一种网络数据安全识别方法及系统与流程

1.本发明涉及数据安全的技术领域，尤其涉及一种网络数据安全识别方法及系统。


背景技术：

2.大数据时代存在一系列的网络安全隐患，5g网络的出现更是带来了新的网络安全问题，这些问题对未来的5g网络的安全性提出了更高的要求，安全问题解决不好，将会严重制约5g网络发展，给5g服务供应商带来了极大的困难，同时也将影响广大网络使用者的用户体验和安全保障。
3.国外一些学者研究表明，5g系统相比于3g、4g版本，虽然在数据保护方面有了较大的改进，但是安全漏洞问题仍然存在，并且已经成为了威胁5g网络安全的一个关键性安全问题。研究表明，4g系统所具有的收发短信以及接打电话等功能，5g系统不会发生改变，同时在图片、视频的交换与传输过程中，5g系统也不会发生功能与使用方式上的改变。但是，5g网络的应用，为自动车辆研发、物联网设备的应用提供了可能。5g网络应用期间，其网络更快，但在安全性方面并不能达到我们所希望的达到的安全效果。当前，还有一些安全漏洞不能完全填补，进而导致网络受到攻击的概率大大增加，同时不利于个人隐私的保护。


技术实现要素：

4.本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。
5.鉴于上述现有存在的问题，提出了本发明。
6.因此，本发明提供了一种网络数据安全识别方法，能够满足安全需求。
7.为解决上述技术问题，本发明提供如下技术方案：包括，通过sdn控制器采集5g网络切片的多元异构数据；基于所述5g网络切片的多元异构数据建立网络安全预测模型，通过em算法获取网络安全预测模型参数；将所述5g网络切片的多元异构数据输入至所述网络安全预测模型中，通过所述网络安全预测模型输出安全信任值；若安全信任值小于0.5，则通过客户端执行签密算法生成公钥，并将所述公钥传递给服务器；所述服务器根据服务请求时间验证公钥的合法性，若合法，则命令所述客户端执行签密算法将所述5g网络切片的多元异构数据生成密文。
8.作为本发明所述的网络数据安全识别方法的一种优选方案，其中：所述网络安全预测模型包括，定义变量q、w、a、s、z，其中q为服务器的隐状态，w为5g网络切片的多元异构数据样本，a为网络在初始时刻处于安全状态的概率，s为安全状态转移矩阵，z为可观测状态转移概率矩阵；建立网络安全预测模型k：
9.k＝(q，w，a，s，z)。
10.作为本发明所述的网络数据安全识别方法的一种优选方案，其中：所述网络安全预测模型参数包括，初始化网络安全预测模型参数λ＝(a，s，z)；根据下式求解网络安全预
测模型参数λ：
[0011][0012]
其中，λ
(t 1)
为t 1时刻的网络安全预测模型参数，λ
(t)
为t时刻的网络安全预测模型参数，p为概率。
[0013]
作为本发明所述的网络数据安全识别方法的一种优选方案，其中：所述网络在初始时刻处于安全状态的概率a为：
[0014][0015]
其中，i为安全状态的种类，包括高、中、低三种；n＝1，2
…
i；q为5g网络切片的多元异构数据样本组合的外部表现特征，用于观测数据状态。
[0016]
作为本发明所述的网络数据安全识别方法的一种优选方案，其中：所述安全状态转移矩阵s包括，
[0017]
s＝[s
ij
]n×n,s
ij
＝p(w,i＝j|λ
(t)
)
[0018]
其中，i和j分别为安全状态转移矩阵元素s的行数和列数，n为安全状态转移矩阵s的行数和列数。
[0019]
作为本发明所述的网络数据安全识别方法的一种优选方案，其中：所述可观测状态转移概率矩阵z包括，
[0020]
z＝[z
ij
]g×h,z
ij
＝p(a
t
＝i|a
t 1
＝j)(1≤i≤g,1≤j≤l)
[0021]
其中，i和j分别为可观测状态转移概率矩阵元素z的行数和列数，g和h分别为可观测状态转移概率矩阵z的行数和列数，a
t
和a
t 1
分别为网络在t时刻、t 1时刻处于安全状态的概率。
[0022]
作为本发明所述的网络数据安全识别方法的一种优选方案，其中：还包括，所述安全信任值的范围为：(0，1)；若所述安全信任值大于或等于0.5，则不对5g网络切片的多元异构数据做任何处理。
[0023]
作为本发明所述的网络数据安全识别方法的一种优选方案，其中：还包括，若所述服务请求时间大于0.2秒，则判定公钥不合法，并命令所述客户端重新生成公钥。
[0024]
作为本发明所述的网络数据安全识别系统的一种优选方案，其中：包括，sdn控制器，用于采集5g网络切片的多元异构数据；建模模块，与所述sdn控制器连接，用于建立网络安全预测模型，并用于获取网络安全预测模型参数；预测模块，与所述建模模块连接，用于将所述5g网络切片的多元异构数据输入至所述网络安全预测模型中，通过所述网络安全预测模型输出安全信任值；客户端，与所述预测模块连接，用于根据安全信任值的大小执行签密算法生成公钥，若安全信任值小于0.5，则执行签密算法生成公钥，并将所述公钥传递给服务器；服务器，与所述客户端连接，用于根据服务请求时间验证公钥的合法性，若合法，则命令所述客户端执行签密算法将所述5g网络切片的多元异构数据生成密文。
[0025]
本发明的有益效果：本发明通过建立网络安全预测模型，满足5g网络异构性和多样性的安全识别需求，同时结合签密算法实现了双向认证增强机制。
附图说明
[0026]
为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：
[0027]
图1为本发明第一个实施例所述的一种网络数据安全识别方法的流程示意图；
[0028]
图2为本发明第一个实施例所述的一种网络数据安全识别方法的客户端和服务器传递结果示意图。
[0029]
图3为本发明第三个实施例所述的一种网络数据安全识别系统的结构示意图。
具体实施方式
[0030]
为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。
[0031]
在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。
[0032]
其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。
[0033]
本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。
[0034]
同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
[0035]
本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
[0036]
实施例1
[0037]
参照图1～图2，为本发明的第一个实施例，该实施例提供了一种网络数据安全识别方法，包括：
[0038]
s1：通过sdn控制器采集5g网络切片的多元异构数据。
[0039]
s2：基于5g网络切片的多元异构数据建立网络安全预测模型，通过em算法获取网络安全预测模型参数。
[0040]
其中需要说明的是，em算法(expectation-maximization algorithm，最大期望算法)是一类通过迭代进行极大似然估计(maximum likelihood estimation，mle)的优化算法，通常作为牛顿迭代法(newton-raphson method)的替代用于对包含隐变量(latent variable)或缺失数据(incomplete-data)的概率模型进行参数估计。
[0041]
定义变量q、w、a、s、z，其中q为服务器的隐状态，w为5g网络切片的多元异构数据样本，a为网络在初始时刻处于安全状态的概率，s为安全状态转移矩阵，z为可观测状态转移概率矩阵；
[0042]
基于隐马尔科夫模型建立网络安全预测模型k：
[0043]
k＝(q，w，a，s，z)。
[0044]
进一步的，根据以下步骤获取网络安全预测模型参数：
[0045]
(1)初始化网络安全预测模型参数λ＝(a，s，z)；
[0046]
由于a符合正态分布，因此设定a的初值为0.6826；s和z中的每个元素设为1；
[0047]
(2)根据em算法求解网络安全预测模型参数λ：
[0048]
其中，em算法的优化公式为：
[0049][0050]
因此，根据上式求解网络安全预测模型参数λ：
[0051][0052]
其中，λ
(t 1)
为t 1时刻的网络安全预测模型参数，λ
(t)
为t时刻的网络安全预测模型参数，p为概率，p(w,q|λ)为联合分布，p(q|w,λ
(t)
)为条件分布。
[0053]
具体的，网络在初始时刻处于安全状态的概率a为：
[0054][0055]
其中，i为安全状态的种类，包括高、中、低三种，安全状态值分别设置为5、3、1；n＝1，2
…
i；q为5g网络切片的多元异构数据样本组合的外部表现特征，用于观测数据状态。
[0056]
由于a带有约束条件，本实施例使用拉格朗日乘子法求解a：
[0057][0058][0059][0060]
p(w|λ
(t)
) η＝0
[0061]
因此求得：
[0062]
[0063]
安全状态转移矩阵s为：
[0064]
s＝[s
ij
]n×n,s
ij
＝p(w,i＝j|λ
(t)
)
[0065]
其中，i和j分别为安全状态转移矩阵元素s的行数和列数，n为安全状态转移矩阵s的行数和列数。
[0066]
可观测状态转移概率矩阵z为：
[0067]
z＝[z
ij
]g×h,z
ij
＝p(a
t
＝i|a
t 1
＝j)(1≤i≤g,1≤j≤l)
[0068]
其中，i和j分别为可观测状态转移概率矩阵元素z的行数和列数，g和h分别为可观测状态转移概率矩阵z的行数和列数，a
t
和a
t 1
分别为网络在t时刻、t 1时刻处于安全状态的概率。
[0069]
利用训练好的参数λ＝(a，s，z)，可以找到使p(q|w，λ)最大化q。
[0070]
s3：将5g网络切片的多元异构数据输入至网络安全预测模型中，通过网络安全预测模型输出安全信任值。
[0071]
其中安全信任值的范围为：(0，1)，值越大，表明越安全可信；若安全信任值大于或等于0.5，则说明数据安全性高，不对5g网络切片的多元异构数据做任何处理。
[0072]
若安全信任值小于0.5，则通过客户端(5g切片a)执行签密算法生成公钥，并将公钥传递给服务器(5g切片b)，如图2所示。
[0073]
其中，签密算法的具体步骤为：输入公开系统参数params、明文消息m、发送者身份sid及其私钥sk
sid
、接收者身份rid及其公钥pk
sid
，返回密文。
[0074]
s4：服务器根据服务请求时间验证公钥的合法性，若合法，则命令客户端执行签密算法将5g网络切片的多元异构数据生成密文。
[0075]
若服务请求时间大于0.2秒，则判定公钥不合法，并命令客户端重新生成公钥。
[0076]
实施例2
[0077]
为了对本方法中采用的技术效果加以验证说明，本实施例选择传统的技术方案和采用本方法进行对比测试，以科学论证的手段对比试验结果，以验证本方法所具有的真实效果。
[0078]
为验证本方法相对传统的技术方案具有较好的安全预测能力和防护性能，本实施例中将采用传统的技术方案和本方法分别对虚拟机进行恶意访问。
[0079]
实验环境：配置8gb内存，使用matlab进行编程，虚拟机中的虚拟网络使用gt-itm工具随机生成。
[0080]
在实验中加入了对虚拟机的恶意访问，每100个时间单位为一轮，每轮对主机进行10次访问，第一轮包含1个恶意信息，之后每轮增加1个恶意信息，依此类推，为了验证本方法的可信性和有效性，与每轮增加2个恶意信息的情况进行对比，实时测量安全状态值，其中，结果如下表所示。
[0081]
表1：网络防护结果对比。
[0082][0083][0084]
由上表可见，随着恶意信息的增加，本方法仍保持较高的安全状态值，且的预测结果实际安全状态结果一致。
[0085]
实施例3
[0086]
参照图3，为本发明的第三个实施例，该实施例不同于第一个实施例的是，提供了一种网络数据安全识别系统，包括，
[0087]
sdn控制器100，用于采集5g网络切片的多元异构数据；
[0088]
建模模块200，与sdn控制器100连接，用于建立网络安全预测模型，并用于获取网络安全预测模型参数；
[0089]
预测模块300，与建模模块200连接，用于将5g网络切片的多元异构数据输入至网络安全预测模型中，通过网络安全预测模型输出安全信任值；
[0090]
客户端400，与预测模块300连接，用于根据安全信任值的大小执行签密算法生成公钥，若安全信任值小于0.5，则执行签密算法生成公钥，并将公钥传递给服务器500；
[0091]
服务器500，与客户端400连接，用于根据服务请求时间验证公钥的合法性，若合法，则命令客户端400执行签密算法将5g网络切片的多元异构数据生成密文。
[0092]
应当认识到，本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现，其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而，若需要，该程序可以以汇编或机器语言实现。在任何情况下，该语言可以是编译或解释的语言。此外，为此目的该程序能够在编程的专用集成电路上运行。
[0093]
此外，可按任何合适的顺序来执行本文描述的过程的操作，除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行，并且可作为共同地在一个或多个处理器上执行的代码(例如，可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
[0094]
进一步，所述方法可以在可操作地连接至合适的任何类型的计算平台中实现，包
括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现，无论是可移动的还是集成至计算平台，如硬盘、光学读取和/或写入存储介质、ram、rom等，使得其可由可编程计算机读取，当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外，机器可读代码，或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时，本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时，本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能，从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中，转换的数据表示物理和有形的对象，包括显示器上产生的物理和有形对象的特定视觉描绘。
[0095]
如在本技术所使用的，术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体，该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如，组件可以是，但不限于是：在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例，在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中，并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外，这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如，来自一个组件的数据，该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号，以本地和/或远程过程的方式进行通信。
[0096]
应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。