CN116132989B - 一种工业互联网安全态势感知系统及方法 - Google Patents

Abstract

本发明公开一种工业互联网安全态势感知系统及方法，涉及无线通信网络技术领域，解决的问题是网络安全监测。其中安全态势感知系统包括流数据监测模块、态势收集模块、安全感知模块、信息处理模块、安全防护模块和逆向溯源模块，通过设置逆向溯源模块采用主动式和反应式追踪混合算法将网络攻击发起者进行反向跟踪和基于AMS的二维门限重构算法对攻击路径进行重构，通过设置安全防护模块采用RSA和AES混合加密算法将输出数据进行加密传输和攻击行为的自动防御机制，防止了重要信息和用户隐私的泄露，本发明大大提高了无线网络监测能力，提高了工业互联网安全应用能力。

Description

一种工业互联网安全态势感知系统及方法

技术领域

本发明涉及无线通信网络技术领域，具体是一种工业互联网安全态势感知系统及方法。

背景技术

近年来，无线热点、无线热区和无线城市的发展势头十分强劲,而且正从沿海地区向内地发展。基于无线网WIFI、Mesh技术的无线宽带网络具有高宽带、低成本、灵活方便的优势,不仅是在社会公共领域,在局域网领域的应用，如无线数字小区、无线监控、无线分机等,应用范围比较广。无线通信网络应用过程中，由于无需布线就可以实现各种通信设备互联与交互，在无线通信网络应用应用过程中，很容易出现多种网络潜在威胁数据信息。比如，目前无线网络安全主要存在六大问题，最主要的包括：无线网络路由器dns遭恶意篡改导致上网时广告弹窗或在购物时进入钓鱼网站；在公共场所使用免费无线网络时进入黑客设置的陷阱或被黑客监听，从而使上网记录、账号密码等关键信息被窃取；用户设置无线网络密码过于简单，黑客可瞬间暴力破解，并进行蹭网或盗取信息等。除此以外，黑客还经常采用共享文件和信号干扰等攻击方式。

因此，无线通信网络安全问题已经成为用户安全隐患的重要因素，现有技术仅能对无线通信网络攻击发起者的攻势进行防护，但随着攻击技术水平的提高，再多的防御体系都会变得脆弱不堪，甚至在其已经攻击、窃取信息已经完成的情况下，用户都毫不知情，这为用户信息保护及机密档案的数字化保存造成了很大影响。这就需要发明一种工业互联网安全态势感知系统及方法。

发明内容

针对上述技术的不足，本发明公开一种工业互联网安全态势感知系统及方法，通过设置逆向溯源模块采用主动式和反应式追踪混合算法将网络攻击发起者进行反向跟踪和基于AMS的二维门限重构算法对攻击路径进行重构，通过设置安全防护模块采用RSA和AES混合加密算法将输出数据进行加密传输和攻击行为的自动防御机制，防止了重要信息和用户隐私的泄露，本发明大大提高了无线网络监测能力，提高了工业互联网安全应用能力。

为了实现上述技术效果，本发明采用以下技术方案：

一种工业互联网安全态势感知系统，包括流数据监测模块、态势收集模块、安全感知模块、信息处理模块、安全防护模块和逆向溯源模块；

流数据监测模块用于提取流数据的特征信息和检测流数据异常；

态势收集模块用于收集各类安全数据，在特定网络视图中根据资源间的关系构建评估模型对各类网络态势进行评估；

信息处理模块用于过滤和精简采集的安全信息并进行多元融合；

安全感知模块用于将采集的安全数据构建感知模型，根据感知模型对输入数据进行识别，对识别结果进行预警；

安全防护模块用于根据当前的网络安全状况进行安全防护；

逆向溯源模块用于对网络攻击进行反击溯源，显示攻击者的真实地址及重构攻击路径；

所述流数据监测模块的输出端所述态势收集模块的输入端连接，所述态势收集模块的输出端与所述信息处理模块的输入端连接，所述信息处理模块的输出端连接所述安全感知模块的输入端，所述安全感知模块的输出端连接所述安全防护模块的输入端，所述安全防护模块的输出端与所述逆向溯源模块的输入端连接。

作为本发明进一步的实施例，所述流数据监测模块包括流数据提取单元和流数据检测单元，所述流数据提取单元用于提取主干网和各网络中流数据的特征信息，所述流数据检测单元用于根据流数据特征信息对主干网络流数据进行检测，判断网络安全事件的发生和类别，所述流数据提取单元连接流数据检测单元。其中流数据检测单元通过流数据信息约束函数检测网络信息流数据。

作为本发明进一步的实施例，所述态势收集模块包括态势要素提取单元和态势评估单元，所述态势要素提取单元用于收集全网各安全数据源产生的各类安全数据，所述态势评估单元用于在特定网络视图中根据所拥有的网络资源及资源间的关系构建评估模型，并对网络态势进行评估，所述态势要素提取单元连接所述态势评估单元。其中态势评估单元包括数据预处理模块、网络训练模块、网络编码模块、网络协议设置模块、特征识别模块、ELMAN网络模块和诊断输出模块，其中所述数据预处理模块的输出端与网络训练模块的输入端连接，所述网络训练模块的输出端与ELMAN网络模块的输入端连接，网络编码模块的输出端与网络协议设置模块的输入端连接，网络协议设置模块的输出端与特征识别模块的输入端连接，所述特征识别模块的输出端与ELMAN网络模块的输入端连接，所述ELMAN网络模块的输出端与诊断输出模块的输入端连接。

作为本发明进一步的实施例，所述流数据信息约束函数为：

在公式(1)中，E(ω)表示流数据信息约束函数，N表示网络数据信息节点，D为网络传输线路，a表示流数据传输过程中的加速度，a(t)表示加速度函数，a(t+ω)表示在网络数据信息流为ω时流数据信息传输时间t的加速度函数，表示流数据信息在不同的网络节点传输过程中的方差，β为流数据信息传输过程中的频率，K表示网络数据传输过程中外界信息影响因子，e^-β|ω|表示网络数据流信息传输过程中频率函数，假设在某一节点数据流最小值为L_min，最大值为L_max，则检测到的数据信息范围为[L_min,L_max]，网络数据信息介于区间[L_min,L_max]为检测到网络信息传输信息流的状态；/>表示流数据信息约束函数平衡参数。

作为本发明进一步的实施例，所述安全感知模块包括数据采集单元、数据处理单元和数据预警单元，所述数据采集单元用于获取网络安全数据，所述数据处理单元用于构建感知模型并获取输入安全数据的识别结果，所述数据预警单元用于根据识别结果与预设预警等级的关系进行网络安全预警。

作为本发明进一步的实施例，所述安全防护模块包括访问控制单元和数据加密单元，所述访问控制单元用于授权有权用户进行访问，所述数据加密单元用对明文密文进行加密解密。

作为本发明进一步的实施例，所述逆向溯源模块包括路径重构单元、主动式追踪单元和反应式追踪单元，所述路径重构单元用于将返回的溯源结果重构并得到完整的攻击路线图，所述主动式追踪单元用于在数据包传输过程中记录追踪所需的信息，识别攻击源并追踪攻击发起者，所述反应式追踪单元用于检测到攻击并利用各种技术从攻击目标反向追踪到攻击源。

一种工业互联网安全态势感知方法，应用于所述的工业互联网安全态势感知系统，包括以下步骤：

步骤1、利用流数据监测模块提取数据流的特征信息，检测数据流的异常，然后采用态势收集模块收集全网安全信息构建评估模型用于评估各类网络态势；

步骤2、采用信息处理模块过滤、精简和融合各类安全信息，利用安全感知模块将处理后的安全信息构建感知模型，对各类输入数据进行识别预警；

步骤3、通过安全防护模块严格控制访问程序，采用RSA和AES混合加密算法对输出数据进行加密，将异常流数据输送到逆向溯源模块并对当前预警信息进行有效防御；

步骤4、通过逆向溯源模块追踪网络攻击发起者，采用混合追踪算法快速识别网络攻击者的真实网络地址和基于AMS的二维门限重构算法对攻击路径进行重构，所述混合追踪算法包括主动式和反应式追踪算法。

作为本发明进一步的实施例，所述RSA和AES混合加密算法加密和解密过程为：

加密过程：生成随机AES秘钥K₁，使用RSA公钥进行加密得到：

式(2)中，K₁为AES秘钥，EK₁为RSA加密过程，mod为取模,n为质数之积，p,q为很大的质数，e为公钥；

使用AES算法将明文M加密得到：C＝AES(K₁，M) (3)

式(3)中，C为加密结果，K₁为AES秘钥，M为明文；

解密过程：接收方使用RSA私钥解密EK₁得到原始的AES秘钥，解密函数为：

式(4)中，K₁为AES秘钥，EK₁为RSA解密过程，mod为取模,n为质数之积，p,q为很大的质数，d为私钥；

使用AES算法将收到的密文C解密得到明文,解密算法为：

M＝AES(K₁，C) (5)

式(5)中，K₁为接收方获得的原始AES秘钥，M为最终解密出来的明文。

其中在网络数据信息加密和解密过程中，通过局部二值模式LBP算法进行网络数据信息特征点的收集；

在原始的LBP中采用的方法中，在其局部二值进行编码流程之后数据会发生变化，存在着一定的缺陷。因此针对与这种算法选择使用圆形LBP算子，

计算函数表达式为：

式(6)中，表示局部二值模式LBP算法输出函数，/>表示角度，r表示半径，i表示网络数据节点序数，k表示网络数据故障特征点，/>表示角度/>下的变量参数，g_s表示s中的变量参数值，其中网络数据故障特征点函数表示为：

公式(7)中，k(X)表示网络数据故障特征点函数，X表示网络数据故障特征点函数中的参数信息。

作为本发明进一步的实施例，所述主动式追踪算法包括随机包标记法HPPM、固定包标记法DPM、路由记录法和ICMP消息法，所述HPPM采用了中散列消息鉴别码HMAC、边标记压缩技术和分片存储技术，所述边标记压缩技术遵循规则：

(aO+b)O+b＝a (8)

式(8)中，a,b分别为攻击路径上的相邻IP地址，

所述分片存储技术将原本不属于同一数据包的分片组合产生错误边路径，所述散列消息鉴别码HMAC遵循规则：

HMAC(M，K)＝H(KO+opad，H(KO+ipad，M)) (9)

式(9)中，其中，ipad为字0x36重复B次，opad为字0x5C重复B次，M为待加密的消息字符串，B为消息字符串的字长；

所述固定包标记法DPM为第一个入口边界路由器具有标记功能和入口边界路由器对每一个所经过的IP包都进行标记，所述路由记录法为基于哈希方法的包日志的IP追踪,路由器计算和存储每个转发的包的信息摘要，所述ICMP消息法为从收到的攻击包中提取出共有的特性,然后通知网络管理员。

作为本发明进一步的实施例，所述反应式追踪算法包括输入测试、入口过滤和Ipsec鉴别，所述输入测试为联系多个ISP并在多个ISP之间协调进行自动的追踪，所述入口过滤为分析每个包的源地址,并且把非法的源地址和合法的源地址区别开，所述Ipsec鉴别为采用现有的Ipsec和IKE协议,在管理域内追踪时无需实现新的协议而在域之间追踪时则需要有专用的协作协议。

ELMAN网络模块输出的网络异常用于获取网络安全数据变化函数为：

式(10)中，Y表示变化函数，F(t)表示异常信息在网络信息传输中，经历时间t遍历各个节点的异常程度向量，F(0)表示初始化状态下异常程度向量，w_ij表示网络节点之间的邻接矩阵，α表示传输中异常数据信息扩散系数，i和j表示网络节点编号和网络个数，n表示所有节点数，w_ii在i状态下网络节点的邻接矩阵，w_ij在j状态下网络节点的邻接矩阵；

其中异常数据信息的时间序列异常函数表示为：

式(11)中，Q_i表示时间序列的分位数，IQR表示序列的分位距离，x_i表示时间序列异常函数。

其中异常信息拟合分数函数表示：

fitscore_x＝[1-Norm[cos(N,N_s)]]+Norm[D(N,N_x)] (12)

式(12)中，fitscore_x表示异常信息拟合分数函数，Norm表示归一化函数，N表示各个网络故障节点的异常程度，N_s表示异常信息传输后，在工业互联网上节点的异常程度，N_x表示工业互联网传输中的异常程度，通过公式(12)表示出网络数据信息故障节点的拟合程度，当fitscore_x的值越低，x_i表示故障时间序列的故障点的概率就越高。

与现有技术相比，本发明有益的积极效果是：

本发明通过设置逆向溯源模块采用主动式和反应式追踪混合算法将网络攻击发起者进行反向跟踪和基于AMS的二维门限重构算法对攻击路径进行重构，通过设置安全防护模块采用RSA和AES混合加密算法将输出数据进行加密传输和攻击行为的自动防御机制，防止了重要信息和用户隐私的泄露，大大提高了无线网络监测能力，提高了工业互联网安全应用能力。本发明还采用流数据信息约束函数检测网络信息流数据，态势评估单元包括数据预处理模块、网络训练模块、网络编码模块、网络协议设置模块、特征识别模块、ELMAN网络模块和诊断输出模块在网络数据信息加密和解密过程中，通过局部二值模式LBP算法进行网络数据信息特征点的收集；进而提高网络数据安全应用和评估能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图，

图1为本发明总体架构示意图；

图2为本发明采用的方法步骤示意图；

图3为本发明中态势评估单元的结构示意图。

具体实施方式

下面将结合本文实施例中的附图,对本文实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本文一部分实施例,而不是全部的实施例。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外，在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。

如图1-图3所示，一种工业互联网安全态势感知系统，包括流数据监测模块、态势收集模块、安全感知模块、信息处理模块、安全防护模块和逆向溯源模块；

流数据监测模块用于提取流数据的特征信息和检测流数据异常；

态势收集模块用于收集各类安全数据，在特定网络视图中根据资源间的关系构建评估模型对各类网络态势进行评估；

信息处理模块用于过滤和精简采集的安全信息并进行多元融合；

安全感知模块用于将采集的安全数据构建感知模型，根据感知模型对输入数据进行识别，对识别结果进行预警；

安全防护模块用于根据当前的网络安全状况进行安全防护；

逆向溯源模块用于对网络攻击进行反击溯源，显示攻击者的真实地址及重构攻击路径；

所述流数据监测模块的输出端所述态势收集模块的输入端连接，所述态势收集模块的输出端与所述信息处理模块的输入端连接，所述信息处理模块的输出端连接所述安全感知模块的输入端，所述安全感知模块的输出端连接所述安全防护模块的输入端，所述安全防护模块的输出端与所述逆向溯源模块的输入端连接。

进一步地，所述流数据监测模块包括流数据提取单元和流数据检测单元，所述流数据提取单元用于提取主干网和各网络中流数据的特征信息，所述流数据检测单元用于根据流数据特征信息对主干网络流数据进行检测，判断网络安全事件的发生和类别，所述流数据提取单元连接流数据检测单元，其中流数据检测单元通过流数据信息约束函数检测网络信息流数据；

进一步地，所述流数据信息约束函数为：

在公式(1)中，E(ω)表示流数据信息约束函数，N表示网络数据信息节点，D为网络传输线路，a表示流数据传输过程中的加速度，a(t)表示加速度函数，a(t+ω)表示在网络数据信息流为ω时流数据信息传输时间t的加速度函数，表示流数据信息在不同的网络节点传输过程中的方差，β为流数据信息传输过程中的频率，K表示网络数据传输过程中外界信息影响因子，e^-β|ω|表示网络数据流信息传输过程中频率函数，假设在某一节点数据流最小值为L_min，最大值为L_max，则检测到的数据信息范围为[L_min,L_max]，网络数据信息介于区间[L_min,L_max]为检测到网络信息传输信息流的状态；/>表示流数据信息约束函数平衡参数。进一步地，通过上述约束函数能够提高流数据交互过程中的信息约束能力和规范性，进而能够在一定的范围内提高互联网态势感知能力，以在一定的范围内进行流数据信息检测与计算。

所述流数据监测模块的工作过程为：在各主干网络中，所述流数据提取单元通过获取流数据的基本特征信息，并将获取的特征信息进行聚合，作为后续流数据信息的评判标准，所述流数据检测单元依照所述评判标准对网络流数据进行检测和判断此流数据对于整个主干网络可能发生的安全事件类别。

进一步地，所述态势收集模块包括态势要素提取单元和态势评估单元，所述态势要素提取单元用于收集全网各安全数据源产生的各类安全数据，所述态势评估单元用于在特定网络视图中根据所拥有的网络资源及资源间的关系构建评估模型，并对网络态势进行评估，所述态势要素提取单元连接所述态势评估单元，其中态势评估单元包括数据预处理模块、网络训练模块、网络编码模块、网络协议设置模块、特征识别模块、ELMAN网络模块和诊断输出模块，其中所述数据预处理模块的输出端与网络训练模块的输入端连接，所述网络训练模块的输出端与ELMAN网络模块的输入端连接，网络编码模块的输出端与网络协议设置模块的输入端连接，网络协议设置模块的输出端与特征识别模块的输入端连接，所述特征识别模块的输出端与ELMAN网络模块的输入端连接，所述ELMAN网络模块的输出端与诊断输出模块的输入端连接。

所述态势收集模块的工作原理为：对各种网络环境中的数据进行有效的采集，并对其进行简单的数据处理后，将其存入基础数据库；之后对网络安全事件进行关联性分析,从而形成网络安全事件数据库；对系统中需要的指标进行确定,以便根据评估算法来建立评估指标；在网络安全系统中,通过对数据库进行关联性分析，可以形成可用性、安全性与可靠性的基础数据库；通过对态势感知的评估结果进行分析后及时采取有效的影响措施来处理。

进一步地，所述安全感知模块包括数据采集单元、数据处理单元和数据预警单元，所述数据采集单元用于获取网络安全数据，所述数据处理单元用于构建感知模型并获取输入安全数据的识别结果，所述数据预警单元用于根据识别结果与预设预警等级的关系进行网络安全预警，

所述安全感知模块的工作原理为：先将一系列的数据通过处理，赋予一系列随机的权重和偏差值，通过不断测试、不断地惩罚和奖励，机器不断调整权重和偏差值，不断接近所给的结果，最终当机器处理结果在我们所给的允许错误范围之中时，模型建立成功，最终会将不同种类的数据信息加以区分。

进一步地，所述安全防护模块包括访问控制单元和数据加密单元，所述访问控制单元用于授权有权用户进行访问，所述数据加密单元用对明文密文进行加密解密，

所述安全防护模块的工作过程为：网络入侵者在获得目标主机的IP地址范围后，进行网络攻击的第一步常常是先使用扫描工具对目标主机范围进行扫描，在不同的时间段对不同的主机进行判断哪些主机一直在活动，哪些主机是间或性的活动，然后再进一步调查，就能区分出活动主机的大致角色，因为一般主机白天是活动的，夜晚一般是不活动的，而服务器一般是一直工作的。确定目标主机后进而扫描目标主机系统的漏洞，根据漏洞的特点进行有针对性的攻击。而网络管理者可以利用扫描得到的结果及时发现系统存在的漏洞及时采取相应的补救措施，免受入侵者攻击。

进一步地，所述所述逆向溯源模块包括路径重构单元、主动式追踪单元和反应式追踪单元，所述路径重构单元用于将返回的溯源结果重构并得到完整的攻击路线图，所述主动式追踪单元用于在数据包传输过程中记录追踪所需的信息，识别攻击源并追踪攻击发起者，所述反应式追踪单元用于检测到攻击并利用各种技术从攻击目标反向追踪到攻击源，

所述逆向溯源模块的工作原理为：恶意样本溯源分析的前提是针对样本，然后进行对样本做逆向分析、网络行为分析、日志行为分析，挖掘出恶意样本的攻击者或者团队的意图；网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。相关技术提供了定位攻击源和攻击路径，针对性反制或抑制网络攻击，以及网络取证能力，其在网络安全领域具有非常重要的价值。

如图2所示，一种工业互联网安全态势感知方法，应用于工业互联网安全态势感知系统，包括以下步骤：

步骤1、利用流数据监测模块提取数据流的特征信息，检测数据流的异常，然后采用态势收集模块收集全网安全信息构建评估模型用于评估各类网络态势；

步骤2、采用信息处理模块过滤、精简和融合各类安全信息，利用安全感知模块将处理后的安全信息构建感知模型，对各类输入数据进行识别预警；

步骤3、通过安全防护模块严格控制访问程序，采用RSA和AES混合加密算法对输出数据进行加密，将异常流数据输送到逆向溯源模块并对当前预警信息进行有效防御；

步骤4、通过逆向溯源模块追踪网络攻击发起者，采用混合追踪算法快速识别网络攻击者的真实网络地址和基于AMS的二维门限重构算法对攻击路径进行重构，所述混合追踪算法包括主动式和反应式追踪算法。

所述RSA和AES混合加密算法加密和解密过程为：

加密过程：生成随机AES秘钥K₁，使用RSA公钥进行加密得到：

式(2)中，K₁为AES秘钥，EK₁为RSA加密过程，mod为取模,n为质数之积，p,q为很大的质数，e为公钥；

使用AES算法将明文M加密得到C＝AES(K₁，M) (3)

式(3)中，C为加密结果，K₁为AES秘钥，M为明文；

解密过程：接收方使用RSA私钥解密EK₁得到原始的AES秘钥，解密函数为：

式(4)中，K₁为AES秘钥，EK₁为RSA解密过程，mod为取模,n为质数之积，p,q为很大的质数，d为私钥；

使用AES算法将收到的密文C解密得到明文,解密算法为：

M＝AES(K₁，C) (5)

式(5)中，K₁为接收方获得的原始AES秘钥，M为最终解密出来的明文，

其中在网络数据信息加密和解密过程中，通过局部二值模式LBP算法进行网络数据信息特征点的收集；

在原始的LBP中采用的方法中，在其局部二值进行编码流程之后数据会发生变化，存在着一定的缺陷。因此针对与这种算法选择使用圆形LBP算子，

计算函数表达式为：

式(6)中，表示局部二值模式LBP算法输出函数，/>表示角度，r表示半径，i表示网络数据节点序数，k表示网络数据故障特征点，/>表示角度/>下的变量参数，g_s表示s中的变量参数值，其中网络数据故障特征点函数表示为：

公式(7)中，k(X)表示网络数据故障特征点函数，X表示网络数据故障特征点函数中的参数信息。

在具体实施例中，LBP的核心思想是将图像的某块像素和它周边一定范围内的像素进行对比，求得LBP值。原始的LBP算子定义为在3*3的窗口内，以窗口中心像素为阈值，将相邻的8个像素的灰度值与其进行比较，若周围像素值大于中心像素值，则该像素点的位置被标记为1，否则为0。这样，3*3邻域内的8个点经比较可产生8位二进制数(通常转换为十进制数即LBP码，共256种)，即得到该窗口中心像素点的LBP值，并用这个值来反映该区域的纹理信息，本研究方法中，上述方法为LBP算法的变形应用，将收集到的网络数据信息特征点编码，并进行数据信息转换，进而提高多层网络数据信息中的多种应用。

所述RSA和AES混合加密算法的实现过程为：客户端启动，发送请求到服务端，服务端用RSA算法生成一对公钥1和私钥1，将公钥1返回客户端，客户端拿到服务端返回的公钥1后，再用RSA算法生成一对公钥2和私钥2，并将公钥2利用服务端传过来的公钥1加密，加密后传输给服务端。此时服务端收到客户端传输的密文，用私钥1进行解密，因为数据2是用服务端的公钥2加密的，那么，通过解密就可以得到客户端生成的公钥2，然后服务端自己再生成对称密钥key,取名为aeskey，也就是AES，其实也就是相对于配置中的那个16未长度的加密key，生成了这个key以后，用客户端的公钥2进行加密，返回给客户端。因为被公钥2加密的数据，只能被客户端对应的私钥2解密，所以，客户端拿到密文后，用私钥2进行解密操作，解密完，得到对称加密AES的密钥key,最后密钥key进行数据传输加密，至此，整个流程结束。

进一步地，所述主动式追踪算法包括随机包标记法HPPM、固定包标记法DPM、路由记录法和ICMP消息法，所述HPPM采用了中散列消息鉴别码HMAC、边标记压缩技术和分片存储技术，所述边标记压缩技术遵循规则：

(aO+b)O+b＝a (11)

式(11)中，a,b分别为攻击路径上的相邻IP地址；

所述分片存储技术将原本不属于同一数据包的分片组合产生错误边路径，所述散列消息鉴别码HMAC遵循规则：

HMAC(M，K)＝H(KO+opad，H(KO+ipad，M)) (12)

式(12)中，其中，ipad为字0x36重复B次，opad为字0x5C重复B次，M为待加密的消息字符串，B为消息字符串的字长；

所述固定包标记法DPM工作过程为：第一个入口边界路由器具有标记功能和入口边界路由器对每一个所经过的IP包都进行标记，所述路由记录法为基于哈希方法的包日志的IP追踪,路由器计算和存储每个转发的包的信息摘要，所述ICMP消息法为从收到的攻击包中提取出共有的特性,然后通知网络管理员。

所述主动式追踪算法的原理为：在数据包传输过程中记录追踪所需的信息。需要进行追踪时,参考这些记录信息,识别出攻击源。主动式追踪在受害者发现攻击时就可以追踪攻击的发起者,这样可以防止DDoS攻击的进一步加剧,而且它并不要求分布式拒绝服务攻击必须一直持续到回溯处理的结束。

进一步地，所述反应式追踪算法包括输入测试、入口过滤和Ipsec鉴别，所述输入测试为联系多个ISP并在多个ISP之间协调进行自动的追踪，所述入口过滤为分析每个包的源地址,并且把非法的源地址和合法的源地址区别开，所述Ipsec鉴别为采用现有的Ipsec和IKE协议,在管理域内追踪时无需实现新的协议而在域之间追踪时则需要有专用的协作协议，

所述反应式追踪算法的原理为：在检测到攻击之后,利用各种技术从攻击目标反向追踪到攻击源。反应追踪必须在攻击还在实施时完成,否则,一旦攻击停止,反应追踪技术就会失效。反应追踪的关键问题是要开发有效的反向追踪算法和分组匹配技术。

所述基于AMS算法的二维门限重构算法原理为：通过存储每个IP地址的Hash值而不是IP地址本身进一步减小存储空间需求.算法假定目标主机有所有路由器的完整网络图，在边分片重组后,通过比较结果IP地址的Hash值和网络图上路由器的IP地址的Hash值，进行攻击路径重构，重构过程中采用了一个二维门限m_f，d的方案，只有攻击包中m_f，d个包的Hash值和图表中节点u的Hash值匹配时，u才被加入到攻击路径中。

ELMAN网络模块输出的网络异常用于获取网络安全数据变化函数为：

式(13)中，Y表示变化函数，F(t)表示异常信息在网络信息传输中，经历时间t遍历各个节点的异常程度向量，F(0)表示初始化状态下异常程度向量，w_ij表示网络节点之间的邻接矩阵，α表示传输中异常数据信息扩散系数，i和j表示网络节点编号和网络个数，n表示所有节点数，w_ii在i状态下网络节点的邻接矩阵，w_ij在j状态下网络节点的邻接矩阵；

通过公式(2)表示出异常数据信息在网络信息传输过程中信息输入和流出过程，进而通过函数表达输出的方式，将网络中数据信息传输过程中的异常数据信息在遍历不同节点之中的各个节点的异常程度。网络数据信息异常检测模型中考虑到数据链路突变的情况，对发生突变的时间序列进行判别，进一步确定了故障源，通过搜索故障源进而分析工业互联网安全态势感知到的位置信息。

其中异常数据信息的时间序列异常函数表示为：

式(14)中，Q_i表示时间序列的分位数，IQR表示序列的分位距离，x_i表示时间序列异常函数。

公式(3)表示出时间序列的异常情况，故障检测模型将网络数据信息传输过程中节点的局部异常程度进行排序，并与故障网络中相应节点的异常度进行拟合，以提高网络传输过程中异常数据信息检测能力。

其中异常信息拟合分数函数表示：

fitscore_x＝[1-Norm[cos(N,N_s)]]+Norm[D(N,N_x)] (15)

式(15)中，fitscore_x表示异常信息拟合分数函数，Norm表示归一化函数，N表示各个网络故障节点的异常程度，N_s表示异常信息传输后，在工业互联网上节点的异常程度，N_x表示工业互联网传输中的异常程度，通过公式(15)表示出网络数据信息故障节点的拟合程度，当fitscore_x的值越低，x_i表示故障时间序列的故障点的概率就越高。

通过公式(15)，能够检测出工业互联网信息传输过程中不同数据信息节点异常度的拟合后，按照拟合分数进行排序，再对时间序列的质量进行判定，最终得到故障网络中时间序列和组件的故障概率排序，完成故障检测和定位。

虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这些具体实施方式仅是举例说明，本领域的技术人员在不脱离本发明的原理和实质的情况下，可以对上述方法和系统的细节进行各种省略、替换和改变。例如，合并上述方法步骤，从而按照实质相同的方法执行实质相同的功能以实现实质相同的结果则属于本发明的范围。因此，本发明的范围仅由所附权利要求书限定。

Claims (8)

1.一种工业互联网安全态势感知系统，其特征在于：包括流数据监测模块、态势收集模块、安全感知模块、信息处理模块、安全防护模块和逆向溯源模块；流数据监测模块用于提取流数据的特征信息和检测流数据异常；其中流数据监测模块包括流数据提取单元和流数据检测单元，所述流数据提取单元用于提取主干网和各网络中流数据的特征信息，所述流数据检测单元用于根据流数据特征信息对主干网络流数据进行检测，判断网络安全事件的发生和类别，所述流数据提取单元连接流数据检测单元；其中流数据检测单元通过流数据信息约束函数检测网络信息流数据；态势收集模块用于收集各类安全数据，在特定网络视图中根据资源间的关系构建评估模型对各类网络态势进行评估；

信息处理模块用于过滤和精简采集的安全信息并进行多元融合；

安全感知模块用于将采集的安全数据构建感知模型，根据感知模型对输入数据进行识别，对识别结果进行预警；其中所述安全感知模块包括数据采集单元、数据处理单元和数据预警单元，所述数据采集单元用于获取网络安全数据，所述数据处理单元用于构建感知模型并获取输入安全数据的识别结果，所述数据预警单元用于根据识别结果与预设预警等级的关系进行网络安全预警；安全防护模块用于根据当前的网络安全状况进行安全防护；

逆向溯源模块用于对网络攻击进行反击溯源，显示攻击者的真实地址及重构攻击路径；

其中所述流数据监测模块的输出端与所述态势收集模块的输入端连接，所述态势收集模块的输出端与所述信息处理模块的输入端连接，所述信息处理模块的输出端连接所述安全感知模块的输入端，所述安全感知模块的输出端连接所述安全防护模块的输入端，所述安全防护模块的输出端与所述逆向溯源模块的输入端连接；所述流数据信息约束函数为：

在公式(1)中，E(ω)表示流数据信息约束函数，N表示网络数据信息节点，D为网络传输线路，a表示流数据传输过程中的加速度，a(t)表示加速度函数，a(t+ω)表示在网络数据信息流为ω时流数据信息传输时间t的加速度函数，表示流数据信息在不同的网络节点传输过程中的方差，β为流数据信息传输过程中的频率，K表示网络数据传输过程中外界信息影响因子，e^-β|ω|表示网络数据流信息传输过程中频率函数，假设在某一节点数据流最小值为L_min，最大值为L_max，则检测到的数据信息范围为[L_min,L_max]，网络数据信息介于区间[L_min,L_max]为检测到网络信息传输信息流的状态；/>表示流数据信息约束函数平衡参数。

2.根据权利要求1所述的一种工业互联网安全态势感知系统，其特征在于：所述态势收集模块包括态势要素提取单元和态势评估单元，所述态势要素提取单元用于收集全网各安全数据源产生的各类安全数据，所述态势评估单元用于在特定网络视图中根据所拥有的网络资源及资源间的关系构建评估模型，并对网络态势进行评估，所述态势要素提取单元连接所述态势评估单元，其中态势评估单元包括数据预处理模块、网络训练模块、网络编码模块、网络协议设置模块、特征识别模块、ELMAN网络模块和诊断输出模块，其中所述数据预处理模块的输出端与网络训练模块的输入端连接，所述网络训练模块的输出端与ELMAN网络模块的输入端连接，网络编码模块的输出端与网络协议设置模块的输入端连接，网络协议设置模块的输出端与特征识别模块的输入端连接，所述特征识别模块的输出端与ELMAN网络模块的输入端连接，所述ELMAN网络模块的输出端与诊断输出模块的输入端连接。

3.根据权利要求2所述的一种工业互联网安全态势感知系统，其特征在于：ELMAN网络模块输出的网络异常用于获取网络安全数据变化函数为：

式(2)中，Y表示变化函数，F(t)表示异常信息在网络信息传输中，经历时间t遍历各个节点的异常程度向量，F(0)表示初始化状态下异常程度向量，w_ij表示网络节点之间的邻接矩阵，α表示传输中异常数据信息扩散系数，i和j表示网络节点编号和网络个数，n表示所有节点数，w_ii在i状态下网络节点的邻接矩阵，w_jj表示在j状态下网络节点的邻接矩阵；

其中异常数据信息的时间序列异常函数表示为：

式(3)中，Q_i表示时间序列的分位数，IQR表示序列的分位距离，x_i表示时间序列异常函数；其中异常信息拟合分数函数表示：

fitscore_x＝[1-Norm[cos(N,N_s)]]+Norm[D(N,N_x)] (4)

式(4)中，fitscore_x表示异常信息拟合分数函数，Norm表示归一化函数，N表示各个网络故障节点的异常程度，N_s表示异常信息传输后，在工业互联网上节点的异常程度，N_x表示工业互联网传输中的异常程度，通过公式(4)表示出网络数据信息故障节点的拟合程度，当fitscore_x的值越低，x_i表示故障时间序列的故障点的概率就越高；

通过公式(4)，能够检测出工业互联网信息传输过程中不同数据信息节点异常度的拟合后，按照拟合分数进行排序，再对时间序列的质量进行判定，最终得到故障网络中时间序列和组件的故障概率排序，完成故障检测和定位。

4.根据权利要求1所述的一种工业互联网安全态势感知系统，其特征在于：所述安全防护模块包括访问控制单元和数据加密单元，所述访问控制单元用于授权有权用户进行访问，所述数据加密单元用对明文密文进行加密解密。

5.根据权利要求1所述的一种工业互联网安全态势感知系统，其特征在于：所述逆向溯源模块包括路径重构单元、主动式追踪单元和反应式追踪单元，所述路径重构单元用于将返回的溯源结果重构并得到完整的攻击路线图，所述主动式追踪单元用于在数据包传输过程中记录追踪所需的信息，识别攻击源并追踪攻击发起者，所述反应式追踪单元用于检测到攻击并利用各种技术从攻击目标反向追踪到攻击源。

6.一种工业互联网安全态势感知方法，其特征在于：应用于权利要求1-5中任意一项权利要求所述的一种工业互联网安全态势感知系统，所述方法包括以下步骤：

步骤1、利用流数据监测模块提取数据流的特征信息，检测数据流的异常，然后采用态势收集模块收集全网安全信息构建评估模型用于评估各类网络态势；

步骤2、采用信息处理模块过滤、精简和融合各类安全信息，利用安全感知模块将处理后的安全信息构建感知模型，对各类输入数据进行识别预警；

步骤3、通过安全防护模块严格控制访问程序，采用RSA和AES混合加密算法对输出数据进行加密，将异常流数据输送到逆向溯源模块并对当前预警信息进行有效防御；

步骤4、通过逆向溯源模块追踪网络攻击发起者，采用混合追踪算法快速识别网络攻击者的真实网络地址和基于AMS的二维门限重构算法对攻击路径进行重构，所述混合追踪算法包括主动式追踪算法和反应式追踪算法，其中所述反应式追踪算法包括输入测试、入口过滤和Ipsec鉴别，所述输入测试为联系多个ISP并在多个ISP之间协调进行自动的追踪，所述入口过滤为分析每个包的源地址,并且把非法的源地址和合法的源地址区别开，所述Ipsec鉴别为采用现有的Ipsec和IKE协议,在管理域内追踪时无需实现新的协议而在域之间追踪时则需要有专用的协作协议。

7.根据权利要求6所述的一种工业互联网安全态势感知方法，其特征在于：所述RSA和AES混合加密算法加密和解密过程为：

加密过程为：对输入的数据信息生成随机AES秘钥K₁，使用RSA公钥进行加密得到：

式(5)中，K₁为AES秘钥，EK₁为RSA加密过程，mod为取模,n为质数之积，p,q为质数，e为公钥；

使用AES算法将明文M加密得到C＝AES(K₁,M) (6)

式(6)中，C为加密结果，K₁为AES秘钥，M为明文；

解密过程：接收方使用RSA私钥解密EK₁得到原始的AES秘钥，解密函数为：

式(7)中，K₁为AES秘钥，EK₁为RSA解密过程，mod为取模,n为质数之积，p,q为质数，d为私钥；

使用AES算法将收到的密文C解密得到明文,解密算法为：

M＝AES(K₁,C) (8)

式(8)中，K₁为接收方获得的原始AES秘钥，M为最终解密出来的明文；

其中在网络数据信息加密和解密过程中，通过局部二值模式LBP算法进行网络数据信息特征点的收集；计算函数表达式为：

式(9)中，表示局部二值模式LBP算法输出函数，/>表示角度，r表示半径，i表示网络数据节点序数，k表示网络数据故障特征点，/>表示角度/>下的变量参数，g_s表示s中的变量参数值，其中网络数据故障特征点函数表示为：

公式(10)中，k(X)表示网络数据故障特征点函数，X表示网络数据故障特征点函数中的参数信息。

8.根据权利要求6所述的一种工业互联网安全态势感知方法，其特征在于：所述主动式追踪算法包括随机包标记法HPPM、固定包标记法DPM、路由记录法和ICMP消息法，所述HPPM采用了中散列消息鉴别码HMAC、边标记压缩技术和分片存储技术，所述边标记压缩技术遵循规则：

(aO+b)O+b＝a (11)

式(11)中，a,b分别为攻击路径上的相邻IP地址；

所述分片存储技术将原本不属于同一数据包的分片组合产生错误边路径，所述散列消息鉴别码HMAC遵循规则：

HMAC(M,K)＝H(KO+opad,H(KO+ipad,M)) (12)

式(12)中，其中，ipad为字0x36重复B次，opad为字0x5C重复B次，M为待加密的消息字符串，B为消息字符串的字长；

所述固定包标记法DPM为第一个入口边界路由器具有标记功能和入口边界路由器对每一个所经过的IP包都进行标记，所述路由记录法为基于哈希方法的包日志的IP追踪,路由器计算和存储每个转发的包的信息摘要，所述ICMP消息法为从收到的攻击包中提取出共有的特性,然后通知网络管理员。