(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211154561.8 (22)申请日 2022.09.22 (65)同一申请的已公布的文献号 申请公布号 CN 115277249 A (43)申请公布日 2022.11.01 (73)专利权人 山东省计算中心 （国家超 级计算 济南中心） 地址 250014 山东省济南市历下区科院路 19号山东省计算中心 (72)发明人 韩晓晖　刘伟华　左文波　刘广起　 罗雪姣　徐正源　王志文　 (74)专利代理 机构 济南泉城专利商标事务所 37218 专利代理师 支文彬 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/044(2022.01)H04L 41/046(2022.01) H04L 41/12(2022.01) H04L 41/14(2022.01) H04L 43/08(2022.01) H04L 43/0852(2022.01) (56)对比文件 CN 111885040 A,2020.1 1.03 CN 112039862 A,2020.12.04 CN 111260525 A,2020.0 6.09 CN 113965341 A,202 2.01.21 CN 108923975 A,2018.1 1.30 CN 111339297 A,2020.0 6.26 US 2017124 464 A1,2017.0 5.04 US 2017124 464 A1,2017.0 5.04 EP 3492945 A1,2019.0 6.05 US 2003065409 A1,20 03.04.03 审查员 郭珩 (54)发明名称 一种多层异构网络协同的网络安全态势感 知方法 (57)摘要 一种多层异构网络协同的网络安全态势感 知方法， 涉及网络安全态势感知技术领域， 将网 络安全态势感知任务分解并分散到异构网络各 层级设备上执行， 即轻量、 实时性要求高的任务 在边、 端执行， 复杂任务在云上执行， 任务间通过 传递参数交互和协同， 最终生 成全局态势感知结 果。 本发明提供的方式充分利用了多层异构网络 各层级设备的计算资源、 降低了带宽占用、 提升 了实时性， 细化了分析 粒度。 权利要求书4页 说明书9页 附图5页 CN 115277249 B 2022.12.20 CN 115277249 B 1.一种多层异构网络协同的网络安全态 势感知方法， 其特 征在于， 包括如下步骤： (a)将网络安全态势感知值守代理部署在多层异构网络全域各个类型设备上， 网络安 全态势感知值守代理收集设备状态参数； (b)将网络安全态势感知值守代理收集的各个设备的状态参数传递至云端态势感知总 控制器， 云端态势感知总控制器根据状态参数中的网络信息建立多层异构网络全局设备拓 扑的构造图 ， 其中 为多层异构 网络全域中设备的集合， ， 为第 个设备， ， 为多层异构网络全域中设备的总数， 为边的集合， ，  第 个设备 和第 个设备 之间存在通信链路， 则第 个设备 和第 个设备 构成边 ， 为边的权重矩阵， ， 为第 个设备 和第 个设备 之间的通信 延迟值； (c)根据设备运行操作系统和硬件组成体系结构是否相同将多层异构网络全域各个设 备分为 个类型， 形成类型集合 ， ， 为第 个类型， 针对类型 的所有 设备， 构建威胁 检测模型 ； (d)针对多层异构网络全域的每一台设备 ， 计算使用对应的威胁检测模型 进 行安全分析 所需的计算代价； (e)云端态势感知总控制器调度网络安全态势感知值守代理协同进行全域安全态势感 知， 进行设备风险指数全域协同计算， 各网络安全态势感知值守代理将风险指数发送至云 端态势感知总控制器； (f)网络安全态势感知值守代理根据预设的更新周期定时更新设备状态参数， 并发送至 云端态势感知总控制器， 云端态势感知总控制器更新多层异构网络全域中设备的集合 。 2.根据权利要求1所述的多层异构网络协同的网络安全态势感知方法， 其特征在于， 步 骤(a)中网络安全态势感知值守代理收集的设备状态参数包括： 处理器信息、 动态存储信 息、 静态存 储信息、 文件系统信息、 网络信息； 所述处理器信息包括： 处 理器峰值能力值、 处 理器当前负载值、 处 理器负载峰值； 所述动态存储信 息包括： 动态存储器容量大小值、 动态存储器当前占用量、 动态存储器 占用量峰值； 所述静态存 储信息包括： 静态存 储器容量大小值、 静态存 储器当前占用量； 所述文件系统信息包括： 文件数量、 文件路径深度值； 所述网络信 息包括： 平均每小时网络通信量、 网络通信量峰值、 在多层异构网络内有相 互通信的其它设备到 达该设备的延迟值。 3.根据权利要求1所述的多层异构网络协同的网络安全态势感知方法， 其特征在于： 还 包括在步骤(b)之后云端态势感知总控制器构建全域设备信息库， 所述全域设备信息库由 包含设备信息描述对象的哈希表构成， 所述哈希表中的每一个单元为一个设备信息描述对 象， 该设备信息描述对 象描述了多层异构网络中一台设备 的信息， 设备信息描述对 象中设 有一个将哈希表中的当前设备指向连接设备链表的指针， 该设备链表中设有若干结点， 各 个节点用于存储与哈希表中的当前设备之 间存在通信链路的所有设备， 设备链表中的每一权　利　要　求　书 1/4 页 2 CN 115277249 B 2个结点包含两个域， 第一个域存用于记录设备的ID， 第二个域用于记录哈希表中的当前设 备到设备链 表中对应的该设备的通信延迟。 4.根据权利要求3所述的多层异构网络协同的网络安全态势感知方法， 其特征在于： 所 述设备信息描述对象描述的多层异构网络中一台设备的信息包括： 设备ID的哈希值、 设备 型号、 设备所 处层级、 设备型号信息、 设备放置的物理位置、 设备属性信息、 设备由网络安全 态势感知值守代理采集的状态参数、 设备的风险指数。 5.根据权利要求1所述的多层异构网络协同的网络安全态势感知方法， 其特征在于： 步 骤(c)中威胁检测模型为基于密度聚类的异常检测算法或基于自动编码器的异常检测模 型， 威胁检测模型构建完成后使用知识蒸馏法对威胁 检测模型进行 轻量化操作。 6.根据权利要求3所述的多层异构网络协同的网络安全态势感知方法， 其特征在于， 步 骤(d)包括如下步骤： (d‑1)第 个设备 的设备类型 所对应的威胁检测模型为 ， 根据威胁检测模型 的参数规模、 算法语句执行次数以及第 个设备 中待检测 数据量， 使用威胁检测模型 对第 个设备 进行威胁检测所 需的代价， 所述代价包括处理器的负 载量 和动态内存占 用量 ； (d‑2)检查多层异构网络全域设备集合 中每一台设备， 令 为第 个设备 的处理 器信息峰值能力值， 令 为第 个设备 的处理器当前负载值， 令 为第 个设备 的处 理器负载峰值， 令 为第 个设备 的动态存储器容量大小值， 令 为第 个设备 的动 态存储器当前占用量， 令 为第 个设备 的动态存 储器占用量峰值； (d‑3)如果 且 则执行步骤(d ‑4)， 如果 或 则执行步骤(d ‑5)； (d‑4)在当前第 个设备 本地执行威胁检测任务， 第 个设备 的网络安全态势感知值 守代理更新其状态参数并发送至云端态势感知总控制器， 云端态势感知总控制器更新多层 异构网络全域设备集合 中第 个设备 的信息， 使第 个设备 的处理器当前负载值更新 为 ， 使第 个设备 的动态存 储器当前占用量更新 为 ， ， ； (d‑5)在多层异构网络全域设备集合 中找到所有与第 个设备 之间存在通信链路 的 个设备， 形成设备集合 ， 将 个设备按与第 个设备 的通信延迟由小到大加入优 先队列 ， ， 其中 为第 个设备； (d‑6)从优先队列 中取出队首 设备 ，  ， 队首设备 的处理器信息峰值 能力值为 ， 队首设备 的处理器负载峰值为 ， 队首设备 的处理器当前负载值 为 ， 队首设备 的处理器的负载量为 ， 队首设备 的动态存储器容量大小值为权　利　要　求　书 2/4 页 3 CN 115277249 B 3