一种自适应组网的通信方法

技术领域

本发明涉及网络安全防护技术领域，尤其涉及一种自适应组网的通信方法。

背景技术

网络威胁检测传感器是一种部署在宿主机上，能够并自主开展相关安全威胁检测任务的软件。自适应组网是网络威胁检测传感器指挥控制及任务协作的关键环节，不仅关系到网络威胁检测传感器任务能否顺利执行，而且关系到网络威胁检测传感器个体生存的隐蔽性和安全性。

(1)自适应组网是满足网络威胁检测传感器集群任务的基本要求

在非合作网络环境下执行任务，可以以单个个体的方式，也可以是以合作的方式。但是，任务的下达、执行及反馈的上传等必须通过协同的模式完成，这就需要每个网络威胁检测传感器都必须是集群任务组织的成员。网络威胁检测传感器个体成为集群任务成员的过程即是网络威胁检测传感器组网的过程，它是满足网络威胁检测传感器集群任务的最基本要求。

(2)自适应组网不能影响生存状态

为在自适应组网过程中不能增加暴露的风险。必须在保障安全性前提下，以最小代价、高安全性、高可靠性为原则进行自适应安全组网。其中：

最小代价是指自适应组网过程中网络威胁检测传感器应尽可能少地产生异常行为，防止被宿主机的安全检查机制发现，从而影响网络威胁检测传感器个体的存活，进而增加整个网络威胁检测传感器集群暴露的风险。

高安全性是指自适应组网过程中需要协同的组网信息传输必须采用安全性高的方法，防止因为组网协同信息的泄露造成网络威胁检测传感器的暴露。

高可靠性是指通过自适应组网必须构建可靠的任务集群，保证在组网状态下每个网络威胁检测传感器个体都具备接受控制并完成任务的能力。

(3)自适应组网应具备在非合作网络环境的动态适应性

依托非合作网络环境下宿主机生存，而宿主机是否开机、网络威胁检测传感器个体是否安全生存，都会对组网过程产生影响。而自适应组网应具备很强的动态适应性，灵活地根据网络威胁检测传感器的在线或存活状态调整组网策略，满足集群任务的组网需求。

发明内容

鉴于上述问题，提出了本发明以便提供克服上述问题或者至少部分地解决上述问题的一种自适应组网的通信方法。

根据本发明的一个方面，提供了一种自适应组网的通信方法，所述通信方法包括：

改进网络威胁检测传感器宿主机网络行为特征采集方法，适应目标网络的主机多样性；

改进网络威胁检测传感器组网载荷初始化流程，采用端口复用传输网络威胁检测传感器自适应组网载荷间的内部通信信息；

改进网络威胁检测传感器资源管理，优化网络威胁检测传感器资源管理群分解算法和路由选取算法；构建优化的网络威胁检测传感器任务群簇。

可选的，所述通过改进网络威胁检测传感器宿主机网络行为特征采集方法具体包括：

根据网络威胁检测传感器宿主机多网卡存在的情况，区分IP地址进行网络行为特征的采集，并增加对同一IP下端口使用情况及使用频率的采集；

细化HTTP、SMTP协议流量的通信区间统计，按照正常工作流速分小时统计用户活跃时间段，提取若干个活跃时间段；

实现对多网卡主机的特征统计支持，对某个通信IP的通信时间段按照24个区间统计，但统计结果不列入组网策略表，以文件形式存储在本地，供本地通信时参考。

可选的，所述改进后宿主机网络行为特征库定义：对于

其中：p≥n；NODEID为网络威胁检测传感器唯一标识，ip

可选的，所述改进网络威胁检测传感器组网载荷初始化流程具体包括：

以目标网络内符合服务器特点的宿主机做为网络威胁检测传感器簇头的选择对象，并构建网络威胁检测传感器管理体系，当网络威胁检测传感器进入目标网络后，检查宿主机是否满足服务器特征，如是否开启80、25端口，如果满足，则将标识为簇头节点，否则为普通节点；若普通节点网络威胁检测传感器生存过程中，发现无簇头节点，在后续维护自身组网特征表时，若发现同IP网段有簇头网络威胁检测传感器存在，主动将排序靠前的簇头节点标识为簇头节点。

可选的，所述采用端口复用传输网络威胁检测传感器自适应组网载荷间的内部通信信息具体包括：

当在网络威胁检测传感器资源管理体系构建和维护的过程中，簇头节点与普通节点自适应组网载荷间的内部通信，包括组网策略表上报、任务分配信息，均需采用与宿主机网络行为特征匹配的端口复用技术进行传输。

可选的，所述改进网络威胁检测传感器资源管理，优化网络威胁检测传感器资源管理群分解算法和路由选取算法具体包括：

当管理节点拥有的网络威胁检测传感器资源达到数量阈值时，启动网络威胁检测传感器资源分解流程：

管理节点将备份管理节点选取为新的管理节点，新的管理节点从原管理节点中选取合适的节点作为管理资源，管理节点从管理资源当中去除新管理节点及新管理节点管理的网络威胁检测传感器资源；

管理节点和新的管理节点根据簇头选取算法补充备份管理节点，管理节点通知所属节点更新备份管理节点信息，所有的簇头和备份簇头均为目标网络中的服务器节点。

可选的，所述改进后的网络威胁检测传感器管理体系中，簇头节点掌握网络威胁检测传感器资源最多的节点，对通信路由检索进行优化。

可选的，所述节点A首先在组网策略表中检查是否与节点B有直接通信，如果有，则返回路由信息节点A ID+节点B ID并退出；否则节点A向簇头节点A’申请检查是否能与节点B通信，若节点B存在于A’组网策略表中，则返回路由信息节点AID+节点A’ID+节点B ID；否则，节点A’按照组网策略表中的排序向能够在自己组网策略表查询到的所有簇头和备份簇头节点申请检查其是否能与节点B通信，若簇头或备份簇头节点C的组网策略表中存在节点B，则返回路由信息节点A ID+节点A’ID+节点C ID+节点B ID。

可选的，所述构建网络威胁检测传感器任务群簇过程中，包括主动式任务群簇构建和被动式任务群簇构建；

当网络威胁检测传感器资源不足时，向簇头或其它网络威胁检测传感器资源管理群申请网络威胁检测传感器资源；

在网络威胁检测传感器任务群簇构建过程中，当网络威胁检测传感器资源不足需要申请网络威胁检测传感器资源时，由于被申请资源的簇头宿主机拥有最大化的网络威胁检测传感器资源。

可选的，所述主动式任务群簇构建支持，网络威胁检测传感器A从所属网络威胁检测传感器资源中选择并通知合适的网络威胁检测传感器构建任务群簇，并创建任务群簇表；根据各个网络威胁检测传感器完成任务的反馈动态调整任务群簇中的网络威胁检测传感器资源；

如某个网络威胁检测传感器无法执行任务或执行任务失败，则从任务群簇表中动态退出该网络威胁检测传感器，同时从剩余网络威胁检测传感器选择合适的网络威胁检测传感器动态加入任务群簇表；

如果任务群簇构建过程中，网络威胁检测传感器A的资源无法满足任务的需要，则向其它网络威胁检测传感器资源管理群申请资源；当A完成根据任务群簇中的各节点反馈，若任务已完成，则销毁任务群簇。

可选的，所述若网络威胁检测传感器A的所属网络威胁检测传感器资源中拥有足够的网络威胁检测传感器资源，则直接选择并通知合适的网络威胁检测传感器构建任务群簇，并创建任务群簇表；

否则，网络威胁检测传感器A向其簇头申请网络威胁检测传感器资源，由簇头将满足任务条件的网络威胁检测传感器资源返回给网络威胁检测传感器A，再由网络威胁检测传感器A通知选中的网络威胁检测传感器构建任务群簇，并创建任务群簇表；

网络威胁检测传感器A根据各个网络威胁检测传感器完成任务的反馈动态调整任务群簇中的网络威胁检测传感器资源；

如某个网络威胁检测传感器无法执行任务或执行任务失败，则从任务群簇表中动态退出网络威胁检测传感器，同时从剩余网络威胁检测传感器选择合适的网络威胁检测传感器动态加入任务群簇表。

可选的，所述被动式任务群簇构建支持；

被动式任务群簇管理依赖的任务不是自己产生，而是由上级节点下达的，称为有中心的任务群簇管理，也包括任务群簇的生成、群簇的合并和群簇的销毁；

被动式任务群簇生成、合并和销毁等都由簇头进行管理。

本发明提供的一种自适应组网的通信方法，所述通信方法包括：改进网络威胁检测传感器宿主机网络行为特征采集方法，适应目标网络的主机多样性；改进网络威胁检测传感器组网载荷初始化流程，采用端口复用传输网络威胁检测传感器自适应组网载荷间的内部通信信息；改进网络威胁检测传感器资源管理，优化网络威胁检测传感器资源管理群分解算法和路由选取算法；构建优化的网络威胁检测传感器任务群簇。以最小代价、高安全性、高可靠性为原则指标，通过对网络威胁检测传感器宿主机网络行为统计分析的自适应组网方法，满足网络威胁检测传感器个体组网的自组性和机动性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的自适应组网过程和步骤流程图；

图2为本发明实施例提供的组网载荷初始化改进流程图；

图3为本发明实施例提供的网络威胁检测传感器资源分解优化流程图；

图4为本发明实施例提供的网络威胁检测传感器通信安全路由决策优化示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明的说明书实施例和权利要求书及附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元。

下面结合附图和实施例，对本发明的技术方案做进一步的详细描述。

实施例1

如图1所示，一种自适应组网的通信方法，包括：

S01：统计分析网络威胁检测传感器个体宿主机的网络行为，获取宿主机网络行为的特征，构造宿主机的网络行为特征库，主要包括：主要通信IP地址、通信频率、通信时间段、通信时长、通信业务类型、通信流量大小等，并按照通信频率进行排序。

S02：网络威胁检测传感器个体依据宿主机网络行为特征库，检查自身继承的组网策略表(能够组网的网络威胁检测传感器个体列表)中的网络威胁检测传感器个体对象宿主机是否是本个体宿主机经常正常通信的对象，有以下2种处理方式：

S02-1：不在本个体宿主机的网络行为特征库中，网络威胁检测传感器个体对象不作为日常隐蔽通信的对象，目的是不产生异常的通信流量，减少网络威胁检测传感器暴露的风险，并且在组网策略表中将其下移。

S02-2：存在宿主机制网络行为特征库中，在组网策略表中根据与宿主机的通信频率、通信流量大小等进行排序，并且在日常隐蔽通信时选择排序靠前的网络威胁检测传感器个体对象进行通信，尽量不选择排序靠后的网络威胁检测传感器个体对象通信。

如图2所示，组网载荷初始化改进的方法流程；

S03：网络威胁检测传感器个体依据宿主机网络行为特征库，在排除组网策略表中的所有通信对象后，侦察宿主机剩余的、排序靠前的网络行为对象中是否存在有网络威胁检测传感器个体存在，如果存在将其添加到组网策略表中并排序。

S04：网络威胁检测传感器个体按照一定的频率向指控中心发送组网策略表中更新的内容。

S05：网络威胁检测传感器个体按照组网策略表，在平时状态下，选择排名靠前的网络威胁检测传感器个体对象进行通信，为了保证通信的可靠性，可一次选择两至三个对象通信；在任务状态及特殊情况下，根据“指挥节点”协同指令可与组网策略表中任一网络威胁检测传感器个体对象组网和通信。

S06：在网络威胁检测传感器完成组网策略表以后，为了更好的适应任务的需求，需要形成任务群簇。指控中心先对任务进行规划，然后下达任务命令，接到任务的网络威胁检测传感器首先形成任务群簇，这样才能协同控制地完成任务。根据前期对网络威胁检测传感器集群任务体系结构的研究，RC-chord协议可以用于资源的查询和集群的构建，因此，在任务命令下达后，网络威胁检测传感器迅速通过制定好的协议自适应的形成任务群簇。如图3所示，网络威胁检测传感器资源分解优化的流程图。

S05-1：首先要形成网络威胁检测传感器的集群任务体系结构。网络威胁检测传感器集群的形成先要选出一个或多个超级节点，超级节点在初始阶段负责整个网络所有处理，假设初始阶段只有两个节点，则选出一个节点作为超级节点，节点和超级节点分别添加自己的路由信息，此时网络的最基本结构已经形成。节点向超级节点发送组网请求，超级节点负责节点的注册并通知相应节点更新路由信息，随着节点的加入，集群内节点达到一定数量时，第二次集群开始创建，按照上述过程，分别创建下一层集群，此时，网络威胁检测传感器集群任务体系结构组建基本完成。如图4所示，网络威胁检测传感器通信安全路由决策优化示意图。

S05-2：任务群簇的形成有2种方式：

第一种：指控中心根据任务规划方案指定网络威胁检测传感器任务群簇超级节点和普通节点，由群簇超级节点按照群簇构成方案调用群簇构建算法实现群簇的创建和管理。

第二种：指挥中心只下达任务并指定网络威胁检测传感器群簇超级节点，由指定的网络威胁检测传感器超级节点自适应的根据任务和自适应组网模块提供的组网策略表信息，选择较为安全的网络威胁检测传感器节点，调用群簇构建算法实现群簇的创建和管理。

S05-3：本发明采用基于改进的RC-Chord(Resource ClusteredChord)算法实现网络威胁检测传感器群簇的创建和管理。RC-Chord是对Chord协议的一种扩展，它结合HP2P结构解决大规模系统中的联合编队问题。RC-Chord算法具有把层次结构扩展为任意数量层次的能力，每层由一个或多个集群构成，每个集群是一个独立的Chord实例。在RC-chord中，集群组织方式类似于一棵树，集群网络的构建是至上而下的，最高层集群叫做超级集群，每个集群可以拥有的子集群数量由分支系数决定。每个任务群簇都有一个超级节点，超级节点负责管理群簇内的节点和与指控中心进行通信，指控中心管理超级节点。由于网络的动态性，节点可能退出任务群簇或失效，任务群簇也可能分裂或合并，任务群簇节点调用改进的RC-Chord算法实现网络威胁检测传感器群簇的动态管理。为了保证任务的完成，采用相应的容错机制(构建备用超级节点)，实现群簇的管理，每个任务群簇有一个超级节点和一个备用超级节点，在任务协同执行过程中，普通节点向超级节点发送的请求信息在一定时间内没有收到响应，则判定超级节点是否失效，若失效立刻启动备用超级节点。在任务完成之后，超级节点负责解散任务群簇。

为了更好的适应集群任务体系结构，集群分裂算法的具体过程和步骤为：

S05-3-1：当集群内节点数目超过上限时，集群的主超级节点从超级节点中选出一半的备选超级节点作为新集群的超级节点，并选出一个主超级节点。选举的原则是主超级节点根据本集群的资源类型，尽可能将资源类型均匀分配，使得分裂后的两个集群拥有的节点数目和资源类型尽可能均衡。

S05-3-2：新集群作为一个chord实例加入到网络中，并建立相应的路由表，相关集群的超级节点更新自己的路由表。

S05-3-3：原集群从普通节点中选举一批新的备份超级节点，并与原来保留的超级节点交换信息，其他普通节点更新自己路由信息。

S05-3-4：新集群从普通节点中选举一批新的备份超级节点，并与刚建立的超级节点交换信息，其他普通节点更新自己的路由信息。

S05-3-5：新集群将自身拥有的资源向上层集群报告，上层集群的超级节点更新自己路由信息，集群分裂完成。

集群合并算法的具体过程和步骤为：

S05-3-1：当集群i内节点数目小于下限值时，该集群的主超级节点在同层中查找离该集群较近的集群j，并向集群j发送合并请求。

S05-3-2：当集群j的超级节点收到合并请求时，首先检测本集群的节点数目是否小于下限值，如果小于，则检测集群i与本集群的资源类型是否互补，使得合并后的集群拥有尽可能多的资源类型，资源的互补给定一个阀值，当两个集群达到这个阀值时，则发送合并响应，否则发送拒绝合并响应。

S05-3-3：当集群i收到集群j的合并响应后，启动合并程序。集群i将本集群通知上层集群自己要退出，上层集群更新自己路由信息。

S05-3-4：集群i将整个集群加入到集群j中，集群j内主超级节点根据选举策略选出新的超级节点，其他节点也更新相关的路由信息。

S05-3-5：当集群i收到集群j拒绝合并响应后，集群i寻找下一个可以合并的群，发送合并请求，直到找到可以合并的集群为止，集群合并完成。

实施例2

提供了一种基于网络行为特征的自适应组网模型。该方法具体包括以下步骤：

(1)模型定义

定义1：指挥中心：Command＝{ip

定义2：超级节点集合：SuperCraft＝{ip

定义3：网络威胁检测传感器集合：Craft＝{ip

定义4：宿主机集合：Computer＝{ip

定义5：宿主机网络行为特征库：对于

定义6：网络威胁检测传感器的组网策略表集合：对于网络威胁检测传感器craft

定义7：指挥控制中心发送给簇头等超级结点的任务记为Misson＝{m

定义8：超级节点的群簇集合：对于网络威胁检测传感器craft

(2)模型规则

规则1：如果网络威胁检测传感器craft

规则2：若网络威胁检测传感器craft

规则3：若网络威胁检测传感器craft

规则4：若网络威胁检测传感器craft

规则5：若网络威胁检测传感器craft

规则6：对

(3)模型描述

自适应组网可分为两个过程：个体自适应构建组网策略表和基于任务的自适应组网。

过程2：基于任务的动态组网，形成任务群簇

基于任务的动态组网方式有两种：一种是由指挥控制中心直接下达指令，告知超级节点(簇头)构建任务群簇的所有普通节点；另一种是由超级节点(簇头)根据任务自行选择普通节点构建任务群簇。

过程3：任务群簇的分离和重组

当某一任务群簇过大时，需要进行分离并扩展出新的群簇，这样便于任务的分解，以及对普通节点的管理。而当某一任务群簇过小，合并到其它任务群簇，便于整合任务力量。

①任务群簇的分离扩展

②任务群簇的重组合并。

有益效果：以最小代价、高安全性、高可靠性为原则满足网络威胁检测传感器个体组网的自组性和机动性需求。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。