CN114866278B - 一种网络安全动态防御方法、装置、设备及介质 - Google Patents
一种网络安全动态防御方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114866278B CN114866278B CN202210298928.7A CN202210298928A CN114866278B CN 114866278 B CN114866278 B CN 114866278B CN 202210298928 A CN202210298928 A CN 202210298928A CN 114866278 B CN114866278 B CN 114866278B
- Authority
- CN
- China
- Prior art keywords
- time slot
- reliability
- survival time
- network
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/028—Dynamic adaptation of the update intervals, e.g. event-triggered updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络安全动态防御方法、装置、设备及介质,能够根据网络安全可靠性的大小动态调整网路的可行路径集合,并结合网络安全可靠性的变动方向动态调整网络通信的存活时隙,以此构建边缘计算网络下的网络可行路径集合,并采用随机选取通信路径的方式,在一定程度上降低了攻击者通过监听掌握通信路径后发起跟随攻击的可能性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全动态防御方法、装置、设备及介质。
背景技术
在边云协同开放环境下,由于底层感知节点接入的开放性,攻击者往往利用边缘节点作为跳板对系统进行攻击,因此,为了确保其他感知节点和系统的多路径安全通信,研究人员通常会在确保可靠性要求基础上,增加通信路径选取的随机性,在一定程度上降低了攻击者通过监听掌握通信路径后发起跟随攻击的可能性。但是,在攻击者采用半盲攻击且通信路径多样性的情况下,如果不对网络通信路径进行压缩,攻击者会在对应的存活时隙中进行攻击,使得网络通信路径容易失效;相反,在减少网络通信路径多样性的情况下,一旦某些路径受到攻击,会大大降低了其他感知节点和系统的通信安全可靠性。
发明内容
本发明提供一种网络安全动态防御方法、装置、设备及介质,能够在保证通信路径多样性的情况下,结合路径的安全可靠性来保证网络的安全通信。
为实现上述目的,本发明实施例提供了一种网络安全动态防御方法,包括以下步骤:
获取t-1时刻存活时隙对应的调整后的可靠路径集合,并根据t-1时刻存活时隙对应的所述可靠路径集合,得到t时刻存活时隙对应的感知节点与系统之间的可行路径集合;
获取t-1时刻存活时隙对应的网络安全可靠性和t-1时刻的存活时隙值,并根据该网络安全可靠性和该存活时隙值更新t时刻的存活时隙值;
根据所述t时刻的存活时隙值,从所述可行路径集合中筛选出t时刻存活时隙对应的可靠路径集合;
根据t时刻存活时隙对应的所述可靠路径集合,计算得到t时刻存活时隙对应的安全网络可靠性;
根据t时刻存活时隙对应的所述安全网络可靠性,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合;
从所述调整后的可靠性路径集合中随机选取通信路径进行网络通信。
作为其中一种可选的实施例,所述获取t-1时刻存活时隙对应的网络安全可靠性和t-1时刻的存活时隙值,并根据该网络安全可靠性和该存活时隙值更新t 时刻的存活时隙值的计算公式为:
其中,SA(t-1)为t-1时刻存活时隙对应的网络安全可靠性,SA(t-2)为t-2时刻存活时隙对应的网络安全可靠性,Δt(t)为t时刻的存活时隙值,Δt(t-1)为t-1时刻的存活时隙值。
作为其中一种可选的实施例,所述根据所述t时刻的存活时隙值,从所述可行路径集合中筛选出t时刻存活时隙对应的可靠路径集合,包括:
根据所述t时刻的存活时隙值,获取t时刻存活时隙对应的可行路径集合中每一可行物理链路的可靠性;
获取t时刻存活时隙对应的可行路径集合中每一节点的可靠性;
根据所述可行物理链路的可靠性和所述节点的可靠性,计算t时刻存活时隙对应的可行路径集合中每一可行路径的可靠性;
将每一所述可行路径的可靠性与预设的可靠性阈值进行比较,得到t时刻存活时隙对应的可靠路径集合。
作为其中一种可选的实施例,所述根据所述t时刻的存活时隙值,获取t时刻存活时隙对应的可行路径集合中每一可行物理链路的可靠性的计算公式为:
其中,lk是从感知节点到系统之间的第k条可行物理链路,lij表示路径lk的部分物理链路,Δt(t)表示t时刻的存活时隙值,可行物理链路的可靠性服从参数为λ的泊松分布。
作为其中一种可选的实施例,所述获取t时刻存活时隙对应的可行路径集合中每一节点的可靠性,包括:
获取每一节点正常工作的概率以及每一节点的资源可用率;
根据所述每一节点正常工作的概率和所述每一节点的资源可用率,计算得到每一节点的可靠性。
作为其中一种可选的实施例,所述根据t时刻存活时隙对应的所述可靠路径集合,计算得到t时刻存活时隙对应的安全网络可靠性的计算公式为:
其中,SA(t)为t时刻存活时隙对应的所述安全网络可靠性,S(p)为可行路径 p的可靠性,βT-t为时间衰减因子,T为观察周期。
作为其中一种可选的实施例,所述根据t时刻存活时隙对应的所述安全网络可靠性,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合,包括:
根据t时刻存活时隙对应的所述安全网络可靠性与预设安全可靠性阈值之间的大小关系,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合。
本发明实施例提供了一种网络安全动态防御装置,包括:
可行路径集合获取模块,用于获取t-1时刻存活时隙对应的调整后的可靠路径集合,并根据t-1时刻存活时隙对应的所述可靠路径集合,得到t时刻存活时隙对应的感知节点与系统之间的可行路径集合;
存活时隙值更新模块,用于获取t-1时刻存活时隙对应的网络安全可靠性和 t-1时刻的存活时隙值,并根据该网络安全可靠性和该存活时隙值更新t时刻的存活时隙值;
可靠路径集合获取模块,用于根据所述t时刻的存活时隙值,从所述可行路径集合中筛选出t时刻存活时隙对应的可靠路径集合;
安全网络可靠性计算模块,用于根据t时刻存活时隙对应的所述可靠路径集合,计算得到t时刻存活时隙对应的安全网络可靠性;
可靠路径集合调整模块,用于根据t时刻存活时隙对应的所述安全网络可靠性,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合;其中,t时刻存活时隙对应的调整后的所述可靠路径集合为t+1时刻存活时隙对应的可靠路径集合;
网络通信路径选择模块,用于从所述调整后的可靠性路径集合中随机选取通信路径进行网络通信。
本发明实施例提供了一种终端设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现上述第X方面任一实施例所述的网络安全动态防御方法。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述第X方面任一实施例所述的网络安全动态防御方法。
与现有技术相比,本发明实施例提供的一种网络安全动态防御方法、装置、设备及介质,能够根据网络安全可靠性的大小动态调整网路的可行路径集合,并结合网络安全可靠性的变动方向动态调整网络通信的存活时隙,以此构建边缘计算网络下的网络可行路径集合,并采用随机选取通信路径的方式,在一定程度上降低了攻击者通过监听掌握通信路径后发起跟随攻击的可能性。
附图说明
图1是本发明实施例提供的一种网络安全动态防御方法的流程示意图;
图2本发明实施例提供的网络可靠性拓扑图的结构示意图;
图3是本发明实施例提供的一种网络安全动态防御装置的结构示意图;
图4是本发明实施例提供的一种终端设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
第一方面,本发明实施例提供了一种网络安全动态防御方法,参见图1,是本发明实施例提供的一种网络安全动态防御方法的流程示意图,所述方法包括步骤S11至步骤S16:
S11、获取t-1时刻存活时隙对应的调整后的可靠路径集合,并根据t-1时刻存活时隙对应的所述可靠路径集合,得到t时刻存活时隙对应的感知节点与系统之间的可行路径集合。
具体的,在t-1时刻,根据存活时隙对应的相关参数得到调整后的可靠路径集合后,在t时刻,会以t-1时刻存活时隙对应的调整后的可靠路径集合作为t 时刻存活时隙对应的感知节点与系统之间的可行路径集合,以根据当前的网络通信状态对不同时刻的存活时隙进行动态调整。
可以理解的是,感知节点对应传感器的节点,而节点主要是指靠近传感器节点的边缘服务器对应的节点、网络在传输过程中的网络服务器的其它节点等。
S12、获取t-1时刻存活时隙对应的网络安全可靠性和t-1时刻的存活时隙值,并根据该网络安全可靠性和该存活时隙值更新t时刻的存活时隙值。
具体的,在t-1时刻对应的存活时隙内,在求得了网络安全可靠性和存活时隙值后,会根据当前的网络通信状态对下一t时刻的网络安全可靠性和存活时隙值进行动态调整。
S13、根据所述t时刻的存活时隙值,从所述可行路径集合中筛选出t时刻存活时隙对应的可靠路径集合。
S14、根据t时刻存活时隙对应的所述可靠路径集合,计算得到t时刻存活时隙对应的安全网络可靠性。
S15、根据t时刻存活时隙对应的所述安全网络可靠性,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合。
S16、从所述调整后的可靠性路径集合中随机选取通信路径进行网络通信。
值得说明的是,通过采用随机选取通信路径的方式,在一定程度上降低了攻击者通过监听掌握通信路径后发起跟随攻击的可能性。
其中,存活时隙可以理解为,为了避免黑客攻击,设备之间的链路不是固定不变的,比如A和B相连,B和系统某个关键设备相连,那么黑客很可能以B 为跳板来攻击C,只要提供足够多的时间,肯定能够实现攻击目的,因此,为了防止这种行为,系统将会设置动态链路,也就是过一段时间,就会为设备随机分配可行的路径,而所述的“过一段时间”即可以理解为存活时隙。
需要说明的是,在实际应用过程中,所述方法的执行步骤可以根据实际需求或者试验进行调整,在此不作限定。
可以理解的是,在现有技术中,在边云协同开放环境下,由于底层感知节点接入的开放性,攻击者往往利用边缘节点作为跳板对系统进行攻击,因此,为了确保其他感知节点和系统的多路径安全通信,研究人员采用一种网络拓扑拟态关联图和通信路径的协商确认机制,在确保可靠性要求基础上,增加通信路径选取的随机性,在一定程度上降低了攻击者通过监听掌握通信路径后发起跟随攻击的可能性。这种机制会出现一个问题:攻击者采用半盲攻击的情况下,在通信路径多样性的情况下,如果不压缩网络拓扑拟态关联图,攻击者会在拟态关联图存活时隙中进行攻击,使得网络拓扑拟态关联容易失效;相反,在减少通信路径多样性的情况下,一旦某些路径受到攻击,会大大降低了其他感知节点和系统的通信安全可靠性。
而与现有技术相比,本发明实施例提供的一种网络安全动态防御方法,能够根据网络安全可靠性的大小动态调整网路的可行路径集合,并结合网络安全可靠性的变动方向动态调整网络通信的存活时隙,以此构建边缘计算网络下的网络可行路径集合,并采用随机选取通信路径的方式,在一定程度上降低了攻击者通过监听掌握通信路径后发起跟随攻击的可能性。
作为其中一种可选的实施例,所述步骤S11具体为:
S111、构建t-1时刻存活时隙对应的网络可靠性拓扑图,并根据该网路可靠性图得到t-1时刻存活时隙对应的调整后的可靠路径集合;
S112、根据t-1时刻存活时隙对应的调整后的所述可靠路径集合,对所述网络可靠性拓扑图进行路径调整,得到更新后的网络可靠性拓扑图,并将所述更新后的网络可靠性拓扑图作为t时刻存活时隙对应的网络可靠性拓扑图;
S113、根据t时刻存活时隙对应的网络可靠性拓扑图,获取t时刻存活时隙对应的感知节点与系统之间的可行路径集合。
可以理解的是,在每一时刻存活时隙中,会先构建网络可靠性拓扑图,并通过构建感知节点与系统之间的网络可靠性拓扑图,获取每一个感知节点的可行路径集合,对应到t-1时刻存活时隙,再根据可行路径集合得到对应的调整后的可靠路径集合,并根据该调整后的可靠路径集合对预先构建的网络可靠性拓扑图进行更新,剔除掉非可靠的路径,得到动态调整后的网络可靠性拓扑图,并用于在下一t时刻时,重新根据调整后的网络可靠性拓扑图获取新的可行路径集合。
具体的,参见图2,是网络可靠性拓扑图的结构示意图。网络可靠性拓扑图包括物理链路和节点的可靠性,因为从感知节点到系统的数据传输过程中,物理链路的失效会直接影响数据的传输,同理,节点的可靠性会影响数据在传输过程中的数据处理过程。通常来说,从感知节点到系统的数据传输过程中,会经过边缘计算节点、网关等多个用于网络隔离身份认证的节点,这些节点的可靠性直接影响网络可靠性,因此,需要有效确定关键物理节点集,通过节点集评估路径的可靠性是很有必要的。其次,物理链路的失效性也在一定程度上影响网络路径的可靠性,一系列的物理链路集合的失效率能够在一定程度上刻画路径的失效性。因此,在衡量路径的可靠性前,需要构建网络可靠图。通过构建感知节点与系统之间的网络可靠性拓扑图,可以获取每一个感知节点的路径集合。
值得说明的是,通过构建网络拓扑拟态关联图,能够确定可信的通信路径,并在确保可信路径集合基础上,进一步根据网络安全可靠性的“慢增长,快减小”原则来动态扩大和压缩网络拓扑拟态关联图,从而在在保证通信路径多样性的情况下,结合路径的安全可靠性对网络通信路径进行动态调整,进一步提高了网络的安全可靠性。
作为其中一种可选的实施例,所述步骤S12的计算公式为:
其中,SA(t-1)为t-1时刻存活时隙对应的网络安全可靠性,SA(t-2)为t-2时刻存活时隙对应的网络安全可靠性,Δt(t)为t时刻的存活时隙值,Δt(t-1)为t-1时刻的存活时隙值。
可以理解的是,由于过长的存活时隙会增加通信轮径被扫描探测和攻击的可能性,然后过短的存活时隙又会引起网络传输质量的下降,因此,在考虑数据交互高安全、高可靠的需求,基于网络安全可靠性变动方向进行自适应存活时隙的更新,则t+1时刻的存活时隙值为:
