CN115412369A - 一种面向网络控制的韧性原子服务框架构建方法与系统 - Google Patents
一种面向网络控制的韧性原子服务框架构建方法与系统 Download PDFInfo
- Publication number
- CN115412369A CN115412369A CN202211341713.5A CN202211341713A CN115412369A CN 115412369 A CN115412369 A CN 115412369A CN 202211341713 A CN202211341713 A CN 202211341713A CN 115412369 A CN115412369 A CN 115412369A
- Authority
- CN
- China
- Prior art keywords
- network
- services
- atom
- environment information
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提出一种面向网络控制的韧性原子服务框架构建方法与系统,属于网络服务技术领域。所述方法在网络控制器中建立感知层、决策层和执行层;所述感知层包括事件感知模块和信念更新模块;所述决策层包括匹配选择模块、意图筛选模块和行为选择模块;所述执行层包括原子调度引擎和四类韧性网络原子服务;所述四类韧性网络原子服务为检测原子服务、抵抗原子服务、恢复原子服务和演进原子服务。所述方法在高对抗、不可信的网络环境中构建一种相对独立、闭环的网络韧性服务框架。
Description
技术领域
本发明属于网络服务技术领域,尤其涉及一种面向网络控制的韧性原子服务框架构建方法与系统。
背景技术
信息技术的日新月异使得网络风险呈现高频化、复杂化和持续化特征,任何处于其中的组织都面临着网络安全的挑战。传统的网络安全理解为通过更新设备固件、安装防病毒/EDR软件和边界安防设备、更新软件补丁程序等手段保护网络及系统,减少网络系统被成功攻击的可能。随着互联网技术的快速发展,网络攻击手段也变得更加复杂和隐蔽,没有任何网络安全解决方案能够完全阻止网络威胁,无法保证网络系统的绝对安全。因此在网络安全事件发生后,能够做到快速检测、灵活响应并尽快将网络业务恢复至正常运行水平成为当前网络安全领域研究的重点。网络韧性的概念和目标随之诞生并得到发展,网络韧性被定义为当网络遭受不确定威胁或蓄意攻击时,网络系统具备预防和适应变化的能力,抵御网络攻击的能力,以及在遭受攻击后能够迅速恢复业务的能力,这些能力能够最大程度地减少损失,并保持业务的正常运转。网络韧性的目标是使网络系统具备预防性、抵御性、恢复性、适应性。网络韧性从如何减少损失的角度出发实现纵深防御,已逐渐成为网络安全建设中重要的组成部分。
目前已有的网络韧性服务有基于知识库中的指南目录措施策略,人为参与和网络入侵者进行互动来完成韧性控制。但是该方案需要专业的网络安全人员进行主动的措施操作来了解攻击者的入侵方式或者入侵目的,从而弄清楚如何制定更积极的防御策略,在构建知识库的成本是相对巨大的,且无法应对新型网络攻击。
有些研究关注于当网络系统遭受特定内部或外部攻击时采取相应的检测和防御手段,实现特定场景下的网络恢复机制。如恢复单链路失效故障时的流表项压缩机制、应对DDoS攻击的检测和防御机制。从系统的角度看,缺少一个对这些技术整合关联的服务框架,使网络控制具备更完整的韧性能力。
有研究者受到生物胚胎学的启发,提出基于多智能体的边缘网络韧性计算框架,利用元胞自动机模拟胚胎的自修复和自组织特征。该方案中的多智能体虽然具备动态可扩展的特性,但是多智能体之间复杂的通信过程造成的大量开销降低了网络系统的韧性。而且这种胚胎模式目前只能应对网络系统内部的故障模式(如设备移动、连接丢失和时延过长),无法应对复杂网络环境下的蓄意攻击。
发明内容
本发明要解决的技术问题是:是在高对抗、不可信的网络环境中,如何构建一种相对独立、闭环的网络韧性服务框架,使其中包含网络状态感知、行为决策、韧性控制、策略模型演进等基础服务。以实现网络控制架构在不可信网络环境中的预防性、抵御性、恢复性、适应性等目标。为此,本发明提供一种面向网络控制的韧性原子服务框架构建方案。
本发明第一方面公开了一种面向网络控制的韧性原子服务框架构建方法。在网络控制器中建立感知层、决策层和执行层;所述感知层包括事件感知模块和信念更新模块;所述决策层包括匹配选择模块、意图筛选模块和行为选择模块;所述执行层包括原子调度引擎和四类韧性网络原子服务;所述四类韧性网络原子服务为检测原子服务、抵抗原子服务、恢复原子服务和演进原子服务。
在所述感知层:所述事件感知模块实时接收所述网络控制器采集的实时网络环境信息;所述信念更新模块基于所述实时网络环境信息更新信念库,其中所述信念库中存储已知网络环境信息;在所述决策层:所述匹配选择模块根据更新的网络环境信息,从任务列表中通过匹配获取若干候选任务,其中所述任务列表中存储有各个网络组件待完成的网络控制任务;所述意图筛选模块从所述若干候选任务中提取出最优任务作为待执行意图,并从配置策略库中读取与所述待执行意图对应的配置参数,其中所述配置策略库中存储有所述各个网络组件为完成相应的网络控制任务所需的配置参数;所述行为选择模块从所述四类韧性网络原子服务中选择与所述待执行意图对应的若干原子服务;在所述执行层:所述原子调度引擎基于所述更新的网络环境信息加载与所述待执行意图对应的所述若干原子服务,使得所述若干原子服务向底层物理网络执行与所述待执行意图对应的网络控制任务。
根据本发明第一方面的方法,在所述感知层:所述网络控制器采集的所述实时网络环境信息包括网络设备状态信息和网络运转状态信息,所述网络运转状态信息包括网络流量、链路状态和网络带宽;所述信念更新模块比对所述实时网络环境信息和所述已知网络环境信息,二者存在差异时,以所述实时网络环境信息替换所述已知网络环境信息。
根据本发明第一方面的方法,在所述执行层:所述检测原子服务包括的原子服务有端口检测、链路检测和流检测,所述检测原子服务用于对网络环境中潜在的威胁进行感知和预测,同时监视和识别网络中的关键功能和组件是否处于被攻击状态;所述抵抗原子服务包括的原子服务有端口禁用、流量限速和节点扩容,所述抵抗原子服务用于在所述被攻击状态的情况下维持网络业务的运行;所述恢复原子服务包括的原子服务有映射调整、节点重启和快照恢复,所述恢复原子服务用于恢复因所述被攻击状态导致的中断业务;所述演进原子服务包括的原子服务有样本提取、效果评估和模型训练,所述演进原子服务用于从历史攻击事件中提取攻击行为特征,利用所述攻击行为特征优化防御措施并调整响应策略;其中,每个原子服务均采用容器化的组件封装方式,且包含完整的通信规范。
根据本发明第一方面的方法,所述网络控制器还包括通信模块,所述通信模块用于构建所述网络控制器内部的各个模块之间的通信传输,以及所述网络控制器与其他外部的智能体之间的协同控制;其中所述协同控制包括:将来自所述智能体的外部环境信息反馈到所述事件感知模块,由所述信念更新模块基于所述外部环境信息更新所述信念库,以影响后续的行动和决策。
本发明第二方面公开了一种面向网络控制的韧性原子服务框架构建系统。所述系统被配置为,在网络控制器中建立感知层、决策层和执行层;所述感知层包括事件感知模块和信念更新模块;所述决策层包括匹配选择模块、意图筛选模块和行为选择模块;所述执行层包括原子调度引擎和四类韧性网络原子服务;所述四类韧性网络原子服务为检测原子服务、抵抗原子服务、恢复原子服务和演进原子服务。
在所述感知层:所述事件感知模块实时接收所述网络控制器采集的实时网络环境信息;所述信念更新模块基于所述实时网络环境信息更新信念库,其中所述信念库中存储已知网络环境信息;在所述决策层:所述匹配选择模块根据更新的网络环境信息,从任务列表中通过匹配获取若干候选任务,其中所述任务列表中存储有各个网络组件待完成的网络控制任务;所述意图筛选模块从所述若干候选任务中提取出最优任务作为待执行意图,并从配置策略库中读取与所述待执行意图对应的配置参数,其中所述配置策略库中存储有所述各个网络组件为完成相应的网络控制任务所需的配置参数;所述行为选择模块从所述四类韧性网络原子服务中选择与所述待执行意图对应的若干原子服务;在所述执行层:所述原子调度引擎基于所述更新的网络环境信息加载与所述待执行意图对应的所述若干原子服务,使得所述若干原子服务向底层物理网络执行与所述待执行意图对应的网络控制任务。
根据本发明第二方面的系统,在所述感知层:所述网络控制器采集的所述实时网络环境信息包括网络设备状态信息和网络运转状态信息,所述网络运转状态信息包括网络流量、链路状态和网络带宽;所述信念更新模块比对所述实时网络环境信息和所述已知网络环境信息,二者存在差异时,以所述实时网络环境信息替换所述已知网络环境信息。
根据本发明第二方面的系统,在所述执行层:所述检测原子服务包括的原子服务有端口检测、链路检测和流检测,所述检测原子服务用于对网络环境中潜在的威胁进行感知和预测,同时监视和识别网络中的关键功能和组件是否处于被攻击状态;所述抵抗原子服务包括的原子服务有端口禁用、流量限速和节点扩容,所述抵抗原子服务用于在所述被攻击状态的情况下维持网络业务的运行;所述恢复原子服务包括的原子服务有映射调整、节点重启和快照恢复,所述恢复原子服务用于恢复因所述被攻击状态导致的中断业务;所述演进原子服务包括的原子服务有样本提取、效果评估和模型训练,所述演进原子服务用于从历史攻击事件中提取攻击行为特征,利用所述攻击行为特征优化防御措施并调整响应策略;其中,每个原子服务均采用容器化的组件封装方式,且包含完整的通信规范。
根据本发明第二方面的系统,在所述网络控制器中建立通信模块,所述通信模块用于构建所述网络控制器内部的各个模块之间的通信传输,以及所述网络控制器与其他外部的智能体之间的协同控制;其中所述协同控制包括:将来自所述智能体的外部环境信息反馈到所述事件感知模块,由所述信念更新模块基于所述外部环境信息更新所述信念库,以影响后续的行动和决策。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种面向网络控制的韧性原子服务框架构建方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种面向网络控制的韧性原子服务框架构建方法中的步骤。
本发明提供的技术方案能够实现网络控制的韧性核心能力,确保网络控制系统遭受恶意攻击时可以自主检测、抵抗、恢复和演进,保障网络控制系统的正常运转,确保韧性控制服务具有易维护、灵活扩展复用、支持技术异构、高弹性可靠的特性,保障网络韧性控制可持续集成和发展。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的面向网络控制的韧性原子服务框架的组成示意图;
图2为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一方面公开了一种面向网络控制的韧性原子服务框架构建方法。图1为根据本发明实施例的面向网络控制的韧性原子服务框架的组成示意图;如图1所示,在网络控制器中建立感知层、决策层和执行层;所述感知层包括事件感知模块和信念更新模块;所述决策层包括匹配选择模块、意图筛选模块和行为选择模块;所述执行层包括原子调度引擎和四类韧性网络原子服务;所述四类韧性网络原子服务为检测原子服务、抵抗原子服务、恢复原子服务和演进原子服务。
具体地,将一个智能体(Agent)的组成划分成了包含信念(Belief)、愿望(Desire)和意图(Intention)三个部分。信念是智能体对自身和环境状态的感知;愿望是智能体决定实现的目标;意图是智能体根据目标选择的执行计划。将网络控制的基本元素抽象成原子服务,利用上述模型的推理过程建立网络控制的闭环流程,实现对网络的韧性控制,位于网络控制平面,包含感知层、决策层、执行层三层结构。其中感知层包含事件感知模块、信念更新模块,决策层包含匹配选择模块、意图筛选模块和行为选择模块,执行层包含原子调度引擎与四类韧性网络原子服务。
在一些实施例中,在所述感知层:所述事件感知模块实时接收所述网络控制器采集的实时网络环境信息;所述信念更新模块基于所述实时网络环境信息更新信念库,其中所述信念库中存储已知网络环境信息。
在一些实施例中,在所述感知层:所述网络控制器采集的所述实时网络环境信息包括网络设备状态信息和网络运转状态信息,所述网络运转状态信息包括网络流量、链路状态和网络带宽;所述信念更新模块比对所述实时网络环境信息和所述已知网络环境信息,二者存在差异时,以所述实时网络环境信息替换所述已知网络环境信息。
具体地,事件感知模块用于接收网络控制器收集的网络环境信息,包括网络设备状态信息和网络运转状态信息(流量、链路、带宽等)。信念库是用于存储网络环境信息的数据库。信念更新模块接收实时感知的网络环境信息并与信念库中存储的状态信息进行验证对比,更新信念库。
在一些实施例中,在所述决策层:所述匹配选择模块根据更新的网络环境信息,从任务列表中通过匹配获取若干候选任务,其中所述任务列表中存储有各个网络组件待完成的网络控制任务;所述意图筛选模块从所述若干候选任务中提取出最优任务作为待执行意图,并从配置策略库中读取与所述待执行意图对应的配置参数,其中所述配置策略库中存储有所述各个网络组件为完成相应的网络控制任务所需的配置参数;所述行为选择模块从所述四类韧性网络原子服务中选择与所述待执行意图对应的若干原子服务。
具体地,决策层中包含了任务列表和配置策略数据库,任务列表存储了组件需要完成的网络控制任务,如设置防火墙、开通端到端的通信路径,配置策略存储了网络组件为实现具体任务所需配置的参数。
匹配选择模块根据实时更新的信念,从任务列表中匹配多个可供选择的任务集合。意图筛选模块根据从任务集合中筛选出最优的任务作为待执行意图,并从配置策略库中读取执行相应任务所需的配置参数。行为选择模块用于选择达成意图所需调用的各种类型原子服务(如DDoS防御场景中先调用流量限速原子,再调用链路检测原子,再调用端口禁用原子,或与其他智能体进行通信获取更多的网络威胁态势)。
在一些实施例中,在所述执行层:所述原子调度引擎基于所述更新的网络环境信息加载与所述待执行意图对应的所述若干原子服务,使得所述若干原子服务向底层物理网络执行与所述待执行意图对应的网络控制任务。
在一些实施例中,在所述执行层:所述检测原子服务包括的原子服务有端口检测、链路检测和流检测,所述检测原子服务用于对网络环境中潜在的威胁进行感知和预测,同时监视和识别网络中的关键功能和组件是否处于被攻击状态;所述抵抗原子服务包括的原子服务有端口禁用、流量限速和节点扩容,所述抵抗原子服务用于在所述被攻击状态的情况下维持网络业务的运行;所述恢复原子服务包括的原子服务有映射调整、节点重启和快照恢复,所述恢复原子服务用于恢复因所述被攻击状态导致的中断业务;所述演进原子服务包括的原子服务有样本提取、效果评估和模型训练,所述演进原子服务用于从历史攻击事件中提取攻击行为特征,利用所述攻击行为特征优化防御措施并调整响应策略;其中,每个原子服务均采用容器化的组件封装方式,且包含完整的通信规范。
具体地,意图是用于描述智能体为达到某个网络控制目标所做出的承诺,是智能体需要立即执行的动作。意图的执行是通过原子调度引擎加载一系列韧性原子服务来实现的。原子调度引擎结合信念库存储的网络环境信息,对行为选择模块输出的韧性网络原子服务进行动态的添加、删除,调整并行或串行的执行顺序,以实现智能体对网络的韧性控制。
具体地,韧性原子服务是根据网络韧性的目标,将韧性的网络控制能力分解为检测、抵抗、恢复、演进四大核心功能,每个韧性原子服务采用容器化的组件封装方式,且包含一整套的通信规范。其中,检测原子服务可以对网络中潜在的威胁进行感知和预测,监视和识别网络的关键功能或组件是否处于被攻击状态,如端口检测、链路检测、流检测等;抵抗原子服务可以在网络遭受攻击的情况下,维持业务运行而不会导致性能下降或功能丧失,如端口禁用、流量限速、节点扩容等;恢复原子服务可以在发生攻击的过程中或遭受攻击之后,恢复网络业务的正常运行,如映射调整、节点重启、快照恢复等;演进原子服务可以从历史攻击事件中学习攻击行为特征,优化防御措施或调整响应策略,如样本提取、效果评估、模型训练等,以应对复杂多变的网络威胁。
在一些实施例中,所述网络控制器还包括通信模块,所述通信模块用于构建所述网络控制器内部的各个模块之间的通信传输,以及所述网络控制器与其他外部的智能体之间的协同控制;其中所述协同控制包括:将来自所述智能体的外部环境信息反馈到所述事件感知模块,由所述信念更新模块基于所述外部环境信息更新所述信念库,以影响后续的行动和决策。
具体地,通信模块用于智能体内部各模块间以及多智能体之间的信息交换,如传递消息、协同控制等。通信模块由消息发送、消息接收、消息处理等子模块组成。收集到的其他智能体的信息被反馈到事件感知模块,用于不断更新信念库,使后续的决策和行动更加正确有效。例如,在DDoS检测防御场景中,多个智能体的相互通信可以共享威胁信息,实现高效、精准的联合防御。
本发明第二方面公开了一种面向网络控制的韧性原子服务框架构建系统。所述系统被配置为,在网络控制器中建立感知层、决策层和执行层;所述感知层包括事件感知模块和信念更新模块;所述决策层包括匹配选择模块、意图筛选模块和行为选择模块;所述执行层包括原子调度引擎和四类韧性网络原子服务;所述四类韧性网络原子服务为检测原子服务、抵抗原子服务、恢复原子服务和演进原子服务。
在所述感知层:所述事件感知模块实时接收所述网络控制器采集的实时网络环境信息;所述信念更新模块基于所述实时网络环境信息更新信念库,其中所述信念库中存储已知网络环境信息;在所述决策层:所述匹配选择模块根据更新的网络环境信息,从任务列表中通过匹配获取若干候选任务,其中所述任务列表中存储有各个网络组件待完成的网络控制任务;所述意图筛选模块从所述若干候选任务中提取出最优任务作为待执行意图,并从配置策略库中读取与所述待执行意图对应的配置参数,其中所述配置策略库中存储有所述各个网络组件为完成相应的网络控制任务所需的配置参数;所述行为选择模块从所述四类韧性网络原子服务中选择与所述待执行意图对应的若干原子服务;在所述执行层:所述原子调度引擎基于所述更新的网络环境信息加载与所述待执行意图对应的所述若干原子服务,使得所述若干原子服务向底层物理网络执行与所述待执行意图对应的网络控制任务。
根据本发明第二方面的系统,在所述感知层:所述网络控制器采集的所述实时网络环境信息包括网络设备状态信息和网络运转状态信息,所述网络运转状态信息包括网络流量、链路状态和网络带宽;所述信念更新模块比对所述实时网络环境信息和所述已知网络环境信息,二者存在差异时,以所述实时网络环境信息替换所述已知网络环境信息。
根据本发明第二方面的系统,在所述执行层:所述检测原子服务包括的原子服务有端口检测、链路检测和流检测,所述检测原子服务用于对网络环境中潜在的威胁进行感知和预测,同时监视和识别网络中的关键功能和组件是否处于被攻击状态;所述抵抗原子服务包括的原子服务有端口禁用、流量限速和节点扩容,所述抵抗原子服务用于在所述被攻击状态的情况下维持网络业务的运行;所述恢复原子服务包括的原子服务有映射调整、节点重启和快照恢复,所述恢复原子服务用于恢复因所述被攻击状态导致的中断业务;所述演进原子服务包括的原子服务有样本提取、效果评估和模型训练,所述演进原子服务用于从历史攻击事件中提取攻击行为特征,利用所述攻击行为特征优化防御措施并调整响应策略;其中,每个原子服务均采用容器化的组件封装方式,且包含完整的通信规范。
根据本发明第二方面的系统,在所述网络控制器中建立通信模块,所述通信模块用于构建所述网络控制器内部的各个模块之间的通信传输,以及所述网络控制器与其他外部的智能体之间的协同控制;其中所述协同控制包括:将来自所述智能体的外部环境信息反馈到所述事件感知模块,由所述信念更新模块基于所述外部环境信息更新所述信念库,以影响后续的行动和决策。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种面向网络控制的韧性原子服务框架构建方法中的步骤。
图2为根据本发明实施例的一种电子设备的结构图,如图2所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图2中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种面向网络控制的韧性原子服务框架构建方法中的步骤。
综上,本发明提供的技术方案能够实现网络控制的韧性核心能力,确保网络控制系统遭受恶意攻击时可以自主检测、抵抗、恢复和演进,保障网络控制系统的正常运转,确保韧性控制服务具有易维护、灵活扩展复用、支持技术异构、高弹性可靠的特性,保障网络韧性控制可持续集成和发展。
具体地,本发明针对网络控制平面提出了基于智能体的网络韧性原子服务构建框架。模型将网络控制过程分解为感知、决策、执行,形成全流程的闭环控制,实现了网络控制行为的自动推理和生成。同时,本发明充分吸收网络韧性目标的理念,提出了四类韧性原子服务,将网络控制要素封装为完整的服务集合,降低了网络控制架构的高耦合性,易于架构升级、迁移和复用,也为韧性服务间的编排和动态运转提供了基础。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种面向网络控制的韧性原子服务框架构建方法,包括:
在网络控制器中建立感知层、决策层和执行层;所述感知层包括事件感知模块和信念更新模块;所述决策层包括匹配选择模块、意图筛选模块和行为选择模块;所述执行层包括原子调度引擎和四类韧性网络原子服务;所述四类韧性网络原子服务为检测原子服务、抵抗原子服务、恢复原子服务和演进原子服务;其中:
在所述感知层:
所述事件感知模块实时接收所述网络控制器采集的实时网络环境信息;
所述信念更新模块基于所述实时网络环境信息更新信念库,其中所述信念库中存储已知网络环境信息;
在所述决策层:
所述匹配选择模块根据更新的网络环境信息,从任务列表中通过匹配获取若干候选任务,其中所述任务列表中存储有各个网络组件待完成的网络控制任务;
所述意图筛选模块从所述若干候选任务中提取出最优任务作为待执行意图,并从配置策略库中读取与所述待执行意图对应的配置参数,其中所述配置策略库中存储有所述各个网络组件为完成相应的网络控制任务所需的配置参数;
所述行为选择模块从所述四类韧性网络原子服务中选择与所述待执行意图对应的若干原子服务;
在所述执行层:
所述原子调度引擎基于所述更新的网络环境信息加载与所述待执行意图对应的所述若干原子服务,使得所述若干原子服务向底层物理网络执行与所述待执行意图对应的网络控制任务。
2.根据权利要求1所述的一种面向网络控制的韧性原子服务框架构建方法,其特征在于,在所述感知层:
所述网络控制器采集的所述实时网络环境信息包括网络设备状态信息和网络运转状态信息,所述网络运转状态信息包括网络流量、链路状态和网络带宽;
所述信念更新模块比对所述实时网络环境信息和所述已知网络环境信息,二者存在差异时,以所述实时网络环境信息替换所述已知网络环境信息。
3.根据权利要求2所述的一种面向网络控制的韧性原子服务框架构建方法,其特征在于,在所述执行层:
所述检测原子服务包括的原子服务有端口检测、链路检测和流检测,所述检测原子服务用于对网络环境中潜在的威胁进行感知和预测,同时监视和识别网络中的关键功能和组件是否处于被攻击状态;
所述抵抗原子服务包括的原子服务有端口禁用、流量限速和节点扩容,所述抵抗原子服务用于在所述被攻击状态的情况下维持网络业务的运行;
所述恢复原子服务包括的原子服务有映射调整、节点重启和快照恢复,所述恢复原子服务用于恢复因所述被攻击状态导致的中断业务;
所述演进原子服务包括的原子服务有样本提取、效果评估和模型训练,所述演进原子服务用于从历史攻击事件中提取攻击行为特征,利用所述攻击行为特征优化防御措施并调整响应策略;
其中,每个原子服务均采用容器化的组件封装方式,且包含完整的通信规范。
4.根据权利要求3所述的一种面向网络控制的韧性原子服务框架构建方法,其特征在于,所述网络控制器还包括通信模块,所述通信模块用于构建所述网络控制器内部的各个模块之间的通信传输,以及所述网络控制器与其他外部的智能体之间的协同控制;其中所述协同控制包括:将来自所述智能体的外部环境信息反馈到所述事件感知模块,由所述信念更新模块基于所述外部环境信息更新所述信念库,以影响后续的行动和决策。
5.一种面向网络控制的韧性原子服务框架构建系统,所述系统被配置为,在网络控制器中建立感知层、决策层和执行层;所述感知层包括事件感知模块和信念更新模块;所述决策层包括匹配选择模块、意图筛选模块和行为选择模块;所述执行层包括原子调度引擎和四类韧性网络原子服务;所述四类韧性网络原子服务为检测原子服务、抵抗原子服务、恢复原子服务和演进原子服务;其中:
在所述感知层:
所述事件感知模块实时接收所述网络控制器采集的实时网络环境信息;
所述信念更新模块基于所述实时网络环境信息更新信念库,其中所述信念库中存储已知网络环境信息;
在所述决策层:
所述匹配选择模块根据更新的网络环境信息,从任务列表中通过匹配获取若干候选任务,其中所述任务列表中存储有各个网络组件待完成的网络控制任务;
所述意图筛选模块从所述若干候选任务中提取出最优任务作为待执行意图,并从配置策略库中读取与所述待执行意图对应的配置参数,其中所述配置策略库中存储有所述各个网络组件为完成相应的网络控制任务所需的配置参数;
所述行为选择模块从所述四类韧性网络原子服务中选择与所述待执行意图对应的若干原子服务;
在所述执行层:
所述原子调度引擎基于所述更新的网络环境信息加载与所述待执行意图对应的所述若干原子服务,使得所述若干原子服务向底层物理网络执行与所述待执行意图对应的网络控制任务。
6.根据权利要求5所述的一种面向网络控制的韧性原子服务框架构建系统,其特征在于,在所述感知层:
所述网络控制器采集的所述实时网络环境信息包括网络设备状态信息和网络运转状态信息,所述网络运转状态信息包括网络流量、链路状态和网络带宽;
所述信念更新模块比对所述实时网络环境信息和所述已知网络环境信息,二者存在差异时,以所述实时网络环境信息替换所述已知网络环境信息。
7.根据权利要求6所述的一种面向网络控制的韧性原子服务框架构建系统,其特征在于,在所述执行层:
所述检测原子服务包括的原子服务有端口检测、链路检测和流检测,所述检测原子服务用于对网络环境中潜在的威胁进行感知和预测,同时监视和识别网络中的关键功能和组件是否处于被攻击状态;
所述抵抗原子服务包括的原子服务有端口禁用、流量限速和节点扩容,所述抵抗原子服务用于在所述被攻击状态的情况下维持网络业务的运行;
所述恢复原子服务包括的原子服务有映射调整、节点重启和快照恢复,所述恢复原子服务用于恢复因所述被攻击状态导致的中断业务;
所述演进原子服务包括的原子服务有样本提取、效果评估和模型训练,所述演进原子服务用于从历史攻击事件中提取攻击行为特征,利用所述攻击行为特征优化防御措施并调整响应策略;
其中,每个原子服务均采用容器化的组件封装方式,且包含完整的通信规范。
8.根据权利要求7所述的一种面向网络控制的韧性原子服务框架构建系统,其特征在于,在所述网络控制器中建立通信模块,所述通信模块用于构建所述网络控制器内部的各个模块之间的通信传输,以及所述网络控制器与其他外部的智能体之间的协同控制;其中所述协同控制包括:将来自所述智能体的外部环境信息反馈到所述事件感知模块,由所述信念更新模块基于所述外部环境信息更新所述信念库,以影响后续的行动和决策。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1-4任一项所述的一种面向网络控制的韧性原子服务框架构建方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1-4任一项所述的一种面向网络控制的韧性原子服务框架构建方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211341713.5A CN115412369B (zh) | 2022-10-31 | 2022-10-31 | 一种面向网络控制的韧性原子服务框架构建方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211341713.5A CN115412369B (zh) | 2022-10-31 | 2022-10-31 | 一种面向网络控制的韧性原子服务框架构建方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115412369A true CN115412369A (zh) | 2022-11-29 |
| CN115412369B CN115412369B (zh) | 2022-12-27 |
Family
ID=84169068
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211341713.5A Active CN115412369B (zh) | 2022-10-31 | 2022-10-31 | 一种面向网络控制的韧性原子服务框架构建方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115412369B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140245443A1 (en) * | 2013-02-27 | 2014-08-28 | Sayan Chakraborty | Cyber Defense Systems And Methods |
| CN111756687A (zh) * | 2020-05-15 | 2020-10-09 | 国电南瑞科技股份有限公司 | 一种应对网络攻击的防御措施配置方法及系统 |
| US20210382773A1 (en) * | 2018-10-03 | 2021-12-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and Apparatus for Secure and Verifiable Composite Service Execution and Fault Management on Blockchain |
| CN114167760A (zh) * | 2021-10-23 | 2022-03-11 | 西安电子科技大学 | 一种意图驱动网络管理系统及方法 |
| CN114785548A (zh) * | 2022-03-23 | 2022-07-22 | 中国人民解放军战略支援部队信息工程大学 | 基于加权自适应集成学习的虚拟流量异常检测方法、系统及流量智能监测平台 |
-
2022
- 2022-10-31 CN CN202211341713.5A patent/CN115412369B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140245443A1 (en) * | 2013-02-27 | 2014-08-28 | Sayan Chakraborty | Cyber Defense Systems And Methods |
| US20210382773A1 (en) * | 2018-10-03 | 2021-12-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and Apparatus for Secure and Verifiable Composite Service Execution and Fault Management on Blockchain |
| CN111756687A (zh) * | 2020-05-15 | 2020-10-09 | 国电南瑞科技股份有限公司 | 一种应对网络攻击的防御措施配置方法及系统 |
| CN114167760A (zh) * | 2021-10-23 | 2022-03-11 | 西安电子科技大学 | 一种意图驱动网络管理系统及方法 |
| CN114785548A (zh) * | 2022-03-23 | 2022-07-22 | 中国人民解放军战略支援部队信息工程大学 | 基于加权自适应集成学习的虚拟流量异常检测方法、系统及流量智能监测平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115412369B (zh) | 2022-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10812504B2 (en) | Systems and methods for cyber intrusion detection and prevention | |
| Roy et al. | Scalable optimal countermeasure selection using implicit enumeration on attack countermeasure trees | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| Maeda et al. | Automating post-exploitation with deep reinforcement learning | |
| RU2477929C2 (ru) | Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей | |
| Chen et al. | A game theoretical framework on intrusion detection in heterogeneous networks | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| US20200184847A1 (en) | A system and method for on-premise cyber training | |
| CN104303538A (zh) | 使用签名高速缓冲存储器来最小化行为分析的时延 | |
| CN109981405B (zh) | 节点管理方法、装置及计算机可读存储介质 | |
| Bashendy et al. | Intrusion response systems for cyber-physical systems: A comprehensive survey | |
| CN112528296B (zh) | 漏洞检测方法、装置和存储介质及电子设备 | |
| CN112769797A (zh) | 一种闭源电力工控系统的安全防御系统及防御方法 | |
| CN108280346A (zh) | 一种应用防护监控方法、装置以及系统 | |
| Zakaria et al. | A review of dynamic and intelligent honeypots | |
| Appiah-Kubi et al. | Decentralized intrusion prevention (DIP) against co-ordinated cyberattacks on distribution automation systems | |
| Böck et al. | Autonomously detecting sensors in fully distributed botnets | |
| CN115102166A (zh) | 一种基于博弈论的有源配电网动态防御性能优化方法 | |
| Yadav et al. | SmartPatch: A patch prioritization framework | |
| CN112398857B (zh) | 防火墙测试方法、装置、计算机设备和存储介质 | |
| Alem et al. | A novel bi-anomaly-based intrusion detection system approach for industry 4.0 | |
| Enoch et al. | An integrated security hardening optimization for dynamic networks using security and availability modeling with multi-objective algorithm | |
| Ravishankar et al. | Time dependent network resource optimization in cyber–physical systems using game theory | |
| CN115412369B (zh) | 一种面向网络控制的韧性原子服务框架构建方法与系统 | |
| Liu et al. | Integrated proactive defense for software defined Internet of Things under multi-target attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |