[发明专利]一种面向开放异构网络的融合异常检测系统

说明书

本发明公开了一种面向开放异构网络的融合异常检测系统，所述开放异构网络由多种网络（边缘网络、互联网、移动通信网）组成；本发明中边缘网络将传感器采集的数据进行汇聚，通过互联网和移动通信网络进行传输。每个网络根据离线数据各自做各自的建模画像，并各自进行在线数据的异常检测分析，然后再将各自的异常检测结果进行融合分析，准确判断是否存在异常。同时，也能方便定位异常来源。本发明在各自异常检测的基础上，进行进一步融合分析，更加准确判断异构网络信息安全情况，有效提高检测率和误警率。

技术领域

本发明属于网络信息安全领域，具体涉及一种面向开放异构网络的融合异常检测系统。

背景技术

物联网技术快速发展，NB-IoT、eMTC和LoRa技术提供了广域覆盖、低功耗接入与海量物联网终端接入的能力，推动了边缘网络终端的部署，使得网络变得越来越复杂。如何保障网络安全问题需要进行进一步思考。

网络安全指信息处理和传输的安全，随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。在由多种网络（比如移动通信网、互联网和物联网）组成的异构网络的海量接入和数据交互环境中，存在大量用户、产业或工业的敏感信息，甚至是国家机密。所以难免会吸引各种人为攻击（例如信息泄露、信息窃取、数据篡改等），需要更高性能、更可靠的异常检测系统来对网络安全进行支持。

异构网络的安全需求由于其复杂性将有大幅度的提高，首先不只是单单在一个网络中进行安全分析，单个层面的异常检测系统无法满足异构网络的安全需求，其次由于边缘网络的加入，数据接入的方式也变得更加复杂。传统的分布式异常检测可以在多个子网部署异常检测节点，但是需要通过交换数据协同进行工作，对于数据的交互和实时性要求较高，但是各行业独立建网，行业间形成数据孤岛，严重制约了数据融合，导致无法统一数据在一个层面进行分析建模，将会大大提高异常检测的难度。

在异构网络中，数据在传输的过程中会通过不同的网络，可能会受到来自不同节点的攻击，也有可能是边缘节点本身采集到了异常数据，对于多个异常检测系统检测后的产生的信息或者结果需要再进一步进行分析。

随着网络接入的不断丰富以及社会公共服务的需要，开放异构网络架构已经被提出，在这样的网络架构中势必面临许多网络安全问题。主要问题如下：

离线数据获取问题：由于异构网络中边缘网络的各物联网行业都是独立建网，有些物联网行业的数据可能会涉及隐私而导致无法将离线数据上传到互联网或者移动通信网，导致建立的异常检测模型不完整，无法描述整体数据。这会大大增加异构网络中融合异常检测的难度。

在线数据检测问题：传统的分布式异常检测可以在多个子网部署异常检测节点，在检测时，需要各异常检测节点交互被检测数据，以提高检测率。但是数据在各网络传输的过程中，由于其私密性通常不会与其他网络进行数据交互。而且由于数据在传输的过程中可能在不同的节点呈现出来的数据形式也是不同，所以通过交互检测数据以提高检测率的方法在异构网络中不可行。

检测结果的分析问题：传统的分布式异常检测系统在检测节点独立完成检测和响应，但是由于异构网络的复杂性，会存在单个检测节点做出的响应无法反映真实情况的问题。而且由于现实中某个物联网环境数据是由多个不同物联网设备生成，此时这些设备会存在某种联系，此时也无法由单一设备的安全确认整体的安全。

发明内容

本发明的目的是为了保障复杂开放异构网络的信息安全，确保网络能正常运行，提供一种面向开放异构网络的融合异常检测系统，该系统考虑到了异构网络环境的复杂性，异构网络之间数据的私密性，在不交互数据的条件下对数据进行融合检测，同时可以定位数据异常来源，并根据实际网络资源和需求定制合适的异常检测算法。