CN116915485A - 面向锚点网络的断层扫描方法 - Google Patents
面向锚点网络的断层扫描方法 Download PDFInfo
- Publication number
- CN116915485A CN116915485A CN202311012983.6A CN202311012983A CN116915485A CN 116915485 A CN116915485 A CN 116915485A CN 202311012983 A CN202311012983 A CN 202311012983A CN 116915485 A CN116915485 A CN 116915485A
- Authority
- CN
- China
- Prior art keywords
- anchor point
- data
- meta
- anchor
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000001514 detection method Methods 0.000 claims abstract description 20
- 230000003993 interaction Effects 0.000 claims abstract description 14
- 238000012544 monitoring process Methods 0.000 claims abstract description 13
- 231100000279 safety data Toxicity 0.000 claims description 12
- 230000000694 effects Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 9
- 230000006399 behavior Effects 0.000 claims description 8
- 230000007613 environmental effect Effects 0.000 claims description 7
- 238000001914 filtration Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000013075 data extraction Methods 0.000 claims description 5
- 238000007781 pre-processing Methods 0.000 claims description 4
- 101000826116 Homo sapiens Single-stranded DNA-binding protein 3 Proteins 0.000 claims description 3
- 102100023008 Single-stranded DNA-binding protein 3 Human genes 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000004140 cleaning Methods 0.000 claims description 3
- 230000014509 gene expression Effects 0.000 claims description 3
- 230000033001 locomotion Effects 0.000 claims description 3
- 238000012552 review Methods 0.000 claims description 3
- 230000001960 triggered effect Effects 0.000 claims description 3
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 claims description 2
- 238000005286 illumination Methods 0.000 claims description 2
- 238000012216 screening Methods 0.000 claims description 2
- 230000000007 visual effect Effects 0.000 claims description 2
- 238000013480 data collection Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 24
- 238000003325 tomography Methods 0.000 description 8
- 238000005259 measurement Methods 0.000 description 7
- 238000004088 simulation Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000010276 construction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000004424 eye movement Effects 0.000 description 1
- 230000008921 facial expression Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 230000003997 social interaction Effects 0.000 description 1
- 230000003238 somatosensory effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/131—Protocols for games, networked simulations or virtual reality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开的一种面向锚点网络的断层扫描方法,主要解决现有技术不适用元宇宙网络架构、数据收集效率低、难以实现高鲁棒性网络监测的问题。其包括:启动传感设备,在元宇宙应用中实现基本锚点标定与元宇宙场景交互;通过元宇宙监测应用对锚点属性数据和锚点日志记录进行监控,部署锚点网络入侵检测系统生成告警文件;收集安全情报网站CTI网络威胁情报,以规范文法构造元宇宙网络威胁情报集;采集各传感设备的流量数据,在多个时序下统计传感设备的流量特征,将其与告警文件、情报集融合得到断层扫描结果。本发明能高效收集元宇宙中的多维数据,提高元宇宙网络下对网络监听、信息窃取的攻击抵御能力,可用于对锚点网络入侵行为的检测与告警。
Description
技术领域
本发明属于网络安全技术领域,进一步涉及一种网络断层扫描技术,可用于对元宇宙空间中多维数据的均衡采集,实现对锚点网络入侵行为的检测与告警。
背景技术
元宇宙是一种具有持续性的、多用户的、共享的3D虚拟场景的组合,这些虚拟空间与物理世界相互交织,由物理引擎和虚拟现实技术支撑构建。用户以虚拟形象进入元宇宙,虚拟形象间可以彼此交互,也可与元世界中的事物进行多元化的互动。元宇宙是一个由用户控制的虚拟形象、数字事物、虚拟环境以及其他计算机生成的要素构成的世界。人们可以利用虚拟身份进行交流、协作等社交活动。元宇宙形成的本质是一种“三元实体”的融合对接,即物理世界、网络空间和虚拟世界。
元宇宙的网络架构和传统网络架构存在根本性的差异。元宇宙中包含大量的现实世界和虚拟世界间的信息交换,其中包括从现实世界捕获的感官数据传输至虚拟世界的过程,也包括虚拟世界将元宇宙中物体、环境特征以感知反馈的形式物理响应的过程。
元宇宙网络由如下三部分构成:以虚拟现实设施等物理基础设备为核心的传感器层、涵盖多元化的虚拟场景的元宇宙应用层、连接上述两层实现虚拟世界与现实世界交互融合的锚点网络层。
传感器层是由AR/VR设备以及体感装置等传感器设备构成的物理层级。传感器层为元宇宙提供支持基础设施(包括传感/控制、通信、计算和存储基础设施)支持多感官数据感知、传输、处理、缓存和物理控制,从而实现数字世界和人类世界的高效互动。普遍存在的智能物体、传感器和致动器构成了传感/控制基础设施,以实现全方位和多模态来自环境和人体的数据感知、高精度设备控制。
应用层是元宇宙环境中提供用户VR/AR应用程序服务接口的赛博层级。用户在元宇宙应用场景中的社会互动构成了虚拟世界。用户通过配备智能可穿戴设备,控制自己在元宇宙应用程序中的虚拟化身进行办公、社交、娱乐、商业交易等社会活动,并与元宇宙中其他用户的化身和虚拟实体进行交互。
锚点网络层则是链接应用层和传感器层,实现物理空间与赛博空间的数据交互的网络层级。锚点网络层的北向接口面向虚拟世界中元宇宙服务的相关数据,南向接口则面向现实世界中基础传感器设施的信息物理融合。锚点网络层承载着现实世界与数字世界的通信任务,是元宇宙网络三层架构中的信息枢纽。因此,针对锚点网络层的攻击行为往往会造成元宇宙网络中较为严重的数据泄露和服务瘫痪。
现阶段新型的网络攻击的规模一直在迅速增长,攻击的趋势是采用越来越复杂的攻击策略和多样化的入侵技术。由于元宇宙集成了计算机领域的各种最新技术和系统,它们的脆弱性和内在缺陷也可能被元宇宙所继承,同时,在元宇宙世界将不可避免地大量收集用户的脑电波数据、面部表情、眼球运动、手部运动、语音和生物特征,以及周围环境信息,因此存在着难以预估的安全漏洞与隐私问题。综上所述,未来必将存在具有针对性的多阶段高级持续性威胁,这就意味着检测任务将比以往任何时候都更具挑战性。
Ting He等人在其发表论文Robust monitor placement for networktomography in dynamic networks(Proc.35th Annu.IEEE Int.Conf.Comput.Commun,2016,pp.1–9)中提出了一种断层扫描方案,该方案通过在目标网络拓扑中构建测量路径对的方式,实现链路性能指标的测量,以克服先前测量方案中链路聚合结果不可信的缺陷。但这种方案在面临恶意自治系统、路由器后门感染、节点捕获攻击的情况下,其测量结果与真实情况仍存在一定差距。此外,在当前元宇宙网络环境越来越复杂的背景下,这种断层扫描方案在数据收集效率与实用性上的缺陷越来越明显,不再适用于元宇宙的网络架构。
瑞典爱立信有限公司在其申请号为CN201480083980.4的专利文献中公开一种“网络断层扫描的方法和装置”,其使用网络断层扫描监视网络性能、获得目标网络的拓扑结构及计算监视网络中的多条路径。该方法的实现步骤是,第一步:命令所计算的路径的源节点向所计算的路径的目的地节点发送探测分组,其中所述探测分组在所述网络中经历分段路由;第二步:命令所计算的路径的目的地节点基于由目的地节点接收的探测分组来实行网络性能测量;第三步:从目的地节点接收性能测量数据,使用网络断层扫描推断关于网络中的节点的性能的信息。这种方式由于没有考虑在复杂网络架构下的信息收集效率,鲁棒性较差,因而导致其测量结果易受到网络状态波动的影响和攻击方的恶意干扰,难以应对元宇宙网络中赛博世界与真实世界间海量的数据交互,无法实现元宇宙网络架构下的网络安全状态分析。
发明内容
本发明的目的是针对上述的传统网络断层扫描技术的不足,提出一种面向锚点网络的断层扫描方法,以高效地收集元宇宙中的多维数据,提高元宇宙网络下对网络监听、信息窃取的攻击抵御能力,实现元宇宙网络空间中的信息收集和安全状态分析,提高鲁棒性。
实现本发明目的的具体思路是:通过收集与分析传统网络中的CTI威胁情报、定义元宇宙空间下的实体和关系,以规范的文法格式构建面向元宇宙网络的威胁情报数据集,扩充先验防御知识;通过构建元宇宙网络中的入侵检测规则集,设计针对于元宇宙的入侵检测系统“META-IDS”,实现面向锚点网络层的安全预警;通过采集传感器设备的流量数据并进行流量特征的提取与分析,为元宇宙网络空间中的设备识别和设备安全状态判定工作提供完备的数据支撑。
根据上述思路,本发明的技术方案包括以下步骤:
(1)搭建元宇宙网络环境:
(1a)启动元宇宙传感器设备,通过镜像端口的方式,对不同的传感器设备的流量数据进行均衡采集,过滤出每个设备的目标流,其包括域名解析流DNS、简单
服务发现流SSDP及进入设备的其他本地流量;
(1b)开启会话,向元宇宙服务器发出访问申请,完成应用初始化,以实现后
续对于锚点的操作;
(1c)会话开启后,在用户活动空间中的特定位置上收集环境数据,并以点云的形式获知周围的环境特征,实现对锚点的位置标定;
(1d)标定完成后,每个锚点会在其周围部署一个功能面板和安全数据面板,该功能面板用于控制锚点关联的虚拟现实场景相关操作,该安全数据面板用于对操
作过程中的数据进行展示;
(1e)通过触发锚点功能面板,用户进入锚点连接的虚拟现实场景,通过手势
操作、语音指令与上述虚拟现实场景进行交互;
(1f)共享锚点的用户通过触发“锚点功能面板”上的“共享锚点”功能,以实现对锚点数据的发布,获取锚点的用户在云端下载锚点数据,并在相同的空间位置上生成锚点,实现同一个虚拟现实场景的多用户共同操作;
(2)启动元宇宙监测系统:
(2a)通过触发锚点功能面板上的“锚点数据提取”按键,实现每个锚点的属性信息和用户的日志记录的云端存储,即生成锚点属性数据和锚点日志文件;
(2b)通过先后触发某一锚点功能面板上的“建立连接”选项和另一锚点的“接受连接”选项,对需要场景互动的两个锚点建立“关联关系”,实现这两个锚点间的数据互通;
(2c)基于上述的锚点属性信息字段生成锚点网络拓扑,将多维的锚点数据及
其关联关系以图的形式展现出来,呈现直观的元宇宙网络锚点空间布局;
(2d)通过触发锚点功能面板上的“锚点安全数据展示”选项,读取现有的锚点文件中的信息,将其显示在场景内的安全数据面板上,以进行文件审阅;
(2e)构建元宇宙入侵检测规则集,通过触发锚点功能面板上的“启动META-IDS”功能,系统将循环扫描上述的锚点属性文件和锚点日志文件,若发现异常字段,则将此次触发的相应规则、涉及到的锚点信息、时间信息写入告警文件;
(3)整合断层扫描结果:
(3a)在元宇宙监测系统运行过程中,使用网络爬虫技术批量获取CTI情报网站的威胁情报数据,对收集到的信息进行自定义格式的过滤,依据过滤后的情报数据以规范的文法格式构造元宇宙威胁情报数据集,即元宇宙应用层的扫描结果;
(3b)结束对元宇宙传感设备的流量采集,对收集到的流量数据进行预处理,即在多个时间尺度下统计每个流的“平均数据包大小”和“平均字节传输速率”这
两个关键属性,得到元宇宙传感器层扫描结果;
(3c)从元宇宙传感器的云平台中导出上述保存的“锚点属性文件”、“锚点
日志记录”、“告警文件”,对其合并整理后得到锚点网络层扫描结果;
(3d)使用锚点功能面板上的“清除锚点”完成对该网络锚点相关数据的清理,
结束会话,关闭传感器设备,完成断层扫描工作。
本发明与现有技术相比具有如下优点:
1.信息收集效率高,威胁预警能力强。
现阶段,元宇宙领域还未提出成体系、成规模、具有针对性的入侵检测系统。
本发明提出的元宇宙入侵检测方案能够可靠地收集元宇宙三层网络数据,具备支撑网络透明化表征工作的高适用性的数据预处理功能,提高了元宇宙网络的信息收集效率和威胁预警能力。
2.提高了检测模型的可优化性。
现阶段的网络攻击预防工作中,很少考虑利用CTI威胁情报,这实际上是对实时性的专业知识的浪费。
本发明通过采集并处理CTI网络威胁情报,实现较短时间内的元宇宙网络安全状态评估,以对现有的入侵检测模型进行调整,丰富了现有的元宇宙网络防御先验知识;由于网络威胁情报数据的实时性,检测模型能够持续进行优化完善。
3.流量数据处理的鲁棒性强。
现有的流量采集工作中很少涉及到针对VR/AR设备的特征提取和数据处理的任务。
本发明实现了针对元宇宙传感设备的流量采集和流量特征提取,能够支持后续对于传感设备安全状态的检测工作,提高了传感器设备流量数据处理的鲁棒性。
附图说明
图1是本发明的实现流程图;
图2是用本发明仿真构建的元宇宙CTI威胁情报集效果图;
图3是用本发明仿真扫描元宇宙锚点网络的效果图;
图4是用本发明仿真传感器流量数据处理的效果图,
具体实施方式
以下结合附图,对本发明的实施实施例和效果做进一步描述。
参照图1,本实例的实现步骤包括如下:
步骤1,元宇宙场景搭建。
1.1)在局域网内启用路由器的端口镜像功能,即令所有元宇宙传感器设备的数据流量转发到某一个指定端口,以实现对网络的监听;在这个指定端口连接的主机上,使用Winpcap流量抓取工具,收集多台传感器设备的流量数据,并对MAC地址和流量协议进行过滤,筛选出每台传感设备的目标流,其包括域名解析流DNS、简单服务发现流SSDP及进入设备的其他本地流量;
1.2)开启会话,向元宇宙服务器发出访问申请,完成应用初始化,以实现后续对于锚点的操作;通过锚点功能面板上的“创建锚点”选项完成基本的锚点标定:
在该过程中,系统借助设备的“运动跟踪”特性,收集锚点相对现实世界的坐标位置;
调用设备的“环境理解”接口,收集锚点周围现实世界物体的表面纹理和倾斜角度;
通过设备的“光估测”功能,收集锚点周围的光照信息;
所述这三部分数据收集完毕后,锚点将在空间中实现标定;
1.3)标定完成后,每个锚点会在其周围部署一个功能面板和安全数据面板,该功能面板用于控制锚点关联的虚拟现实场景相关操作,该安全数据面板用于对操作过程中的数据进行展示
1.4)通过触发锚点功能面板上的“进入场景”功能,实现与虚拟现实场景的交互,即在unity C#脚本中将自定义交互行为绑定在元宇宙虚拟现实场景中的物体上,用户对虚拟物体的近距离通过手动抓取、旋转、音频播放这些不同方式与虚拟现实场景进行交互;
1.5)通过触发锚点功能面板上的“共享锚点”功能,将锚点的云属性、传感属性、连接的虚拟现实场景通过云端接口进行共享,并使用另外一台设备,从云端加载这些属性,完成相同空间位置上的虚拟现实场景生成,实现多用户的实时协同操作;
1.6)对于需要进行虚拟现实场景交互的两个锚点,通过锚点面板上的“建立连接”和“接受连接”选项,将二者建立关联关系,准许两者间的数据互通,以实现场景的相互连接。
步骤2,元宇宙监测系统部署。
2.1)通过触发锚点功能面板上的“锚点数据提取”按键,实现每个锚点的属性信息和用户的日志记录的云端存储,即生成锚点属性数据和锚点日志文件,其中锚点属性文件记录了锚点ID、锚点所属账户、锚点权限、锚点创建时间、锚点服务类型、锚点有效期、锚点坐标、锚点姿势、关联锚点ID这些静态属性;锚点日志文件记录了用户在场景中的行为操作;
2.2)对于需要进行虚拟现实场景交互的两个锚点,通过锚点面板上的“建立连接”和“接受连接”选项,将二者建立关联关系,准许两者间的数据互通,以实现场景的相互连接。
2.3)依据锚点属性文件中的“锚点服务类型”、“锚点权限”属性,对全部锚点进行一级分类与二级分类,使用不同的矢量图标代表不同类型的元宇宙应用,根据分类结果生成拓扑图的基本框架;
根据锚点属性文件中的“关联关系”属性,在拓扑图基本框架中生成节点间的连接关系,并将“锚点ID”属性标注在拓扑图中的每个节点下方的位置上;
2.4)通过触发锚点功能面板上的“锚点安全数据展示”选项,读取现有的锚点文件中的信息,将其显示在场景内的安全数据面板上,以进行文件审阅;
2.5)根据入侵检测工具snort的规则集的规范文法格式构建攻击签名集,通过“签名”描述攻击行为的迹象和入侵者可疑行径,通过“策略”描述对于攻击行为的定性,最终得到多条策略,每条策略下包含数条签名;
通过触发锚点功能面板上的“启动META-IDS”功能,系统将循环扫描上述的锚点属性文件和锚点日志文件,若发现异常字段,则将此次触发的相应签名信息、涉及到的锚点信息、时间信息写入告警文件。
步骤3,扫描结果整合。
3.1)定义元宇宙网络中实体之间的基本关系,其中:
所述实体包括元宇宙网络中的“攻击者”、“受害者”、“攻击手段”、“攻击类别”、“虚拟资产”这些对象;
所述基本关系是这些对象在一个攻击事件中的潜在联系;
3.2)批量采集各情报网站的CTI情报数据,并对收集到的数据进行自定义格式的过滤,实现数据持久化;再以规范的文法表达形式,生成包含上述元宇宙实体的多个攻击事件,并对其中涉及到的关键实体在情报文本中的位置进行索引标注,得到元宇宙威胁情报数据集;
3.3)结束对元宇宙传感设备的流量采集,对收集到的流量数据进行预处理,针对5个目标流的流量数据,统计在每一时刻下的1秒内、2秒内、4秒内、8秒内这4个时间尺度上的这些目标流的平均数据包大小和平均字节传输速率这2个属性,最终得到针对每个传感器设备的5*4*2=40个特征的统计结果;
3.4)从元宇宙传感器的云平台中导出上述保存的“锚点属性文件”、“锚点日志记录”、“告警文件”,对其合并整理后得到锚点网络层扫描结果;
3.5)使用锚点功能面板上的“清除锚点”完成对该网络锚点相关数据的清理,结束会话,关闭传感器设备,完成断层扫描工作。
上述步骤的顺序不做限定。
下面结合仿真实验对本发明的效果做进一步的描述:
1.实验条件:
本发明仿真实验中“CTI情报收集”、“元宇宙威胁情报集构建”、“传感器设备流量分析”部分在主机实现,“锚点数据提取”、“META-IDS锚点入侵检测”等部分在Hololens2中实现,部分实验环境配置参数如下:
实验的硬件平台为:处理器为Intel(R)Core(TM)i5-8300H CPU,主频为2.3GHz,机带RAM为8GB,Hololens型号版本为Hololens2:Holographic 23H1/arm64-basedmixedreality device。
软件平台为:Windows11(64位)操作系统和Python3.9,集成开发环境版本为PyCharm 2021.3.1。
2.仿真实验内容与结果分析:
仿真实验1,使用本发明利用从“思科安全舆情中心”采集的多条CTI情报数据,归纳情报数据的规范形式,参照该形式构建文法规范的元宇宙CTI威胁情报数据集,结果如图2,其中:图2(a)为采集CTI威胁情报的数据,图2(b)为构建的元宇宙CTI威胁情报集的结果。
从图2(b)与图2(a)的对比中可以看出,本发明构建的元宇宙CTI威胁情报集与官方威胁情报数据相比,在表达形式上同样具备文法规范、内容完整、实体明确、实体关系清晰特点,两者均可作为检测模型训练数据集,验证了本发明能够实现对元宇宙CTI威胁情报集的构建。
仿真实验2,使用本发明利用锚点功能面板上的“锚点数据提取”功能,生成锚点属性文件和锚点日志记录;利用锚点功能面板上的“启动META-IDS”功能,对锚点文件进行扫描检测;通过读取锚点文件中的相关属性字段,提取锚点间的关联关系,生成锚点网络的拓扑结构图,结果如图3。其中:
图3(a)为提取锚点数据的结果,该结果验证了本发明具备收集锚点数据的能力,即能够在文件中详细记录锚点的各项属性、各项操作,支持后续的入侵检测任务;
图3(b)为生成锚点网络告警文件的结果,该结果验证了本发明具备针对锚点网络的入侵检测的功能,即能够将锚点信息、时间信息、签名信息等详细的告警提示写入到锚点告警文件中;
图3(c)为生成锚点网络拓扑结构的结果,该结果验证了本发明能够根据锚点数据,直观地呈现元宇宙锚点网络拓扑关系。
仿真实验3,使用本发明采集三台元宇宙传感器设备的流量数据,过滤目标协议流并对相关属性进行统计,生成多时序下的流量文件处理结果,结果如图4。
从图4中能够看出一个元宇宙传感设备平均字节传输速率bit和平均数据包大小pac两个特征在1,2,4,8秒的时间序列下的数值变化,验证了本发明具备提取元宇宙传感器流量特征的能力,能够通过处理后的流量统计数据得到设备流量特征随时间推移的变化规律。
以上描述仅是本发明的一个具体实例,并未构成对本发明的任何限制,显然对于本领域的专业人员来说,在了解了本发明的内容和原理后,都有可能在不背离本发明原理、结构的情况下,进行形式和细节上的各种修改和改变,但是这些基于本发明思想修正和改变仍在本发明的权利要求保护范围之内。
Claims (8)
1.一种面向锚点网络的断层扫描方法,其特征在于,包括如下步骤:
(1)搭建元宇宙网络环境:
(1a)启动元宇宙传感器设备,通过镜像端口的方式,对不同的传感器设备的流量数据进行均衡采集,过滤出每个设备的目标流,其包括域名解析流DNS、简单服务发现流SSDP及进入设备的其他本地流量;
(1b)开启会话,向元宇宙服务器发出访问申请,完成应用初始化,以实现后续对于锚点的操作;
(1c)会话开启后,在用户活动空间中的特定位置上收集环境数据,并以点云的形式获知周围的环境特征,实现对锚点的位置标定;
(1d)标定完成后,每个锚点会在其周围自动出现一个功能面板和安全数据面板,该功能面板用于控制锚点关联的虚拟现实场景相关操作,该安全数据面板用于对操作过程中的数据进行展示;
(1e)通过触发锚点功能面板,用户进入锚点连接的虚拟现实场景,通过手势操作、语音指令与上述虚拟现实场景进行交互;
(1f)共享锚点的用户通过触发“锚点功能面板”上的“共享锚点”功能,以实现对锚点数据的发布,获取锚点的用户在云端下载锚点数据,并在相同的空间位置上生成锚点,实现同一个虚拟现实场景的多用户共同操作;
(2)启动元宇宙监测系统:
(2a)通过触发锚点功能面板上的“锚点数据提取”按键,实现每个锚点的属性信息和用户的日志记录的云端存储,即生成锚点属性数据和锚点日志文件;
(2b)通过先后触发某一锚点功能面板上的“建立连接”选项和另一锚点的“接受连接”选项,对需要场景互动的两个锚点建立“关联关系”,实现这两个锚点间的数据互通;(2c)基于上述的锚点属性信息字段生成锚点网络拓扑,将多维的锚点数据及其关联关系以图的形式展现出来,呈现直观的元宇宙网络锚点空间布局;
(2d)通过触发锚点功能面板上的“锚点安全数据展示”选项,读取现有的锚点文件中的信息,将其显示在场景内的安全数据面板上,以进行文件审阅;
(2e)构建元宇宙入侵检测规则集,通过触发锚点功能面板上的“启动META-IDS”功能,系统将循环扫描上述的锚点属性文件和锚点日志文件,若发现异常字段,则将此次触发的相应规则、涉及到的锚点信息、时间信息写入告警文件;
(3)整合断层扫描结果:
(3a)在元宇宙监测系统运行过程中,批量获取CTI情报网站的威胁情报数据,对收集到的信息进行自定义格式的过滤,依据过滤后的情报数据以规范的文法格式构造元宇宙威胁情报数据集,即元宇宙应用层的扫描结果;
(3b)结束对元宇宙传感设备的流量采集,对收集到的流量数据进行预处理,即在多个时间尺度下统计每个流的“平均数据包大小”和“平均字节传输速率”这两个关键属性,得到元宇宙传感器层扫描结果;
(3c)从元宇宙传感器的云平台中导出上述保存的“锚点属性文件”、“锚点日志记录”、“告警文件”,对其合并整理后得到锚点网络层扫描结果;
(3d)使用锚点功能面板上的“清除锚点”完成对该网络锚点相关数据的清理,结束会话,关闭传感器设备,完成断层扫描工作。
2.根据权利要求1所述的方法,其特征在于,步骤(1a)中对不同的传感器设备的流量数据进行均衡采集,包括如下:
在局域网内启用路由器的端口镜像功能,即令所有元宇宙传感器设备的数据流量转发到某一个指定端口,以实现对网络的监听;
在这个指定端口连接的主机上,使用Winpcap流量抓取工具,收集多台传感器设备的流量数据,并对MAC地址和流量协议进行过滤,筛选出每台传感设备的目标流。
3.根据权利要求1所述的方法,其特征在于,步骤(1c)中在用户活动空间中的特定位置上收集环境数据,并以点云的形式获知周围的环境特征,包括如下:
借助设备的“运动跟踪”特性,收集锚点相对现实世界的坐标位置;
调用设备的“环境理解”接口,收集锚点周围现实世界物体的表面纹理和倾斜角度;
通过设备的“光估测”功能,收集锚点周围的光照信息。
4.根据权利要求1所述的方法,其特征在于,步骤(1e)中通过手势操作、语音指令与所述虚拟现实场景进行交互,是先编辑C#脚本,再将自定义交互行为绑定在元宇宙虚拟现实场景中的物体上,通过用户对虚拟物体的近距离手动抓取、旋转、音频播放实现交互操作。
5.根据权利要求1所述的方法,其特征在于,步骤(2c)中基于锚点属性信息字段生成锚点网络拓扑,包括如下:
依据锚点属性文件中的“锚点服务类型”、“锚点权限”属性,对全部锚点进行一级分类与二级分类,使用不同的矢量图标代表不同类型的元宇宙应用,根据分类结果生成拓扑图的基本框架;
根据锚点属性文件中的“关联关系”属性,在拓扑图基本框架中生成节点间的连接关系,并将“锚点ID”属性标注在拓扑图中的每个节点下方的位置上。
6.根据权利要求1所述的方法,其特征在于,步骤(2e)中对构建元宇宙入侵检测规则集,包括如下:
根据入侵检测工具snort的规则集的规范文法格式构建攻击签名集,通过“签名”描述攻击行为的迹象和入侵者可疑行径,通过“策略”描述对于攻击行为的定性,最终得到多条策略,每条策略下包含数条签名。
7.根据权利要求1所述的方法,其特征在于,步骤(3a)中对过滤后的情报数据以规范的文法格式构造元宇宙威胁情报数据集,包括如下:
定义元宇宙网络中实体之间的基本关系,其中,所述实体,包括元宇宙网络中的“攻击者”、“受害者”、“攻击手段”、“攻击类别”、“虚拟资产”这些对象;所述基本关系,为这些对象在一个攻击事件中的潜在联系;
通过规范的文法表达形式,生成包含上述实体的多个攻击事件,并将其中涉及到的关键实体在情报文本中的位置进行索引标注,得到元宇宙威胁情报数据集。
8.根据权利要求3所述的方法,其特征在于,步骤(3b)中对收集到的流量数据进行预处理,是针对5个目标流的流量数据,统计在每一时刻下的1秒内、2秒内、4秒内、8秒内这4个时序中的这些目标流的平均数据包大小和平均字节传输速率这2个属性,最终得到针对每个传感器设备的5*4*2=40个特征的统计结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311012983.6A CN116915485A (zh) | 2023-08-13 | 2023-08-13 | 面向锚点网络的断层扫描方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311012983.6A CN116915485A (zh) | 2023-08-13 | 2023-08-13 | 面向锚点网络的断层扫描方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116915485A true CN116915485A (zh) | 2023-10-20 |
Family
ID=88360224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311012983.6A Pending CN116915485A (zh) | 2023-08-13 | 2023-08-13 | 面向锚点网络的断层扫描方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116915485A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117319226A (zh) * | 2023-11-29 | 2023-12-29 | 中南大学 | 基于元宇宙的数据处理方法、装置、电子设备和存储介质 |
-
2023
- 2023-08-13 CN CN202311012983.6A patent/CN116915485A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117319226A (zh) * | 2023-11-29 | 2023-12-29 | 中南大学 | 基于元宇宙的数据处理方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12074888B2 (en) | Network security monitoring method, network security monitoring device, and system | |
| Wang et al. | Attack detection and distributed forensics in machine-to-machine networks | |
| Jiang et al. | Identifying propagation sources in networks: State-of-the-art and comparative studies | |
| CN104796310B (zh) | 社交通信方法和系统 | |
| Koike et al. | Visualizing cyber attacks using IP matrix | |
| US9686156B2 (en) | Network flow monitoring | |
| CN103999091A (zh) | 地理映射系统安全事件 | |
| CN112202782A (zh) | 一种基于网络流量的暗网用户行为检测方法和系统 | |
| TW498220B (en) | Information security analysis system | |
| CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| US20100269053A1 (en) | Method for security and market surveillance of a virtual world asset through interactions with a real world monitoring center | |
| CN116915485A (zh) | 面向锚点网络的断层扫描方法 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| Cao et al. | Dipot: A distributed industrial honeypot system | |
| CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
| CN117527412A (zh) | 数据安全监测方法及装置 | |
| Qaraqe et al. | PublicVision: A Secure Smart Surveillance System for Crowd Behavior Recognition | |
| Pearlman et al. | Visualizing network security events using compound glyphs from a service-oriented perspective | |
| Nakahara et al. | Malware detection for IoT devices using hybrid system of whitelist and machine learning based on lightweight flow data | |
| CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| CN110198298A (zh) | 一种信息处理方法、装置及存储介质 | |
| CN115834092A (zh) | 一种基于混合式蜜罐的实时入侵防护系统和方法 | |
| KR20120073015A (ko) | 봇의 행위 모니터링 정보 및 봇넷 정보의 시각화 방법 | |
| Wang et al. | Visualization assisted detection of sybil attacks in wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |