CN116647362A - 一种用于测试边缘网络的异常节点的方法和系统 - Google Patents

一种用于测试边缘网络的异常节点的方法和系统 Download PDF

Info

Publication number
CN116647362A
CN116647362A CN202310366066.1A CN202310366066A CN116647362A CN 116647362 A CN116647362 A CN 116647362A CN 202310366066 A CN202310366066 A CN 202310366066A CN 116647362 A CN116647362 A CN 116647362A
Authority
CN
China
Prior art keywords
node
candidate malicious
edge
nodes
malicious node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310366066.1A
Other languages
English (en)
Inventor
杨宏
郭雄
张弛
汪晶晶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronics Standardization Institute
Original Assignee
China Electronics Standardization Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronics Standardization Institute filed Critical China Electronics Standardization Institute
Priority to CN202310366066.1A priority Critical patent/CN116647362A/zh
Publication of CN116647362A publication Critical patent/CN116647362A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种用于测试边缘网络的异常节点的方法和系统,属于5G通信技术领域。其中,所述边缘网络为由云计算网络中的若干边缘节点构成的网络,所述云计算网络还包括云计算中心和若干非边缘节点。所述方法通过对边缘节点进行测试来判定所述边缘节点是否为恶意节点,并进一步判定所述恶意节点的攻击行为类型,包括数据篡改攻击行为和转发时延攻击行为。

Description

一种用于测试边缘网络的异常节点的方法和系统
技术领域
本发明属于5G通信技术领域,尤其涉及一种用于测试边缘网络的异常节点的方法和系统。
背景技术
边缘计算将原有的云计算模型的部分或者全部计算任务迁移到网络边缘,有效降低了云数据中心的网络带宽和计算负载,也能很好的解决某些任务的特定需求如时延要求高、移动频繁、地理信息感知强等,边缘计算模型也受到学术界和产业界的广泛关注。伴随行业数字化转型进程的不断深入,边缘计算网络架构的变迁必然导致针对云边缘、边缘云、云化网关等边缘计算节点的安全攻击不断增多,边缘安全问题已成为限制边缘计算产业发展的障碍之一。
由于网络边缘侧更加贴近用户终端,各边缘节点也更容易受到攻击而变成恶意节点等。恶意设备入侵、黑客入侵导致的边缘云异常等问题点通过窃取用户隐私数据,会消耗云中心网络的网络资源,返回错误的任务结果,干扰整个云计算系统运行等行为,这对整个网络系统造成威胁。所以用必要发展针对边缘网络的恶意节点检测方法。
目前用于恶意节点检测算法的方法很多,基于路由协议的、基于隐马尔克夫链的、基于生物原理的、基于博弈论的、基于邻居监视的、基于分簇原理,甚至于基于机器学习的检测方法等等。入侵检测系统是防止云边缘被恶意入侵主要技术,这类传统的入侵检测技术主要通过监控和检测主机侧或网络侧的异常数据,并通常使用人工经验设定的规则来进行检测,其缺点是容易被入侵者抓住漏洞。
发明内容
为了解决上述技术问题,本发明提出了一种用于测试边缘网络的异常节点的方案。
本发明第一方面公开了一种用于测试边缘网络的异常节点的方法。所述边缘网络为由云计算网络中的若干边缘节点构成的网络,所述云计算网络还包括云计算中心和若干非边缘节点;所述方法包括:步骤S1、所述云计算中心向待测试边缘节点发送测试请求报文,所述待测试边缘节点基于所述测试请求报文中的测试序列生成测试响应报文,并将所述测试响应报文发送至所述云计算中心;步骤S2、所述云计算中心在接收到所述测试响应报文后,基于所述测试响应报文中的响应序列,从所述待测试边缘节点中确定第一候选恶意节点和第二候选恶意节点;步骤S3、生成包括所述第一候选恶意节点和所述第二候选恶意节点的风险网络,获取所述第一候选恶意节点和所述第二候选恶意节点中的每一个候选恶意节点在所述风险网络中的四元组数据;步骤S4、利用各个候选恶意节点的四元组数据确定所述各个候选恶意节点关于数据篡改攻击行为的第一置信度和关于转发时延攻击行为的第二置信度,以从所述各个候选恶意节点中确定恶意节点。
其中,所述第一候选恶意节点为存在数据篡改攻击行为的恶意节点,所述第二候选恶意节点为存在转发时延攻击行为的恶意节点。
其中,所述四元组数据为<源端口,数据量,通信协议,时间戳>,所述源端口为与当前候选恶意节点具有通信交互关系的其他候选恶意节点的端口地址,所述数据量为来自所述其他候选恶意节点的通信数据量,所述通信协议为所述当前候选恶意节点与所述其他候选恶意节点之间的通信协议,所述时间戳为所述当前候选恶意节点与所述其他候选恶意节点之间的通信数据量峰值处的时间点。
根据本发明第一方面的方法,在所述步骤S1之前,所述方法还包括:步骤S01、所述云计算中心向N个标准边缘节点发送N次标准测试请求报文{req,N},所述标准边缘节点基于所述标准测试请求报文{req,N}中的标准测试序列req生成标准测试响应报文{resp,N},并将所述标准测试响应报文{resp,N}发送至所述云计算中心;步骤S02、所述云计算中心在接收到所述标准测试响应报文{resp,N}后,基于所述测试响应报文{resp,N}中的标准响应序列resp,确定标准测试响应数据参考值和标准测试传输时延参考值;其中,所述标准测试序列req包括所述标准边缘节点IP地址、标准测试数据、标准测试请求时间戳to;所述标准边缘节点利用自身计算资源解析所述标准测试序列req并处理所述标准测试数据;所述标准测试响应报文{resp,N}中的所述标准响应序列resp包括所述标准边缘节点IP地址、与所述标准测试数据对应的标准响应数据、标准测试转发时间戳to
根据本发明第一方面的方法,在所述步骤S02中,确定所述标准测试响应数据参考值和所述标准测试传输时延参考值,具体包括:获取第i个标准边缘节点的N个所述标准响应数据i=1,2,3,...N,并计算第i个标准边缘节点的标准响应数据平均值:/>以N个所述标准边缘节点中的最小标准响应数据平均值/>和最大标准响应数据平均值/>作为所述标准测试响应数据参考值/>m表示所述最小标准响应数据平均值对应的标准边缘节点的编号,n表示所述最大标准响应数据平均值对应的标准边缘节点的编号;计算N个所述标准边缘节点的标准测试平均传输时延/>作为所述标准测试传输时延参考值,其中j表示测试次数编号。
根据本发明第一方面的方法,在所述步骤S1中,所述测试请求报文具有与所述标准测试请求报文相同的定义结构,所述测试响应报文具有与所述标准测试响应报文相同的定义结构;在所述步骤S2中,基于与所述步骤S02相同的方法计算每一个所述待测试边缘节点的响应数据平均值ki,并进一步计算均方误差Δki;以及基于与所述步骤S02相同的方法计算每一个所述待测试边缘节点在N次测试中的平均传输时延Ti,并进一步计算传输时延比在所述步骤S2中,从所述待测试边缘节点中确定所述第一候选恶意节点和所述第二候选恶意节点,具体包括:计算第i个待测试边缘节点的信誉度/>当Ri小于信誉度阈值R时判定所述第i个待测试边缘节点为候选恶意节点,并基于所述候选恶意节点的IP地址对所述候选恶意节点进行定位;其中,当所述候选恶意节点的响应数据平均值ki不在所述标准测试响应数据参考值/>范围内时,判定所述候选恶意节点为第一候选恶意节点;其中,当所述候选恶意节点的平均传输时延Ti>Tave时,判定所述候选恶意节点为第二候选恶意节点。
根据本发明第一方面的方法,在所述步骤S3中,获取所述当前候选恶意节点与其他候选恶意节点之间的通信交互关系,所述通信交互关系包括直接通信交互关系和通过所述非边缘节点的一跳或两跳中继实现的间接通信交互关系。
根据本发明第一方面的方法,在所述步骤S4中,利用各个所述候选恶意节点的四元组数据确定所述第一置信度和所述第二置信度,具体包括:对于每一个所述候选恶意节点,将第一三元组数据<数据量,通信协议,时间戳>输入至LSTM神经网络模型以计算第一置信度{a1,…,ai,…,anum},将第二三元组数据<源端口,数据量,通信协议>输入至深度残差网络模型以计算第二置信度{b1,…,bi,…,bnum},其中num表示与所述当前候选恶意节点具有所述通信交互关系的所述其他候选恶意节点的数量。
根据本发明第一方面的方法,在所述步骤S4中,从所述各个候选恶意节点中确定所述恶意节点,具体包括:获取所述LSTM神经网络模型模型达到收敛的时间t1以及所述深度残差网络模型达到收敛的时间t2,以计算与所述当前候选恶意节点具有所述通信交互关系的所述其他候选恶意节点相对于所述当前候选恶意节点的综合置信度ci=t2×ai+t1×bi;获取num个所述其他候选恶意节点相对于所述当前候选恶意节点的置信度{c1,…,ci,…,cnum},以计算所述当前候选恶意节点的最终置信度当所述最终置信度低于阈值时判定所述当前候选恶意节点为所述恶意节点;获取所述第一候选恶意节点和所述第二候选恶意节点的数量,通过对所述数量进行归一化来确定关于所述数据篡改攻击行为的权重w1以及关于所述转发时延攻击行为的权重w2,分别计算所述恶意节点关于所述数据篡改攻击行为的第一分数值totle1=(Cs+w1)R和关于所述转发时延攻击行为的第二分数值totle2=(Cs+w2)R,并根据所述第一分数值和所述第二分数值判定所述恶意节点的攻击行为类型。
本发明第二方面公开了一种用于测试边缘网络的异常节点的系统。所述边缘网络为由云计算网络中的若干边缘节点构成的网络,所述云计算网络还包括云计算中心和若干非边缘节点;所述系统包括处理单元,其中:
所述处理单元向所述云计算中心发送第一指令,所述云计算中心基于所述第一指令向待测试边缘节点发送测试请求报文,所述待测试边缘节点基于所述测试请求报文中的测试序列生成测试响应报文,并将所述测试响应报文发送至所述云计算中心;
所述云计算中心在接收到所述测试响应报文后,将所述测试响应报文发送至所述处理中心,所述处理中心基于所述测试响应报文中的响应序列,从所述待测试边缘节点中确定第一候选恶意节点和第二候选恶意节点;
其中,所述第一候选恶意节点为存在数据篡改攻击行为的恶意节点,所述第二候选恶意节点为存在转发时延攻击行为的恶意节点;
所述处理中心向所述云计算网络发送第二指令,所述云计算网络基于所述第二指令生成包括所述第一候选恶意节点和所述第二候选恶意节点的风险网络,所述处理中心获取所述第一候选恶意节点和所述第二候选恶意节点中的每一个候选恶意节点在所述风险网络中的四元组数据;
其中,所述四元组数据为<源端口,数据量,通信协议,时间戳>,所述源端口为与当前候选恶意节点具有通信交互关系的其他候选恶意节点的端口地址,所述数据量为来自所述其他候选恶意节点的通信数据量,所述通信协议为所述当前候选恶意节点与所述其他候选恶意节点之间的通信协议,所述时间戳为所述当前候选恶意节点与所述其他候选恶意节点之间的通信数据量峰值处的时间点;
所述处理中心利用各个候选恶意节点的四元组数据确定所述各个候选恶意节点关于数据篡改攻击行为的第一置信度和关于转发时延攻击行为的第二置信度,以从所述各个候选恶意节点中确定恶意节点。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明第一方面所述的一种用于测试边缘网络的异常节点的方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本发明第一方面所述的一种用于测试边缘网络的异常节点的方法中的步骤。
综上,本发明的技术方案通过云中心网络节点向各边缘网络节点下发测试请求,并收集相关通信响应数据,判断边缘节点是否为恶意节点。该方法依据绝对可信任的边缘节点作为参考节点,多次测试有利于减少网络系统中噪声的影响。同时还能根据参考数据集中的数据来判断恶意节点中存在的恶意攻击的行为以及对应的恶意边缘节点的IP地址,进行在网络结构中的定位。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种用于测试边缘网络的异常节点的方法的流程图;
图2为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一方面公开了一种用于测试边缘网络的异常节点的方法,所述边缘网络为由云计算网络中的若干边缘节点构成的网络,所述云计算网络还包括云计算中心和若干非边缘节点。图1为根据本发明实施例的一种用于测试边缘网络的异常节点的方法的流程图;如图1所示,所述方法包括:步骤S1、所述云计算中心向待测试边缘节点发送测试请求报文,所述待测试边缘节点基于所述测试请求报文中的测试序列生成测试响应报文,并将所述测试响应报文发送至所述云计算中心;步骤S2、所述云计算中心在接收到所述测试响应报文后,基于所述测试响应报文中的响应序列,从所述待测试边缘节点中确定第一候选恶意节点和第二候选恶意节点(其中,所述第一候选恶意节点为存在数据篡改攻击行为的恶意节点,所述第二候选恶意节点为存在转发时延攻击行为的恶意节点);步骤S3、生成包括所述第一候选恶意节点和所述第二候选恶意节点的风险网络,获取所述第一候选恶意节点和所述第二候选恶意节点中的每一个候选恶意节点在所述风险网络中的四元组数据(其中,所述四元组数据为<源端口,数据量,通信协议,时间戳>,所述源端口为与当前候选恶意节点具有通信交互关系的其他候选恶意节点的端口地址,所述数据量为来自所述其他候选恶意节点的通信数据量,所述通信协议为所述当前候选恶意节点与所述其他候选恶意节点之间的通信协议,所述时间戳为所述当前候选恶意节点与所述其他候选恶意节点之间的通信数据量峰值处的时间点);步骤S4、利用各个候选恶意节点的四元组数据确定所述各个候选恶意节点关于数据篡改攻击行为的第一置信度和关于转发时延攻击行为的第二置信度,以从所述各个候选恶意节点中确定恶意节点。
具体地,设现有网络系统存在一个云中心网络节点,能够提供各种必要的云计算和数据存储服务。在该网络系统的边缘,分布着许多边缘服务器,这些边缘服务器靠近网络系统边缘,充当着边缘节点的角色,组成一套边缘云系统。云中心网络节点能够将自身部分或者全部的计算程序分发到这些边缘节点,所以边缘云系统能有效的降低在海量数据运算情况下云中心网络节点的计算负荷以及网络带宽,同时也能解决高时延等问题。同时,各边缘节点连接着众多的终端节点,终端节点的作用是收集数据的门户,和用户直接发生交互。
具体地,当通信节点被外来入侵者攻击时,主要考虑到有两种攻击效果:一种是数据恶意篡改攻击。当该节点为正常节点时,正常节点和云中心网络节点之间会按照设计的通信规则进行通信,得到的通信响应的数据流量也是一定的;若当节点受到外来攻击,流量数据会被篡改,那么转发至云中心网络节点的数据会出现较大的偏差。另一种是时间攻击。表示被恶意入侵的节点会故意延长发送数据包的时间。对于时间延长的定义可以不唯一,在部分实例中,可以选择用节点数据包传输延时比来表示某节点的恶意时间攻击行为。当节点被恶意入侵之后,该节点会产生一个较大的传输时延。
在优选实施例中,在所述步骤S1之前,所述方法还包括:步骤S01、所述云计算中心向N个标准边缘节点发送N次标准测试请求报文{req,N},所述标准边缘节点基于所述标准测试请求报文{req,N}中的标准测试序列req生成标准测试响应报文{resp,N},并将所述标准测试响应报文{resp,N}发送至所述云计算中心;步骤S02、所述云计算中心在接收到所述标准测试响应报文{resp,N}后,基于所述测试响应报文{resp,N}中的标准响应序列resp,确定标准测试响应数据参考值和标准测试传输时延参考值;其中,所述标准测试序列req包括所述标准边缘节点IP地址、标准测试数据、标准测试请求时间戳to;所述标准边缘节点利用自身计算资源解析所述标准测试序列req并处理所述标准测试数据;所述标准测试响应报文{resp,N}中的所述标准响应序列resp包括所述标准边缘节点IP地址、与所述标准测试数据对应的标准响应数据、标准测试转发时间戳to
具体地,收集参考数据集并门限值设定。在所描述的网络系统中,选择N个边缘节点为参考节点,并保证它们是正常节点,没有被恶意入侵。云中心网络节点向N个参考节点广播发送测试请求报文{req,N},其中req为测试序列,包含请求节点IP地址、测数据、请求时间三个测试序列,为了减低信道噪声对通信结果的影响,所以选择对每一个参考节点都发送N次测试请求报文。N个参考节点收到来自云中心网络节点的测试请求报文之后,随即利用自身的计算能力进行解析并生成响应报文{resp,N},其中resp为响应序列,对应于测试序列的计算结果,如{节点IP地址,响应数据K,转发时间戳。N个参考节点将响应报文{resp,N}转发至云中心网络节点。云中心计算:云中心网络节点接收到参考节点发送来的响应报文之后随即做出计算。
在优选实施例中,在所述步骤S02中,确定所述标准测试响应数据参考值和所述标准测试传输时延参考值,具体包括:获取第i个标准边缘节点的N个所述标准响应数据并计算第i个标准边缘节点的标准响应数据平均值:以N个所述标准边缘节点中的最小标准响应数据平均值/>和最大标准响应数据平均值/>作为所述标准测试响应数据参考值/>m表示所述最小标准响应数据平均值对应的标准边缘节点的编号,n表示所述最大标准响应数据平均值对应的标准边缘节点的编号;计算N个所述标准边缘节点的标准测试平均传输时延/>作为所述标准测试传输时延参考值,其中j表示测试次数编号。
在优选实施例中,在所述步骤S1中,所述测试请求报文具有与所述标准测试请求报文相同的定义结构,所述测试响应报文具有与所述标准测试响应报文相同的定义结构;在所述步骤S2中,基于与所述步骤S02相同的方法计算每一个所述待测试边缘节点的响应数据平均值ki,并进一步计算均方误差Δki;以及基于与所述步骤S02相同的方法计算每一个所述待测试边缘节点在N次测试中的平均传输时延Ti,并进一步计算传输时延比在所述步骤S2中,从所述待测试边缘节点中确定所述第一候选恶意节点和所述第二候选恶意节点,具体包括:计算第i个待测试边缘节点的信誉度/>当Ri小于信誉度阈值R时判定所述第i个待测试边缘节点为候选恶意节点,并基于所述候选恶意节点的IP地址对所述候选恶意节点进行定位;其中,当所述候选恶意节点的响应数据平均值ki不在所述标准测试响应数据参考值/>范围内时,判定所述候选恶意节点为第一候选恶意节点;其中,当所述候选恶意节点的平均传输时延Ti>Tave时,判定所述候选恶意节点为第二候选恶意节点。
在优选实施例中,在所述步骤S3中,获取所述当前候选恶意节点与其他候选恶意节点之间的通信交互关系,所述通信交互关系包括直接通信交互关系和通过所述非边缘节点的一跳或两跳中继实现的间接通信交互关系。
具体地,由潜在数据恶意篡改攻击行为节点组成第一组节点,由潜在恶意时间攻击行为节点组成第二组节点,由第一组节点和第二组节点组成第一风险网,所述第一风险网中,根据统计(比如一个周期内,按日,按周)的流量、通信信息,在两个边缘节点之间的流量、通信信息超过阈值时,确定各边缘节点之间的通信关系。
在优选实施例中,在所述步骤S4中,利用各个所述候选恶意节点的四元组数据确定所述第一置信度和所述第二置信度,具体包括:对于每一个所述候选恶意节点,将第一三元组数据<数据量,通信协议,时间戳>输入至LSTM神经网络模型以计算第一置信度{a1,…,ai,…,anum},将第二三元组数据<源端口,数据量,通信协议>输入至深度残差网络模型以计算第二置信度{b1,…,bi,…,bnum},其中num表示与所述当前候选恶意节点具有所述通信交互关系的所述其他候选恶意节点的数量。
在优选实施例中,在所述步骤S4中,从所述各个候选恶意节点中确定所述恶意节点,具体包括:获取所述LSTM神经网络模型模型达到收敛的时间t1以及所述深度残差网络模型达到收敛的时间t2,以计算与所述当前候选恶意节点具有所述通信交互关系的所述其他候选恶意节点相对于所述当前候选恶意节点的综合置信度ci=t2×ai+t1×bi;获取num个所述其他候选恶意节点相对于所述当前候选恶意节点的置信度{c1,…,ci,…,cnum},以计算所述当前候选恶意节点的最终置信度当所述最终置信度低于阈值时判定所述当前候选恶意节点为所述恶意节点;获取所述第一候选恶意节点和所述第二候选恶意节点的数量,通过对所述数量进行归一化来确定关于所述数据篡改攻击行为的权重w1以及关于所述转发时延攻击行为的权重w2,分别计算所述恶意节点关于所述数据篡改攻击行为的第一分数值totle1=(Cs+w1)R和关于所述转发时延攻击行为的第二分数值totle2=(Cs+w2)R,并根据所述第一分数值和所述第二分数值判定所述恶意节点的攻击行为类型。
具体地,(1)对第一风险网中的每个边缘节点:在该边缘节点的入口处获取上一统计周期内的流量数据、通信数据,对流量数据、通信数据进行解析及特征提取,生成四元组<源端口,数据量,协议,时间戳>,其中源端口标识数据从第一风险网中其它边缘节点作为源节点,源节点中的哪个有流量数据传输到该边缘节点,数据量用于根据解析情况,对流量数据、通信数据中传输到该边缘节点的数据量根据日志进行估算,协议为解析出的源节点与该边缘节点之间通信采用的协议,时间戳为源节点与该边缘节点之间数据量为峰值的时间点。
(2)通过上述解析,对第一风险网中的每个边缘节点:将该边缘节点提取到的多个四元组,由时间戳构成时间序列LSTM,将<数据量,协议,时间戳>输入LSTM神经网络模型,将<源端口,数据量,协议>输入深度残差网络模型;<数据量,协议,时间戳>输入LSTM神经网络模型得到第一分值序列{a1,…,ai,…,anum-1},num为第一风险网中的边缘节点数,每个分值表示第一风险网中每个其他边缘节点对该边缘节点的影响置信度,<源端口,数据量,协议>输入深度残差网络得到第二分值序列{b1,…,bi,…,bnum-1},基于第一分值及第二分值得到综合分值,综合分值作为该边缘节点受第一风险网中每个其他边缘节点影响的置信度。计算综合得分的方式为:根据两个模型训练达到收敛的时长的反比确定第一分值序列、第二分值序列的权重。例如,第一个模型是time1达到收敛,第二个模型是time2达到收敛,则将两个时间归一化后,分别得到t1,t2,作为第二分值序列、第一分值序列的权重。则该边缘节点受编号为1的边缘节点的影响置信度为c1=ci=t2×ai+t1×bi,将某节点的综合的置信度记为{c1,…,ci,…,cnum-1},则该节点的最终置信度记为
每个模型均为现有的模型,由历史数据构建训练样本,得到训练稳定的LSTM神经网络模型和深度残差网络模型。综合多种模型的优点,利用LSTM适用于时间记忆的优势,并利用深度残差网络的输出结果校正LSTM模型易于陷入局部优化的缺陷,并且对同一样本数据,选取不同的特征,能够充分反应样本的各项信息,得到准确率高的、综合的受影响的置信度。
对第一风险网中的各个边缘节点信誉值,根据属于数据恶意篡改攻击、恶意时间攻击的不同类型以及该边缘节点对应最终置信度,计算各个边缘节点的第二信誉值,将第二信誉值低于预设阈值的节点作为最终异常节点。根据分别属于数据恶意篡改攻击、恶意时间攻击的节点的数量,确定不同类型的权重w1,w2,数量多的权重高,数量少的权重低,节点的最终信誉值为:totle1=(Cs+w1)R,其中,w为该节点对应的属于数据恶意篡改攻击、恶意时间攻击类型的权重。
本发明第二方面公开了一种用于测试边缘网络的异常节点的系统。所述边缘网络为由云计算网络中的若干边缘节点构成的网络,所述云计算网络还包括云计算中心和若干非边缘节点;所述系统包括处理单元,其中:
所述处理单元向所述云计算中心发送第一指令,所述云计算中心基于所述第一指令向待测试边缘节点发送测试请求报文,所述待测试边缘节点基于所述测试请求报文中的测试序列生成测试响应报文,并将所述测试响应报文发送至所述云计算中心;
所述云计算中心在接收到所述测试响应报文后,将所述测试响应报文发送至所述处理中心,所述处理中心基于所述测试响应报文中的响应序列,从所述待测试边缘节点中确定第一候选恶意节点和第二候选恶意节点;
其中,所述第一候选恶意节点为存在数据篡改攻击行为的恶意节点,所述第二候选恶意节点为存在转发时延攻击行为的恶意节点;
所述处理中心向所述云计算网络发送第二指令,所述云计算网络基于所述第二指令生成包括所述第一候选恶意节点和所述第二候选恶意节点的风险网络,所述处理中心获取所述第一候选恶意节点和所述第二候选恶意节点中的每一个候选恶意节点在所述风险网络中的四元组数据;
其中,所述四元组数据为<源端口,数据量,通信协议,时间戳>,所述源端口为与当前候选恶意节点具有通信交互关系的其他候选恶意节点的端口地址,所述数据量为来自所述其他候选恶意节点的通信数据量,所述通信协议为所述当前候选恶意节点与所述其他候选恶意节点之间的通信协议,所述时间戳为所述当前候选恶意节点与所述其他候选恶意节点之间的通信数据量峰值处的时间点;
所述处理中心利用各个候选恶意节点的四元组数据确定所述各个候选恶意节点关于数据篡改攻击行为的第一置信度和关于转发时延攻击行为的第二置信度,以从所述各个候选恶意节点中确定恶意节点。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明第一方面所述的一种用于测试边缘网络的异常节点的方法中的步骤。
图2为根据本发明实施例的一种电子设备的结构图;如图2所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图2中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本发明第一方面所述的一种用于测试边缘网络的异常节点的方法中的步骤。
综上,本发明的技术方案通过云中心网络节点向各边缘网络节点下发测试请求,并收集相关通信响应数据,判断边缘节点是否为恶意节点。该方法依据绝对可信任的边缘节点作为参考节点,多次测试有利于减少网络系统中噪声的影响。同时还能根据参考数据集中的数据来判断恶意节点中存在的恶意攻击的行为以及对应的恶意边缘节点的IP地址,进行在网络结构中的定位。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种用于测试边缘网络的异常节点的方法,其特征在于,所述边缘网络为由云计算网络中的若干边缘节点构成的网络,所述云计算网络还包括云计算中心和若干非边缘节点;所述方法包括:
步骤S1、所述云计算中心向待测试边缘节点发送测试请求报文,所述待测试边缘节点基于所述测试请求报文中的测试序列生成测试响应报文,并将所述测试响应报文发送至所述云计算中心;
步骤S2、所述云计算中心在接收到所述测试响应报文后,基于所述测试响应报文中的响应序列,从所述待测试边缘节点中确定第一候选恶意节点和第二候选恶意节点;
其中,所述第一候选恶意节点为存在数据篡改攻击行为的恶意节点,所述第二候选恶意节点为存在转发时延攻击行为的恶意节点;
步骤S3、生成包括所述第一候选恶意节点和所述第二候选恶意节点的风险网络,获取所述第一候选恶意节点和所述第二候选恶意节点中的每一个候选恶意节点在所述风险网络中的四元组数据;
其中,所述四元组数据为<源端口,数据量,通信协议,时间戳>,所述源端口为与当前候选恶意节点具有通信交互关系的其他候选恶意节点的端口地址,所述数据量为来自所述其他候选恶意节点的通信数据量,所述通信协议为所述当前候选恶意节点与所述其他候选恶意节点之间的通信协议,所述时间戳为所述当前候选恶意节点与所述其他候选恶意节点之间的通信数据量峰值处的时间点;
步骤S4、利用各个候选恶意节点的四元组数据确定所述各个候选恶意节点关于数据篡改攻击行为的第一置信度和关于转发时延攻击行为的第二置信度,以从所述各个候选恶意节点中确定恶意节点。
2.根据权利要求1所述的一种用于测试边缘网络的异常节点的方法,其特征在于,在所述步骤S1之前,所述方法还包括:
步骤S01、所述云计算中心向N个标准边缘节点发送N次标准测试请求报文{req,N},所述标准边缘节点基于所述标准测试请求报文{req,N}中的标准测试序列req生成标准测试响应报文{resp,N},并将所述标准测试响应报文{resp,N}发送至所述云计算中心;
步骤S02、所述云计算中心在接收到所述标准测试响应报文{resp,N}后,基于所述测试响应报文{resp,N}中的标准响应序列resp,确定标准测试响应数据参考值和标准测试传输时延参考值;
其中,所述标准测试序列req包括所述标准边缘节点IP地址、标准测试数据、标准测试请求时间戳to;所述标准边缘节点利用自身计算资源解析所述标准测试序列req并处理所述标准测试数据;所述标准测试响应报文{resp,N}中的所述标准响应序列resp包括所述标准边缘节点IP地址、与所述标准测试数据对应的标准响应数据、标准测试转发时间戳to
3.根据权利要求2所述的一种用于测试边缘网络的异常节点的方法,其特征在于,在所述步骤S02中,确定所述标准测试响应数据参考值和所述标准测试传输时延参考值,具体包括:
获取第i个标准边缘节点的N个所述标准响应数据并计算第i个标准边缘节点的标准响应数据平均值:/>以N个所述标准边缘节点中的最小标准响应数据平均值/>和最大标准响应数据平均值/>作为所述标准测试响应数据参考值/>m表示所述最小标准响应数据平均值对应的标准边缘节点的编号,n表示所述最大标准响应数据平均值对应的标准边缘节点的编号;
计算N个所述标准边缘节点的标准测试平均传输时延作为所述标准测试传输时延参考值,其中j表示测试次数编号。
4.根据权利要求1-3其中任一项所述的一种用于测试边缘网络的异常节点的方法,其特征在于:
在所述步骤S1中,所述测试请求报文具有与所述标准测试请求报文相同的定义结构,所述测试响应报文具有与所述标准测试响应报文相同的定义结构;
在所述步骤S2中,基于与所述步骤S02相同的方法计算每一个所述待测试边缘节点的响应数据平均值ki,并进一步计算均方误差Δki;以及基于与所述步骤S02相同的方法计算每一个所述待测试边缘节点在N次测试中的平均传输时延Ti,并进一步计算传输时延比
在所述步骤S2中,从所述待测试边缘节点中确定所述第一候选恶意节点和所述第二候选恶意节点,具体包括:
计算第i个待测试边缘节点的信誉度当Ri小于信誉度阈值R时判定所述第i个待测试边缘节点为候选恶意节点,并基于所述候选恶意节点的IP地址对所述候选恶意节点进行定位;
其中,当所述候选恶意节点的响应数据平均值ki不在所述标准测试响应数据参考值范围内时,判定所述候选恶意节点为第一候选恶意节点;
其中,当所述候选恶意节点的平均传输时延Ti>Tave时,判定所述候选恶意节点为第二候选恶意节点。
5.根据权利要求4所述的一种用于测试边缘网络的异常节点的方法,其特征在于,在所述步骤S3中,获取所述当前候选恶意节点与其他候选恶意节点之间的通信交互关系,所述通信交互关系包括直接通信交互关系和通过所述非边缘节点的一跳或两跳中继实现的间接通信交互关系。
6.根据权利要求5所述的一种用于测试边缘网络的异常节点的方法,其特征在于,在所述步骤S4中,利用各个所述候选恶意节点的四元组数据确定所述第一置信度和所述第二置信度,具体包括:对于每一个所述候选恶意节点,将第一三元组数据<数据量,通信协议,时间戳>输入至LSTM神经网络模型以计算第一置信度{a1,…,ai,…,anum},将第二三元组数据<源端口,数据量,通信协议>输入至深度残差网络模型以计算第二置信度{b1,…,bi,…,bnum},其中num表示与所述当前候选恶意节点具有所述通信交互关系的所述其他候选恶意节点的数量。
7.根据权利要求6所述的一种用于测试边缘网络的异常节点的方法,其特征在于,在所述步骤S4中,从所述各个候选恶意节点中确定所述恶意节点,具体包括:
获取所述LSTM神经网络模型模型达到收敛的时间t1以及所述深度残差网络模型达到收敛的时间t2,以计算与所述当前候选恶意节点具有所述通信交互关系的所述其他候选恶意节点相对于所述当前候选恶意节点的综合置信度ci=t2×ai+t1×bi
获取num个所述其他候选恶意节点相对于所述当前候选恶意节点的置信度{c1,…,ci,…,cnum},以计算所述当前候选恶意节点的最终置信度当所述最终置信度低于阈值时判定所述当前候选恶意节点为所述恶意节点;
获取所述第一候选恶意节点和所述第二候选恶意节点的数量,通过对所述数量进行归一化来确定关于所述数据篡改攻击行为的权重w1以及关于所述转发时延攻击行为的权重w2,分别计算所述恶意节点关于所述数据篡改攻击行为的第一分数值totle1=(Cs+w1)R和关于所述转发时延攻击行为的第二分数值totle2=(Cs+w2)R,并根据所述第一分数值和所述第二分数值判定所述恶意节点的攻击行为类型。
8.一种用于测试边缘网络的异常节点的系统,其特征在于,所述边缘网络为由云计算网络中的若干边缘节点构成的网络,所述云计算网络还包括云计算中心和若干非边缘节点;所述系统包括处理单元,其中:
所述处理单元向所述云计算中心发送第一指令,所述云计算中心基于所述第一指令向待测试边缘节点发送测试请求报文,所述待测试边缘节点基于所述测试请求报文中的测试序列生成测试响应报文,并将所述测试响应报文发送至所述云计算中心;
所述云计算中心在接收到所述测试响应报文后,将所述测试响应报文发送至所述处理中心,所述处理中心基于所述测试响应报文中的响应序列,从所述待测试边缘节点中确定第一候选恶意节点和第二候选恶意节点;
其中,所述第一候选恶意节点为存在数据篡改攻击行为的恶意节点,所述第二候选恶意节点为存在转发时延攻击行为的恶意节点;
所述处理中心向所述云计算网络发送第二指令,所述云计算网络基于所述第二指令生成包括所述第一候选恶意节点和所述第二候选恶意节点的风险网络,所述处理中心获取所述第一候选恶意节点和所述第二候选恶意节点中的每一个候选恶意节点在所述风险网络中的四元组数据;
其中,所述四元组数据为<源端口,数据量,通信协议,时间戳>,所述源端口为与当前候选恶意节点具有通信交互关系的其他候选恶意节点的端口地址,所述数据量为来自所述其他候选恶意节点的通信数据量,所述通信协议为所述当前候选恶意节点与所述其他候选恶意节点之间的通信协议,所述时间戳为所述当前候选恶意节点与所述其他候选恶意节点之间的通信数据量峰值处的时间点;
所述处理中心利用各个候选恶意节点的四元组数据确定所述各个候选恶意节点关于数据篡改攻击行为的第一置信度和关于转发时延攻击行为的第二置信度,以从所述各个候选恶意节点中确定恶意节点。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至7中任一项所述的一种用于测试边缘网络的异常节点的方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至7中任一项所述的一种用于测试边缘网络的异常节点的方法中的步骤。
CN202310366066.1A 2023-04-07 2023-04-07 一种用于测试边缘网络的异常节点的方法和系统 Pending CN116647362A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310366066.1A CN116647362A (zh) 2023-04-07 2023-04-07 一种用于测试边缘网络的异常节点的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310366066.1A CN116647362A (zh) 2023-04-07 2023-04-07 一种用于测试边缘网络的异常节点的方法和系统

Publications (1)

Publication Number Publication Date
CN116647362A true CN116647362A (zh) 2023-08-25

Family

ID=87614194

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310366066.1A Pending CN116647362A (zh) 2023-04-07 2023-04-07 一种用于测试边缘网络的异常节点的方法和系统

Country Status (1)

Country Link
CN (1) CN116647362A (zh)

Similar Documents

Publication Publication Date Title
US11212299B2 (en) System and method for monitoring security attack chains
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN112019575B (zh) 数据包处理方法、装置、计算机设备以及存储介质
Pham et al. Phishing-aware: A neuro-fuzzy approach for anti-phishing on fog networks
Yu et al. Improving the quality of alerts and predicting intruder’s next goal with Hidden Colored Petri-Net
CA2531410A1 (en) Behavioural-based network anomaly detection based on user and group profiling
TW200849917A (en) Detecting method of network invasion
CN112016078B (zh) 一种登录设备的封禁检测方法、装置、服务器和存储介质
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及系统
Stefanova et al. Off-policy q-learning technique for intrusion response in network security
Naik et al. D-FRI-Honeypot: A secure sting operation for hacking the hackers using dynamic fuzzy rule interpolation
US20220311793A1 (en) Worm Detection Method and Network Device
Vieira et al. Model order selection and eigen similarity based framework for detection and identification of network attacks
CN117729027A (zh) 异常行为检测方法、装置、电子设备及存储介质
CN114531283A (zh) 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端
EP3789890A1 (en) Fully qualified domain name (fqdn) determination
Liu et al. Topology sensing of non-collaborative wireless networks with conditional Granger causality
CN116647362A (zh) 一种用于测试边缘网络的异常节点的方法和系统
K V et al. Accurate and reliable detection of DDoS attacks based on ARIMA-SWGARCH model
Chang et al. Implementation of ransomware prediction system based on weighted-KNN and real-time isolation architecture on SDN Networks
CN114866338A (zh) 网络安全检测方法、装置及电子设备
CN110149331B (zh) 一种P2P botnet检测方法、装置和介质
Ramkissoon et al. Veracity: a fake news detection architecture for MANET messaging
JP2006033715A (ja) ネットワークe2e性能評価システムと方法およびプログラム
Aussibal et al. A new distributed IDS based on CVSS framework

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination