面向邊緣計(jì)算的安全態(tài)勢感知模型

01基于邊緣計(jì)算安全狀態(tài)感知模型1.1原始數(shù)據(jù)的收集傳統(tǒng)的邊緣計(jì)算安全防護(hù)系統(tǒng)是針對特定的攻擊手段而設(shè)置的，如接入認(rèn)證、角色訪問控制以及數(shù)據(jù)加密等。面對攻擊者竊取數(shù)字資產(chǎn)和破壞證據(jù)的行動(dòng)，它往往功能不全，導(dǎo)致防護(hù)效果不佳。資深的攻擊者通常會(huì)想方設(shè)法偽裝自己的攻擊，消除證據(jù)。因此，傳統(tǒng)的基于操作日志定位攻擊的防御措施可能是無效的。幸運(yùn)的是，攻擊者的威脅行為在目標(biāo)受體（邊緣設(shè)備）上留下了痕跡，為安全狀態(tài)感知的研究提供了思路。與以往的方法不同，收集的數(shù)據(jù)為表征邊緣設(shè)備運(yùn)行過程的狀態(tài)參數(shù)，而不是邊緣設(shè)備的應(yīng)用層數(shù)據(jù)。一旦邊緣計(jì)算受到攻擊，從監(jiān)控攻擊者到入侵，再到數(shù)據(jù)資產(chǎn)丟失或拒絕服務(wù)，受體設(shè)備的CPU、磁盤、內(nèi)存和網(wǎng)絡(luò)狀態(tài)都會(huì)表現(xiàn)出不同的行為趨勢，成為判斷邊緣計(jì)算設(shè)備安全態(tài)勢感知的良好依據(jù)。在邊緣計(jì)算架構(gòu)的物聯(lián)網(wǎng)中收集邊緣計(jì)算設(shè)備的狀態(tài)參數(shù)數(shù)據(jù)，定義邊緣設(shè)備的指標(biāo)集，其中為指標(biāo)個(gè)數(shù)。這里的指標(biāo)集是指能夠直接表征邊緣計(jì)算設(shè)備在運(yùn)行過程中的性能參數(shù)集合，如設(shè)備在當(dāng)前時(shí)刻的磁盤讀寫能力、內(nèi)存占用率、CPU占用率以及網(wǎng)絡(luò)數(shù)據(jù)包收發(fā)頻率等。在確定需要采集的數(shù)據(jù)指標(biāo)后，采集這些指標(biāo)在設(shè)備運(yùn)行時(shí)的時(shí)間序列。對于指標(biāo)，接收到的時(shí)間序列表示為，數(shù)據(jù)采集時(shí)間的總時(shí)隙數(shù)為。1.2狀態(tài)映射采集的每個(gè)指標(biāo)在T個(gè)時(shí)隙的數(shù)據(jù)量是龐大的，而且是非結(jié)構(gòu)化的。收集原始數(shù)據(jù)的目的是獲得設(shè)備在運(yùn)行時(shí)的性能，或者檢測設(shè)備是否遭遇攻擊，因此需要將這些原始數(shù)據(jù)映射為表征設(shè)備安全的狀態(tài)。為了降低數(shù)據(jù)處理難度，常用的方法是找出數(shù)據(jù)的統(tǒng)計(jì)特性，如均值方差法。但是，每一個(gè)特定的指標(biāo)采集得到的數(shù)據(jù)都擁有不同的概率分布，因此受限于邊緣計(jì)算設(shè)備的時(shí)間敏感性和資源消耗，不可能單獨(dú)分析每個(gè)指標(biāo)的統(tǒng)計(jì)特性。為了使邊緣設(shè)備在處理大型數(shù)據(jù)集時(shí)具有良好的擴(kuò)展性，同時(shí)不占用過多的邊緣計(jì)算資源，考慮采用復(fù)雜度較低的算法。這里將獲取的原始數(shù)據(jù)映射為設(shè)備的安全狀態(tài)，而無監(jiān)督的機(jī)器學(xué)習(xí)K-means聚類算法滿足要求。對于指標(biāo)，將采集的設(shè)備原始數(shù)據(jù)時(shí)間序列值作為訓(xùn)練集，其中包括樣本點(diǎn)，聚類的類別簇?cái)?shù)規(guī)定為。隨機(jī)選取聚類中心點(diǎn)，表示為?？紤]到訓(xùn)練集的每個(gè)樣本點(diǎn)，計(jì)算其與各聚類中心的距離，將樣本點(diǎn)分配到離樣本中心最近的聚類類別中，得到其類別標(biāo)簽：這里。更新k個(gè)簇的中心：重復(fù)上述步驟直到收斂，得到原時(shí)間序列映射后的狀態(tài)序列：1.3復(fù)雜網(wǎng)絡(luò)模型許多復(fù)雜系統(tǒng)都可以通過建模對復(fù)雜網(wǎng)絡(luò)進(jìn)行分析，如常見的電力網(wǎng)絡(luò)、航空網(wǎng)絡(luò)、交通網(wǎng)絡(luò)、計(jì)算機(jī)網(wǎng)絡(luò)和社會(huì)網(wǎng)絡(luò)等。復(fù)雜網(wǎng)絡(luò)不僅是一種數(shù)據(jù)表示形式，也往往是對現(xiàn)實(shí)世界中一個(gè)極其復(fù)雜的系統(tǒng)的數(shù)學(xué)描述，具有大量的節(jié)點(diǎn)和復(fù)雜的拓?fù)潢P(guān)系。數(shù)學(xué)上，復(fù)雜網(wǎng)絡(luò)用表示。網(wǎng)絡(luò)中的節(jié)點(diǎn)集用表示，為節(jié)點(diǎn)的數(shù)量；邊集用表示，表示邊的總條數(shù)。在1.2節(jié)中，收集到的原始數(shù)據(jù)轉(zhuǎn)化為狀態(tài)信息，呈現(xiàn)了設(shè)備當(dāng)前運(yùn)行的狀態(tài)性能，為構(gòu)建邊緣設(shè)備的復(fù)雜網(wǎng)絡(luò)態(tài)勢感知模型提供了支持。邊緣設(shè)備在時(shí)間段的指標(biāo)的狀態(tài)序列矩陣表示為：1)對于矩陣，元素是量化的。由于和通常很大，而的維度很大，同時(shí)邊緣計(jì)算設(shè)備計(jì)算能力通常較低，因此直接處理非常困難。但是，狀態(tài)序列矩陣包含了設(shè)備的歷史狀態(tài)和當(dāng)前狀態(tài)信息和狀態(tài)之間豐富的轉(zhuǎn)換關(guān)系。2)對于基于復(fù)雜網(wǎng)絡(luò)的態(tài)勢感知節(jié)點(diǎn)集合，狀態(tài)矩陣由列向量組成，其中列向量代表設(shè)備在數(shù)據(jù)采集時(shí)間段的狀態(tài)。因此，找到中的向量作為復(fù)雜網(wǎng)絡(luò)的狀態(tài)節(jié)點(diǎn)，并將這些節(jié)點(diǎn)按照采集時(shí)間的先后順序進(jìn)行編號(hào)。如果采集時(shí)刻的狀態(tài)向量在采集前就已經(jīng)存在，則放棄這個(gè)向量，以避免重復(fù)節(jié)點(diǎn)的產(chǎn)生。3)對于基于復(fù)雜網(wǎng)絡(luò)的態(tài)勢感知邊集合，按照采集時(shí)間的先后順序?qū)仃囍袃蓛上噜彽牧邢蛄恳来螆?zhí)行操作，如果列向量代表的節(jié)點(diǎn)轉(zhuǎn)移到下一個(gè)列向量代表的節(jié)點(diǎn)，則在和之間增加一條邊，且這條邊從節(jié)點(diǎn)指向節(jié)點(diǎn)，這里。02數(shù)值仿真為了驗(yàn)證所提方法在基于邊緣計(jì)算的物聯(lián)網(wǎng)環(huán)境中的有效性，設(shè)計(jì)實(shí)驗(yàn)構(gòu)建邊緣計(jì)算設(shè)備的安全狀態(tài)感知模型。實(shí)驗(yàn)過程中，采集邊緣計(jì)算設(shè)備的設(shè)備磁盤讀、設(shè)備磁盤寫、內(nèi)存占用、網(wǎng)絡(luò)數(shù)據(jù)包收和網(wǎng)絡(luò)數(shù)據(jù)包發(fā)5個(gè)指標(biāo)。設(shè)定每次數(shù)據(jù)采集的時(shí)間間隔為10s，然后將收集到的原始數(shù)據(jù)的1200個(gè)時(shí)隙的數(shù)值通過K-means聚類，得到狀態(tài)序列矩陣：這里。根據(jù)狀態(tài)矩陣中所蘊(yùn)含的狀態(tài)信息，可以得到構(gòu)成復(fù)雜網(wǎng)絡(luò)節(jié)點(diǎn)和邊，構(gòu)建復(fù)雜網(wǎng)絡(luò)的有向加權(quán)鄰接矩陣。通過得到的鄰接矩陣，可以得到邊緣計(jì)算設(shè)備的安全態(tài)勢感知復(fù)雜網(wǎng)絡(luò)模型，如圖1所示。其中，節(jié)點(diǎn)代表設(shè)備在數(shù)據(jù)采集時(shí)刻的工作狀態(tài)；節(jié)點(diǎn)之間的連邊代表狀態(tài)之間的轉(zhuǎn)化關(guān)系；節(jié)點(diǎn)的連接邊的粗細(xì)程度表示節(jié)點(diǎn)之間轉(zhuǎn)化的權(quán)重，邊越粗表示節(jié)點(diǎn)之間轉(zhuǎn)換的概率越高。在這種情況下得到網(wǎng)絡(luò)圖，其中和。大量的原始數(shù)據(jù)被縮減為設(shè)備運(yùn)行的76種狀態(tài)，而圖1的部分節(jié)點(diǎn)是聚合的，反映了設(shè)備運(yùn)行的大部分時(shí)間應(yīng)該處于的狀態(tài)。根據(jù)模型表現(xiàn)的特性，可見所提方法降低了評估設(shè)備安全性能的復(fù)雜度。圖1安全態(tài)勢感知的復(fù)雜網(wǎng)絡(luò)模型下面考慮狀態(tài)節(jié)點(diǎn)的聚集性。觀察節(jié)點(diǎn)及節(jié)點(diǎn)之間的轉(zhuǎn)換關(guān)系，將網(wǎng)絡(luò)劃分為5個(gè)部分作為安全評估的初步結(jié)果。關(guān)注其中一部分，節(jié)點(diǎn)與節(jié)點(diǎn)之間的連接邊最粗，說明節(jié)點(diǎn)所代表的狀態(tài)與節(jié)點(diǎn)所代表的狀態(tài)轉(zhuǎn)換比較頻繁。當(dāng)需要確認(rèn)設(shè)備的安全狀態(tài)時(shí)，主要考慮的因素是狀態(tài)節(jié)點(diǎn)是否是較大的影響節(jié)點(diǎn)（如節(jié)點(diǎn)和節(jié)點(diǎn)），如果不是，則考慮該節(jié)點(diǎn)是否與較大的影響節(jié)點(diǎn)相連，此外還需要考慮該節(jié)點(diǎn)到最大影響力節(jié)點(diǎn)的最短路徑長度。如果需要檢測的狀態(tài)節(jié)點(diǎn)在復(fù)雜網(wǎng)絡(luò)中不存在，則認(rèn)為該設(shè)備受到攻擊。此時(shí)，將此狀態(tài)節(jié)點(diǎn)轉(zhuǎn)化為離該節(jié)點(diǎn)最近的節(jié)點(diǎn)，再轉(zhuǎn)化到影響力較大的節(jié)點(diǎn)，是避免攻擊發(fā)生的有效途徑。03結(jié)語針對現(xiàn)有的邊緣計(jì)算安全防護(hù)方案大多集中在具體問題的安全防護(hù)和檢測上而缺乏全局安全的概念的問題，在邊緣計(jì)算廣泛應(yīng)用于物聯(lián)網(wǎng)的背景下，為了全面保護(hù)邊緣數(shù)據(jù)資產(chǎn)和隱私，闡述了邊緣設(shè)備的安全態(tài)勢感知方法。從收集邊緣設(shè)備特征的原始數(shù)據(jù)