背  景

随着云计算和边缘计算等互联网技术的不断发展，端边云架构逐渐取代了传统的云中心架构。在这种新架构中，节点性能、功能和数据覆盖高度异构，网络形式多样化且复杂，还存在特殊网络如区块链、即时通信和匿名通信等。同时，网络协议也变得更加复杂和未知，为了实现更多安全机制和功能，其结构也更加复杂。

网络安全态势感知是应对网络威胁的有效技术之一，它通过采集和分析海量数据，识别网络威胁，提供精准的情报支持。加密流量分析是在境外设备不可控情况下获取核心数据的重要途径，对于实现网络安全态势感知至关重要。然而，随着智能设备的普及，网络边缘设备的数据量和计算需求急剧增加，传统的集中式流量分析架构无法满足这种大规模数据的处理需求，协议识别缺乏有效的特征和方法，导致准确率和适用性存在缺陷，难以实现高速端边云网络下的加密流量智能识别。

对于端边云网络架构下基于加密流量多维情报进行网络安全态势感知的研究更具挑战性。因此，我们需要探索新的技术和方法，以实现更高效、准确的加密流量智能识别和网络安全态势感知。

01.

本文首先提出一种面向高速端边云网络的多智能体协同方法，实现高速端边云网络场景下的单任务多阶段协同与多任务并行协同，提高上层模型在不同采集设备、不同网络环境下的高效性、通用性和泛化能力，为进一步的加密流量应用分类方法与协议智能分析方法提供架构支撑。

图1  面向高速端边云网络的多智能体协同方法

Fig.1  Multi-Agent Collaborative Architecture for High-Speed End-Edge-Cloud Networks

02.

其次，本文提出一种面向高速端边云网络的加密流量应用分类方法，实现在高速端边云网络场景下的多流关联特征挖掘与基于图神经网络精准应用分类，分析多流序列间的关联关系，支持端节点不均衡样本的有效扩充，构建网络流簇的应用数据单元特征，提高应用分类准确性、高效性并降低资源消耗，为后续进一步的加密网络态势感知提供情报信息。

图2  端边云协同的加密流量应用分类架构

Fig.2  Architecture for Encrypted Traffic Application Classification in End-Edge-Cloud Collaboration

03.

此外，本文解析协议规范的组织结构与差异性机理，结合高速端边云网络架构分层研究协议格式推断与协议状态转换模型推理，构建模态敏感的集成神经网络识别架构，以满足新型网络环境下协议发现、解析与识别的整个智能分析流程。

图3  面向新型网络的协议智能分析方法

Fig.3  Intelligent Analysis Method for Protocols in Emerging Networks

04.

最后，本文利用知识图谱能够整合事物底层特征空间与事务语义空间的优点，创新性地整合多源异构网络情报与全网实体事件关联，实现对网络系统的异常行为觉察，结合攻击期望值与系统防御能力量化并评估系统安全态势，实现对异常行为链的判断与预测。

图4  加密网络行为态势感知方法

Fig.4  Method for Encrypted Network Behavior Situational Awareness

创新点

本文提出了一种面向高速端边云网络的加密流量智能识别与态势感知方法。首先，结合联邦学习和多智能体理论，构建了一个多智能体协同框架，通过单任务阶段协同和多任务并行协同的方式，为上层模型训练提供支持。其次，实现了大规模高速端边云网络中的加密流量应用分类和未知协议智能识别，克服了现有方法分类性能弱、模型鲁棒性差的问题。最后，通过分析加密流量应用、协议和隐含态势，以及综合多源网络情报数据，实现了对加密网络行为的态势感知。

未来研究方向

本文提出的方法为高速端边云网络下的加密流量识别与安全态势感知提供了一种有效的解决方案。在本文的基础上，接下来的工作将在以下几个方面开展研究：（1）多智能体协同方法还需要考虑更多的网络环境因素，如节点故障、通信延迟、数据不均衡等，以提高协同效率和鲁棒性；（2）加密流量应用分类和协议识别方法还可以结合更多的特征提取和降维技术，增强模型的泛化能力和识别精度；（3）加密网络行为态势感知方法还可以引入更多的态势评估指标和可视化手段，以提高态势感知的准确性和可解释性。

来源：《网络空间安全科学学报》第一期

（点击文末左下角“阅读原文”可查看本篇文章）

电话：010-68370159 / 68372337

邮箱：[email protected]