一种自适应组网的通信方法技术

本发明专利技术提供的一种自适应组网的通信方法，所述通信方法包括：改进网络威胁检测传感器宿主机网络行为特征采集方法，适应目标网络的主机多样性；改进网络威胁检测传感器组网载荷初始化流程，采用端口复用传输网络威胁检测传感器自适应组网载荷间的内部通信信息；改进网络威胁检测传感器资源管理，优化网络威胁检测传感器资源管理群分解算法和路由选取算法；构建优化的网络威胁检测传感器任务群簇

【技术实现步骤摘要】
一种自适应组网的通信方法


[0001]本专利技术涉及网络安全防护
，尤其涉及一种自适应组网的通信方法
。

技术介绍

[0002]网络威胁检测传感器是一种部署在宿主机上，能够并自主开展相关安全威胁检测任务的软件
。
自适应组网是网络威胁检测传感器指挥控制及任务协作的关键环节，不仅关系到网络威胁检测传感器任务能否顺利执行，而且关系到网络威胁检测传感器个体生存的隐蔽性和安全性
。
[0003](1)
自适应组网是满足网络威胁检测传感器集群任务的基本要求
[0004]在非合作网络环境下执行任务，可以以单个个体的方式，也可以是以合作的方式
。
但是，任务的下达
、
执行及反馈的上传等必须通过协同的模式完成，这就需要每个网络威胁检测传感器都必须是集群任务组织的成员
。
网络威胁检测传感器个体成为集群任务成员的过程即是网络威胁检测传感器组网的过程，它是满足网络威胁检测传感器集群任务的最基本要求
。
[0005](2)
自适应组网不能影响生存状态
[0006]为在自适应组网过程中不能增加暴露的风险
。
必须在保障安全性前提下，以最小代价
、
高安全性
、
高可靠性为原则进行自适应安全组网
。
其中：
[0007]最小代价是指自适应组网过程中网络威胁检测传感器应尽可能少地产生异常行为，防止被宿主机的安全检查机制发现，从而影响网络威胁检测传感器个体的存活，进而增加整个网络威胁检测传感器集群暴露的风险
。
[0008]高安全性是指自适应组网过程中需要协同的组网信息传输必须采用安全性高的方法，防止因为组网协同信息的泄露造成网络威胁检测传感器的暴露
。
[0009]高可靠性是指通过自适应组网必须构建可靠的任务集群，保证在组网状态下每个网络威胁检测传感器个体都具备接受控制并完成任务的能力
。
[0010](3)
自适应组网应具备在非合作网络环境的动态适应性
[0011]依托非合作网络环境下宿主机生存，而宿主机是否开机
、
网络威胁检测传感器个体是否安全生存，都会对组网过程产生影响
。
而自适应组网应具备很强的动态适应性，灵活地根据网络威胁检测传感器的在线或存活状态调整组网策略，满足集群任务的组网需求
。

技术实现思路

[0012]鉴于上述问题，提出了本专利技术以便提供克服上述问题或者至少部分地解决上述问题的一种自适应组网的通信方法
。
[0013]根据本专利技术的一个方面，提供了一种自适应组网的通信方法，所述通信方法包括：
[0014]改进网络威胁检测传感器宿主机网络行为特征采集方法，适应目标网络的主机多样性；
[0015]改进网络威胁检测传感器组网载荷初始化流程，采用端口复用传输网络威胁检测
传感器自适应组网载荷间的内部通信信息；
[0016]改进网络威胁检测传感器资源管理，优化网络威胁检测传感器资源管理群分解算法和路由选取算法；构建优化的网络威胁检测传感器任务群簇
。
[0017]可选的，所述通过改进网络威胁检测传感器宿主机网络行为特征采集方法具体包括：
[0018]根据网络威胁检测传感器宿主机多网卡存在的情况，区分
IP
地址进行网络行为特征的采集，并增加对同一
IP
下端口使用情况及使用频率的采集；
[0019]细化
HTTP、SMTP
协议流量的通信区间统计，按照正常工作流速分小时统计用户活跃时间段，提取若干个活跃时间段；
[0020]实现对多网卡主机的特征统计支持，对某个通信
IP
的通信时间段按照
24
个区间统计，但统计结果不列入组网策略表，以文件形式存储在本地，供本地通信时参考
。
[0021]可选的，所述改进后宿主机网络行为特征库定义：对于其网络行为特征库记为：
[0022][0023]其中：
p≥n
；
NODEID
为网络威胁检测传感器唯一标识，
ip
k
代表与宿主机通信的主机
k
的
IP
地址，
F
k
代表与主机
k
的通信频率；
Http
k
为与主机
k
进行
HTTP
协议通信的通信时机及通信量；
Smtp
k
为与主机
k
进行
SMTP
协议通信的通信时机及通信量，
port
k
为在
ip
k
地址上端口使用信息和使用频率信息
。
[0024]可选的，所述改进网络威胁检测传感器组网载荷初始化流程具体包括：
[0025]以目标网络内符合服务器特点的宿主机做为网络威胁检测传感器簇头的选择对象，并构建网络威胁检测传感器管理体系，当网络威胁检测传感器进入目标网络后，检查宿主机是否满足服务器特征，如是否开启
80、25
端口，如果满足，则将标识为簇头节点，否则为普通节点；若普通节点网络威胁检测传感器生存过程中，发现无簇头节点，在后续维护自身组网特征表时，若发现同
IP
网段有簇头网络威胁检测传感器存在，主动将排序靠前的簇头节点标识为簇头节点
。
[0026]可选的，所述采用端口复用传输网络威胁检测传感器自适应组网载荷间的内部通信信息具体包括：
[0027]当在网络威胁检测传感器资源管理体系构建和维护的过程中，簇头节点与普通节点自适应组网载荷间的内部通信，包括组网策略表上报
、
任务分配信息，均需采用与宿主机网络行为特征匹配的端口复用技术进行传输
。
[0028]可选的，所述改进网络威胁检测传感器资源管理，优化网络威胁检测传感器资源管理群分解算法和路由选取算法具体包括：
[0029]当管理节点拥有的网络威胁检测传感器资源达到数量阈值时，启动网络威胁检测传感器资源分解流程：
[0030]管理节点将备份管理节点选取为新的管理节点，新的管理节点从原管理节点中选取合适的节点作为管理资源，管理节点从管理资源当中去除新管理节点及新管理节点管理的网络威胁检测传感器资源；
[0031]管理节点和新的管理节点根据簇头选取算法补充备份管理节点，管理节点通知所
属节点更新备份管理节点信息，所有的簇头和备份簇头均为目标网络中的服务器节点
。
[0032]可选的，所述改进后的网络威胁检测传感器管理体系中，簇头节点掌握网络威胁检测传感器资源最多的节点，对通信路由检索进行优化
。
[0033]可选的，所述节点...

【技术保护点】

【技术特征摘要】
1.
一种自适应组网的通信方法，其特征在于，所述通信方法包括：改进网络威胁检测传感器宿主机网络行为特征采集方法，适应目标网络的主机多样性；改进网络威胁检测传感器组网载荷初始化流程，采用端口复用传输网络威胁检测传感器自适应组网载荷间的内部通信信息；改进网络威胁检测传感器资源管理，优化网络威胁检测传感器资源管理群分解算法和路由选取算法；构建优化的网络威胁检测传感器任务群簇
。2.
根据权利要求1所述的一种自适应组网的通信方法，其特征在于，所述通过改进网络威胁检测传感器宿主机网络行为特征采集方法具体包括：根据网络威胁检测传感器宿主机多网卡存在的情况，区分
IP
地址进行网络行为特征的采集，并增加对同一
IP
下端口使用情况及使用频率的采集；细化
HTTP、SMTP
协议流量的通信区间统计，按照正常工作流速分小时统计用户活跃时间段，提取若干个活跃时间段；实现对多网卡主机的特征统计支持，对某个通信
IP
的通信时间段按照
24
个区间统计，但统计结果不列入组网策略表，以文件形式存储在本地，供本地通信时参考
。3.
根据权利要求1所述的一种自适应组网的通信方法，其特征在于，所述改进后宿主机网络行为特征库定义：对于其网络行为特征库记为：其中：
p≥n
；
NODEID
为网络威胁检测传感器唯一标识，
ip
k
代表与宿主机通信的主机
k
的
IP
地址，
F
k
代表与主机
k
的通信频率；
Http
k
为与主机
k
进行
HTTP
协议通信的通信时机及通信量；
Smtp
k
为与主机
k
进行
SMTP
协议通信的通信时机及通信量，
port
k
为在
ip
k
地址上端口使用信息和使用频率信息
。4.
根据权利要求1所述的一种自适应组网的通信方法，其特征在于，所述改进网络威胁检测传感器组网载荷初始化流程具体包括：以目标网络内符合服务器特点的宿主机做为网络威胁检测传感器簇头的选择对象，并构建网络威胁检测传感器管理体系，当网络威胁检测传感器进入目标网络后，检查宿主机是否满足服务器特征，如是否开启
80、25
端口，如果满足，则将标识为簇头节点，否则为普通节点；若普通节点网络威胁检测传感器生存过程中，发现无簇头节点，在后续维护自身组网特征表时，若发现同
IP
网段有簇头网络威胁检测传感器存在，主动将排序靠前的簇头节点标识为簇头节点
。5.
根据权利要求1所述的一种自适应组网的通信方法，其特征在于，所述采用端口复用传输网络威胁检测传感器自适应组网载荷间的内部通信信息具体包括：当在网络威胁检测传感器资源管理体系构建和维护的过程中，簇头节点与普通节点自适应组网载荷间的内部通信，包括组网策略表上报
、
任务分配信息，均需采用与宿主机网络行为特征匹配的端口复用技术进行传输
。6.
根据权利要求1所述的一种自适应组网的通信方法，其特征在于，所述改进网络威胁检测传感器资源管理，优化网络威胁检测传感器资源管理群分解算法和路由选取算法具体
包括：当管理节点拥有的网络威胁检测传感器资源达到数量阈值时，启动网络威胁检测传感器资源分解流程：管理节点将备份管理节点选取为新的管理节点，新的管理节点从原管理节点中选取合适的节点作为管理资源，管理节点从管理资源当中去除新管理节点及新管理节点管理的网络威胁检测传感器资源；管理节点和新的管理节点根据簇头选取算法补充备份管理节点，管理节点通知所属节点更新备份管理节点信息，所有的簇头和备份簇头均为目标网络中的服务器节点
。7.
根据权利要求6所述的一种自适应组网的通信方法，其特征在于，所述改进后的网络威胁检测传感器管理体系中，簇头节点掌握网络威胁...

【专利技术属性】
技术研发人员：王毅，王海，孙涛，任启，高阳，杨晟，赵欣硕，陈琳羽，陈振全，董晓蓉，王立新，于洋，
申请(专利权)人：国家电网有限公司，
类型：发明
国别省市：