面向边缘计算的安全态势感知模型
摘 要:
边缘计算现在被广泛应用于工业物联网。由于边缘计算设备靠近终端,拥有大量的私人用户信息和丰富的数字资产,因此非常容易受到攻击。鉴于此,提出一种边缘计算设备的态势感知模型,在边缘设备对其自身的状态和数据进行量化,通过状态转移矩阵分析不同时刻下系统的状态是否正常,以此对系统可能遭遇的攻击进行警示和检测,以达到保护边缘设备安全的目的。最后,通过实验验证了所提的态势感知模型能够准确展示边缘设备运行的安全状态情况。
内容目录:
1 基于边缘计算安全状态感知模型
1.1 原始数据的收集
1.2 状态映射
1.3 复杂网络模型
2 数值仿真
3 结 语
边缘计算是在高带宽、时间敏感和物联网高度创新的背景下提出的。它可以在系统网络的边缘提供一个集连接、计算、存储和应用于一体的开放平台,为就近终端的数据提供边缘智能服务。边缘计算作为一种新型的计算基础设施,可以提供相比于云计算更好的安全性。然而,边缘计算设备由于与大量智能终端的紧密物理连接,且计算资源有限,更容易受到安全威胁。
攻击者通常瞄准边缘计算设备上的私人隐私数据和丰富的数字资产。攻击过程通常开始于对被攻击目标的侦察。攻击者使用端口扫描或暴力破解密码等手段发现开放的接口和服务漏洞,进而绕过合法身份,使用从远程到本地(Remote to Local,R2L)的方法非法获取私有数据。然后,利用用户到根(User to Root,U2R)攻击获得更高级别的系统特权或窃取数字资产,使攻击者从中受益。然而,边缘计算设备因遭遇攻击而无法及时处理终端发出的任务请求导致停机,将使区域或整个物联网络崩溃。
攻击者在攻击边缘设备时,根据入侵阶段收集的信息,利用系统的漏洞进行攻击。入侵的恶意代码通过访问边缘设备的敏感数据资产实现攻击,通过修改数据删除攻击证据,清除操作日志,使管理员无法访问攻击证据。
现有的边缘系统安全解决方案多侧重于单个或局部安全问题的保护和检测,缺乏全局安全防护观念,因此无法提供足够的安全保护。安全态势感知是指对环境因素在一定时间和空间的安全性认识和理解,并预测未来的趋势。态势感知技术有助于通过有限的边缘计算资源成本合理评估物联网系统,充分考虑各种威胁,防范攻击。
本文提出了一种利用边缘设备的存储、通信和计算能力在不同时隙下的状态,实现对边缘设备进行安全态势感知的新模型。将边缘计算设备运行过程中产生的海量数据抽象为不同时隙下的指标数据集,然后映射为状态,构建基于设备状态信息的模型,再通过状态转移矩阵分析不同时隙下的设备运行是否发生不正常改变,从而实现对恶意入侵或攻击的识别。
基于边缘计算安全状态感知模型
1.1 原始数据的收集
传统的边缘计算安全防护系统是针对特定的攻击手段而设置的,如接入认证、角色访问控制以及数据加密等。面对攻击者窃取数字资产和破坏证据的行动,它往往功能不全,导致防护效果不佳。资深的攻击者通常会想方设法伪装自己的攻击,消除证据。因此,传统的基于操作日志定位攻击的防御措施可能是无效的。
幸运的是,攻击者的威胁行为在目标受体(边缘设备)上留下了痕迹,为安全状态感知的研究提供了思路。与以往的方法不同,收集的数据为表征边缘设备运行过程的状态参数,而不是边缘设备的应用层数据。一旦边缘计算受到攻击,从监控攻击者到入侵,再到数据资产丢失或拒绝服务,受体设备的CPU、磁盘、内存和网络状态都会表现出不同的行为趋势,成为判断边缘计算设备安全态势感知的良好依据。
在边缘计算架构的物联网中收集边缘计算设备的状态参数数据,定义边缘设备的指标集
,其中
为指标个数。这里的指标集是指能够直接表征边缘计算设备在运行过程中的性能参数集合,如设备在当前时刻的磁盘读写能力、内存占用率、CPU占用率以及网络数据包收发频率等。在确定需要采集的数据指标后,采集这些指标在设备运行时的时间序列。对于指标
,接收到的时间序列表示为
,数据采集时间的总时隙数为
。
1.2 状态映射
采集的每个指标在T个时隙的数据量是庞大的,而且是非结构化的。收集原始数据的目的是获得设备在运行时的性能,或者检测设备是否遭遇攻击,因此需要将这些原始数据映射为表征设备安全的状态。为了降低数据处理难度,常用的方法是找出数据的统计特性,如均值方差法。但是,每一个特定的指标采集得到的数据都拥有不同的概率分布,因此受限于边缘计算设备的时间敏感性和资源消耗,不可能单独分析每个指标的统计特性。
为了使边缘设备在处理大型数据集时具有良好的扩展性,同时不占用过多的边缘计算资源,考虑采用复杂度较低的算法。这里将获取的原始数据映射为设备的安全状态,而无监督的机器学习K-means聚类算法满足要求。
对于指标
,将采集的设备原始数据时间序列值
作为训练集,其中包括样本点,聚类的类别簇数规定为
。随机选取聚类中心点,表示为
。考虑到训练集的每个样本点
,计算其与各聚类中心
的距离,将样本点分配到离样本中心最近的聚类类别中,得到其类别标签:
这里
。
更新k个簇的中心:
重复上述步骤直到收敛,得到原时间序列映射后的状态序列:
1.3 复杂网络模型
许多复杂系统都可以通过建模对复杂网络进行分析,如常见的电力网络、航空网络、交通网络、计算机网络和社会网络等。复杂网络不仅是一种数据表示形式,也往往是对现实世界中一个极其复杂的系统的数学描述,具有大量的节点和复杂的拓扑关系。
数学上,复杂网络用
表示。网络中的节点集用
表示,
为节点的数量;边集用
表示,
表示边的总条数。
在1.2节中,收集到的原始数据转化为状态信息
,呈现了设备当前运行的状态性能,为构建边缘设备的复杂网络态势感知模型提供了支持。边缘设备在时间段的指标的状态序列矩阵表示为:
1)对于矩阵
,元素
是量化的。由于和通常很大,而的维度很大,同时边缘计算设备计算能力通常较低,因此直接处理非常困难。但是,状态序列矩阵包含了设备的历史状态和当前状态信息和状态之间丰富的转换关系。
2)对于基于复杂网络的态势感知节点集合,状态矩阵由列向量组成,其中列向量代表设备在数据采集时间段的状态。因此,找到中的向量作为复杂网络的状态节点,并将这些节点按照采集时间的先后顺序进行编号。如果采集时刻的状态向量在采集前就已经存在,则放弃这个向量,以避免重复节点的产生。
3)对于基于复杂网络的态势感知边集合,按照采集时间的先后顺序对矩阵中两两相邻的列向量依次执行操作,如果列向量代表的节点
转移到下一个列向量代表的节点
,则在和之间增加一条边,且这条边从节点指向节点,这里
。
数值仿真
为了验证所提方法在基于边缘计算的物联网环境中的有效性,设计实验构建边缘计算设备的安全状态感知模型。
实验过程中,采集边缘计算设备的设备磁盘读、设备磁盘写、内存占用、网络数据包收和网络数据包发5个指标。设定每次数据采集的时间间隔为10 s,然后将收集到的原始数据的1 200个时隙的数值通过K-means聚类,得到状态序列矩阵
:
这里
。
根据状态矩阵
中所蕴含的状态信息,可以得到构成复杂网络节点
和边
,构建复杂网络的有向加权邻接矩阵
。
通过得到的邻接矩阵,可以得到边缘计算设备的安全态势感知复杂网络模型,如图1所示。其中,节点代表设备在数据采集时刻的工作状态;节点之间的连边代表状态之间的转化关系;节点的连接边的粗细程度表示节点之间转化的权重,边越粗表示节点之间转换的概率越高。
在这种情况下得到网络图,其中
和
。大量的原始数据被缩减为设备运行的76种状态,而图1的部分节点是聚合的,反映了设备运行的大部分时间应该处于的状态。根据模型表现的特性,可见所提方法降低了评估设备安全性能的复杂度。
图1 安全态势感知的复杂网络模型
下面考虑状态节点的聚集性。观察节点及节点之间的转换关系,将网络
划分为5个部分作为安全评估的初步结果。关注其中一部分,节点
与节点
之间的连接边最粗,说明节点所代表的状态与节点所代表的状态转换比较频繁。
当需要确认设备的安全状态时,主要考虑的因素是状态节点是否是较大的影响节点(如节点和节点),如果不是,则考虑该节点是否与较大的影响节点相连,此外还需要考虑该节点到最大影响力节点的最短路径长度。如果需要检测的状态节点在复杂网络中不存在,则认为该设备受到攻击。此时,将此状态节点转化为离该节点最近的节点,再转化到影响力较大的节点,是避免攻击发生的有效途径。
结 语
针对现有的边缘计算安全防护方案大多集中在具体问题的安全防护和检测上而缺乏全局安全的概念的问题,在边缘计算广泛应用于物联网的背景下,为了全面保护边缘数据资产和隐私,阐述了边缘设备的安全态势感知方法。从收集边缘设备特征的原始数据到状态的映射,最后构建了基于复杂网络的边缘计算安全态势感知模型。数值仿真结果表明,所提方案是有效的,能够准确表征边缘设备的工作状态。今后的研究将考虑分析复杂网络的其他特征,如模拟边缘设备的多维度攻击和检测模型的鲁棒性,从而使安全状态感知的工作更加有效。
引用本文:雷文鑫,侯文静,文红,等.面向边缘计算的安全态势感知模型[J].通信技术,2021,54(3):711-715.