值得说明的是,通过动态更新存活时隙,该时隙与整个网络安全可靠性密切相关,因此,网络安全可靠性具有“慢增长,快减小”原则,而在网络安全可靠性计算的基础上,采用网络安全可靠性变动方向的自适应存活时隙更新机制来调整存活时隙,能够应对动态变化的网络环境。
作为其中一种可选的实施例,所述步骤S13包括:
S131、根据所述t时刻的存活时隙值,获取t时刻存活时隙对应的可行路径集合中每一可行物理链路的可靠性;
S132、获取t时刻存活时隙对应的可行路径集合中每一节点的可靠性;
S133、根据所述可行物理链路的可靠性和所述节点的可靠性,计算t时刻存活时隙对应的可行路径集合中每一可行路径的可靠性;
S134、将每一所述可行路径的可靠性与预设的可靠性阈值进行比较,得到t 时刻存活时隙对应的可靠路径集合。
作为其中一种可选的实施例,在所述步骤S131中,根据可靠性理论,通信路径的可靠性服从泊松分布,因此,基于时变函数,可行物理链路的可靠性的计算公式为:
其中,lk是从感知节点到系统之间的第k条可行物理链路,lij表示路径lk的部分物理链路,Δt(t)表示t时刻的存活时隙值,可行物理链路的可靠性服从参数为λ的泊松分布。
作为其中一种可选的实施例,所述步骤S132具体包括:
S1321、获取每一节点正常工作的概率以及每一节点的资源可用率;
S1322、根据所述每一节点正常工作的概率和所述每一节点的资源可用率,计算得到每一节点的可靠性。
示例性的,节点可靠性可以用节点正常工作的概率和节点当前的资源可用性来表示。节点i正常工作的概率A(i)为:
其中,MTTF表示故障间隔时间,MTTR表示停机时间。
除了考虑节点i正常工作的概率,还要考虑节点i的资源占用情况,资源占用情况需要考虑节点的计算资源、存储资源以及带宽资源的占用情况。占用情况的表达式为:
其中,w1、w2、w3三者之和为1,不同物理节点的配置,设置值是不一样的。 Ci、Mi、Bi表示物理节点i最大的计算资源、存储资源以及带宽资源。cj、mj、 bj表示物理节点i已经被虚拟网络功能占用的计算资源、存储资源以及带宽资源, v表示该节点i承接的任务集合,无论哪一个节点,都要承接任务传输和任务处理的,这种传输和处理需要消耗节点的计算资源、存储资源以及带宽资源。
针对上述的资源被占用,那么节点i的资源可用率为:
H(i)=1-U(i)
那么节点i的可靠性表示为:
O(i)=H(i)·A(i)
整条物理链路所有m个节点的可靠性为:
基于节点和物理链路的可靠性,计算某条路径p的可靠性:
S(p)=R(lk)·R(O)
进一步的,将路径p的可靠性与设定的可靠性阈值进行比较,根据路径的可靠性大于预设的可靠性阈值的集合,得到满足可靠性要求可靠路径集合A。
作为其中一种可选的实施例,在所述步骤S14中,示例性的,假设在某一个存活时隙所有感知节点一共有n条可靠路径,根据网络安全“慢增长,快减小”原则,t时刻存活时隙的网络安全可靠性SA(t)计算公式为:
其中,SA(t)为t时刻存活时隙对应的所述安全网络可靠性,S(p)为可行路径 p的可靠性,βT-t为时间衰减因子,T为观察周期。
可以理解的是,一直以来可靠的路径,其对网络贡献度增长率越慢;相反,一些可靠路径由于不满足可靠性阈值需要降低,那么在t时刻存活时隙中被剔除,那么不可靠路径对网络贡献的减少量是很大的,因为在t时刻存活时隙中,当存活时隙在第t时刻的其中一条可靠路径的网络可靠性小于可靠性阈值时,说明该路径的网络安全不被信任,整个路径在前期的累积贡献度都需要被剔除,即信任值小于阈值时,该路径前期的积累归零,并对应更新网络可靠性拓扑图,仅保留被信任的通信路径。
其中,网络安全可靠性的“慢增长,快减小”可以理解为:在网络觉得路径可靠之后,由于衰减因子的作用,那么会慢慢将之前的可信度累加起来,但是,这种衰减累加的效果是,越是之前的可靠性,随着时间的推移,在衰减因子的作用下,慢慢变小;而越是刚刚发生的信任值,可靠性越大。那么就意味着,路径的信任值随着时间的推移,在该时刻的信任值十分取决于现在的信任值,因此呈现一个慢增长的态势,因为之前的“努力”随着时间推移,“消耗”很快,而如果路径发生问题,一旦新任务小于设定的阈值,那么这个路径的在该时刻和历史时刻的信任值马上归为0。
作为其中一种可选的实施例,所述步骤S15包括:
根据t时刻存活时隙对应的所述安全网络可靠性与预设安全可靠性阈值之间的大小关系,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合。
可以理解的是,一直以来可靠的路径,其对网络贡献度增长率越慢;相反,一些可靠路径由于不满足可靠性阈值需要降低,那么在t时刻存活时隙中被剔除,那么不可靠路径对网络贡献的减少量是很大的,因为在t时刻存活时隙中,当存活时隙在第t时刻的其中一条可靠路径的网络可靠性小于可靠性阈值时,说明该路径的网络安全不被信任,整个路径在前期的累积贡献度都需要被剔除,即信任值小于阈值时,该路径前期的积累归零,并对应更新网络可靠性拓扑图,仅保留被信任的通信路径。
本发明实施例提供了一种网络安全动态防御装置,参见图3,是本发明实施例提供的一种网络安全动态防御装置的结构示意图,包括:
可行路径集合获取模块31,用于获取t-1时刻存活时隙对应的调整后的可靠路径集合,并根据t-1时刻存活时隙对应的所述可靠路径集合,得到t时刻存活时隙对应的感知节点与系统之间的可行路径集合;
存活时隙值更新模块32,用于获取t-1时刻存活时隙对应的网络安全可靠性和t-1时刻的存活时隙值,并根据该网络安全可靠性和该存活时隙值更新t时刻的存活时隙值;
可靠路径集合获取模块33,用于根据所述t时刻的存活时隙值,从所述可行路径集合中筛选出t时刻存活时隙对应的可靠路径集合;
安全网络可靠性计算模块34,用于根据t时刻存活时隙对应的所述可靠路径集合,计算得到t时刻存活时隙对应的安全网络可靠性;
可靠路径集合调整模块35,用于根据t时刻存活时隙对应的所述安全网络可靠性,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合;其中,t时刻存活时隙对应的调整后的所述可靠路径集合为t+1时刻存活时隙对应的可靠路径集合;
网络通信路径选择模块36,用于从所述调整后的可靠性路径集合中随机选取通信路径进行网络通信。
与现有技术相比,本发明实施例提供的一种网络安全动态防御装置,能够根据网络安全可靠性的大小动态调整网路的可行路径集合,并结合网络安全可靠性的变动方向动态调整网络通信的存活时隙,以此构建边缘计算网络下的网络可行路径集合,并采用随机选取通信路径的方式,在一定程度上降低了攻击者通过监听掌握通信路径后发起跟随攻击的可能性。
作为其中一种可选的实施例,所述可行路径集合获取模块31具体用于:
构建t-1时刻存活时隙对应的网络可靠性拓扑图,并根据该网路可靠性图得到t-1时刻存活时隙对应的调整后的可靠路径集合;
根据t-1时刻存活时隙对应的调整后的所述可靠路径集合,对所述网络可靠性拓扑图进行路径调整,得到更新后的网络可靠性拓扑图,并将所述更新后的网络可靠性拓扑图作为t时刻存活时隙对应的网络可靠性拓扑图;
根据t时刻存活时隙对应的网络可靠性拓扑图,获取t时刻存活时隙对应的感知节点与系统之间的可行路径集合。
作为其中一种可选的实施例,所述存活时隙值更新模块32中t时刻存活时隙值计算公式为:
其中,SA(t-1)为t-1时刻存活时隙对应的网络安全可靠性,SA(t-2)为t-2时刻存活时隙对应的网络安全可靠性,Δt(t)为t时刻的存活时隙值,Δt(t-1)为t-1时刻的存活时隙值。
作为其中一种可选的实施例,所述可靠路径集合获取模块33具体用于:
根据所述t时刻的存活时隙值,获取t时刻存活时隙对应的可行路径集合中每一可行物理链路的可靠性;
获取t时刻存活时隙对应的可行路径集合中每一节点的可靠性;
根据所述可行物理链路的可靠性和所述节点的可靠性,计算t时刻存活时隙对应的可行路径集合中每一可行路径的可靠性;
将每一所述可行路径的可靠性与预设的可靠性阈值进行比较,得到t时刻存活时隙对应的可靠路径集合。
作为其中一种可选的实施例,在所述获取t时刻存活时隙对应的可行路径集合中每一节点的可靠性中,根据可靠性理论,通信路径的可靠性服从泊松分布,因此,基于时变函数,可行物理链路的可靠性的计算公式为:
其中,lk是从感知节点到系统之间的第k条可行物理链路,lij表示路径lk的部分物理链路,Δt(t)表示t时刻的存活时隙值,可行物理链路的可靠性服从参数为λ的泊松分布。
作为其中一种可选的实施例,所述根据所述可行物理链路的可靠性和所述节点的可靠性,计算t时刻存活时隙对应的可行路径集合中每一可行路径的可靠性具体包括:
获取每一节点正常工作的概率以及每一节点的资源可用率;
根据所述每一节点正常工作的概率和所述每一节点的资源可用率,计算得到每一节点的可靠性。
作为其中一种可选的实施例,在所述安全网络可靠性计算模块34中,t时刻存活时隙的网络安全可靠性SA(t)计算公式为:
其中,SA(t)为t时刻存活时隙对应的所述安全网络可靠性,S(p)为可行路径 p的可靠性,βT-t为时间衰减因子,T为观察周期。
作为其中一种可选的实施例,所述可靠路径集合调整模块35具体用于:
根据t时刻存活时隙对应的所述安全网络可靠性与预设安全可靠性阈值之间的大小关系,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合。
另外,需要说明的是,本发明实施例提供的一种网络安全动态防御装置的各实施例的具体实现方案和有益效果,与本发明实施例提供的一种网络安全动态防御方法的各实施例的具体实现方案和有益效果对应相同,在此不作赘述。
本发明实施例提供了一种终端设备,参见图4,是本发明实施例提供的一种终端设备的结构示意图。该实施例的终端设备4包括:处理器40、存储器41以及存储在所述存储器41中并可在所述处理器40上运行的计算机程序。所述处理器40执行所述计算机程序时实现上述第一方面任一实施例所述的网络安全动态防御方法。或者,所述处理器40执行所述计算机程序时实现上述各装置实施例中各模块的功能。
示例性的,所述计算机程序可以被分割成一个或多个模块,所述一个或者多个模块被存储在所述存储器41中,并由所述处理器40执行,以完成本发明。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述终端设备4中的执行过程。
所述终端设备4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备4可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,所述示意图仅仅是终端设备的示例,并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备4还可以包括输入输出设备、网络接入设备、总线等。
所称处理器40可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器40是所述终端设备4的控制中心,利用各种接口和线路连接整个终端设备4的各个部分。
所述存储器41可用于存储所述计算机程序和/或模块,所述处理器40通过运行或执行存储在所述存储器41内的计算机程序和/或模块,以及调用存储在存储器41内的数据,实现所述终端设备4的各种功能。所述存储器41可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器41可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD) 卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
其中,所述终端设备4集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器40执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上述所述的网络安全动态防御方法。
本领域技术人员可以理解,可以对实施例中的装置中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个装置中。可以把实施例中的模块或单元组合成一个模块或单元,以及此外可以把它们分成多个子模块或子单元。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在本发明的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (9)
1.一种网络安全动态防御方法,其特征在于,包括:
获取t-1时刻存活时隙对应的调整后的可靠路径集合,并根据t-1时刻存活时隙对应的所述可靠路径集合,得到t时刻存活时隙对应的感知节点与系统之间的可行路径集合;
获取t-1时刻存活时隙对应的网络安全可靠性和t-1时刻的存活时隙值,并根据该网络安全可靠性和该存活时隙值更新t时刻的存活时隙值;
根据所述t时刻的存活时隙值,从所述可行路径集合中筛选出t时刻存活时隙对应的可靠路径集合;
根据t时刻存活时隙对应的所述可靠路径集合,计算得到t时刻存活时隙对应的安全网络可靠性;
根据t时刻存活时隙对应的所述安全网络可靠性,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合;
从所述调整后的可靠性路径集合中随机选取通信路径进行网络通信;
所述获取t-1时刻存活时隙对应的网络安全可靠性和t-1时刻的存活时隙值,并根据该网络安全可靠性和该存活时隙值更新t时刻的存活时隙值的计算公式为:
其中,SA(t-1)为t-1时刻存活时隙对应的网络安全可靠性,SA(t-2)为t-2时刻存活时隙对应的网络安全可靠性,Δt(t)为t时刻的存活时隙值,Δt(t-1)为t-1时刻的存活时隙值。
2.根据权利要求1所述的网络安全动态防御方法,其特征在于,所述根据所述t时刻的存活时隙值,从所述可行路径集合中筛选出t时刻存活时隙对应的可靠路径集合,包括:
根据所述t时刻的存活时隙值,获取t时刻存活时隙对应的可行路径集合中每一可行物理链路的可靠性;
获取t时刻存活时隙对应的可行路径集合中每一节点的可靠性;
根据所述可行物理链路的可靠性和所述节点的可靠性,计算t时刻存活时隙对应的可行路径集合中每一可行路径的可靠性;
将每一所述可行路径的可靠性与预设的可靠性阈值进行比较,得到t时刻存活时隙对应的可靠路径集合。
4.根据权利要求2所述的网络安全动态防御方法,其特征在于,所述获取t时刻存活时隙对应的可行路径集合中每一节点的可靠性,包括:
获取每一节点正常工作的概率以及每一节点的资源可用率;
根据所述每一节点正常工作的概率和所述每一节点的资源可用率,计算得到每一节点的可靠性。
6.根据权利要求1所述的网络安全动态防御方法,其特征在于,所述根据t时刻存活时隙对应的所述安全网络可靠性,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合,包括:
根据t时刻存活时隙对应的所述安全网络可靠性与预设安全可靠性阈值之间的大小关系,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合。
7.一种网络安全动态防御装置,其特征在于,包括:
可行路径集合获取模块,用于获取t-1时刻存活时隙对应的调整后的可靠路径集合,并根据t-1时刻存活时隙对应的所述可靠路径集合,得到t时刻存活时隙对应的感知节点与系统之间的可行路径集合;
存活时隙值更新模块,用于获取t-1时刻存活时隙对应的网络安全可靠性和t-1时刻的存活时隙值,并根据该网络安全可靠性和该存活时隙值更新t时刻的存活时隙值;
可靠路径集合获取模块,用于根据所述t时刻的存活时隙值,从所述可行路径集合中筛选出t时刻存活时隙对应的可靠路径集合;
安全网络可靠性计算模块,用于根据t时刻存活时隙对应的所述可靠路径集合,计算得到t时刻存活时隙对应的安全网络可靠性;
可靠路径集合调整模块,用于根据t时刻存活时隙对应的所述安全网络可靠性,对t时刻存活时隙对应的所述可靠路径集合进行调整,得到t时刻存活时隙对应的调整后的可靠路径集合;其中,t时刻存活时隙对应的调整后的所述可靠路径集合为t+1时刻存活时隙对应的可靠路径集合;
网络通信路径选择模块,用于从所述调整后的可靠性路径集合中随机选取通信路径进行网络通信;
所述获取t-1时刻存活时隙对应的网络安全可靠性和t-1时刻的存活时隙值,并根据该网络安全可靠性和该存活时隙值更新t时刻的存活时隙值的计算公式为:
其中,SA(t-1)为t-1时刻存活时隙对应的网络安全可靠性,SA(t-2)为t-2时刻存活时隙对应的网络安全可靠性,Δt(t)为t时刻的存活时隙值,Δt(t-1)为t-1时刻的存活时隙值。
8.一种电子设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6中任意一项所述的网络安全动态防御方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至6中任意一项所述的网络安全动态防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210298928.7A CN114866278B (zh) | 2022-03-25 | 2022-03-25 | 一种网络安全动态防御方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210298928.7A CN114866278B (zh) | 2022-03-25 | 2022-03-25 | 一种网络安全动态防御方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114866278A CN114866278A (zh) | 2022-08-05 |
CN114866278B true CN114866278B (zh) | 2023-07-14 |
Family
ID=82628783
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210298928.7A Active CN114866278B (zh) | 2022-03-25 | 2022-03-25 | 一种网络安全动态防御方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114866278B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109218292A (zh) * | 2018-08-15 | 2019-01-15 | 全球能源互联网研究院有限公司 | 一种电力网络边界安全协同防御方法及系统 |
CN112866103A (zh) * | 2021-01-12 | 2021-05-28 | 重庆大学 | 一种面向边缘计算的时间敏感移动前传网络保护方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9680855B2 (en) * | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
-
2022
- 2022-03-25 CN CN202210298928.7A patent/CN114866278B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109218292A (zh) * | 2018-08-15 | 2019-01-15 | 全球能源互联网研究院有限公司 | 一种电力网络边界安全协同防御方法及系统 |
CN112866103A (zh) * | 2021-01-12 | 2021-05-28 | 重庆大学 | 一种面向边缘计算的时间敏感移动前传网络保护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114866278A (zh) | 2022-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
US11575710B2 (en) | Output-decision-based negative feedback control method and system | |
US20200204571A1 (en) | Malware detection in network traffic time series | |
US11757931B2 (en) | Detection of brute force attacks | |
EP2453612A1 (en) | Bus control device | |
CN108809749B (zh) | 基于采样率来执行流的上层检查 | |
US20180278642A1 (en) | Routing based on a vulnerability in a processing node | |
US10785234B2 (en) | Dynamic packet inspection plan system utilizing rule probability based selection | |
DE60018023T2 (de) | System, Vorrichtung und Verfahren zum Übertragen von "keep-alive" Nachrichten in einem Kommunikationsnetzwerk | |
CN111131199B (zh) | 业务攻击流量清洗控制方法、装置、服务器及存储介质 | |
CN107547561B (zh) | 一种进行ddos攻击防护处理的方法及装置 | |
CN114598659B (zh) | 规则库优化方法和装置 | |
CN114866278B (zh) | 一种网络安全动态防御方法、装置、设备及介质 | |
US8904533B2 (en) | Determining heavy distinct hitters in a data stream | |
US20230344863A1 (en) | Enhancement of device security using machine learning and set of rules | |
CN117714295A (zh) | 网络链路生成方法、服务器及存储介质 | |
CN112910799A (zh) | 一种网络数据处理方法、系统、介质及设备 | |
US20210306359A1 (en) | Intelligent detection and prevention of anomalies in interface protocols | |
WO2022058935A1 (en) | Systems and methods for bandwidth optimization based on artificial intelligence | |
US8924547B1 (en) | Systems and methods for managing network devices based on server capacity | |
EP3910889A1 (en) | Communication terminal device, communication control method, and communication control program | |
CN111949980A (zh) | 目标客户端监控方法和装置、存储介质及电子装置 | |
Anbarsu et al. | Software-Defined Networking for the Internet of Things: Securing home networks using SDN | |
CN110943979A (zh) | Sdn网络攻击检测方法、装置、设备和系统 | |
CN115834190B (zh) | 主机管控方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |