一种工业互联网安全态势感知系统及方法与流程

本发明涉及无线通信网络，具体是一种工业互联网安全态势感知系统及方法。

背景技术：

1、近年来，无线热点、无线热区和无线城市的发展势头十分强劲。基于无线网 wifi、mesh技术的无线宽带网络具有高宽带、低成本、灵活方便的优势,不仅是在社会公共领域,在局域网领域的应用，如无线数字小区、无线监控、无线分机等,应用范围比较广。无线通信网络应用过程中，由于无需布线就可以实现各种通信设备互联与交互，在无线通信网络应用应用过程中，很容易出现多种网络潜在威胁数据信息。比如，目前无线网络安全主要存在六大问题，最主要的包括：无线网络路由器dns遭恶意篡改导致上网时广告弹窗或在购物时进入钓鱼网站；在公共场所使用免费无线网络时进入黑客设置的陷阱或被黑客监听，从而使上网记录、账号密码等关键信息被窃取；用户设置无线网络密码过于简单，黑客可瞬间暴力破解，并进行蹭网或盗取信息等。除此以外，黑客还经常采用共享文件和信号干扰等攻击方式。

2、因此，无线通信网络安全问题已经成为用户安全隐患的重要因素，现有技术仅能对无线通信网络攻击发起者的攻势进行防护，但随着攻击技术水平的提高，再多的防御体系都会变得脆弱不堪，甚至在其已经攻击、窃取信息已经完成的情况下，用户都毫不知情，这为用户信息保护及机密档案的数字化保存造成了很大影响。这就需要发明一种工业互联网安全态势感知系统及方法。

技术实现思路

1、针对上述技术的不足，本发明公开一种工业互联网安全态势感知系统及方法，通过设置逆向溯源模块采用主动式和反应式追踪混合算法将网络攻击发起者进行反向跟踪和基于ams的二维门限重构算法对攻击路径进行重构，通过设置安全防护模块采用rsa和aes混合加密算法将输出数据进行加密传输和攻击行为的自动防御机制，防止了重要信息和用户隐私的泄露，本发明大大提高了无线网络监测能力，提高了工业互联网安全应用能力。

2、为了实现上述技术效果，本发明采用以下技术方案：

3、一种工业互联网安全态势感知系统，包括流数据监测模块、态势收集模块、安全感知模块、信息处理模块、安全防护模块和逆向溯源模块；

4、流数据监测模块用于提取流数据的特征信息和检测流数据异常；

5、态势收集模块用于收集各类安全数据，在特定网络视图中根据资源间的关系构建评估模型对各类网络态势进行评估；

6、信息处理模块用于过滤和精简采集的安全信息并进行多元融合；

7、安全感知模块用于将采集的安全数据构建感知模型，根据感知模型对输入数据进行识别，对识别结果进行预警；

8、安全防护模块用于根据当前的网络安全状况进行安全防护；

9、逆向溯源模块用于对网络攻击进行反击溯源，显示攻击者的真实地址及重构攻击路径；

10、所述流数据监测模块的输出端所述态势收集模块的输入端连接，所述态势收集模块的输出端与所述信息处理模块的输入端连接，所述信息处理模块的输出端连接所述安全感知模块的输入端，所述安全感知模块的输出端连接所述安全防护模块的输入端，所述安全防护模块的输出端与所述逆向溯源模块的输入端连接。

11、作为本发明进一步的实施例，所述流数据监测模块包括流数据提取单元和流数据检测单元，所述流数据提取单元用于提取主干网和各网络中流数据的特征信息，所述流数据检测单元用于根据流数据特征信息对主干网络流数据进行检测，判断网络安全事件的发生和类别，所述流数据提取单元连接流数据检测单元。其中流数据检测单元通过流数据信息约束函数检测网络信息流数据。

12、作为本发明进一步的实施例，所述态势收集模块包括态势要素提取单元和态势评估单元，所述态势要素提取单元用于收集全网各安全数据源产生的各类安全数据，所述态势评估单元用于在特定网络视图中根据所拥有的网络资源及资源间的关系构建评估模型，并对网络态势进行评估，所述态势要素提取单元连接所述态势评估单元。其中态势评估单元包括数据预处理模块、网络训练模块、网络编码模块、网络协议设置模块、特征识别模块、elman网络模块和诊断输出模块，其中所述数据预处理模块的输出端与网络训练模块的输入端连接，所述网络训练模块的输出端与elman网络模块的输入端连接，网络编码模块的输出端与网络协议设置模块的输入端连接，网络协议设置模块的输出端与特征识别模块的输入端连接，所述特征识别模块的输出端与elman网络模块的输入端连接，所述elman网络模块的输出端与诊断输出模块的输入端连接。

13、作为本发明进一步的实施例，所述流数据信息约束函数为：

14、 （1）

15、在公式（1）中，表示流数据信息约束函数， n表示网络数据信息节点， d为网络传输线路，表示流数据传输过程中的加速度，表示加速度函数，表示在网络数据信息流为 ω时流数据信息传输时间 t的加速度函数，表示流数据信息在不同的网络节点传输过程中的方差， β为流数据信息传输过程中的频率， k表示网络数据传输过程中外界信息影响因子，表示网络数据流信息传输过程中频率函数，假设在某一节点数据流最小值为lmin，最大值为lmax，则检测到的数据信息范围为[lmin, lmax]，网络数据信息介于区间[lmin, lmax]为检测到网络信息传输信息流的状态；表示流数据信息约束函数平衡参数。

16、作为本发明进一步的实施例，所述安全感知模块包括数据采集单元、数据处理单元和数据预警单元，所述数据采集单元用于获取网络安全数据，所述数据处理单元用于构建感知模型并获取输入安全数据的识别结果，所述数据预警单元用于根据识别结果与预设预警等级的关系进行网络安全预警。

17、作为本发明进一步的实施例，所述安全防护模块包括访问控制单元和数据加密单元，所述访问控制单元用于授权有权用户进行访问，所述数据加密单元用对明文密文进行加密解密。

18、作为本发明进一步的实施例，所述逆向溯源模块包括路径重构单元、主动式追踪单元和反应式追踪单元，所述路径重构单元用于将返回的溯源结果重构并得到完整的攻击路线图，所述主动式追踪单元用于在数据包传输过程中记录追踪所需的信息，识别攻击源并追踪攻击发起者，所述反应式追踪单元用于检测到攻击并利用各种技术从攻击目标反向追踪到攻击源。

19、一种工业互联网安全态势感知方法，应用于所述的工业互联网安全态势感知系统，包括以下步骤：

20、步骤1、利用数据检测模块提取数据流的特征信息，检测数据流的异常，然后采用态势收集模块收集全网安全信息构建评估模型用于评估各类网络态势；

21、步骤2、采用信息收集模块过滤、精简和融合各类安全信息，利用安全感知模块将处理后的安全信息构建感知模型，对各类输入数据进行识别预警；

22、步骤3、通过安全防护模块严格控制访问程序，采用rsa和aes混合加密算法对输出数据进行加密，将异常流数据输送到逆向溯源模块并对当前预警信息进行有效防御；

23、步骤4、通过逆向溯源模块追踪网络攻击发起者，采用混合追踪算法快速识别网络攻击者的真实网络地址和基于ams的二维门限重构算法对攻击路径进行重构，所述混合追踪算法包括主动式和反应式追踪算法。

24、作为本发明进一步的实施例，所述rsa和aes混合加密算法加密和解密过程为：

25、加密过程：生成随机aes秘钥 k1，使用rsa公钥进行加密得到：

26、             (2)

27、式（2）中， k1为aes秘钥，e k1为rsa加密过程，mod为取模,n为质数之积，p,q为质数，e为公钥；

28、使用aes算法将明文m加密得到：     (3)

29、式（3）中，c为加密结果， k1为aes秘钥，m为明文；

30、解密过程：接收方使用rsa私钥解密e k1得到原始的aes秘钥，所述解密函数为：

31、   (4)

32、式（4）中， k1为aes秘钥，e k1为rsa加密过程，mod为取模,n为质数之积，p,q为质数，d为私钥；

33、使用aes算法将收到的密文c解密得到明文,所述解密算法为：

34、                     (5)

35、式（5）中， k1为接收方获得的原始aes秘钥，m为最终解密出来的明文。

36、其中在网络数据信息加密和解密过程中，通过局部二值模式lbp算法进行网络数据信息特征点的收集；

37、在原始的lbp中采用的方法中，在其局部二值进行编码流程之后数据会发生变化，存在着一定的缺陷。因此针对与这种算法选择使用圆形lbp算子，

38、计算函数表达式为：

39、（6）

40、式（6）中，表示局部二值模式lbp算法输出函数，表示角度，表示半径，表示网络数据节点序数，表示网络数据故障特征点，表示角度下的变量参数，表示中的变量参数值，其中网络数据故障特征点函数表示为：

41、（7）

42、公式（7）中，表示网络数据故障特征点函数，表示网络数据故障特征点函数中的参数信息。

43、作为本发明进一步的实施例，所述主动式追踪算法包括随机包标记法hppm、固定包标记法dpm、路由记录法和icmp消息法，所述hppm采用了中散列消息鉴别码hmac、边标记压缩技术和分片存储技术，所述边标记压缩技术遵循规则：

44、                           (8)

45、式（8）中，a,b分别为攻击路径上的相邻ip地址，

46、所述分片存储技术将原本不属于同一数据包的分片组合产生错误边路径，所述散列消息鉴别码hmac遵循规则：

47、    (9)

48、式（9）中，其中，ipad为字 0x36重复b次，opad为字0x5c重复b次，m为待加密的消息字符串，b为消息字符串的字长；

49、所述固定包标记法dpm为第一个入口边界路由器具有标记功能和入口边界路由器对每一个所经过的ip包都进行标记，所述路由记录法为基于哈希方法的包日志的ip追踪,路由器计算和存储每个转发的包的信息摘要，所述icmp消息法为从收到的攻击包中提取出共有的特性,然后通知网络管理员。

50、作为本发明进一步的实施例，所述反应式追踪算法包括输入测试、入口过滤和ipsec鉴别，所述输入测试为联系多个isp并在多个isp之间协调进行自动的追踪，所述入口过滤为分析每个包的源地址,并且把非法的源地址和合法的源地址区别开，所述ipsec鉴别为采用现有的ipsec和ike协议,在管理域内追踪时无需实现新的协议而在域之间追踪时则需要有专用的协作协议。

51、elman网络模块输出的网络异常用于获取网络安全数据变化函数为：

52、（10）

53、式（10）中， y表示变化函数，表示异常信息在网络信息传输中，经历时间 t遍历各个节点的异常程度向量，表示初始化状态下异常程度向量，表示网络节点之间的邻接矩阵， 表示传输中异常数据信息扩散系数， i和 j表示网络节点编号和网络个数， n表示所有节点数，在 i状态下网络节点的邻接矩阵，在 j状态下网络节点的邻接矩阵；

54、其中异常数据信息的时间序列异常函数表示为：

55、（11）

56、式（11）中，表示时间序列的分位数，表示序列的分位距离，表示时间序列异常函数。

57、其中异常信息拟合分数函数表示：

58、（12）

59、式（12）中，表示异常信息拟合分数函数， norm表示归一化函数，n表示各个网络故障节点的异常程度， n s表示异常信息传输后，在工业互联网上节点的异常程度， n x表示工业互联网传输中的异常程度，通过公式（12）表示出网络数据信息故障节点的拟合程度，当的值越低，表示故障时间序列的故障点的概率就越高。

60、与现有技术相比，本发明有益的积极效果是：

61、本发明通过设置逆向溯源模块采用主动式和反应式追踪混合算法将网络攻击发起者进行反向跟踪和基于ams的二维门限重构算法对攻击路径进行重构，通过设置安全防护模块采用rsa和aes混合加密算法将输出数据进行加密传输和攻击行为的自动防御机制，防止了重要信息和用户隐私的泄露，大大提高了无线网络监测能力，提高了工业互联网安全应用能力。本发明还采用流数据信息约束函数检测网络信息流数据，态势评估单元包括数据预处理模块、网络训练模块、网络编码模块、网络协议设置模块、特征识别模块、elman网络模块和诊断输出模块

62、在网络数据信息加密和解密过程中，通过局部二值模式lbp算法进行网络数据信息特征点的收集；进而提高网络数据安全应用和评估能力。