技术领域
[0001] 本
发明属于信息安全领域,更具体地,涉及一种基于安全态势感知的传感云双层网络防御系统及方法。
背景技术
[0002] 传感云技术是一种新型的
物联网设备集成管理技术,它在改进物联网高效的利用资源起到重要的作用,他已经广泛应用于车联网数据分发、农业物联网等领域。无
传感器节点通过边缘计算节点和传感云中平台互联组成具有双层通信链路的传感云系统。在此系统中,承载计算业务的虚拟传感服务网络和具有动态拓扑的
无线传感器网络容易受到信息-物理空间的双重攻击。部署在双层传感云网络中的入侵检测系统(IDS)对不确定的双重攻击必须进行协作性防御,才能有效降低系统的安全
风险。
[0003] 目前关于协作IDS防御机制的研究主要通过与邻居节点协作来检测恶意节点,N.Marchang等人利用周围节点投票的方式提出了一种恶意节点识别方法(Collaborative techniques for intrusion detection in mobile ad-hoc networks.Ad Hoc Networks,2008,6(4):508-523.)。面对复杂的攻击,针对资源受限的场景,R.Jin考虑了执行IDS防御策略的配置成本,将协作IDS的配置问题形式化为随机博弈模型(Collaborative IDS Configuration:A two-layer game-theoretic approach.IEEE Transactions on Cognitive Communications and Networking,2018,4(4):803-815.)。针对资源受限的物联网设备,为了提高入侵检测的效率,J.Arshad等人利用资源受限的传感器节点和边缘节点的协作,提出了一种物联网协作IDS
框架(COLIDE:a collaborative intrusion detection framework for Internet ofThings.IET Networks,2019,8(1):3-14.)。针对基于云的物联网安全问题,T.G.Nguyen等人引入
软件定义网络和
机器学习的方法,提出了一种协作、智能的网安全架构(SeArch:A collaborative and intelligent NIDS architecture for SDN-based cloud IoT networks.IEEE Access,2019,7:107678-
107694.)。为了克服传统的IDS孤立检测恶意行为所带来的检测准确性下降问题,Q.Zhu提出了协作检测的IDS架构,使用博弈论协调管理IDS的资源(GUIDEX:A game-theoretic incentive-based mechanism for intrusion detection networks.IEEE Journal on Selected Areas in Communications,2012,30(11):2220-2230.)。M.J.Farooq等人利用随机几何和流行病学理论,开发了一个集成框架来量化异构网络设备之间的可靠信息传播问题,使用该框架根据变化的通信需求重配网络(On the secure and reconfigurable multi-layer network Design for critical information dissemination in the internet of battlefield things(IoBT).IEEE Transactions on Wireless Communications,2018,17(4):2618-2632.)。N.Poolsappasit等人研究了传感云中新的威胁并考虑了安全预部署、安全预处理、安全运行时的攻击以及物理传感器网络层与
虚拟层之间的依赖关系将带来高的安全风险(Challenges in secure sensor-cloud computing.Berlin,Germany:Springer,2011,pp.70–84.)。
[0004] 这些方法存在如下不足:
[0005] (1)由于传感云中的虚拟传感服务网络具有分布式的结构,已提出的方法仅考虑
单层的物理传感器网络层或双层之间的依赖关系,并没有把传感云的这种双层依赖关系应用到协作入侵检测中,并且也不能应对来自传感云双层网络中的协作攻击模式。因此,需要在传感云双层网络中分布式部署IDS并协作传递共享的异常消息来应对这种攻击方式。
[0006] (2)由于恶意节点为了隐藏自己的攻击意图,对传感云中受攻击节点及其所在的网络空间
位置的选择随时间不断变化,导致入侵检测策略执行的不确定性,已有的研究主要集中在提高检测的准确率和IDS资源分配上,并没有考虑攻击者选择攻击节点和位置的不确定性。
[0007] (3)为了提高虚拟传感服务网络和物理传感器网络对安全威胁的感知能
力和防御效能,IDS的防御策略需根据不同攻击程度下产生的异常消息的态势灵活地配置。已提出的方法主要集中在网络的重配上,未通过对IDS产生异常消息的变化来感知攻击态势并重配置IDS,提高不确性攻击态势的预测效率和资源约束条件下的IDS防御效能。
发明内容
[0008] 针对
现有技术的以上
缺陷或改进需求,本发明提供了一种基于安全态势感知的传感云双层网络防御系统和方法,其目的在于通过协作IDS产生异常消息的扩散态势捕获,对PV双层网络中异常消息驱动的安全态势进行
跟踪感知,从而基于双
阈值触发的IDS防御策略重配,由此解决现有技术不能应对来自传感双层网络中的协作攻击的技术问题。
[0009] 为实现上述目的,按照本发明的一个方面,提供了一种基于安全态势感知的传感云双层网络防御系统,包括:
[0010] 多个用于捕获和转发异常消息的物理无线传感器网络入侵检测器、多个用于捕获和转发异常消息的虚拟传感服务网络入侵检测器、物理无线传感器网络安全态势感知器、虚拟传感服务网络安全态势感知器、以及双层安全态势感知器;
[0011] 所述物理无线传感器网络入侵检测器服从泊松过程的部署在物理无线传感器网络层的簇头节点上;所述虚拟传感服务网络入侵检测器服从泊松过程的部署在虚拟传感服务网络的
虚拟机节点上;所述物理无线传感器网络安全态势感知器、虚拟传感服务网络安全态势感知器、以及双层安全态势感知器部署在所述传感云双层网络的控制节点上;
[0012] 所述物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器通过边缘计算节点交换异常消息;所述物理无线传感器网络入侵检测器之间通过无线信道转发异常消息;所述虚拟传感服务网络入侵检测器之间通过虚拟连接转发异常消息。
[0013] 优选地,所述传感云双层网络防御系统,其所述物理无线传感器网络入侵检测器其监控度分布与所述物理无线传感器网络层的簇头节点的度分布相同;所述虚拟传感服务网络入侵检测器其监控度分布与所述虚拟传感服务网络的簇头节点的度分布相同。
[0014] 优选地,所述传感云双层网络防御系统,其所述物理无线传感器网络安全态势感知器,用于根据所述物理无线传感器网络入侵检测器报告的异常消息,感知物理无线传感器网络层的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器的防御策略。
[0015] 优选地,所述传感云双层网络防御系统,其所述虚拟传感服务网络安全态势感知器,用于根据所述虚拟传感服务网络入侵检测器报告的异常消息,感知虚拟传感服务网络的安全态势,并根据安全态势感知结果配置虚拟传感服务网络入侵检测器的防御策略。
[0016] 优选地,所述传感云双层网络防御系统,其所述双层安全态势感知器,用于根据:边缘计算节点报告的所述物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器之间交换的异常消息、无线信道转发的所述物理无线传感器网络入侵检测器之间协作交换的异常消息、以及虚拟连接转发的所述虚拟传感服务网络入侵检测器之间协作交换的异常消息,感知双层网络的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器的防御策略。
[0017] 按照本发明的另一个方面,提供了一种基于安全态势感知的传感云双层网络防御方法,包括以下步骤:
[0018] 在相应感知时间内,对所述传感云双层网络中的物理无线传感器网络层、和虚拟传感服务网络分别以及同时,捕获其异常消息传播的动态性并感知其安全态势,根据所述安全态势对其进行防御。
[0019] 优选地,所述传感云双层网络防御方法,其采用流行病传播模型捕获其异常消息传播的动态性;进行平均动力场博弈分析感知其安全态势。
[0020] 优选地,所述传感云双层网络防御方法,其在物理无线传感器网络层感知时间τ12内,对所述传感云双层网络中的物理无线传感器网络层,根据其异常消息传播的动态性感知安全态势,并根据所述安全态势对其进行防御;
[0021] 所述物理无线传感器网络层感知时间τ12,按照以下方法计算:
[0022]
[0023] 其中,N1为P层网络的节点个数,k1是部署在簇头节点上的所述物理无线传感器网络入侵检测器监控的连接度,所述物理无线传感器网络入侵检测器监控的连接度分布为:p1为PIDS开启监控策略的概率,PIDS部署的
密度为 r1为
PIDS的通信范围;所述物理无线传感器网络入侵检测器监控的连接平均度为
=E(I1)=p1λ1πr12, 表示P层网络中具有连接度为k1的入侵检测器协作
感知其所监控的连接上有可疑行为并产生异常消息的变化率; 表示P层网络中具有连接度为k1的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
[0024] 所述对所述传感云双层网络中的物理无线传感器网络层,根据其异常消息传播的动态性感知安全态势,并根据所述安全态势对其进行防御,具体包括以下步骤:
[0025] (P1)使用流行病扩散模型捕获所述物理无线传感器网络入侵检测器检测并估计到的物理无线传感器网络层产生异常的网络安全阈值ξa1,进入步骤(P2);所述物理无线传感器网络层产生异常的网络安全阈值为PIDS检测到的异常消息占所有消息的比例;
[0026] (P2)使用平均动力场博弈根据步骤(P1)获得的估计的物理无线传感器网络层产生异常的网络安全阈值ξa1,感知所述物理无线传感器网络层的安全态势是否处于风险状态;所述物理无线传感器网络层的安全态势处于风险状态,即所述步骤(P1)估计的P层产生异常的网络安全阈值ξa1超过PIDS产生异常的网络安全阈值Ma1,所述PIDS产生异常的网络安全阈值Ma1使得物理无线传感器网络层网络中异常消息的产生和终止处于均衡状态;具体地:
[0027] 所述物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1,按照如下方法计算:
[0028]
[0029] 其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例;
[0030] 当ξa1≥Ma1时,即感知所述物理无线传感器网络层的安全态势处于风险状态,即所述物理无线传感器网络层发生网络攻击事件,进入步骤(P3);否则,感知所述物理无线传感器网络层的安全态势处于安全状态,进入步骤(P1);
[0031] (P3)重配所述物理无线传感器网络入侵检测器签名验证策略,阻断恶意数据包的传输和非法节点的持续接入传感云边缘节点,进入步骤(P1)。
[0032] 优选地,所述传感云双层网络防御方法,其在虚拟传感服务网络层感知时间τ21内,对所述传感云双层网络中的虚拟传感服务网络层,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
[0033] 所述虚拟传感服务网络层感知时间τ21,按照以下方法计算:
[0034]
[0035] 其中,N2为V层网络的节点个数,k2是部署在虚拟机节点上的所述虚拟传感服务网络入侵检测器监控的连接度,所述虚拟传感服务网络入侵检测器监控的连接度分布为:p2为VIDS开启监控的概率,VIDS部署的密度为 b2为部
署在虚拟机节点上的VIDS的虚拟链路带宽;所述虚拟传感服务网络入侵检测器监控连接平均度为 表示V层网络中具有连接
度为k2的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;β2表示V层网络中具有连接度为k2的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
[0036] 所述对所述传感云双层网络中的虚拟传感服务网络层,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
[0037] (V1)使用流行病扩散模型捕获所述虚拟传感服务网络入侵检测器检测并估计到的虚拟传感服务网络层产生异常的网络安全阈值ξa2,进入步骤(V2);所述估计的虚拟传感服务网络层产生异常的网络安全阈值为VIDS检测到的异常消息占所有消息的比例;
[0038] (V2)使用平均动力场博弈根据步骤(V1)获得的虚拟传感服务网络层产生异常的网络安全阈值ξa2,感知所述虚拟传感服务网络层的安全态势是否处于风险状态;所述虚拟传感服务网络层的安全态势处于风险状态,即所述步骤(V1)估计的虚拟传感服务网络层产生异常的网络安全阈值ξa2超过VIDS产生异常的网络安全阈值Ma2,所述VIDS产生异常的网络安全阈值Ma2使得虚拟传感服务网络层网络中异常消息的产生和终止处于均衡状态;具体地:
[0039] 所述虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2,按照如下方法计算:
[0040]
[0041] 其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例;
[0042] 当ξa2≥Ma2时,即感知所述虚拟传感服务网络层的安全态势处于风险状态,即所述虚拟传感服务网络层发生网络攻击事件,进入步骤(V3);否则,感知所述虚拟传感服务网络层的安全态势处于安全状态,进入步骤(V1);
[0043] (V3)重配所述虚拟传感服务网络入侵检测器中计算密集型分析功能模
块,进入步骤(V1)。
[0044] 优选地,所述传感云双层网络防御方法,其在传感云双层网络感知时间τ=τ12+τ21内,对所述传感云双层网络中的传感云双层网络,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
[0045] 所述传感云双层网络感知时间τ=τ12+τ21。
[0046] 所述对所述传感云双层网络中的传感云双层网络,根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
[0047] (D1)使用流行病扩散模型同时捕获所述传感云双层网络入侵检测器(IDS)检测并估计到的传感云双层网络产生异常的网络安全阈值ξa1,a2,进入步骤(D2);所述估计的传感云双层网络产生异常的网络安全阈值为IDS检测到的异常消息占所有消息的比例;
[0048] (D2)使用平均动力场博弈根据步骤(D1)获得的估计的传感云双层网络产生异常的网络安全阈值ξa1,a2,感知所述传感云双层网络的安全态势是否处于风险状态;所述传感云双层网络的安全态势处于风险状态,即所述步骤(D1)估计的传感云双层网络产生异常的网络安全阈值ξa1,a2超过传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2使得传感云双层网络网络中异常消息的产生和终止处于均衡状态。具体地:
[0049] 所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,按照如下方法计算:
[0050]
[0051] 其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例。
[0052] 当ξa1,a2≥Ma1,a2时,即感知所述传感云双层网络的安全态势处于风险状态,即所述传感云双层网络发生网络攻击事件,进入步骤(D3);否则,感知所述传感云双层网络的安全态势处于安全状态,进入步骤(D1);
[0053] (D3)重配置PIDS向虚拟传感服务网络的所述虚拟传感服务网络入侵检测器提交检测样本,重配并启动所述虚拟传感服务网络入侵检测器中计算密集型分析功能模块,进入步骤(D1)。
[0054] 总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
[0055] 本发明通过IDS协作检测异常消息并在双层网络中跟踪异常消息的动态变化趋势,从而感知双层网络的不确定性威胁的攻击态势。本发明结合平均动力场博弈和流行病模型开发了安全态势感知框架去模型化双层网络中异常消息的状态变化并感知双层网络的安全态势,预测传感云双层网络安全态势切换感知阈值和异常消息数阈值,从而确定受攻击状态并重配IDS防御策略。
附图说明
[0056] 图1是本发明
实施例1提供的基于安全态势感知的传感云双层网络防御系统结构示意图;
[0057] 图2是本发明实施例1提供的IDS协作监测连接示意图;
[0058] 图3是本发明实施例1提供的双层网络安全态势交互状态示意图;
[0059] 图4是本发明实施例2提供的基于安全态势感知的传感云双层网络防御方法
流程图。
具体实施方式
[0060] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0061] 本文结合流行病扩散模型和平均动力场博弈分析传感云双层网络异常消息的变化过程,克服已提出方法的不足,提供一个新视
角来感知传感云双层网络安全变化态势并设计高效的协作防御机制。主要贡献总结如下:(1)提出新的感知安全态势的博弈模型,用来刻画分析传感云节点的安全状态和PIDS和VIDS产生异常消息的行为。(2)提出了一个双层的PIDS和VIDS协作安全态势感知框架,使用流行病传染模型分析和计算双层网络中异常消息的变化状态,从而了解安全态势。由于网络异常和攻击时很难区分,根据双层网络中产生异常的网络安全阈值来判断网络攻击态势,从而对不确定攻击的防御策略重配。(3)在PIDS和VIDS防御策略重配中,本发明考虑了资源约束条件,提高了防御系统的效能。
[0062] 本发明提供的基于安全态势感知的传感云双层网络防御系统,包括:
[0063] 多个用于捕获和转发异常消息的物理无线传感器网络入侵检测器(PIDS)、多个用于捕获和转发异常消息的虚拟传感服务网络入侵检测器(VIDS)、物理无线传感器网络安全态势感知器(PSSA)、虚拟传感服务网络安全态势感知器(VSSA)、以及双层安全态势感知器(DSSA);
[0064] 所述物理无线传感器网络入侵检测器(PIDS),服从泊松过程的部署在物理无线传感器网络层(P层)的簇头节点上,其监控度分布与所述物理无线传感器网络层(P层)的簇头节点的度分布相同;所述虚拟传感服务网络入侵检测器(VIDS),服从泊松过程的部署在虚拟传感服务网络(V层)的虚拟机节点上,其监控度分布与所述虚拟传感服务网络(V层)的簇头节点的度分布相同;所述物理无线传感器网络安全态势感知器(PSSA)、虚拟传感服务网络安全态势感知器(VSSA)、以及双层安全态势感知器(DSSA)部署在所述传感云双层网络的控制节点上。
[0065] 所述物理无线传感器网络入侵检测器(PIDS)和虚拟传感服务网络入侵检测器(VIDS)通过边缘计算节点交换异常消息;所述物理无线传感器网络入侵检测器(PIDS)之间通过无线信道转发异常消息;所述虚拟传感服务网络入侵检测器(VIDS)之间通过虚拟连接转发异常消息。
[0066] 所述物理无线传感器网络安全态势感知器(PSSA),用于根据所述物理无线传感器网络入侵检测器(PIDS)报告的异常消息,感知物理无线传感器网络层的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器的防御策略;所述虚拟传感服务网络安全态势感知器(VSSA),用于根据所述虚拟传感服务网络入侵检测器(VIDS)报告的异常消息,感知虚拟传感服务网络的安全态势,并根据安全态势感知结果配置虚拟传感服务网络入侵检测器的防御策略;所述双层安全态势感知器(DSSA),用于根据:边缘计算节点报告的所述物理无线传感器网络入侵检测器(PIDS)和虚拟传感服务网络入侵检测器(VIDS)之间交换的异常消息、无线信道转发的所述物理无线传感器网络入侵检测器(PIDS)之间协作交换的异常消息、以及虚拟连接转发的所述虚拟传感服务网络入侵检测器(VIDS)之间协作交换的异常消息,感知双层网络的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器的防御策略。
[0067] 本发明提供的一种基于安全态势感知的传感云双层网络防御方法,包括以下步骤:
[0068] 在相应感知时间内,对所述传感云双层网络中的物理无线传感器网络层(P层)、和虚拟传感服务网络(V层)分别以及同时,采用流行病传播模型捕获其异常消息传播的动态性并进行平均动力场博弈分析感知其安全态势,根据所述安全态势对其进行防御。具体地:
[0069] P:在物理无线传感器网络层(P层)感知时间τ12内,对所述传感云双层网络中的物理无线传感器网络层(P层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
[0070] 所述物理无线传感器网络层(P层)感知时间τ12,按照以下方法计算:
[0071]
[0072] 其中,N1为P层网络的节点个数,k1是部署在簇头节点上的所述物理无线传感器网络入侵检测器(PIDS)监控的连接度,所述物理无线传感器网络入侵检测器(PIDS)监控的连接度分布为: p1为PIDS开启监控策略的概率,PIDS部署的密度为r1为PIDS的通信范围;所述物理无线传感器网络入侵检测器(PIDS)监控连接平均
2
度为=E(I1)=p1λ1πr1 , 表示P层网络中具有连接度为
k1的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率; 表示P层网络中具有连接度为k1的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
[0073] 所述对所述传感云双层网络中的物理无线传感器网络层(P层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
[0074] (P1)使用流行病扩散模型捕获所述物理无线传感器网络入侵检测器(PIDS)检测并估计到的物理无线传感器网络层(P层)产生异常的网络安全阈值ξa1,进入步骤(P2);所述物理无线传感器网络层产生异常的网络安全阈值为PIDS检测到的异常消息占所有消息的比例;
[0075] (P2)使用平均动力场博弈根据步骤(P1)获得的估计的物理无线传感器网络层(P层)产生异常的网络安全阈值ξa1,感知所述物理无线传感器网络层(P层)的安全态势是否处于风险状态;所述物理无线传感器网络层(P层)的安全态势处于风险状态,即所述步骤(P1)估计产生异常的网络安全阈值ξa1超过物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1,所述物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1使得物理无线传感器网络层(P层)网络中异常消息的产生和终止处于均衡状态。
[0076] 具体地:
[0077] 所述物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1,按照如下方法计算:
[0078]
[0079] 其中,k1表示物理无线传感器网络层(P层)网络中所述物理无线传感器网络入侵检测器(PIDS)所监控的连接度;θ1表示物理无线传感器网络层(P层)中所述物理无线传感器网络入侵检测器(PIDS)产生异常消息的比例;k2表示虚拟传感服务网络(V层)中所述虚拟传感服务网络入侵检测器(VIDS)所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器(VIDS)产生异常消息的比例。
[0080] 当ξa1≥Ma1时,即感知所述物理无线传感器网络层(P层)的安全态势处于风险状态,即所述物理无线传感器网络层(P层)发生网络攻击事件,进入步骤(P3);否则,感知所述物理无线传感器网络层(P层)的安全态势处于安全状态,进入步骤(P1);
[0081] (P3)重配所述物理无线传感器网络入侵检测器(PIDS)签名验证策略,阻断恶意数据包的传输和非法节点的持续接入传感云边缘节点,进入步骤(P1)。
[0082] V:在虚拟传感服务网络层(V层)感知时间τ21内,对所述传感云双层网络中的虚拟传感服务网络层(V层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
[0083] 所述虚拟传感服务网络层(V层)感知时间τ21,按照以下方法计算:
[0084]
[0085] 其中,N2为V层网络的节点个数,k2是部署在虚拟机节点上的所述虚拟传感服务网络入侵检测器(VIDS)监控的连接度,所述虚拟传感服务网络入侵检测器(VIDS)监控的连接度分布为: p2为VIDS开启监控的概率,VIDS部署的密度为b2为部署在虚拟机节点上的VIDS的虚拟链路带宽;所述虚拟传感服务网络入侵检测器(VIDS)监控连接平均度为 表
示V层网络中具有连接度为k2的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;β2表示V层网络中具有连接度为k2的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
[0086] 所述对所述传感云双层网络中的虚拟传感服务网络层(V层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
[0087] (V1)使用流行病扩散模型捕获所述虚拟传感服务网络入侵检测器(VIDS)检测并估计到的虚拟传感服务网络层(V层)产生异常的网络安全阈值ξa2,进入步骤(V2);所述估计的虚拟传感服务网络层产生异常的网络安全阈值为VIDS检测到的异常消息占所有消息的比例;
[0088] (V2)使用平均动力场博弈根据步骤(V1)估计的虚拟传感服务网络层(V层)产生异常的网络安全阈值ξa2,感知所述虚拟传感服务网络层(V层)的安全态势是否处于风险状态;所述虚拟传感服务网络层(V层)的安全态势处于风险状态,即所述步骤(V1)估计到的虚拟传感服务网络层(V层)产生异常的网络安全阈值ξa2超过虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2,所述虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2使得虚拟传感服务网络层(V层)中异常消息的产生和终止处于均衡状态。具体地:
[0089] 所述虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2,按照如下方法计算:
[0090]
[0091] 其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例;
[0092] 当ξa2≥Ma2时,即感知所述虚拟传感服务网络层(V层)的安全态势处于风险状态,即所述虚拟传感服务网络层(V层)发生网络攻击事件,进入步骤(V3);否则,感知所述虚拟传感服务网络层(V层)的安全态势处于安全状态,进入步骤(V1);
[0093] (V3)重配所述虚拟传感服务网络入侵检测器(VIDS)中计算密集型分析功能模块,进入步骤(V1)。
[0094] D:在传感云双层网络(双层)感知时间τ=τ12+τ21内,对所述传感云双层网络中的传感云双层网络(双层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御;
[0095] 所述传感云双层网络(双层)感知时间τ=τ12+τ21。
[0096] 所述对所述传感云双层网络中的传感云双层网络(双层),根据其异常消息传播的动态性感知安全态势,并跟根据所述安全态势对其进行防御,具体包括以下步骤:
[0097] (D1)使用流行病扩散模型同时捕获所述传感云双层网络入侵检测器(IDS)检测并估计到的传感云双层网络(双层)产生异常的网络安全阈值ξa1,a2,进入步骤(D2);所述估计的传感云双层网络产生异常的网络安全阈值为IDS检测到的异常消息占所有消息的比例;
[0098] (D2)使用平均动力场博弈根据步骤(D1)估计的传感云双层网络(双层)产生异常的网络安全阈值ξa1,a2,感知所述传感云双层网络(双层)的安全态势是否处于风险状态;所述传感云双层网络(双层)的安全态势处于风险状态,即所述步骤(D1)估计的传感云双层网络(双层)产生异常的网络安全阈值ξa1,a2超过传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2使得传感云双层网络(双层)网络中异常消息的产生和终止处于均衡状态。具体地:
[0099] 所述传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,按照如下方法计算:
[0100]
[0101] 其中,k1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器所监控的连接度;θ1表示物理无线传感器网络层网络中所述物理无线传感器网络入侵检测器产生异常消息的比例;k2表示虚拟传感服务网络网络中所述虚拟传感服务网络入侵检测器所监控的连接度;θ2表示虚拟传感服务网络中所述虚拟传感服务网络入侵检测器产生异常消息的比例。
[0102] 当ξa1,a2≥Ma1,a2时,即感知所述传感云双层网络(双层)的安全态势处于风险状态,即所述传感云双层网络(双层)发生网络攻击事件,进入步骤(D3);否则,感知所述传感云双层网络(双层)的安全态势处于安全状态,进入步骤(D1);
[0103] (D3)重配置PIDS向虚拟传感服务网络(V层)的所述虚拟传感服务网络入侵检测器(VIDS)提交检测样本,重配并启动所述虚拟传感服务网络入侵检测器(VIDS)中计算密集型分析功能模块,进入步骤(D1)。
[0104] 以下为实施例:
[0105] 实施例1
[0106] 一种基于安全态势感知的传感云双层网络防御系统,如图1所示,包括:
[0107] 多个用于捕获和转发异常消息的物理无线传感器网络入侵检测器(PIDS)、多个用于捕获和转发异常消息的虚拟传感服务网络入侵检测器(VIDS)、物理无线传感器网络安全态势感知器(PSSA)、虚拟传感服务网络安全态势感知器(VSSA)、以及双层安全态势感知器(DSSA);
[0108] 所述物理无线传感器网络入侵检测器(PIDS),服从泊松过程的部署在物理无线传感器网络层(P层)的簇头节点上,其监控度分布与所述物理无线传感器网络层(P层)的簇头节点的度分布相同;虚拟传感服务网络入侵检测器(VIDS),服从泊松过程的部署在虚拟传感服务网络(V层)的虚拟机节点上,其监控度分布与所述虚拟传感服务网络(V层)的虚拟机节点的度分布相同;所述物理无线传感器网络安全态势感知器(PSSA)、虚拟传感服务网络安全态势感知器(VSSA)、以及双层安全态势感知器(DSSA)部署在所述传感云双层网络的控制节点上。
[0109] 所述物理无线传感器网络入侵检测器(PIDS)和虚拟传感服务网络入侵检测器(VIDS)通过边缘计算节点交换异常消息;所述物理无线传感器网络入侵检测器(PIDS)之间通过无线信道转发异常消息;所述虚拟传感服务网络入侵检测器(VIDS)之间通过虚拟连接转发异常消息。
[0110] 所述物理无线传感器网络安全态势感知器(PSSA),用于根据所述物理无线传感器网络入侵检测器(PIDS)报告的异常消息,感知物理无线传感器网络层的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器的防御策略;所述虚拟传感服务网络安全态势感知器(VSSA),用于根据所述虚拟传感服务网络入侵检测器(VIDS)报告的异常消息,感知虚拟传感服务网络的安全态势,并根据安全态势感知结果配置虚拟传感服务网络入侵检测器的防御策略;所述双层安全态势感知器(DSSA),用于根据:边缘计算节点报告的所述物理无线传感器网络入侵检测器(PIDS)和虚拟传感服务网络入侵检测器(VIDS)之间交换的异常消息、无线信道转发的所述物理无线传感器网络入侵检测器(PIDS)之间协作交换的异常消息、以及虚拟连接转发的所述虚拟传感服务网络入侵检测器(VIDS)之间协作交换的异常消息,感知双层网络的安全态势,并根据安全态势感知结果配置物理无线传感器网络入侵检测器和虚拟传感服务网络入侵检测器的防御策略。具体地:
[0111] 按照PIDS和VIDS的监控度分布,我们使用流行病扩散模型去捕获被监控节点发送出的异常消息,利用平均动力场博弈分析稳定状态时IDS产生异常消息的行为。在传感云双层网络中,使用传染病模型分析的结果作为PIDS和VIDS防御策略重配的决策依据来确保PIDS和VIDS在不确定性攻击和资源约束条件下自适应防御恶意攻击。为了实现传感云双层网络中IDS间的协作防御,IDS之间交换并共享异常消息,从而决策其受攻击的态势,并为其配置相应的防御功能模块。
[0112] 传感云中双层网络的部署服从泊松分布,PIDS和VIDS的部署服从参数为λ的泊松过程。IDS的位置和类型描述为Δ={Li,Oi},这里Li表示IDS部署的网络位置,且Li∈{1,2},Li=1表示IDS部署在物理传感器网络层,Li=2表示IDS部署在虚拟传感服务层。Oi∈{1,2},Oi=1表示IDS为PIDS类型,他运行在物理传感器网络层的簇头节点上。Oi=2表示IDS为VIDS类型,他运行在虚拟传感服务网络的出口VM节点或入口VM节点上(即簇头节点)。PIDS和VIDS之间通过边缘节点作为中继相互交换异常消息。在传感云双层网络中,假设IDS为Oi=1型的PIDS开启监控策略的概率p1,且在物理传感器网络层开启监控策略的PIDS集合表示为Δ1={Li=1,Oi=1},PIDS部署的密度为 同理IDS为Oi=2型的VIDS开启监控的概率为p2,且在虚拟传感服务网络层的VIDS结合表示为Δ2={Li=2,Oi=2},VIDS部署的密度为 PIDS之间通过无线信道转发异常消息;VIDS之间通过虚拟连接转发异常消息;
PIDS和VIDS之间通过边缘计算节点交换异常消息。部署在簇头节点上PIDS的通信范围为r1,部署在虚拟机节点上的VIDS的虚拟链路带宽为b2。参数r1和b2分别决定了PIDS和VIDS可监控的连接度。
[0113] 传感云环境下IDS所监控的连接度分布分析:
[0114] IDS监控连接度分布包括:物理传感器网络层中监控的连接度分布、虚拟传感服务网络中的监控连接度分布、双层网络监控连接度分布。在部署IDS的传感云双层网络中,处于激活状态的IDS之间相互转发产生的异常消息来报告网络的攻击态势。一个IDS所能监控的连接是由其所在节点的度决定的。令Im,m∈{1,2}表示IDS所部署节点的度分布。由于物理传感器网络层节点部署服从泊松分布,部署在簇头节点上的PIDS监控的连接度分布k1是一个泊松随机变量,PIDS监控的连接度分布表示如下
[0115]
[0116] 对于足够大的参数值λ1,r1,P层的PIDS监控连接平均度为=E(I1)=p1λ1πr12。
[0117] 同理对于虚拟传感服务网络层中VIDS监控的连接度分布为
[0118]
[0119] 对于足够大的参数值λ2,b2,V层的VIDS监控连接平均度为:
[0120]
[0121] 传感云双层网络监控连接的平均度分布为
[0122]
[0123] 本实施例提供的基于安全态势感知的传感云双层网络防御系统,其安全态势感知模型,按照以下分析获得:
[0124] 异常消息传播的动态性:
[0125] 在传感云的P层和V层部署的IDS产生的异常消息传输给同层或不同层的IDS。控制节点需要这些共享的异常消息来决策开启或切换相应的防御功能模块。由于IDS随机产生异常消息,本发明使用流行病扩散模型和平均动力场统计和分析异常消息的变化情况及IDS产生异常消息的监控行为。具有连接度为k的IDS所监控的连接有两种状态,产生异常消息状态gk或未产生异常消息状态qk。IDS使用了传染病模型来跟踪双层网络中IDS产生和广播异常消息的动态过程。为了预测双层网络的安全态势,IDS之间协作传递和报告异常消息。IDS协作监测连接示意如图2所示。其中连接1,2,3被PIDS成功捕获和防御。连接5是来自同一层网络协作IDS产生的异常消息,连接4是来自不同层网络协作IDS产生的异常消息。
[0126] 异常消息共享的双层网络协作安全态势感知分析:
[0127] 为了降低耦合性,在安全态势感知方程中只跟踪P层网络或V层网络中的异常消息。但是传感云是一个双层耦合的信息交换网络。如果P层网络和V层网络同时受到协作攻击时,单层切换态势感知不能进行联合协作防御。因此,通过双层网络中的IDS协作跟踪攻击产生的共享异常信息流可有效防御双层攻击。在传感云双层网络攻击中,攻击者可能对P和V层网络同时发起攻击,导致IDS监控器中产生的异常信息流同时变化,或者单层先变化,然后双层同时变化。为了更好地分析双层攻击,我们把双层攻击态势的变化分成四个状态,其
状态空间为S={Se1,e2,Sa1,e2,Se1,a2,Sa1,a2},其中,Se1,e2表示P层和V层网络均未产生异常消息;Sa1,e2表示P层网络产生异常消息,V层网络未产生异常消息;Se1,a2表示P层网络未产生异常消息,V层网络产生异常消息;Sa1,a2表示P层和V层网络均产生异常消息。这些状态变量表示为在传感云中P层和V层网络中IDS状态比例。为了模型化双层网络中IDS协作跟踪攻击异常消息流的变化态势,我们使用传染病模型分析双层交互状态图,如图3所示。在图3中给出了这个四个状态的转移图。图中,k1表示P层网络中PIDS所监控的连接度。θ1表示P层网络中PIDS产生异常消息的比例。k2表示V层网络中VIDS所监控的连接度。θ2表示V层网络中VIDS产生异常消息的比例。箭头上的标识表示状态转移概率。
[0128] 实施例2
[0129] 应用实施例1提供的系统的基于安全态势感知的传感云双层网络防御方法,如图4所示,包括以下步骤:
[0130] (1)IDS中心
控制器先初始化安全态势感知空间为P层网络,即Li=1;
[0131] (P1)在PIDS上统计异常消息并估计产生异常的网络安全阈值ξa1,进入步骤(P2);所述物理无线传感器网络层产生异常的网络安全阈值为PIDS检测到的异常消息占所有消息的比例;
[0132] (P2)所述物理无线传感器网络安全态势感知器(PSSA)感知异物理无线传感器网络层PIDS产生异常的网络安全阈值Ma1,并感知P层的安全态势:如果ξa1≥Ma1,则判断在P层网络发生大规模攻击,进行步骤(P3),否则进入步骤(P1);其中
[0133] (P3)所述物理无线传感器网络安全态势感知器(PSSA)重配PIDS签名验证策略,阻断恶意数据包的传输和非法节点的持续接入传感云边缘节点,如果未达到时间阈值τ1=τ12则进入步骤(P1);否则,即P层网络安全态势感知时间阈值τ1=τ12到达,进入步骤(2);其中,其中,N1为P层网络的节点个数,k1是部署在簇头节点上的所述物理无线传感器网络入侵检测器(PIDS)监控的连接度,所述物理无线传感器网络入侵检测器(PIDS)监控的连接度分布为: p1为PIDS开启监控策略的概率,
PIDS部署的密度为 r1为PIDS的通信范围;所述物理无线传感器网络入侵检测器(PIDS)监控连接平均度为〈k1〉=E(I1)=p1λ1πr12, 表示P层
网络中具有连接度为k1的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率; 表示P层网络中具有连接度为k1的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
[0134] (2)IDS中心控制器先初始化安全态势感知空间为V层网络,即Li=2;
[0135] (V1)在VIDS上统计异常消息并估计产生异常的网络安全阈值ξa2,进入步骤(V2);所述估计的虚拟传感服务网络层产生异常的网络安全阈值为VIDS检测到的异常消息占所有消息的比例;
[0136] (V2)所述虚拟传感服务网络安全态势感知器(VSSA)感知虚拟传感服务网络层VIDS产生异常的网络安全阈值Ma2,并感知V层的安全态势:如果ξa2≥Ma2,则判断在V层网络发生大规模攻击,进行步骤(V3),否则进入步骤(V1);其中
[0137] (V3)所述虚拟传感服务网络安全态势感知器(VSSA)重配VIDS中计算密集型分析功能模块,如果未达到时间阈值τ2=τ21则进入步骤(V1);否则,即V层网络安全态势感知时间阈值τ2=τ21到达,进入步骤(3);其中,
[0138]
[0139] 其中,N2为V层网络的节点个数,k2是部署在虚拟机节点上的所述虚拟传感服务网络入侵检测器(VIDS)监控的连接度,所述虚拟传感服务网络入侵检测器(VIDS)监控的连接度分布为: p2为VIDS开启监控的概率,VIDS部署的密度为b2为部署在虚拟机节点上的VIDS的虚拟链路带宽;所述虚拟传感服务网络入侵检测器(VIDS)监控连接平均度为 表
示V层网络中具有连接度为k2的入侵检测器协作感知其所监控的连接上有可疑行为并产生异常消息的变化率;β2表示V层网络中具有连接度为k2的入侵检测器感知到其所监控的连接状态由产生异常变为未产生异常的变化率;
[0140] (3)IDS中心控制器切换安全态势感知空间为双层网络;
[0141] (D1)在PIDS和VIDS上同时统计异常消息并估计产生异常的网络安全阈值ξa1,a2,进入步骤(D2);所述估计的传感云双层网络产生异常的网络安全阈值为IDS检测到的异常消息占所有消息的比例;
[0142] (D2)所述双层安全态势感知器(DSSA)感知传感云双层网络IDS产生异常的网络安全阈值Ma1,a2,并感知双层的安全态势:如果ξa1,a2≥Ma1,a2则判断双层网络同时受到了大规模攻击,进入步骤(D3),否则进入步骤(D1);其中
[0143] (D3)所述双层安全态势感知器(DSSA)重配置PIDS向V层网络的VIDS提交检测样本,重配并启动VIDS中计算密集型分析功能模块,如果未达到时间阈值τ=τ12+τ21则进入步骤(D1);否则,即双层网络安全态势感知时间阈值τ=τ12+τ21到达,进入步骤(1)。
[0144] 双层网络安全态势切换感知条件分析,获得网络安全态势感知时间阈值,如下:
[0145] 传感云双层网络切换的条件依赖于μk(t)值的变化,当μk(t)的值达到一定阈值时表明感知到了所监控连接的安全态势并且监测到了异常消息。μk(t)值增加的越快,安全态势感知时间τ值就越小,其中
[0146] 当传感云受到单层攻击时,IDS在P层和V层之间进行切换感知安全态势,切换感知时间阈值为
[0147]
[0148] 其中,τ12表示从P层网络切换到V层网络感知时的时间阈值,τ21表示从V层网络切换到P层网络感知时的时间阈值。N1为P层网络的节点个数。N2为V层网络的节点个数。
[0149] 平均动力场博弈分析安全态势感条件分析:
[0150] 在平均动力场博弈中,对于双层攻击态势的变化的四个状态S={Se1,e2,Sa1,e2,Se1,a2,Sa1,a2}中每个状态的动态微分方程如下:
[0151]
[0152]
[0153]
[0154]
[0155] 由于IDS的防御策略,通过平均动力场博弈,使得双层网络中IDS异常消息的产生和终止处于均衡状态。传感云双层网络的安全风险处于安全等级的边界,一旦攻击者持续改变攻击策略发到新的攻击,传感云双层网络的安全等级降为低,即处于风险中。因此,通过分析传感云双层网络平均动力场博弈平衡状态,我们可以获得安全风险处于安全等级的边界时异常消息数的阈值,从而能够驱动IDS配置防御策略。在受到攻击的三个消息状态Sa1,e2,Se1,a2,Sa1,a2中,IDS异常消息的产生和终止达到稳定状态时的条件为:
[0156]
[0157] 受到攻击时,由异常消息产生于终止的稳定条件(13)式和Se1,e2=1-Sa1,e2-Se1,a2-Sa1,a2,
[0158] 可得下面的方程组
[0159]
[0160] 通过解方程(14)可以得出安全风险处于安全等级的边界时产生异常的网络安全阈值,对于P层网络PIDS产生异常的网络安全阈值为
[0161]
[0162] 对于V层网络VIDS产生异常的网络安全阈值为
[0163]
[0164] 对于双层网络IDS产生异常的网络安全阈值为
[0165]
[0166] 本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何
修改、等同替换和改进等,均应包含在本发明的保护范围之内。
