各通信主体的信号收发数据,用于判断各通信主体之间是否可以相互通信,信号收发数据具体可以是信号强度、物理距离、权限、管辖范围等。
加运算操作用于将非在网络节点、离线网络节点加入到网络中,减运算操作用于将网络中节点下网、彻底删除操作。
进一步地,加运算操作和减运算操作均可以基于单一类型的原子操作实现,例如加运算操作可以基于加点运算实现,减运算操作可以基于减点运算实现;加运算操作和减运算操作也可以基于多个类型的原子操作的组合实现,例如加运算操作可以基于加点运算、加边运算、交运算、并运算和融合运算的组合实现。
具体地,若当前不存在泛在网络拓扑图,即需要构建泛在网络拓扑图的初始拓扑图时,可以基于泛在互联网络中各通信主体的信号收发数据,应用关系生成规则,确定各通信主体之间的关系,在此基础上,通过加运算操作和/或减运算操作将泛在互联网络中的各通信主体以节点的形式,各通信主体之间的关系以边的形式,增加到泛在网络拓扑图中,从而得到初始拓扑图。此处,初始拓扑图亦为泛在网络拓扑图,初始拓扑图仅用于说明是首次创建的拓扑图。
若当前存在泛在网络拓扑图,则需要监测泛在互联网络的动态变化,即对应在泛在网络拓扑图中是否存在节点变化,此处的节点变化可以是节点的新增或者下线,也可以是节点属性的修改,还可以是节点间连接关系的变化,本发明实施例对此不作具体限定。如果监测到存在节点变化,则需要根据具体的变化情况,应用关系生成规则,确定变化后的节点之间的关系,再结合具体的变化情况,选择加运算操作和/或减运算操作,实现泛在网络拓扑图中基于节点变化的节点和/或边的更新变化。
本发明实施例提供的方法,结合关系生成规则,以及加运算操作和/或减运算操作,实现了泛在网络拓扑图的动态更新,从而保证泛在网络拓扑图能够适应泛在互联网络的高动态特性。
基于上述任一实施例,步骤110包括:
若所述节点变化为新增任一节点,则基于所述加运算操作,在所述泛在网络拓扑图中新建所述任一节点,并基于所述关系生成规则,生成所述任一节点在所述泛在网络拓扑图中的连接边;
若所述节点变化为下线任一节点,则基于所述减运算操作,在所述泛在网络拓扑图中下线所述任一节点以及所述任一节点的连接边;
若所述节点变化为修改任一节点的连接关系,则基于所述减运算操作,在所述泛在网络拓扑图中下线所述任一节点以及所述任一节点的连接边,和/或基于加运算操作,在所述泛在网络拓扑图中新建所述任一节点,并基于关系生成规则,生成所述任一节点在所述泛在网络拓扑图中的连接边。
具体地,对泛在互联网络进行监测所得的节点变化,可以是新增节点,或者下线节点,再或者是针对网络中已存在的节点进行连接关系的修改,其对应的调整方法如下:
针对节点变化为新增任一节点的情况,可以利用加运算操作,在泛在网络拓扑图中新建一个节点,并利用关系生成规则计算新增的这个节点与泛在网络拓扑图中各个已经存在的节点之间的关系,从而确定新增的节点需要和哪个或者哪些已经存在的节点相连,在泛在网络拓扑图中构建该新增节点的连接边。此外,还可以将连接关系、新增节点的状态存入数据库;新增节点的状态可以包括位置信息、是否连接等。
针对节点变化为下线任一节点的情况,可以利用减运算操作,修改该节点的连接关系和节点状态,并存入数据库。此处,下线操作包含两种含义,一种是永久下线,不会再次上线的,此时可以删除节点的全部内容,另一种是可能要再次上线的,在数据库中不删除此节点,仅仅修改状态、连接关系、属性等。
针对节点变化为修改任一节点的连接关系的情况,可以利用减运算操作和加运算操作的组合实现,包括:通过减运算操作,将待修改节点进行永久或暂时下线处理,和/或,通过加运算操作,将修改后的节点重新加入到拓扑图中。
基于上述任一实施例,所述加运算操作基于加点运算、加边运算、状态管理运算、所述交运算、所述并运算和所述融合运算中的至少一种实现,所述减运算操作基于减点运算、减边运算、状态管理运算、所述交运算、所述并运算和所述融合运算中的至少一种实现。
具体地,加运算操作可以由加点运算、加边运算、状态管理运算、交运算、并运算和融合运算等多个原子操作组合实现,相应地,减运算操作也可以由减点运算、减边运算、状态管理运算、交运算、并运算和融合运算等多个原子操作组合实现。需要说明的是,“加点运算”和“减点运算”中的点,均是指泛在网络拓扑图中的节点,即通信主体。
其中,加点运算是指,在满足给定加点条件下,将新通信主体等加入到网络中,并维护网络运行状态。
此处,针对加点运算的给定加点条件包括但不限于:通信主体功能完成验证、通信主体性能完成验证、通信主体完成入网登记、通信主体完成身份认证、通信主体完成接入认证、通信主体完成密码算法协商、密码参数协商、通信主体完成密钥协商、通信主体完成组网认证。在网络运行状态维护中,维护该通信主体节点的属性,以及维护与该节点存在直接或间接关系的节点/边的属性;维护新增节点的属性的时机包括:加节点前、加节点过程中和加节点后。
加点运算可用addVertex表示,其形式定义如下:
addVertex: C×2V×2V→2V,其中C为条件,2V为节点集合,addVertex表示在满足 条件C时,在已有通信主体集合
Figure 379177DEST_PATH_IMAGE001
中增加新通信主体
Figure 727332DEST_PATH_IMAGE002
,其形式语义为:
Figure 326941DEST_PATH_IMAGE003
加边运算是指,在满足给定加边条件下,将新通信主体等加入到网络时,新增了新通信主体与网络的连接关系,和/或,网络中已有通信主体新增了连接关系,加边运算也需要维护网络运行状态。
此处,针对加边运算的给定加边条件包括但不限于:通信主体完成身份认证、通信主体完成接入认证、通信主体完成密码算法协商、密码参数协商、通信主体完成密钥协商、通信主体完成组网认证、通信主体完成链路切换准备。在网络运行状态维护中,维护新增边的属性,以及维护与新增边存在直接或间接关系的点/边的属性;维护新增边的属性的时机包括:加节点前、加节点过程中和加节点后。维护操作包括但不限于:属性的增加、属性的修改、属性的删除。
加边运算可用addEdge表示,定义如下:
addEdge: C×2E×2E→2E,其中C为条件,2E为边集合,addEdge表示在满足条件C时,在已有边集oESET中增加新边集nESET,其形式语义为:
Figure 403481DEST_PATH_IMAGE004
其中,
Figure 924593DEST_PATH_IMAGE005
表示新边集加入之前的给定条件。
减点运算是指,在满足给定减点条件下,将在网通信主体等离开网络(下线),并维护网络运行状态。
针对减点运算的给定减点条件包括但不限于:通信主体关机、通信主体断网、通信主体主动退出网络服务、通信主体被判定为恶意用户。在网络运行状态维护中,维护该通信主体节点的属性,以及维护与该节点存在直接或间接关系的节点/边的属性,维护减少节点的属性的时机包括:减节点前、减节点过程中和减节点后。对减少边的维护操作包括但不限于:属性的增加、属性的修改、属性的删除。
减点运算可用deleteVertex表示,其形式定义如下:
deleteVertex: C×2V →2V×2V,表示在满足条件C时,在已有通信主体集合
Figure 610527DEST_PATH_IMAGE001
中删除通信主体
Figure 533483DEST_PATH_IMAGE006
,其形式语义为:
Figure 780925DEST_PATH_IMAGE007
减边运算是指,在满足给定减边条件下,待下线的通信主体与其他已在网的通信主体的连接关系去掉,和/或,减少了网络中的通信主体间的连接关系,减边运算也需要维护网络运行状态。
针对减边运算的给定减边条件包括但不限于:通信主体关机、通信主体断网、通信主体主动退出网络服务、通信主体被判定为恶意用户、完成链路切换准备、链路被判定为有恶意流量。在网络运行状态维护中,维护删除边的属性,以及维护与删除边存在直接或间接关系的点/边的属性,维护删除边的属性的时机包括:减节点前、减节点过程中和减节点后。维护操作包括但不限于:属性的增加、属性的修改、属性的删除。
减边运算可用deleteEdge表示,定义如下:
deleteEdge:C×2E→2E×2E表示在已有边集
Figure 789332DEST_PATH_IMAGE008
中删除边集
Figure 16308DEST_PATH_IMAGE009
,其形式语 义为:
Figure 793771DEST_PATH_IMAGE010
其中,
Figure 212114DEST_PATH_IMAGE011
表示边集被删除之前的给定条件。
状态管理运算用于管理节点(即,通信主体)和/或节点间连接的边的状态,即管理节点和/或边的属性值,管理操作包括但不限于:增加属性、修改属性、删除属性、查找属性、增加属性值、修改属性值、删除属性值、查找属性值;状态管理运算可周期性触发,也可以由事件触发。
交运算是针对通信主体双方或者多方存在或预期存在共同的通信链路的情况,计算存在或预期存在共同通信的链路,以构建并维护网络拓扑图的运算操作。此处,预期存在共同的通信链路的情况,可以是通信主体双方或者多方拥有共同的汇集接入节点和/或控制节点的情况。
在交运算执行前、交运算执行时和/或交运算执行后,需要对泛在网络拓扑图中的节点和/或边的属性进行操作,对泛在网络拓扑图中的节点和/或边的属性操作包括但不限于:增加属性、修改属性、删除属性。基于交运算结果,可构建或者调整泛在网络拓扑图。
图2是本发明提供的交运算示意图,如图2所示,交运算形式定义如下:
给定基本通信模式的两个实例G1=<{t1,s1,g1}, {<t1, s1>, < s1,t1>, < g1, s1 >, < s1, g1> }>和G2=<{t2,s2,g2}, {<t2, s2>, < s2,t2>, < g2, s2>, < s2, g2> }>,若s1 =s2且g1=g2时,实例G1和G2的交运算(G1
Figure 442238DEST_PATH_IMAGE012
G2)的结果如图2中箭头右侧示意图所示:
G1
Figure 532291DEST_PATH_IMAGE012
G2=<{t1,t2,s,g}, {<t1,s>, <s,t1>, <t2,s>, <s,t2>, <g,s>, <s,g>}>,其 中s=s1=s2,g=g1=g2,t为端节点,s为汇集接入节点,g为控制节点。
其中,{}表示的是一个集合,< >括号中的两个元素表示有方向关系的两个元素。
并运算是针对通信双方或多方不存在单中继可达的中继节点,但存在若干条潜在中继可达的通信链路的情况,运算构建通信链路,并维护网络拓扑图的运算操作。
此处,单中继可达是指通过单个中继节点可实现通信双方或者多方的通信连接。此处的中继节点可以是在通信过程中发挥了中继功能的汇集接入节点,也可以是在通信过程中发挥了中继功能的控制节点。潜在中继可达是指可通过两个或者两个以上的中继节点实现通信双方或者多方的通信连接,此处的两个或者两个以上的中继节点之间存在中继关系,但尚未建立通信链路。
所述中继关系是指汇集接入节点与汇集接入节点之间的连接关系,或者控制节点与控制节点之间的连接关系。比如,基站与基站之间,卫星与卫星之间,移动通信系统核心网与移动通信系统核心网之间,信关站与信关站之间。
在并运算执行前、并运算执行时和/或并运算执行后,需要对泛在网络拓扑图中的节点和/或边的属性进行操作,对泛在网络拓扑图中的节点和/或边的属性操作包括但不限于:增加属性、修改属性、删除属性。并运算形式定义如下:
图3是本发明提供的并运算示意图之一,如图3所示,给定基本通信模式的两个实 例G1、G2和中继关系R,其中G1=<{t1,s1,g1}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>}>,G2=< {t2,s2,g2}, {<t2,s2>, <s2,t2>, <g2,s2>, <s2,g2> }>,若s1≠s2,g1≠g2,{ <s1, s2> , < s2, s1>}
Figure 164261DEST_PATH_IMAGE013
R和{ <g1, g2> , <g2, g1>}
Figure 753505DEST_PATH_IMAGE014
R,则通信中继关系并运算(G1ss G2)的运算 结果如图3中箭头右侧示意图所示:
G1ss G2=<{t1,t2,s1,s2,g1,g2,}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>, <t2,s2>, <s2,t2>, <g2,s2>, <s2,g2>, <s1, s2>, <s2, s1>}>
本发明中的t、s、g之间的线表示不同节点的通信链路,可以是直连链路或者通信链路的一部分。
链路上传输的信息包括但不限于:信令协商数据、认证信息、监管信息、业务数据等。
图4是本发明提供的并运算示意图之二,如图4所示,若s1≠s2,g1≠g2,{ <g1, g2> ,<g2, g1>}
Figure 736505DEST_PATH_IMAGE013
R和{ <s1, s2> ,<s2, s1>}
Figure 588440DEST_PATH_IMAGE014
R,则控制中继关系并运算(G1gg G2)的运算结 果如图4中箭头右侧示意图所示:
G1gg G2=<{ t1, t2,s1, s2, g1, g2,}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>,<t2,s2>, <s2,t2>, <g2,s2>, <s2,g2>, <g1, g2>, <g2, g1>} >
需要说明的是,上述公式中,{ <s1, s2> , <s2, s1>}
Figure 809337DEST_PATH_IMAGE013
R表示s2和s1之间存在潜在 中继可达的通信链路,∪ss表示汇集接入节点间存在潜在中继可达的通信链路时的并运算, ∪gg表示控制节点间存在潜在中继可达的通信链路时的并运算。
融合运算是针对端节点不存在单中继可达的汇集接入节点,但存在若干条中继可达的汇集接入节点,且多个汇集接入节点共享同一控制节点的情况,构建通信链路,并维护网络拓扑图的运算操作。
此处,中继可达是指端节点间可通过两个或者两个以上的汇集接入节点实现通信连接,此处的两个或者两个以上的汇集接入节点之间存在中继关系,并且与同一个控制节点建立有通信链路。
在融合运算执行前、融合运算执行时和/或融合运算执行后,需要对泛在网络拓扑图中的节点和/或边的属性进行操作,对泛在网络拓扑图中的节点和/或边的属性操作包括但不限于:增加属性、修改属性、删除属性。
图5是本发明提供的融合运算示意图,如图5所示,给定基本通信模式的两个实例 G1、G2和中继关系R,其中G1=<{ t1,s1, g1}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>},G2=< {t2,s2,g2}, {<t2,s2>, <s2,t2>, <g2,s2>, <s2,g2> },若s1≠s2,g1=g2,{ <s1, s2> , <s2, s1>}
Figure 631800DEST_PATH_IMAGE013
R,则实例G1和G2的融合运算(G1
Figure 836516DEST_PATH_IMAGE015
G2)的运算结果如图5箭头右侧示意图所示:
G1
Figure 973099DEST_PATH_IMAGE015
G2=<{t1,t2,s1,s2,g1,g2,}, {<t1,s1>, <s1,t1>, <g,s1>, <s1,g>, <t2,s2>, <s2,t2>, <g,s2>, <s2,g>, <s1, s2>,<s2,s1>} >
其中g=g1=g2
基于上述泛在网络拓扑图的构建方法,可以实现泛在网络拓扑图的构建,在此基础上,即可基于泛在网络拓扑图进行安全防护。以下,本发明实施例还提供一种网络安全防护方法,包括:
确定泛在网络拓扑图,所述泛在网络拓扑图是基于上述任一实施例所述的泛在网络拓扑图构建方法构建的;
基于所述泛在网络拓扑图,进行网络安全防护。
具体地,上述任一实施例得到的能够反映泛在互联网络大尺度高动态的泛在网络拓扑图,具备全局性、整体性、宏观性,在得到泛在网络拓扑图之后,即可基于泛在网络拓扑图制定网络安全防护策略,通过执行安全防护策略,实现安全防护。例如,可以利用泛在网络拓扑图中各节点和/或边的属性,选择可用的安全防护策略。
进一步地,可以将当前泛在互联网络受到的或者可能受到的攻击的类型、被攻击的节点、防护要求,在泛在网络拓扑图中映射成一条攻击路径和/或防御路径。在攻击路径和/或防御路径的纵深方向,用于防护方案的差异化部署与配置;在攻击路径和/或防御路径的横向部分,用于协同部署与配置,为实现同一个子目标,最终能实现对攻击传输路径的封堵、处置。
此处,差异化部署与配置是指,在被攻击节点到攻击节点的纵深防护路径上,根据防护要求和设备的防护能力,在纵深防护路径上部署不同安全防护能力的设备,并根据防护要求进行针对性配置。
所述的协同部署与配置是指,在被攻击节点到攻击节点的路径上,选择一个或多个横截面,根据防护要求和设备的防护能力,在横截面上部署不同和/或相同安全防护能力的设备,并根据防护要求进行针对性配置。
部署不同和/或相同安全防护能力的设备有三种情况:部署的所有设备具有相同安全防护能力;部署的所有设备具有不同安全防护能力;部署的所有设备中部分设备具有相同安全防护能力,部分设备具有不同的安全防护能力。
在进行针对性配置时,具体可以根据日志、系统运行异常信息、报警信息、预警信息和安全要求等,选择可用防护方案、防护节点、防护区域和防护策略,生成网络安全防护的方案,从而应用到安全防护当中。
进一步地,此处所指的网络安全防护,具体可以包括但不限于:安全防护能力编排、部署与管理,威胁处置,网络安全监管。
所述安全防护能力编排、部署与管理是指,在网络拓扑图的局部视图之上,针对实际的安全威胁、安全需求,对网络进行安全防护能力进行编排,产生编排结果,包括但不限于:威胁处置策略、资源调配策略、安全功能配置策略以及安全功能升级策略等,具体方案的编排、部署与管理可以采用现有的技术来实现编排,本发明实施例给编排提供支撑,编排需要通过网络拓扑实现,而本发明实施例中提供的泛在网络拓扑则可以更容易实现编排;
所述威胁处置是指,利用安全防护能力编排的方案对具体的网络威胁进行处置;
所述网络安全监管是指,对网络整体的运行状态、网络中业务系统的运行过程进行监控和管理。
针对具体的威胁以及安全防护方法可以对威胁进行有效处置。
本发明实施例提供的方法,通过普适性、最小性、可组合性的原子操作构建泛在网络拓扑图,使得泛在网络拓扑图可以适应泛在互联网络的大尺度高动态特性,在泛在网络拓扑图的基础上进行网络安全防护,保证了网络安全防护的安全性和完备性。
基于上述任一实施例,图6是本发明提供的网络安全防护方法的流程示意图,如图6所示,基于所述泛在网络拓扑图,进行安全防护,包括:
步骤131,从所述泛在网络拓扑图中,确定出防护所需的局部视图。
步骤132,基于所述局部视图,进行网络安全防护。
具体地,步骤120中得到的能够反映泛在互联网络大尺度高动态的泛在网络拓扑图,具备全局性、整体性、宏观性,但在泛在互联网络的实际运行过程中,针对泛在互联网络的攻击大多数是局部攻击。为了准确地、及时地发现攻击,并采取准确的处置措施,需要在泛在网络拓扑图的基础上,构建局部视图。此处的局部视图,即针对局部攻击而言,防护所需的泛在网络拓扑图中的局部拓扑图的视图。通过从全局性的泛在网络拓扑图中定位出防护所需的局部视图,能够保障安全防护针对性。
在得到局部视图之后,即可基于局部视图制定安全防护策略,通过执行安全防护策略,实现安全防护。
例如,可以利用局部视图中各节点和/或边的属性,来生成、选择安全防护能力编排方案,进而生成、选择可用的安全防护策略。
本发明实施例提供的方法,在泛在网络拓扑图的基础上定位局部视图,以实现网络安全防护,保证了网络安全防护的安全性和完备性。
基于上述任一实施例,步骤131包括:
基于防护所需的目标属性范围,以及所述泛在网络拓扑图的多维索引,从所述泛在网络拓扑图中索引得到所述局部视图;
所述多维索引基于所述泛在网络拓扑图中各节点的节点属性构建。
具体地,为了高效地利用泛在网络拓扑图进行安全防护,需为泛在网络拓扑图构建多维索引。此处,多维索引是指包括多个维度的索引项的索引,而具体在针对泛在网络拓扑图进行索引时,实际应用的索引项可以是多维索引中的一个索引项,也可以是多维索引中的多个索引项,本发明实施例对此不作具体限定。
考虑到泛在网络拓扑图包括节点和边,其中边依附于节点存在,因此在构建多维索引时,可以参照泛在网络拓扑图中各节点的节点属性,例如可以将泛在网络拓扑图中各节点的节点属性的类别,作为多维索引中的索引项,例如节点属性的类别包括唯一标识、控制者、星载设备、信关站是否可见、传输协议、计算能力、存储能力、功能、接入速率、接入策略、接入协议、通信频段、支持的用户数量、接入总带宽、信道总数量、工作信道数量、空闲信道数量、空间位置、安全级别、安全功能、密码算法、密码参数、节点密钥对、会话密钥集、加密类型、加密速率、安全态势信息、安全部件、安全软件,则对应的索引项可以包括但不限于:唯一标识索引、控制者索引、星载设备索引、信关站是否可见索引、传输协议索引、计算能力索引、存储能力索引、功能索引、接入速率索引、接入策略索引、接入协议索引、通信频段索引、支持的用户数量索引、接入总带宽索引、信道总数量索引、工作信道数量索引、空闲信道数量索引、空间位置索引、安全级别索引、安全功能索引、密码算法索引、密码参数索引、节点密钥对索引、会话密钥集索引、加密类型索引、加密速率索引、安全态势索引、安全部件索引、安全软件索引等。需要说明的是,多维索引中的每一个索引项,均可以视为一个维度。
在安全防护过程中,可以根据当前的情况,设置防护所需的目标属性范围,此处的目标属性范围可以包含一个或者多个节点属性类别的取值范围,目标属性范围限定了防护关注的范围。在得到目标属性范围之后,即可应用多维索引,在泛在网络拓扑图中定位属于目标属性范围内的局部视图。
需要说明的是,当目标属性范围仅包含一个节点属性类别的取值范围,即目标属性范围仅包含一个索引项的取值范围时,基于多维索引构建局部视图,可以视为从单维的角度构建局部视图,具体可以基于给定的单个属性及其取值范围,从泛在网络拓扑图中提取局部视图,由此得到的局部视图包含了满足目标属性范围的拓扑图,以及该拓扑图中的节点和/或边的属性值。例如,时间视图是指给定时间点或时间区间的泛在网络拓扑图,及拓扑图中节点和/或边的属性值。
当目标属性范围包含多个节点属性类别的取值范围,即目标属性范围包含多个索引项的取值范围时,基于多维索引构建局部视图,可以视为从多维的角度构建局部视图,具体可以基于给定的多个属性及其取值范围,采用单索引、联合索引、聚簇索引、非聚簇索引等方式从泛在网络拓扑图中提取局部视图,由此得到的局部视图包含了满足目标属性范围的拓扑图,以及该拓扑图中的节点和/或边的属性值。
目标属性范围的描述方式包括但不限于:离散点、离散区间、连续区间、逻辑公式。
索引得到的局部视图,其视图类型包括但不限于:控制者视图、星载设备视图、信关站是否可见视图、传输协议视图、计算能力视图、存储能力视图、功能视图、接入速率视图、接入策略视图、接入协议视图、通信频段视图、支持的用户数量视图、接入总带宽视图、信道总数量视图、工作信道数量视图、空闲信道数量视图、空间位置视图、安全级别视图、安全功能视图、密码算法视图、密码参数视图、节点密钥对视图、会话密钥集视图、加密类型视图、加密速率视图、安全态势视图、安全部件视图、安全软件视图等。
本发明实施例提供的方法,通过设置多维索引,实现了局部视图的快速查找定位,有助于提高安全防护的针对性和有效性。
基于上述任一实施例,针对泛在网络拓扑图的多维索引,其构建方式可以是全量索引和/或增量索引。
多维索引的索引类型包括但不限于:唯一索引、聚集索引、非聚集索引。
用于构建索引的数据结构包括但不限于:Hash表、自平衡二叉树、非平衡二叉树,其中自平衡二叉树包括但不限于:AVL树、红黑树、2–3 tree、AA树、B树、Scapegoat树、Splay树、Tango树、Treap树、Weight-balanced树等,非平衡二叉树包括但不限于:radix树,tries树、Judy 数组树、van Emde Boas树。
基于上述任一实施例,步骤132包括:
基于日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,以及所述局部视图,确定防护方案;
基于所述防护方案,进行网络安全防护。
此处,日志信息包含但不限于:生成时间、持续时间段、日志ID、日志类别、日志等级、优先级、日志来源、主机名、主机IP地址、厂商标识、版本号、模块名称、设备名称、设备类型、操作者ID、操作者名称、源IP地址、目的IP地址、源端口号、目的端口号、发送字节数、接收字节数、数据包长度、数据包ID、协议、协议标志位、服务名、服务端口号、消息内容、操作动作等。另外,日志信息的来源包括但不限于:泛在互联网络中的操作系统、网络设备、应用系统和安全设备。
系统运行异常信息包含但不限于:时间、异常设备/系统/组件/网络的ID、上报异常的设备/系统/组件/网络ID、异常类型、异常类型ID、异常事件、异常事件ID、异常事件等级、异常指标、异常指标值。
报警信息包含但不限于:报警生成时间、报警设备/系统/组件/网络的ID、威胁类型、威胁事件名称、威胁事件等级、威胁事件时间、威胁起止时间、威胁对象、威胁对象特征、威胁对象表现特征、威胁事件危及对象、威胁范围、威胁级别、攻击者、攻击者特征、攻击方式、攻击路径、信息共享者和信息接收者。
预警信息包含但不限于:预警生成时间、预警设备/系统/组件/网络的ID、威胁类型、威胁事件名称、威胁事件等级、威胁事件时间、威胁起止时间、威胁对象、威胁对象特征、威胁对象表现特征、威胁事件危及对象、威胁范围、威胁级别、攻击者、攻击者特征、攻击方式、攻击路径、信息共享者和信息接收者。
安全要求包括节点/网络的防护要求、策略配置、采集要求、处置指令分解要求、处置响应要求、柔性重构要求、脱敏控制要求、信息过滤要求、分布式分析要求、边缘管控要求、可用防护资源至少之一,其中柔性重构要求是为了满足软硬件升级的要求。结合日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,以及局部视图,即可确定防护方案,此处的防护方案具体可以包括但不限于:防护措施、防护节点、防护区域和防护策略。
进一步地,防护方案的选取,可以通过图计算、单目标优化、多目标优化、博弈论、机器学习等技术手段中的一种或者多种结合的形式实现,本发明实施例对比不作具体限定。
基于上述任一实施例,步骤132中,基于日志信息、系统运行异常信息、报警信息和预警信息中的至少一种,以及所述局部视图,确定防护方案,包括:
基于所述日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,构建源匹配子图;
对所述源匹配子图和所述局部视图进行子图匹配,得到所述防护方案;
所述安全要求包括:节点/网络的防护要求、策略配置、采集要求、处置指令分解要求、处置响应要求、柔性重构要求、脱敏控制要求、信息过滤要求、分布式分析要求、边缘管控要求、可用防护资源中的至少一种,其中柔性重构要求是为了满足软硬件升级的要求。
具体地,可以通过图计算的方式,确定防护方案。在此过程中,首先需要基于日志信息、系统运行异常信息、报警信息和预警信息中的至少一种,构建源匹配子图。
与局部视图类似地,源匹配子图中同样包含节点和边,源匹配子图中的节点来源包含但不限于:日志信息中的设备/系统/组件/网络的标识、运行异常信息中的设备/系统/组件/网络的标识、报警信息与预警信息中的设备/系统/组件/网络的标识、人工输入的设备/系统/组件/网络的标识;源匹配子图中节点的属性的来源包含但不限于:日志信息/系统运行异常信息/报警信息与预警信息的字段、人工输入。源匹配子图的边的来源包含但不限于:日志信息中的设备/系统/组件/网络的属性字段、系统运行异常信息中的设备/系统/组件/网络的属性字段、报警信息与预警信息中的设备/系统/组件/网络的属性字段、人工输入的设备/系统/组件/网络的点间关系、采用机器学习等方式获得的设备/系统/组件/网络的点间关系。
由此构建所得的源匹配子图,直接反映了当前泛在互联网络受到攻击的情况和需要进行防护的区域,在此基础上,对源匹配子图和局部视图进行子图匹配,即可在局部视图中定位到与源匹配子图相匹配的目标匹配子图,此处目标匹配子图为局部视图中的部分视图,可以基于目标匹配子图确定防护方案。
需要说明的是,此处对源匹配子图和局部视图进行子图匹配,具体可以通过子图同构、图模拟、子图双向模拟、强模拟、严格模拟、紧凑模拟、受限模拟、松弛模拟、多约束模拟和有限模拟等匹配技术实现,本发明实施例对此不作具体限定。
本发明实施例提供的方法,提出了普适性、最小性、可组合性的原子操作,利用原子操作组合迭代,构建泛在网络拓扑图;在泛在网络拓扑图的基础上,采用图计算,计算优化响应点,实现网络安全防护。由此实现的安全防护方法,具备完备性和安全性,可全流程指导架构设计、技术研发和组件部署等环节,可适应防护能力差异化的卫星互联网、智慧城市、物联网等场景。
基于上述任一实施例,该方法可以应用在卫星互联网中。
卫星互联网由卫星与信关站组成星地通信网络,卫星通信终端通过接入卫星节点,实现与信关站、不同卫星通信终端间的信息交换,其通信方式符合基本通信模式。下面分别阐述采用“交运算、并运算和融合运算”来描述卫星互联网中的通信行为。首先定义卫星互联网通信服务中的通信主体,此处分为卫星通信终端、卫星节点和地基节点三类,此三类均可视为卫星互联网的泛在网络拓扑图中的节点。
1)卫星通信终端
在卫星互联网中,端节点t指卫星通信终端,包括但不限于:Ka大容量固定/便携终端、Ku(FDMA)固定/便携终端、高速航天器终端、天基骨干网地面终端、高轨卫星移动军用手持/民用车载终端、低轨星座手持/车载终端、Ku(TDMA)固定/便携终端、信息系统的前端系统(包括APP)。
(1)卫星通信终端的通用属性genAttr包括:卫星唯一标识(uuid)、控制者(controller)、星载设备集sDevs、信关站是否可见(visibility)、传输协议(tProtocol)、计算能力(cAbility)、存储能力(sAbility)、功能(func)、接入速率(aVelocity)、接入策略(aPolicy)、接入协议(aProtocol)、通信频段(spectrum)、支持的用户数量(uNumber)、接入总带宽(aBandwith)、信道总数量(tcNumber)、工作信道数量(bcNumber)、空闲信道数量(fcNumber)、空间位置(sPosition)等。卫星通信终端的通用属性genAttr可表示为:
s.genAttr=<uuid, controller, sDev, visibility, tProtocol, cAbility,sAbility, func, aVelocity, aPolicy, aProtocol, spectrum, uNumber, aBandwith,tcNumber, bcNumber, fcNumber, sPosition, … >
(2)卫星通信终端的安全属性secAttr包括:安全级别(secLevel)、安全功能(secFunction)、密码算法(crypAlgorithm)、密码参数(crypParameter)、节点密钥对(keyPair)、会话密钥集(sessionKeys)、加密类型(enType)、加密速率(enSpeed)、安全态势信息(secSituation)、安全部件(secComponent)、安全软件(secSoftware)等。卫星通信终端的安全属性secAttr可表示为:
s.secAttr=<secLevel, secFunction, crypAlgorithm, crypParameter,keyPair, sessionKeys, enType, enSpeed, secSituation, secComponent,secSoftware,…>
2)卫星节点
汇集接入节点s指卫星节点,包括但不限于:卫星、低轨卫星、高轨卫星、信息系统接入服务器。
(1)卫星节点的通用属性genAttr包括:节点唯一标识(uuid)、终端类型(tType)、网络运营商(netOperator)、接入网络类型(netType)、信号强度(sigStrength)、移动速度(velocity)、移动方向(direction)、通信标识(comID)、通信频段(comSpectrum)、通信带宽(bandwidth)、接入优先级(priority)、处理器(cpu)、操作系统(os)、操作系统版本(osVersion)、内核版本(coreVersion)、接口(interface)、运行内存(memory)、存储空间(storage)、屏幕尺寸(sSize)、电池容量(bCapacity)、已连接卫星(cSatellite)、已连接基站(cGroundStation)、空间位置(sPosition)等。卫星节点的通用属性genAttr可表示为:
s.genAttr=<uuid, tType, netOperator, netType, sigStrength, velocity,direction, comID, comSpectrum, bandwidth, priority, cpu, os, osVersion,coreVersion, interface, memory, storage, sSize, bCapacity, cSatellite,cGroundStation, sPosition… >
(2)卫星节点的安全属性secAttr包括:安全级别(secLevel)、安全功能(secFunction)、密码算法(crypAlgorithm)、密码参数(crypParameter)、加密类型(encType)、节点密钥对(keyPair)、会话密钥集(sessionKeys)、生物识别方式(bMechanism)、安全补丁级别(secPatchLevel)、安全部件集(secComps)、安全软件集(secSofts)等。卫星节点的安全属性secAttr可表示为:
s.secAttr=< secLevel, secFunction, crypAlgorithm, crypParameter,encType, keypair, sessionKeys, bMechanism, secPatchLevel, secComps, secSofts>
3)地基节点
在卫星互联网中,控制节点g指信关站,包括但不限于:卫星通信系统的信关站、运行控制中心、安全运行管理平台、运营服务中心。
(1)地基节点的通用属性genAttr包括:节点唯一标识(uuid)、信关站类型(gType)、所属行政区域(aRegion)、通用设备集(gDevs)、邻接基站(nGroundstation)、邻接卫星(nSatellite)、所处时区(timezone)、空间位置(sPosition)等。信关站的通用属性gAttr可表示为:
g.genAttr=<uuid, gType, aRegion, gDevs, nGroundstation, nSatellite,timezone, sPosition, … >
(2)地基节点的安全属性secAttr包括:安全级别(secLevel)、安全域(secDomain)、密码算法(crypAlgorithm)、密码参数(crypParameter)、节点密钥对(keyPair)、会话密钥集(sessionKeys)、安全态势信息(secSituation)、安全设备集(secDevs)、安全软件集(secSofts)等。信关站的安全属性sAttr可表示为:
g.secAttr=<secLevel, secDomain, crypAlgorithm, crypParameter,keyPair,sessionKeys, secSituation, secDevs, secSofts,…>
场景1:终端接入相同卫星、相同信关站的服务模式
图7是本发明提供的卫星互联网下的交运算示意图,图7中,t1和t2为卫星通信终端,s为卫星通信终端t1和卫星通信终端t2接入的卫星节点,g为卫星节点s对应的信关站。当t1和t2通信时:
(1)对于卫星通信终端t1,其接入卫星节点为s,对应的信关站为g,其通信模式G1=<{t1,s,g}, {<t1,s>, <s,t1>, <g,s>, <s,g> }>。
(2)对于卫星通信终端t2,其接入卫星节点为s,对应的信关站为g,其通信模式G2=<{t2,s,g}, {<t2,s>, <s,t2>, <g,s>, <s,g> }>。
(3)因为t1和t2接入了同一卫星,而同一卫星节点s在同一时刻仅对应唯一的信关站,因此,t1和t2满足通信模式交运算的计算条件。
(4)G1
Figure 547038DEST_PATH_IMAGE012
G2=<{t1,t2,s,g}, {<t1,s>, <s,t1>, <t2,s>, <s,t2>, <g,s>, <s,g>} >。
场景2:终端接入不同卫星、相同信关站服务模式
图8是本发明提供的卫星互联网下的并运算示意图之一,如图8所示,定义t1和t2为 卫星通信终端,s1为卫星通信终端t1接入的卫星节点,s2为卫星通信终端t2接入的卫星节 点,g1为卫星节点s1对应的信关站,g2为卫星s2对应的信关站,s1≠s2,g1≠g2,{ <g1, g2> , <g2, g1>}
Figure 743664DEST_PATH_IMAGE013
R和{ <s1, s2> , <s2, s1>}
Figure 232414DEST_PATH_IMAGE014
R。
(1)对于卫星通信终端t1,其通信模式G1=<{t1,s1,g1}, {<t1, s1>,< s1,t1>,<g1,s1>, < s1,g1>}>。
对于卫星通信终端t2,其通信模式G2=<{t2,s2,g2}, {<t2, s2>,< s2,t2>,<g2, s2>, < s2,g2>}>。
(3)因为卫星通信终端t1和卫星通信终端t2接入不同卫星,满足通信模式并运算的计算条件。
(4)当卫星通信终端t1和卫星通信终端t2中的任意一个终端的安全属性中不包含 直连模式,则并运算为通过信关站通信,即
Figure 907109DEST_PATH_IMAGE016
(5)G1
Figure 869642DEST_PATH_IMAGE016
G2=<{t1, t2, s1, s2, g1, g2}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>, <t2,s2>, <s2,t2>, <g2,s2>, <s2,g2>, <g1, g2>, <g2, g1>} >。
场景3:终端接入不同卫星直连服务模式(TtT业务服务模式)
图9是本发明提供的卫星互联网下的并运算示意图之二,如图9所示,定义t1和t2为 卫星通信终端,s1为卫星通信终端t1接入的卫星节点,s2为卫星通信终端t2接入的卫星节 点,g1为卫星s1对应的信关站,g2为卫星节点s2对应的信关站,s1≠s2,g1≠g2,{ <s1, s2> , <s2, s1>}
Figure 971590DEST_PATH_IMAGE013
R和{ <g1,g2> , <g2, g1>}
Figure 885320DEST_PATH_IMAGE014
R。
(1)对于卫星通信终端t1,其通信模式G1=<{t1,s1,g1}, {<t1, s1>,< s1,t1>,<g1,s1>, < s1,g1>}>。
(2)对于卫星通信终端t2,其通信模式G2=<{t2,s2,g2}, {<t2, s2>,< s2,t2>,<g2,s2>, < s2,g2>}>。
(3)因为卫星通信终端t1和卫星通信终端t2接入不同卫星,满足通信模式并运算的计算条件
(4)当卫星通信终端t1和卫星通信终端t2的安全属性同时包含直连模式,且无需回传地面进行监管,则通过并运算构建通信模型。
(5)G1ss G2=<{ t1, t2, s1, s2, g1, g2}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>, <t2,s2>, <s2,t2>, <g2,s2>, <s2,g2>, <s1, s2>, <s2, s1>} >。
场景4:终端接入不同卫星直连服务模式(TtT业务服务监管模式)
图10是本发明提供的卫星互联网下的融合运算示意图,如图10所示,定义t1和t2为 卫星通信终端,s1为卫星通信终端t1接入的卫星节点,s2为卫星通信终端t2接入的卫星节 点,g1为卫星s1对应的信关站,g2为卫星s2对应的信关站,s1≠s2,g=g1=g2,{ <s1, s2> , <s2, s1>}
Figure 160443DEST_PATH_IMAGE013
R。
(1)对于卫星通信终端t1,其通信模式G1=<{t1,s1,g1}, {<t1, s1>,< s1,t1>,<g1,s1>, < s1,g1>}>。
(2)对于卫星通信终端t2,其通信模式G2=<{t2,s2,g2}, {<t2, s2>,< s2,t2>,<g2,s2>, < s2,g2>}>。
(3)因为卫星通信终端t1和卫星通信终端t2接入不同卫星,满足通信模式并运算的计算条件。
(4)当卫星通信终端t1和卫星通信终端t2的安全属性同时包含直连模式,且需回传地面进行监管,则通过融合运算构建通信模型。
(5)G1
Figure 741597DEST_PATH_IMAGE015
G2=<{t1, t2,s1, s2, g1, g2}, {<t1,s1>, <s1,t1>, <g,s1>, <s1,g>, < t2,s2>, <s2,t2>, <g,s2>, <s2,g>, <s1, s2>,<s2,s1>} >。
基于上述任一实施例,该方法可以应用在5g/6g网络下。
下面分别阐述采用“交运算、并运算和融合运算”来描述5G/6G网络中的通信行为。首先定义5G/6G网络通信服务中的通信主体。
在5g/6g网络中,通信主体同样可以划分为端节点、汇集接入节点和控制节点三类,其中端节点t包括但不限于:移动终端、车载通信终端、舰载通信终端、机载通信终端、手机、平板电脑(PAD)、智能手表、汽车、笔记本电脑、智能家居产品(智能冰箱等)、RFID。
汇集接入节点s包括但不限于:移动通信基站、路由器、交换机、AP。
控制节点g包括但不限于:移动通信系统核心网、防火墙、路由器、互联控制网关、网络控制设备。
场景1:终端接入相同移动通信基站、相同移动通信系统核心网的服务模式
图11是本发明提供的5g/6g网络下的交运算示意图,如图11所示,t1和t2为移动通信终端,s为移动通信终端t1和移动通信终端t2接入的移动通信基站节点,g为移动通信基站节点s对应的移动通信系统核心网。当t1和t2通信时:
(1)对于移动通信终端t1,其接入移动通信基站为s,对应的移动通信系统核心网为g,其通信模式G1=<{t1,s,g}, {<t1,s>, <s,t1>, <g,s>, <s,g> }>。
(2)对于移动通信终端t2,其接入移动通信基站为s,对应的移动通信系统核心网为g,其通信模式G2=<{t2,s,g}, {<t2,s>, <s,t2>, <g,s>, <s,g> }>。
(3)因为移动通信终端t1和移动通信终端t2接入了同一移动通信基站,而同一移动通信基站节点s在同一时刻仅对应唯一的移动通信系统核心网,因此,t1和t2满足通信模式交运算的计算条件。
(4)G1
Figure 247403DEST_PATH_IMAGE012
G2=<{t1,t2,s,g}, {<t1,s>, <s,t1>, <t2,s>, <s,t2>, <g,s>, <s,g>}>。
场景2:移动终端接入不同移动通信基站、相同移动通信系统核心网服务模式
图12是本发明提供的5g/6g网络下的并运算示意图之一,如图12所示,定义t1和t2 为移动终端,s1为移动终端t1接入的移动通信基站节点,s2为移动终端t2接入的移动通信基 站节点,g1为移动通信基站s1对应的移动通信系统核心网,g2为移动通信基站s2对应的移动 通信系统核心网,s1≠s2,g1≠g2,{ <g1, g2> , <g2, g1>}
Figure 914007DEST_PATH_IMAGE013
R和{ <s1, s2> , <s2, s1>}
Figure 930505DEST_PATH_IMAGE014
R
(1)对于移动终端t1,其通信模式G1=<{t1,s1,g1}, {<t1,s1>,< s1,t1>,<g1, s1>, <s1,g1>}>。
(2)对于移动终端t2,其通信模式G2=<{t2,s2,g2}, {<t2,s2>,< s2,t2>,<g2, s2>, <s2,g2>}>。
(3)因为t1和t2接入不同移动通信基站,满足通信模式并运算的计算条件。
(4)当移动终端t1和移动终端t2中的任意一个移动终端的安全属性中不包含直连 模式,则并运算为通过移动通信系统核心网通信,即
Figure 162903DEST_PATH_IMAGE016
(5)G1
Figure 102260DEST_PATH_IMAGE016
G2=<{ t1, t2,s1, s2, g1, g2}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>, <t2,s2>, <s2,t2>, <g2,s2>, <s2,g2>, <g1, g2>, <g2, g1>} >
场景3:移动终端接入不同移动通信基站直连服务模式(TtT业务服务模式)
图13是本发明提供的5g/6g网络下的并运算示意图之二,如图13所示,定义t1和t2 为移动终端,s1为移动终端t1接入的移动通信基站节点,s2为移动终端t2接入的移动通信基 站节点,g1为移动通信基站s1对应的移动通信系统核心网,g2为移动通信基站s2对应的移动 通信系统核心网,s1≠s2,g1≠g2,{ <s1, s2> , <s2, s1>}
Figure 256160DEST_PATH_IMAGE013
R和{ <g1, g2> , <g2, g1>}
Figure 810770DEST_PATH_IMAGE014
R。
(1)对于移动终端t1,其通信模式G1=<{t1,s1,g1}, {<t1, s1>,< s1,t1>,<g1, s1>,< s1,g1>}>。
(2)对于移动终端t2,其通信模式G2=<{t2,s2,g2}, {<t2, s2>,< s2,t2>,<g2, s2>,< s2,g2>}>。
(3)因为t1和t2接入不同移动通信基站,满足通信模式并运算的计算条件。
(4)当移动终端t1和移动终端t2的安全属性同时包含直连模式,且无需回传移动通信系统核心网进行监管,则通过并运算构建通信模型。
(5)G1ss G2=<{t1, t2,s1, s2, g1, g2}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>,<t2,s2>, <s2,t2>, <g2,s2>, <s2,g2>, <s1, s2>, <s2, s1>} >
场景4:移动终端接入不同移动通信基站直连服务模式(TtT业务服务监管模式)
图14是本发明提供的5g/6g网络下的融合运算示意图,如图14所示,定义t1和t2为 移动终端,s1为终端t1接入的移动通信基站节点,s2为移动终端t2接入的移动通信基站节 点,g1为移动通信基站s1对应的移动通信系统核心网,g2为移动通信基站s2对应的移动通信 系统核心网,s1≠s2,g=g1=g2,{ <s1, s2> , <s2, s1>}
Figure 100937DEST_PATH_IMAGE013
R。
(1)对于移动终端t1,其通信模式G1=<{t1,s1,g1}, {<t1, s1>,< s1,t1>,<g1, s1>,< s1,g1>}>。
(2)对于移动终端t2,其通信模式G2=<{t2,s2,g2}, {<t2, s2>,< s2,t2>,<g2, s2>,< s2,g2>}>。
(3)t1和t2接入不同移动通信基站,移动通信系统核心网g1和g2可以融合为一个移动通信系统核心网g,满足通信模式融合运算的计算条件。
(4)当移动终端t1和移动终端t2的安全属性同时包含直连模式,且需回传移动通信系统核心网进行监管,则通过融合运算构建通信模型。
(5)G1
Figure 479703DEST_PATH_IMAGE015
G2=<{t1, t2,s1, s2, g}, {<t1,s1>, <s1,t1>, <g, s1>, <s1,g>, <t2,s2 >, <s2,t2>, <g,s2>, <s2,g>, <s1, s2>,<s2,s1>} >。
基于上述任一实施例,该方法可以应用在物联网/车联网中。
在物联网/车联网中,通信主体同样可以划分为端节点、汇集接入节点和控制节点三类,其中端节点t包括但不限于:智能终端、物联网节点、车联网汽车通信模块、呼叫中心、无线网关、计算机、摄像头、RFID标签、传感器网络终端、GPS、雷达、传感器、智能家电等。
汇集接入节点s包括但不限于:物联网汇集终端、物联网网关、路由器、交换机、无线访问节点、车联网交通控制系统。
控制节点g包括但不限于:物联网的后台服务平台。
基于上述任一实施例,该方法可以应用在智慧城市中。
在智慧城市中,通信主体同样可以划分为端节点、汇集接入节点和控制节点三类,其中包括但不限于:手机、呼叫中心、无线网关、计算机、摄像头、RFID标签、传感器网络终端、GPS、雷达、传感器、信息系统的前端系统(包括APP)等。
汇集接入节点s包括但不限于:边界网关、云中心网关、路由器、交换机、车联网交通控制系统、信息系统接入服务器。
控制节点g包括但不限于:智慧城市的云中心。
基于上述任一实施例,该方法可以应用在卫星互联网、5g/6g网络、物联网/车联网等异构的网络环境中。
下面分别阐述采用“并运算”和“融合预算”来描述异构网络之间的通信行为。首先定义异构网络通信服务中的通信主体。
在异构网络中,通信主体同样可以划分为端节点、汇集接入节点和控制节点三类,其中端节点t包括但不限于:卫星互联网、5g/6g网络中的不同类型的各种终端设备。
汇集接入节点s包括但不限于:卫星互联网、5g/6g网络中的不同类型汇集接入节点或者不同类型汇集接入节点的融合。
控制节点g包括但不限于:卫星互联网、5g/6g网络中各种不同类型的控制节点或者不同类型控制节点的融合。
场景1:卫星互联网终端设备接入卫星、信关站,移动终端接入移动通信基站、移动通信系统核心网,不同类型终端设备之间通信的服务模式,
图15是本发明提供的异构网络下的并运算示意图之一,如图15所示,定义t1为卫 星通信终端、t2为移动终端,s1为卫星通信终端t1接入的卫星节点,s2为移动终端t2接入的移 动通信基站节点,g1为卫星节点s1对应的信关站,g2为移动通信基站节点s2对应的移动通信 系统核心网,s1≠s2,g1≠g2,{<g1, g2> , <g2, g1>}
Figure 652058DEST_PATH_IMAGE013
R和{ <s1, s2> , <s2, s1>}
Figure 10359DEST_PATH_IMAGE014
R。
需要说明的是,图15中的g1和g2属于在同一个物理地点,即此两者在物理上的位置布设比较靠近,比如g1和g2在一个安全域里面,因此g1和g2的物理边界一样,防护措施一样,逻辑边界防护能力一样、防护、处置等方面的策略也是一样的。
(1)对于卫星通信终端t1,其通信模式G1=<{t1,s1,g1}, {<t1, s1>,< s1,t1>,<g1,s1>, < s1,g1>}>。
(2)对于移动终端t2,其通信模式G2=<{t2,s2,g2}, {<t2, s2>,< s2,t2>,<g2, s2>,< s2,g2>}>。
(3)因为t1和t2分别接入卫星节点和移动通信基站节点,满足通信模式并运算的计算条件。
(4)当卫星通信终端t1和移动终端t2中的任意一个终端的安全属性中不包含直连 模式。则并运算为通过移动通信系统核心网通信,即
Figure 420611DEST_PATH_IMAGE016
(5)G1
Figure 206165DEST_PATH_IMAGE016
G2=<{t1, t2,s1, s2, g1, g2}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>, <t2,s2>, <s2,t2>, <g2,s2>, <s2,g2>, <g1, g2>, <g2, g1>}>
场景2:卫星通信终端、移动终端分别接入卫星节点、移动通信基站直连服务模式(TtT业务服务模式)
图16是本发明提供的异构网络下的并运算示意图之二,如图16所示,定义t1为卫 星通信终端、t2为移动终端,s1为卫星通信终端t1接入的卫星节点,s2为移动终端t2接入的移 动通信基站节点,g1为卫星s1对应的信关站,g2为移动通信基站s2对应的移动通信系统核心 网,s1≠s2,g1≠g2,{ <s1, s2> , <s2, s1>}
Figure 304964DEST_PATH_IMAGE013
R和{ <g1, g2> , <g2, g1>}
Figure 466955DEST_PATH_IMAGE014
R。
(1)对于卫星通信终端t1,其通信模式G1=<{t1,s1,g1}, {<t1,s1>,< s1,t1>,<g1,s1>, < s1,g1>}>。
(2)对于移动终端t2,其通信模式G2=<{t2,s2,g2}, {<t2,s2>,< s2,t2>,<g2,s2>, <s2,g2>}>。
(3)因为卫星通信终端t1和移动终端t2分别接入卫星节点s1和移动通信基站s2,卫星节点s1和移动通信基站节点s2之间存在中继关系或者二者可以融合为一个汇集接入节点,满足通信模式并运算的计算条件。
(4)信关站g1和移动通信系统核心网g2为不同类型的网络,且不可以融合为一个网络g。
(5)当卫星通信终端t1和移动终端t2中的任意一个终端的安全属性同时包含直连模式,且无需回传通信系统核心网进行监管,则通过并运算构建通信模型。
(6)G1ss G2=<{t1, t2,s1, s2, g1, g2}, {<t1,s1>, <s1,t1>, <g1,s1>, <s1,g1>,<t2,s2>, <s2,t2>, <g2,s2>, <s2,g2>, <s1, s2>, <s2, s1>}>。
场景3:卫星通信终端、移动终端分别接入卫星节点、移动通信基站直连服务模式(TtT业务服务监管模式)
图17是本发明提供的异构网络下的融合运算示意图,如图17所示,定义t1为卫星通信终端、t2为移动终端,s1为卫星通信终端t1接入的卫星节点,s2为移动终端t2接入的移动通信基站节点,g1为卫星s1对应的信关站,g2为移动通信基站s2对应的移动通信系统核心网。图17所示出的场景主要针对未来的通信模式,即,6g移动网络与卫星互联网彻底融合,比如信关站同时具有移动通信系统核心网的功能,移动通信系统核心网具备信关站的功能。
(1)对于卫星通信终端t1,其通信模式G1=<{t1,s1,g1}, {<t1, s1>,< s1,t1>,<g1,s1>, < s1,g1>}>。
(2)对于移动终端t2,其通信模式G2=<{t2,s2,g2}, {<t2,s2>,< s2,t2>,<g2, s2>, <s2,g2>}>。
(3)t1和t2分别接入卫星和移动通信基站,卫星节点s1和移动通信基站节点s2之间存在中继关系或者二者可以融合为一个汇集接入节点。
(4)信关站g1和移动通信系统核心网g2可以融合为一个网络g,即g=g1=g2
(5)当卫星通信终端t1和移动终端t2的安全属性同时包含直连模式,且需回传通信系统核心网进行监管,则通过融合运算构建通信模型。
(6)G1
Figure 528452DEST_PATH_IMAGE015
G2=<{t1,t2,s1,s2,g}, {<t1,s1>, <s1,t1>, <g, s1>, <s1,g>, <t2,s2>, < s2,t2>, <g,s2>, <s2,g>, <s1, s2>,<s2,s1>}>。
场景4:卫星通信终端、移动终端、车联网终端接入分别接入卫星节点、移动通信基站、车联网控制中心直连服务模式(TtT业务服务模式)
图18是本发明提供的3个异构网络下的并运算、融合运算示意图,如图18所示,定 义t1为卫星通信终端、t2为移动终端、t3为车联网终端,s1为卫星通信终端t1接入的卫星节 点,s2为移动终端t2接入的移动通信基站节点,s3为车联网终端t3接入的红绿灯信号系统,g1 为卫星s1对应的信关站,g2为移动通信基站s2对应的移动通信系统核心网,g3为s3红绿灯系 统对应的车联网控制中心,s1≠s2≠s3,g1=g2≠g3,{ <s1, s2> , <s2, s1>,<s1, s3> , <s3, s1>,<s3, s2> , <s2, s3>,}
Figure 750486DEST_PATH_IMAGE013
R和{ <g1, g2> , <g2, g1>,<g1, g3> , <g3, g1>,<g3, g2> , <g2, g3>,}
Figure 599231DEST_PATH_IMAGE014
R。
(1)对于卫星通信终端t1,其通信模式G1=<{t1,s1,g1}, {<t1,s1>,< s1,t1>,<g1, s1>, < s1,g1>}>。
(2)对于移动终端t2,其通信模式G2=<{t2,s2,g2}, {<t2,s2>,< s2,t2>,<g2, s2>, <s2,g2>}>。
(4)对于车联网终端t3,其通信模式G2=<{t3,s3,g3}, {<t3,s3>,< s3,t3>,<g3, s3>,< s3,g3>}>。
(3)因为t1、t2、t3分别接入卫星节点s1、移动通信基站节点s2、红绿灯信号系统s3,卫星节点s1、移动通信基站节点s2、红绿灯信号系统s3三者之间存在中继关系或者三者可以融合为一个汇集接入节点,满足通信模式并运算的计算条件。
(4)信关站g1、移动通信系统核心网g2,可以融合为一个网络g,g1、g2与车联网控制中心g3不可以融合为一个网络g。
(5)当终端t1、t2、t3中的任意一个终端的安全属性同时包含直连模式,且无需回传通信系统核心网进行监管,则通过并运算构建通信模型。
(6)G1
Figure 33755DEST_PATH_IMAGE015
G2ss G3=<{t1,t2, t3,s1, s2, s3, g1, g2, g3}, <{<t1, s1>,< s1,t1>,< g, s1>, < s1,g>,<t2,s2>,<s2,t2>,<g,s2>, <s2,g>,<t3, s3>,<s3,t3>,<g3, s3>, < s3,g3 >, <s1, s2>, <s2,s1>, <s2,s3>, <s3,s2>, <s3,s1>,<s1,s3>}>。
基于上述任一实施例,可以采用该方法应用在卫星互联网、移动网络、物联网、车联网等多种不同类型异构网络通信,可以相同网络内部进行交、并、融合的运算,也可以在不同类型的网络进行交、并、融合的运算,比如两类网络、三类网络等等,运算的种类可以是一种或者两种或者三种。
基于上述任一实施例,各类端节点t可以最终完成大融合、各类汇集接入节点s可以最终完成大融合,各类控制节点g可以最终完成大融合,各类汇集接入节点s。大融合,即同类节点集成为同一个节点。
本发明实施例的创新之处在于,提出一种大尺度、高动态的泛在网络的描述方法,依赖于描述方法、原子操作来快速生成真实网络的拓扑。然后,基于泛在网络拓扑图可以进行网络安全防护能力编排、部署与管理,威胁处置,网络安全监管,另外还可以在生成泛在网络拓扑的基础上更有效地实现PPDR等现有的防护方法,弥补了现有技术中安全防护方法的不足之处。
基于上述任一实施例,图19是本发明提供的泛在网络拓扑图构建装置的结构示意图,如图19所示,该装置包括:
网络确定单元1910,用于确定待构建的泛在互联网络;
拓扑图构建单元1920,用于以所述泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图,所述泛在网络拓扑图用于网络安全防护;
所述节点包括端节点、汇集接入节点和控制节点;
所述原子操作用于对节点和/或边进行调整,所述原子操作包括交运算、并运算和融合运算中的至少一种。
本发明实施例提供的装置,通过普适性、最小性、可组合性的原子操作构建泛在网络拓扑图,使得泛在网络拓扑图可以适应泛在互联网络的大尺度高动态特性,在泛在网络拓扑图的基础上进行网络安全防护,保证了网络安全防护的安全性和完备性。
基于上述任一实施例,泛在网络拓扑图构建装置还包括拓扑图调整单元,用于:
若所述泛在互联网络中存在节点变化,则基于关系生成规则,以及加运算操作和/或减运算操作,调整所述泛在网络拓扑图;
所述关系生成规则基于各通信主体的信号收发数据确定;
所述加运算操作和所述减运算操作基于所述原子操作实现;所述泛在网络拓扑图基于所述泛在互联网络中各通信主体,应用所述关系生成规则,以及所述加运算操作和/或减运算操作构建。
基于上述任一实施例,拓扑图调整单元用于:
若所述节点变化为新增任一节点,则基于所述加运算操作,在所述泛在网络拓扑图中新建所述任一节点,并基于所述关系生成规则,生成所述任一节点在所述泛在网络拓扑图中的连接边;
若所述节点变化为下线任一节点,则基于所述减运算操作,在所述泛在网络拓扑图中下线所述任一节点以及所述任一节点的连接边;
若所述节点变化为修改任一节点的连接关系,则基于所述减运算操作,在所述泛在网络拓扑图中下线所述任一节点以及所述任一节点的连接边,和/或基于加运算操作,在所述泛在网络拓扑图中新建所述任一节点,并基于关系生成规则,生成所述任一节点在所述泛在网络拓扑图中的连接边。
基于上述任一实施例,所述加运算操作基于加点运算、加边运算、状态管理运算、所述交运算、所述并运算和所述融合运算中的至少一种实现,所述减运算操作基于减点运算、减边运算、状态管理运算、所述交运算、所述并运算和所述融合运算中的至少一种实现。
基于上述任一实施例,所述加点运算用于在满足给定加点条件下,将新通信主体加入到所述泛在网络拓扑图,并维护泛在网络运行状态;
所述加边运算用于在满足给定加边条件下,将新通信主体加入到所述泛在互联网络时,于所述泛在网络拓扑图中新增新通信主体与网络的连接关系,和/或,所述泛在互联网络中已有通信主体新增连接关系,并维护网络运行状态;
所述减点运算用于在满足给定减点条件下,将在网通信主体离开所述泛在互联网络,并维护网络运行状态;
所述减边运算用于在满足给定减边条件下,去掉待下线的通信主体与其他已在网的通信主体的连接关系,和/或,减少所述泛在互联网络中的通信主体间的连接关系,并维护网络运行状态;
所述状态管理运算用于管理节点和/或节点间连接的边的状态。
基于上述任一实施例,所述交运算是针对通信主体双方或者多方存在或预期存在共同的通信链路的情况,计算存在共同或预期存在共同通信的链路,以构建并维护所述泛在网络拓扑图的运算操作;
所述并运算是针对通信双方或多方不存在单中继可达的中继节点,且在若干条潜在中继可达的通信链路的情况,运算构建通信链路,并维护所述泛在网络拓扑图的运算操作;
所述融合运算是针对端节点不存在单中继可达的汇集接入节点,但存在若干条中继可达的汇集接入节点,且多个汇集接入节点共享同一控制节点的情况,构建通信链路,并维护所述泛在网络拓扑图的运算操作。
基于上述任一实施例,图20是本发明提供的网络安全防护装置的结构示意图,如图20所示,网络安全防护装置包括:
拓扑图确定单元2010,用于确定泛在网络拓扑图,所述泛在网络拓扑图是基于如上所述的泛在网络拓扑图构建方法构建的;
安全防护单元2020,用于基于所述泛在网络拓扑图,进行网络安全防护。
基于上述任一实施例,所述安全防护单元用于:
从所述泛在网络拓扑图中,确定出防护所需的局部视图;
基于所述局部视图,进行网络安全防护。
基于上述任一实施例,所述安全防护单元用于:
基于防护所需的目标属性范围,以及所述泛在网络拓扑图的多维索引,从所述泛在网络拓扑图中索引得到所述局部视图;
所述多维索引基于所述泛在网络拓扑图中各节点的节点属性构建。
基于上述任一实施例,所述安全防护单元用于:
基于日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,以及所述局部视图,确定防护方案;
基于所述防护方案,进行网络安全防护。
基于上述任一实施例,所述安全防护单元用于:
基于所述日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,构建源匹配子图;
对所述源匹配子图和所述局部视图进行子图匹配,得到所述防护方案;
所述安全要求包括:节点/网络的防护要求、策略配置、采集要求、处置指令分解要求、处置响应要求、柔性重构要求、脱敏控制要求、信息过滤要求、分布式分析要求、边缘管控要求、可用防护资源中的至少一种。
图21示例了一种电子设备的实体结构示意图,如图21所示,该电子设备可以包括:处理器(processor)2110、通信接口(Communications Interface)2120、存储器(memory)2130和通信总线2140,其中,处理器2110,通信接口2120,存储器2130通过通信总线2140完成相互间的通信。处理器2110可以调用存储器2130中的逻辑指令,以执行泛在网络拓扑图构建方法,该方法包括:
确定待构建的泛在互联网络;
以所述泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图,所述泛在网络拓扑图用于网络安全防护;
所述节点包括端节点、汇集接入节点和控制节点;
所述原子操作用于对节点和/或边进行调整,所述原子操作包括交运算、并运算和融合运算中的至少一种。
此外,还可以执行网络安全防护方法,该方法包括:
确定泛在网络拓扑图,所述泛在网络拓扑图是基于如上所述的泛在网络拓扑图构建方法构建的;
基于所述泛在网络拓扑图,进行网络安全防护。
此外,上述的存储器2130中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的泛在网络拓扑图构建方法,该方法包括:
确定待构建的泛在互联网络;
以所述泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图,所述泛在网络拓扑图用于网络安全防护;
所述节点包括端节点、汇集接入节点和控制节点;
所述原子操作用于对节点和/或边进行调整,所述原子操作包括交运算、并运算和融合运算中的至少一种。
此外,还可以执行网络安全防护方法,该方法包括:
确定泛在网络拓扑图,所述泛在网络拓扑图是基于如上所述的泛在网络拓扑图构建方法构建的;
基于所述泛在网络拓扑图,进行网络安全防护。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的泛在网络拓扑图构建方法,该方法包括:
确定待构建的泛在互联网络;
以所述泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图,所述泛在网络拓扑图用于网络安全防护;
所述节点包括端节点、汇集接入节点和控制节点;
所述原子操作用于对节点和/或边进行调整,所述原子操作包括交运算、并运算和融合运算中的至少一种。
此外,还可以执行网络安全防护方法,该方法包括:
确定泛在网络拓扑图,所述泛在网络拓扑图是基于如上所述的泛在网络拓扑图构建方法构建的;
基于所述泛在网络拓扑图,进行网络安全防护。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (15)

1.一种泛在网络拓扑图构建方法,其特征在于,包括:
确定待构建的泛在互联网络;
以所述泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图,所述泛在网络拓扑图用于网络安全防护;
所述节点包括端节点、汇集接入节点和控制节点;
所述原子操作用于对节点和/或边进行调整,所述原子操作包括交运算、并运算和融合运算中的至少一种。
2.根据权利要求1所述的泛在网络拓扑图构建方法,其特征在于,所述构建泛在网络拓扑图,之后还包括:
若所述泛在互联网络中存在节点变化,则基于关系生成规则,以及加运算操作和/或减运算操作,调整所述泛在网络拓扑图;
所述关系生成规则基于各通信主体的信号收发数据确定;
所述加运算操作和所述减运算操作基于所述原子操作实现;
所述泛在网络拓扑图基于所述泛在互联网络中各通信主体,应用所述关系生成规则,以及所述加运算操作和/或所述减运算操作构建。
3.根据权利要求2所述的泛在网络拓扑图构建方法,其特征在于,若所述泛在互联网络中存在节点变化,则基于关系生成规则,以及加运算操作和/或减运算操作,调整所述泛在网络拓扑图,包括:
若所述节点变化为新增任一节点,则基于所述加运算操作,在所述泛在网络拓扑图中新建所述任一节点,并基于所述关系生成规则,生成所述任一节点在所述泛在网络拓扑图中的连接边;
若所述节点变化为下线任一节点,则基于所述减运算操作,在所述泛在网络拓扑图中下线所述任一节点以及所述任一节点的连接边;
若所述节点变化为修改任一节点的连接关系,则基于所述减运算操作,在所述泛在网络拓扑图中下线所述任一节点以及所述任一节点的连接边,和/或基于加运算操作,在所述泛在网络拓扑图中新建所述任一节点,并基于关系生成规则,生成所述任一节点在所述泛在网络拓扑图中的连接边。
4.根据权利要求2所述的泛在网络拓扑图构建方法,其特征在于,所述加运算操作基于加点运算、加边运算、状态管理运算、所述交运算、所述并运算和所述融合运算中的至少一种实现,所述减运算操作基于减点运算、减边运算、状态管理运算、所述交运算、所述并运算和所述融合运算中的至少一种实现。
5.根据权利要求4所述的泛在网络拓扑图构建方法,其特征在于,所述加点运算用于在满足给定加点条件下,将新通信主体加入到所述泛在网络拓扑图,并维护泛在网络运行状态;
所述加边运算用于在满足给定加边条件下,将新通信主体加入到所述泛在互联网络时,于所述泛在网络拓扑图中新增新通信主体与网络的连接关系,和/或,所述泛在互联网络中已有通信主体新增连接关系,并维护网络运行状态;
所述减点运算用于在满足给定减点条件下,将在网通信主体离开所述泛在互联网络,并维护网络运行状态;
所述减边运算用于在满足给定减边条件下,去掉待下线的通信主体与其他已在网的通信主体的连接关系,和/或,减少所述泛在互联网络中的通信主体间的连接关系,并维护网络运行状态;
所述状态管理运算用于管理节点和/或节点间连接的边的状态。
6.根据权利要求1至5中任一项所述的泛在网络拓扑图构建方法,其特征在于,所述交运算是针对通信主体双方或者多方存在或预期存在共同的通信链路的情况,计算存在共同或预期存在共同通信的链路,以构建并维护所述泛在网络拓扑图的运算操作;
所述并运算是针对通信双方或多方不存在单中继可达的中继节点,且存在若干条潜在中继可达的通信链路的情况,运算构建通信链路,并维护所述泛在网络拓扑图的运算操作;
所述融合运算是针对端节点不存在单中继可达的汇集接入节点,但存在若干条中继可达的汇集接入节点,且多个汇集接入节点共享同一控制节点的情况,构建通信链路,并维护所述泛在网络拓扑图的运算操作。
7.一种网络安全防护方法,其特征在于,包括:
确定泛在网络拓扑图,所述泛在网络拓扑图是基于如权利要求1至6中任一项所述的泛在网络拓扑图构建方法构建的;
基于所述泛在网络拓扑图,进行网络安全防护。
8.根据权利要求7所述的网络安全防护方法,其特征在于,所述基于所述泛在网络拓扑图,进行安全防护,包括:
从所述泛在网络拓扑图中,确定出防护所需的局部视图;
基于所述局部视图,进行网络安全防护。
9.根据权利要求8所述的网络安全防护方法,其特征在于,所述从所述泛在网络拓扑图中,确定出防护所需的局部视图,包括:
基于防护所需的目标属性范围,以及所述泛在网络拓扑图的多维索引,从所述泛在网络拓扑图中索引得到所述局部视图;
所述多维索引基于所述泛在网络拓扑图中各节点的节点属性构建。
10.根据权利要求8所述的网络安全防护方法,其特征在于,所述基于所述局部视图,进行网络安全防护,包括:
基于日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,以及所述局部视图,确定防护方案;
基于所述防护方案,进行网络安全防护。
11.根据权利要求10所述的网络安全防护方法,其特征在于,所述基于日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,以及所述局部视图,确定防护方案,包括:
基于所述日志信息、系统运行异常信息、报警信息、预警信息和安全要求中的至少一种,构建源匹配子图;
对所述源匹配子图和所述局部视图进行子图匹配,得到所述防护方案;
所述安全要求包括:节点/网络的防护要求、策略配置、采集要求、处置指令分解要求、处置响应要求、柔性重构要求、脱敏控制要求、信息过滤要求、分布式分析要求、边缘管控要求、可用防护资源中的至少一种。
12.一种泛在网络拓扑图构建装置,其特征在于,包括:
网络确定单元,用于确定待构建的泛在互联网络;
拓扑图构建单元,用于以所述泛在互联网络中的通信主体为节点,以通信主体间的关系为边,基于原子操作,构建泛在网络拓扑图,所述泛在网络拓扑图用于网络安全防护;
所述节点包括端节点、汇集接入节点和控制节点;
所述原子操作用于对节点和/或边进行调整,所述原子操作包括交运算、并运算和融合运算中的至少一种。
13.一种网络安全防护装置,其特征在于,包括:
拓扑图确定单元,用于确定泛在网络拓扑图,所述泛在网络拓扑图是基于如权利要求1至6中任一项所述的泛在网络拓扑图构建方法构建的;
安全防护单元,用于基于所述泛在网络拓扑图,进行网络安全防护。
14.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述的泛在网络拓扑图构建方法,或如权利要求7至11中任一项所述的网络安全防护方法的步骤。
15.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的泛在网络拓扑图构建方法,或如权利要求7至11中任一项所述的网络安全防护方法的步骤。
CN202111409073.2A 2021-11-25 2021-11-25 泛在网络拓扑图构建方法及网络安全防护方法 Active CN113824643B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111409073.2A CN113824643B (zh) 2021-11-25 2021-11-25 泛在网络拓扑图构建方法及网络安全防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111409073.2A CN113824643B (zh) 2021-11-25 2021-11-25 泛在网络拓扑图构建方法及网络安全防护方法

Publications (2)

Publication Number Publication Date
CN113824643A true CN113824643A (zh) 2021-12-21
CN113824643B CN113824643B (zh) 2022-02-22

Family

ID=78918229

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111409073.2A Active CN113824643B (zh) 2021-11-25 2021-11-25 泛在网络拓扑图构建方法及网络安全防护方法

Country Status (1)

Country Link
CN (1) CN113824643B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622796A (zh) * 2022-11-16 2023-01-17 南京南瑞信息通信科技有限公司 网络安全联动响应作战图生成方法、系统、装置及介质
CN117118849A (zh) * 2023-09-29 2023-11-24 江苏首捷智能设备有限公司 一种物联网网关系统及实现方法
CN117220752A (zh) * 2023-08-28 2023-12-12 中国电子信息产业集团有限公司第六研究所 一种星地数传链路安全传输系统及方法

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101882179A (zh) * 2010-06-18 2010-11-10 中兴通讯股份有限公司 一种绘制拓扑图的方法及装置
CN102571417A (zh) * 2011-12-15 2012-07-11 江苏亿通高科技股份有限公司 动态拓扑的实现方法
CN102946450A (zh) * 2012-12-06 2013-02-27 中国科学技术大学苏州研究院 树形泛在网络中资源受限节点的地址分配方法
US20140122706A1 (en) * 2012-10-26 2014-05-01 International Business Machines Corporation Method for determining system topology graph changes in a distributed computing system
CN104063507A (zh) * 2014-07-09 2014-09-24 时趣互动(北京)科技有限公司 一种图计算方法及引擎
CN107659653A (zh) * 2017-09-29 2018-02-02 北京邮电大学 Ndn网络测量数据缓存方法、装置、电子设备及存储介质
CN109977273A (zh) * 2019-03-28 2019-07-05 杭州安恒信息技术股份有限公司 一种拓扑图生成方法、装置、设备及可读存储介质
CN110618815A (zh) * 2019-09-19 2019-12-27 北京天地和兴科技有限公司 一种工业系统网络拓扑图的构建方法
CN111460232A (zh) * 2020-03-17 2020-07-28 中国平安人寿保险股份有限公司 功能模块的查找方法、装置、终端和计算机可读存储介质
US20200336387A1 (en) * 2019-04-22 2020-10-22 Hitachi, Ltd. Topological map presentation system, topological map presentation method, and computer readable recording medium
CN111860880A (zh) * 2020-06-01 2020-10-30 北京骑胜科技有限公司 一种路径确定方法、装置、电子设备和存储介质
CN111934915A (zh) * 2020-07-17 2020-11-13 合肥本源量子计算科技有限责任公司 一种网络节点排序的显示方法及装置
CN111949840A (zh) * 2019-05-15 2020-11-17 杭州海康威视数字技术股份有限公司 一种基于物联网数据的拓扑图结构的构建方法、装置
CN112104507A (zh) * 2020-09-22 2020-12-18 国核自仪系统工程有限公司 发电企业网络安全的监测方法、系统、设备及介质
CN112134762A (zh) * 2020-09-24 2020-12-25 腾讯科技(深圳)有限公司 针对区块链网络结构的测试方法、装置、终端和存储介质
CN113572739A (zh) * 2021-06-30 2021-10-29 中国人民解放军战略支援部队信息工程大学 一种网络有组织攻击入侵检测方法及装置

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101882179A (zh) * 2010-06-18 2010-11-10 中兴通讯股份有限公司 一种绘制拓扑图的方法及装置
CN102571417A (zh) * 2011-12-15 2012-07-11 江苏亿通高科技股份有限公司 动态拓扑的实现方法
US20140122706A1 (en) * 2012-10-26 2014-05-01 International Business Machines Corporation Method for determining system topology graph changes in a distributed computing system
CN102946450A (zh) * 2012-12-06 2013-02-27 中国科学技术大学苏州研究院 树形泛在网络中资源受限节点的地址分配方法
CN104063507A (zh) * 2014-07-09 2014-09-24 时趣互动(北京)科技有限公司 一种图计算方法及引擎
CN107659653A (zh) * 2017-09-29 2018-02-02 北京邮电大学 Ndn网络测量数据缓存方法、装置、电子设备及存储介质
CN109977273A (zh) * 2019-03-28 2019-07-05 杭州安恒信息技术股份有限公司 一种拓扑图生成方法、装置、设备及可读存储介质
US20200336387A1 (en) * 2019-04-22 2020-10-22 Hitachi, Ltd. Topological map presentation system, topological map presentation method, and computer readable recording medium
CN111949840A (zh) * 2019-05-15 2020-11-17 杭州海康威视数字技术股份有限公司 一种基于物联网数据的拓扑图结构的构建方法、装置
CN110618815A (zh) * 2019-09-19 2019-12-27 北京天地和兴科技有限公司 一种工业系统网络拓扑图的构建方法
CN111460232A (zh) * 2020-03-17 2020-07-28 中国平安人寿保险股份有限公司 功能模块的查找方法、装置、终端和计算机可读存储介质
CN111860880A (zh) * 2020-06-01 2020-10-30 北京骑胜科技有限公司 一种路径确定方法、装置、电子设备和存储介质
CN111934915A (zh) * 2020-07-17 2020-11-13 合肥本源量子计算科技有限责任公司 一种网络节点排序的显示方法及装置
CN112104507A (zh) * 2020-09-22 2020-12-18 国核自仪系统工程有限公司 发电企业网络安全的监测方法、系统、设备及介质
CN112134762A (zh) * 2020-09-24 2020-12-25 腾讯科技(深圳)有限公司 针对区块链网络结构的测试方法、装置、终端和存储介质
CN113572739A (zh) * 2021-06-30 2021-10-29 中国人民解放军战略支援部队信息工程大学 一种网络有组织攻击入侵检测方法及装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622796A (zh) * 2022-11-16 2023-01-17 南京南瑞信息通信科技有限公司 网络安全联动响应作战图生成方法、系统、装置及介质
CN117220752A (zh) * 2023-08-28 2023-12-12 中国电子信息产业集团有限公司第六研究所 一种星地数传链路安全传输系统及方法
CN117220752B (zh) * 2023-08-28 2024-05-28 中国电子信息产业集团有限公司第六研究所 一种星地数传链路安全传输系统及方法
CN117118849A (zh) * 2023-09-29 2023-11-24 江苏首捷智能设备有限公司 一种物联网网关系统及实现方法
CN117118849B (zh) * 2023-09-29 2024-02-20 江苏首捷智能设备有限公司 一种物联网网关系统及实现方法

Also Published As

Publication number Publication date
CN113824643B (zh) 2022-02-22

Similar Documents

Publication Publication Date Title
CN113824643B (zh) 泛在网络拓扑图构建方法及网络安全防护方法
Rahman et al. Smartblock-sdn: An optimized blockchain-sdn framework for resource management in iot
Yu et al. An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks
Maxa et al. Survey on UAANET routing protocols and network security challenges
CN104885427B (zh) 用于威胁检测的情景感知型网络安全监控
CN109698819B (zh) 一种网络中的威胁处置管理方法及系统
Hui et al. A new resource allocation mechanism for security of mobile edge computing system
Johnson et al. Assessing DER network cybersecurity defences in a power‐communication co‐simulation environment
Beigi-Mohammadi et al. An intrusion detection system for smart grid neighborhood area network
Nayak et al. Ml-mds: Machine learning based misbehavior detection system for cognitive software-defined multimedia vanets (csdmv) in smart cities
US20230208724A1 (en) Methods and systems for distributed network verification
Dao et al. MAEC-X: DDoS prevention leveraging multi-access edge computing
Mershad PROACT: Parallel multi-miner proof of accumulated trust protocol for Internet of Drones
Hidalgo et al. Detection, control and mitigation system for secure vehicular communication
Amari et al. Trust management in vehicular ad-hoc networks: Extensive survey
Al-Mehdhara et al. MSOM: efficient mechanism for defense against DDoS attacks in VANET
Wang et al. Toward a trust evaluation framework against malicious behaviors of industrial iot
Valentini et al. A novel mechanism for Misbehaviour detection in vehicular networks
Gkioulos et al. Securing tactical service oriented architectures
Singh et al. Analysis of various trust computation methods: a step toward secure FANETs
Çağlayan Review of some recent european cybersecurity research and innovation projects
Sharma et al. Teredo tunneling‐based secure transmission between UAVs and ground ad hoc networks
Hafeez et al. Blockchain-Enhanced UAV Networks for Post-Disaster Communication: A Decentralized Flocking Approach
CN114051220A (zh) 一种基于本体的车联网动态贝叶斯攻击图生成方法及系统
Lange et al. Event Prioritization and Correlation based on Pattern Mining Techniques

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant