面向邊緣計算的安全態勢感知模型
摘 要:
邊緣計算現在被廣泛應用于工業物聯網。由于邊緣計算設備靠近終端,擁有大量的私人用戶信息和豐富的數字資產,因此非常容易受到攻擊。鑒于此,提出一種邊緣計算設備的態勢感知模型,在邊緣設備對其自身的狀態和數據進行量化,通過狀態轉移矩陣分析不同時刻下系統的狀態是否正常,以此對系統可能遭遇的攻擊進行警示和檢測,以達到保護邊緣設備安全的目的。最后,通過實驗驗證了所提的態勢感知模型能夠準確展示邊緣設備運行的安全狀態情況。
內容目錄:
1 基于邊緣計算安全狀態感知模型
1.1 原始數據的收集
1.2 狀態映射
1.3 復雜網絡模型
2 數值仿真
3 結 語
邊緣計算是在高帶寬、時間敏感和物聯網高度創新的背景下提出的。它可以在系統網絡的邊緣提供一個集連接、計算、存儲和應用于一體的開放平臺,為就近終端的數據提供邊緣智能服務。邊緣計算作為一種新型的計算基礎設施,可以提供相比于云計算更好的安全性。然而,邊緣計算設備由于與大量智能終端的緊密物理連接,且計算資源有限,更容易受到安全威脅。
攻擊者通常瞄準邊緣計算設備上的私人隱私數據和豐富的數字資產。攻擊過程通常開始于對被攻擊目標的偵察。攻擊者使用端口掃描或暴力破解密碼等手段發現開放的接口和服務漏洞,進而繞過合法身份,使用從遠程到本地(Remote to Local,R2L)的方法非法獲取私有數據。然后,利用用戶到根(User to Root,U2R)攻擊獲得更高級別的系統特權或竊取數字資產,使攻擊者從中受益。然而,邊緣計算設備因遭遇攻擊而無法及時處理終端發出的任務請求導致停機,將使區域或整個物聯網絡崩潰。
攻擊者在攻擊邊緣設備時,根據入侵階段收集的信息,利用系統的漏洞進行攻擊。入侵的惡意代碼通過訪問邊緣設備的敏感數據資產實現攻擊,通過修改數據刪除攻擊證據,清除操作日志,使管理員無法訪問攻擊證據。
現有的邊緣系統安全解決方案多側重于單個或局部安全問題的保護和檢測,缺乏全局安全防護觀念,因此無法提供足夠的安全保護。安全態勢感知是指對環境因素在一定時間和空間的安全性認識和理解,并預測未來的趨勢。態勢感知技術有助于通過有限的邊緣計算資源成本合理評估物聯網系統,充分考慮各種威脅,防范攻擊。
本文提出了一種利用邊緣設備的存儲、通信和計算能力在不同時隙下的狀態,實現對邊緣設備進行安全態勢感知的新模型。將邊緣計算設備運行過程中產生的海量數據抽象為不同時隙下的指標數據集,然后映射為狀態,構建基于設備狀態信息的模型,再通過狀態轉移矩陣分析不同時隙下的設備運行是否發生不正常改變,從而實現對惡意入侵或攻擊的識別。
基于邊緣計算安全狀態感知模型
1.1 原始數據的收集
傳統的邊緣計算安全防護系統是針對特定的攻擊手段而設置的,如接入認證、角色訪問控制以及數據加密等。面對攻擊者竊取數字資產和破壞證據的行動,它往往功能不全,導致防護效果不佳。資深的攻擊者通常會想方設法偽裝自己的攻擊,消除證據。因此,傳統的基于操作日志定位攻擊的防御措施可能是無效的。
幸運的是,攻擊者的威脅行為在目標受體(邊緣設備)上留下了痕跡,為安全狀態感知的研究提供了思路。與以往的方法不同,收集的數據為表征邊緣設備運行過程的狀態參數,而不是邊緣設備的應用層數據。一旦邊緣計算受到攻擊,從監控攻擊者到入侵,再到數據資產丟失或拒絕服務,受體設備的CPU、磁盤、內存和網絡狀態都會表現出不同的行為趨勢,成為判斷邊緣計算設備安全態勢感知的良好依據。
在邊緣計算架構的物聯網中收集邊緣計算設備的狀態參數數據,定義邊緣設備的指標集
,其中
為指標個數。這里的指標集是指能夠直接表征邊緣計算設備在運行過程中的性能參數集合,如設備在當前時刻的磁盤讀寫能力、內存占用率、CPU占用率以及網絡數據包收發頻率等。在確定需要采集的數據指標后,采集這些指標在設備運行時的時間序列。對于指標
,接收到的時間序列表示為
,數據采集時間的總時隙數為
。
1.2 狀態映射
采集的每個指標在T個時隙的數據量是龐大的,而且是非結構化的。收集原始數據的目的是獲得設備在運行時的性能,或者檢測設備是否遭遇攻擊,因此需要將這些原始數據映射為表征設備安全的狀態。為了降低數據處理難度,常用的方法是找出數據的統計特性,如均值方差法。但是,每一個特定的指標采集得到的數據都擁有不同的概率分布,因此受限于邊緣計算設備的時間敏感性和資源消耗,不可能單獨分析每個指標的統計特性。
為了使邊緣設備在處理大型數據集時具有良好的擴展性,同時不占用過多的邊緣計算資源,考慮采用復雜度較低的算法。這里將獲取的原始數據映射為設備的安全狀態,而無監督的機器學習K-means聚類算法滿足要求。
對于指標
,將采集的設備原始數據時間序列值
作為訓練集,其中包括樣本點,聚類的類別簇數規定為
。隨機選取聚類中心點,表示為
。考慮到訓練集的每個樣本點
,計算其與各聚類中心
的距離,將樣本點分配到離樣本中心最近的聚類類別中,得到其類別標簽:
這里
。
更新k個簇的中心:
重復上述步驟直到收斂,得到原時間序列映射后的狀態序列:
1.3 復雜網絡模型
許多復雜系統都可以通過建模對復雜網絡進行分析,如常見的電力網絡、航空網絡、交通網絡、計算機網絡和社會網絡等。復雜網絡不僅是一種數據表示形式,也往往是對現實世界中一個極其復雜的系統的數學描述,具有大量的節點和復雜的拓撲關系。
數學上,復雜網絡用
表示。網絡中的節點集用
表示,
為節點的數量;邊集用
表示,
表示邊的總條數。
在1.2節中,收集到的原始數據轉化為狀態信息
,呈現了設備當前運行的狀態性能,為構建邊緣設備的復雜網絡態勢感知模型提供了支持。邊緣設備在時間段的指標的狀態序列矩陣表示為:
1)對于矩陣
,元素
是量化的。由于和通常很大,而的維度很大,同時邊緣計算設備計算能力通常較低,因此直接處理非常困難。但是,狀態序列矩陣包含了設備的歷史狀態和當前狀態信息和狀態之間豐富的轉換關系。
2)對于基于復雜網絡的態勢感知節點集合,狀態矩陣由列向量組成,其中列向量代表設備在數據采集時間段的狀態。因此,找到中的向量作為復雜網絡的狀態節點,并將這些節點按照采集時間的先后順序進行編號。如果采集時刻的狀態向量在采集前就已經存在,則放棄這個向量,以避免重復節點的產生。
3)對于基于復雜網絡的態勢感知邊集合,按照采集時間的先后順序對矩陣中兩兩相鄰的列向量依次執行操作,如果列向量代表的節點
轉移到下一個列向量代表的節點
,則在和之間增加一條邊,且這條邊從節點指向節點,這里
。
數值仿真
為了驗證所提方法在基于邊緣計算的物聯網環境中的有效性,設計實驗構建邊緣計算設備的安全狀態感知模型。
實驗過程中,采集邊緣計算設備的設備磁盤讀、設備磁盤寫、內存占用、網絡數據包收和網絡數據包發5個指標。設定每次數據采集的時間間隔為10 s,然后將收集到的原始數據的1 200個時隙的數值通過K-means聚類,得到狀態序列矩陣
:
這里
。
根據狀態矩陣
中所蘊含的狀態信息,可以得到構成復雜網絡節點
和邊
,構建復雜網絡的有向加權鄰接矩陣
。
通過得到的鄰接矩陣,可以得到邊緣計算設備的安全態勢感知復雜網絡模型,如圖1所示。其中,節點代表設備在數據采集時刻的工作狀態;節點之間的連邊代表狀態之間的轉化關系;節點的連接邊的粗細程度表示節點之間轉化的權重,邊越粗表示節點之間轉換的概率越高。
在這種情況下得到網絡圖,其中
和
。大量的原始數據被縮減為設備運行的76種狀態,而圖1的部分節點是聚合的,反映了設備運行的大部分時間應該處于的狀態。根據模型表現的特性,可見所提方法降低了評估設備安全性能的復雜度。
圖1 安全態勢感知的復雜網絡模型
下面考慮狀態節點的聚集性。觀察節點及節點之間的轉換關系,將網絡
劃分為5個部分作為安全評估的初步結果。關注其中一部分,節點
與節點
之間的連接邊最粗,說明節點所代表的狀態與節點所代表的狀態轉換比較頻繁。
當需要確認設備的安全狀態時,主要考慮的因素是狀態節點是否是較大的影響節點(如節點和節點),如果不是,則考慮該節點是否與較大的影響節點相連,此外還需要考慮該節點到最大影響力節點的最短路徑長度。如果需要檢測的狀態節點在復雜網絡中不存在,則認為該設備受到攻擊。此時,將此狀態節點轉化為離該節點最近的節點,再轉化到影響力較大的節點,是避免攻擊發生的有效途徑。
結 語
針對現有的邊緣計算安全防護方案大多集中在具體問題的安全防護和檢測上而缺乏全局安全的概念的問題,在邊緣計算廣泛應用于物聯網的背景下,為了全面保護邊緣數據資產和隱私,闡述了邊緣設備的安全態勢感知方法。從收集邊緣設備特征的原始數據到狀態的映射,最后構建了基于復雜網絡的邊緣計算安全態勢感知模型。數值仿真結果表明,所提方案是有效的,能夠準確表征邊緣設備的工作狀態。今后的研究將考慮分析復雜網絡的其他特征,如模擬邊緣設備的多維度攻擊和檢測模型的魯棒性,從而使安全狀態感知的工作更加有效。
引用本文:雷文鑫,侯文靜,文紅,等.面向邊緣計算的安全態勢感知模型[J].通信技術,2021,54(3):711-715.
