近年來(lái)網(wǎng)絡(luò )空間安全事件頻發(fā)，國家級、集團式網(wǎng)絡(luò )安全威脅層出不窮，網(wǎng)絡(luò )與信息安全形勢異常嚴峻。網(wǎng)絡(luò )空間安全引發(fā)了世界各國政府的高度關(guān)注，美歐等國家分別從國家戰略、組織機構、人才培養、基礎設施保護等方面開(kāi)展部署。世界各國加大“網(wǎng)絡(luò )戰”隊伍建設投入^[1]，加強人才培養。截至2020年1月，已有47個(gè)國家和地區組建了“網(wǎng)絡(luò )戰”部隊，僅美國就擁有133支網(wǎng)絡(luò )部隊，專(zhuān)職“網(wǎng)絡(luò )戰”人員9萬(wàn)人，網(wǎng)絡(luò )空間競爭異常激烈，安全問(wèn)題更加突出。關(guān)鍵基礎設施領(lǐng)域的網(wǎng)絡(luò )安全成為各國關(guān)注重點(diǎn)。美國聯(lián)合12個(gè)西方國家開(kāi)展了多次規?？涨暗摹熬W(wǎng)絡(luò )風(fēng)暴”演習，將關(guān)鍵基礎設施領(lǐng)域作為網(wǎng)絡(luò )攻防對象。有報告指出“如果美國電網(wǎng)遭受網(wǎng)絡(luò )攻擊，最嚴重損失將達一萬(wàn)億美元”。

據美國國土安全部網(wǎng)絡(luò )安全反應小組統計，近十年，美國16個(gè)重要基礎設施部門(mén)網(wǎng)絡(luò )攻擊事件快速增長(cháng)^[2]，能源部門(mén)每年遭受網(wǎng)絡(luò )攻擊事件數量連續保持首位，如圖1所示。國內外先后發(fā)生了多起因網(wǎng)絡(luò )攻擊造成的安全事件^[3]。如2011年，黑客入侵數據采集與監控SCADA系統，導致美國伊利諾伊州城市供水系統供水泵遭到破壞。2012年，全球最大的石油公司沙特阿美石油公司遭到惡意攻擊，30萬(wàn)臺終端、網(wǎng)絡(luò )服務(wù)癱瘓，兩周后其內部主要網(wǎng)絡(luò )才逐步恢復。2014年，代號為“蜻蜓”的黑客組織攻擊了1000多家能源企業(yè)的工業(yè)生產(chǎn)控制系統。2015年，韓國核電站網(wǎng)絡(luò )遭到黑客攻擊，核電站程序運行說(shuō)明、空調和冷卻系統設計圖、閥門(mén)設計圖等文件被泄露。2015年、2016年烏克蘭電網(wǎng)遭受“暗黑力量（black energy）”惡意代碼攻擊，導致電網(wǎng)控制系統癱瘓，造成大面積停電事故。2019年委內瑞拉大規模停電事故。以上安全事件表明，網(wǎng)絡(luò )安全威脅已嚴重危害關(guān)鍵基礎設施領(lǐng)域網(wǎng)絡(luò )空間終端、數據、網(wǎng)絡(luò )、系統各層級安全穩定運行^[4]。為了提高網(wǎng)絡(luò )的安全性與健壯性，關(guān)鍵基礎設施領(lǐng)域的網(wǎng)絡(luò )安全攻防問(wèn)題已經(jīng)成為相關(guān)學(xué)者研究的重點(diǎn)課題^[5]。

隨著(zhù)工業(yè)互聯(lián)網(wǎng)與物聯(lián)網(wǎng)等技術(shù)深度融合^[6][7]，關(guān)鍵基礎設施領(lǐng)域部署大量物聯(lián)網(wǎng)傳感設備、感知網(wǎng)絡(luò )構成邊緣計算新模型^[8]，形成網(wǎng)絡(luò )空間信息系統和物理空間系統緊密耦合的協(xié)同互動(dòng)的邊緣計算網(wǎng)絡(luò )。邊緣計算網(wǎng)絡(luò )通過(guò)大規模感知設備的應用和云計算能力的下沉，將信息采集獲取、實(shí)時(shí)控制等計算服務(wù)向非受控的用戶(hù)側、現場(chǎng)側進(jìn)行了極大延伸。且通過(guò)無(wú)線(xiàn)/感知網(wǎng)絡(luò )為主的邊緣網(wǎng)絡(luò )實(shí)現與主站系統間的互聯(lián)互通^[9]，為用戶(hù)的友好互動(dòng)和就地化互聯(lián)監控業(yè)務(wù)提供重要的應用和功能支撐^[10]。不幸的是，邊緣計算網(wǎng)絡(luò )使得核心控制系統暴露于開(kāi)放、互聯(lián)網(wǎng)絡(luò )環(huán)境下。邊緣計算網(wǎng)絡(luò )終端域的遠程滲透風(fēng)險、數據域的敏感監控信息竊取與篡改風(fēng)險、傳輸網(wǎng)絡(luò )域的泛在入侵風(fēng)險、系統域的復雜攻擊危害傳導風(fēng)險，嚴重威脅著(zhù)關(guān)鍵基礎設施領(lǐng)域系統的安全穩定運行。同時(shí)，在邊緣計算網(wǎng)絡(luò )高實(shí)時(shí)性、高連續性要求下，所面臨的安全問(wèn)題將會(huì )更加突出^[11]。

有別于傳統“N-1”或“N-2”等故障性質(zhì)，邊緣計算網(wǎng)絡(luò )引入的安全威脅可能會(huì )引起連鎖性反應，會(huì )影響傳感設備執行監測功能的能力，增加了系統的脆弱性，造成物理網(wǎng)絡(luò )與信息網(wǎng)絡(luò )的風(fēng)險相互穿透，嚴重情況下可能危及物理系統安全穩定運行^[12]。面向邊緣計算網(wǎng)絡(luò )攻擊的事前規避、轉移型主動(dòng)安全防護技術(shù)研究意義重大。同時(shí)，伴隨網(wǎng)絡(luò )安全防護技術(shù)的提升，以APT（Advanced Persistent Threat）高級持續性攻擊^[13][14]為代表的新型網(wǎng)絡(luò )攻擊也在不斷衍生衍變，網(wǎng)絡(luò )攻擊呈現出隱蔽性高、特征不確定性高、危害大等特點(diǎn)?！罢鹁W(wǎng)”、“火焰”以及烏克蘭大停電事件中的病毒均表明攻擊手段為關(guān)鍵基礎設施領(lǐng)域工控系統量身定制，攻擊檢測防御難度極大，傳統被動(dòng)檢測、響應機制已無(wú)法適用。在系統高安全性和攻擊特征不確定性雙重約束條件下，為應對新形勢新挑戰，要求實(shí)現對攻擊的超前發(fā)現與超前防御，需要面向邊緣計算網(wǎng)絡(luò )構建防線(xiàn)聯(lián)動(dòng)與主動(dòng)防御能力。

2.1 邊緣計算網(wǎng)絡(luò )架構

云計算的集中式處理方法發(fā)展至今已經(jīng)逐漸成熟，在實(shí)時(shí)性不高的場(chǎng)合能滿(mǎn)足用戶(hù)絕大部分需求。但是隨著(zhù)物聯(lián)網(wǎng)中各類(lèi)技術(shù)的不斷發(fā)展，大量傳感器設備、移動(dòng)設備在短時(shí)間內爆發(fā)式產(chǎn)生大量數據并傳送至中心服務(wù)器，導致中心式云計算架構無(wú)法滿(mǎn)足實(shí)時(shí)性、安全性和可靠性需求。為了解決云計算上述問(wèn)題，一種新的計算范式——邊緣計算^[15]應運而出。邊緣計算與云計算的集中式海量數據存儲計算相反^[16][17]，它將局部數據計算資源放在網(wǎng)絡(luò )邊緣，通過(guò)在接近移動(dòng)設備、傳感器以及各類(lèi)新興物聯(lián)網(wǎng)設備的數據源頭進(jìn)行分析計算，以提高這些設備到云計算系統中心的傳輸效率，從而到達對它們所產(chǎn)生的時(shí)空流數據做出實(shí)時(shí)響應的目的。

歐洲電信標準協(xié)會(huì )（European Telecommunications Standards Institute, ETSI）在2015年最先發(fā)布了邊緣計算白皮書(shū)，對邊緣計算的定義、應用場(chǎng)景、平臺架構、邊緣計算應用進(jìn)行了標準化描述。此后，第三代合作伙伴計劃組織（3rd Generation Partnership Project, 3GPP）也對邊緣計算進(jìn)行了應用規劃，將邊緣計算納入了5G服務(wù)化架構，以解決5G網(wǎng)絡(luò )的流量疏導和業(yè)務(wù)連續性問(wèn)題。根據以上機構對于邊緣計算的部署建議，邊緣計算可作為獨立的感知設備部署在感知網(wǎng)絡(luò )末端，可以作為匯聚計算終端就近部署在物聯(lián)網(wǎng)感知設備的上層即匯聚層，也可以部署在云計算中心和物聯(lián)網(wǎng)感知設備之間的傳輸網(wǎng)絡(luò )的任意位置，從而構建邊緣計算網(wǎng)絡(luò )，如圖1所示。因此，邊緣計算終端的部署位置非常靈活，需要結合具體業(yè)務(wù)和計算需求進(jìn)行適應性部署?？傊?，邊緣計算就是對云計算能力的一種下沉新范式。

本文對邊緣計算網(wǎng)絡(luò )的理解是參考上述研究成果所提出的，核心包括三點(diǎn)：第一，邊緣側具有大數據計算能力；第二，邊緣側能進(jìn)行多種業(yè)務(wù)計算服務(wù)；第三，邊緣側數據處理具有實(shí)時(shí)性。圖2表示基于分層設計的邊緣計算平臺框架，該框架包含四個(gè)功能域。由上至下分別為系統域、網(wǎng)絡(luò )域、數據域和終端域。系統域不直接與各類(lèi)傳感器、智能設備進(jìn)行交互，而是作為云計算業(yè)務(wù)下沉后的分布式互聯(lián)子系統。網(wǎng)絡(luò )域通過(guò)海量聯(lián)接、自動(dòng)化運維和實(shí)時(shí)聯(lián)接為系統互聯(lián)、數據聚合與承載提供聯(lián)接服務(wù)。數據域則是邊緣計算的核心也是區別于云計算的關(guān)鍵，在邊緣側提供數據預處理與高效優(yōu)化服務(wù)，包括對數據的提取、聚合、互操作、語(yǔ)義化以及分析，并保障數據的安全與隱私性^[18]。最底層的終端域通過(guò)貼近或嵌入傳感、儀表、機器人和機床等設備的現場(chǎng)節點(diǎn)，支撐現場(chǎng)感知設備實(shí)現實(shí)時(shí)的智能互聯(lián)及智能應用。

以電力領(lǐng)域為例，隨著(zhù)智能電網(wǎng)能源互聯(lián)需求的不斷擴大，用戶(hù)側和電力生產(chǎn)現場(chǎng)側采集、存儲、控制數量急劇增長(cháng)，電力業(yè)務(wù)也呈現出多樣性、時(shí)效性的發(fā)展趨勢。物聯(lián)網(wǎng)技術(shù)、新型傳感器技術(shù)以及機器學(xué)習技術(shù)的應用日益廣泛，促使電網(wǎng)運行所依賴(lài)的電力智能終端向機器智能、感知智能和計算智能方向轉變。由此產(chǎn)生海量的數據，特別是異構的數據。這對當前普遍采用的將所有終端設備數據經(jīng)過(guò)網(wǎng)絡(luò )通信傳遞到后端主站系統的大數據集中處理方式，提出了更高的計算能力和存儲能力以及網(wǎng)絡(luò )架構性能的要求。這對業(yè)務(wù)執行過(guò)程的穩定性與實(shí)時(shí)性提出了新的挑戰^[18]，主要包括三方面：

1）從網(wǎng)絡(luò )邊緣設備傳輸到云端數據中心的海量數據增加了核心云服務(wù)器的負載量；

2）增加了處理過(guò)程的時(shí)延，以及傳輸帶寬資源的緊張；

3）造成了網(wǎng)絡(luò )通信時(shí)延的增加，甚至經(jīng)常存在數據包丟失的情況。

由此可見(jiàn)，現有的電力傳統集中式業(yè)務(wù)模式已經(jīng)不能完全高效的滿(mǎn)足所有智能電力系統中的業(yè)務(wù)的需求，在這種背景下催生出電力邊緣計算模型來(lái)完善集中式模型存在不足的場(chǎng)景，形成電力邊緣計算網(wǎng)絡(luò )，如圖3所示。電力計算邊緣網(wǎng)絡(luò )在接近用戶(hù)側、電力生產(chǎn)現場(chǎng)側的電力智能感知設備節點(diǎn)上層，增加應用任務(wù)執行和數據緩存與分析處理的能力，將原有的集中式業(yè)務(wù)模型的部分或全部計算任務(wù)遷移到網(wǎng)絡(luò )邊緣側的匯聚邊緣計算終端節點(diǎn)上，從而降低主站系統的計算負載。通過(guò)邊緣計算緩解網(wǎng)絡(luò )帶寬的壓力，提高數據的處理效率，加快業(yè)務(wù)的實(shí)時(shí)響應速度，保證智能電力系統中業(yè)務(wù)執行的穩定與實(shí)時(shí)可靠。

目前，電力邊緣計算網(wǎng)絡(luò )已基本覆蓋電力業(yè)務(wù)所涉及的發(fā)電、輸電、變電、配電、用電、調度等各個(gè)環(huán)節。下面論文給出基于邊緣計算網(wǎng)絡(luò )的變電站智能監控、智能配電臺區、智能用電信息采集等3種應用場(chǎng)景，以此對邊緣計算網(wǎng)絡(luò )支撐萬(wàn)物互聯(lián)的的意義和前景進(jìn)行深入介紹。具體如下：

（1）變電站智能監控領(lǐng)域的邊緣計算網(wǎng)絡(luò )應用。為了加強對變電站內的各類(lèi)高壓設備進(jìn)行工況信息采集與遠程控制，變電站內廣泛部署了溫度監測探頭、局放監測探頭、紅外監控儀甚至是移動(dòng)式智能監控機器人等多類(lèi)型物聯(lián)網(wǎng)設備，如圖5所示。在變電站數量多、站內物聯(lián)網(wǎng)設備規模龐大的情況下，傳統的主站集中式傳輸、監控分析業(yè)務(wù)模式已不能完全適用于變電站智能監控類(lèi)應用。而在變電站現場(chǎng)側部署邊緣計算終端設備，對站內物聯(lián)網(wǎng)設備進(jìn)行信息匯聚分析和處理，將降低傳輸網(wǎng)絡(luò )的帶寬負載，提升變電站監控業(yè)務(wù)數據傳輸的實(shí)時(shí)性。然而，邊緣計算網(wǎng)絡(luò )在提供便利性同時(shí)如若無(wú)法很好的解決邊緣計算終端惡意攻擊檢測防御的問(wèn)題，無(wú)法解決邊緣計算網(wǎng)絡(luò )中敏感采集監控信息安全傳輸、防竊取和篡改的問(wèn)題，將嚴重危害變電站的安全穩定運行。

（2）智能配電領(lǐng)域的邊緣計算網(wǎng)絡(luò )應用。為了獲取更精確、更全面的低壓配電系統運行狀態(tài)，從而實(shí)施遠程遙測、遙控進(jìn)行合理的負荷調配。電力配電業(yè)務(wù)進(jìn)行了智能化改造提升。智能斷路器、智能電容、多類(lèi)型環(huán)境信息傳感器以及換相開(kāi)關(guān)等智能設備得到了大規模部署和應用，在低壓用電現場(chǎng)側產(chǎn)生了大量的量測、控制數據。在電網(wǎng)控制業(yè)務(wù)0.83ms實(shí)時(shí)性響應要求下，遠距離傳輸至集中式主站系統的傳統計算模式根本無(wú)法滿(mǎn)足業(yè)務(wù)需要。為此，電網(wǎng)企業(yè)研發(fā)了具有邊緣計算功能的新一代智能配變終端，對邊緣側數據進(jìn)行就地匯聚計算，將處理后的部分核心數據傳送至新一代配電自動(dòng)化主站系統，從而形成了一種典型的支撐實(shí)時(shí)業(yè)務(wù)的邊緣計算場(chǎng)景，如圖5所示。

（3）智能用電信息采集領(lǐng)域的邊緣計算網(wǎng)絡(luò )應用。為了支撐能源互聯(lián)網(wǎng)建設，面向智能家居、電動(dòng)汽車(chē)、新能源并網(wǎng)接入等新興生產(chǎn)、生活方式的能源精確計量需求。如圖7所示，智能家居中的用電設備側開(kāi)始大量部署物聯(lián)網(wǎng)傳感設備，實(shí)現對空調、電視、熱水器、洗衣機等電器的智能控制和實(shí)時(shí)用電信息采集。這必然會(huì )產(chǎn)生大量的家庭用電信息采集、監控數據，同時(shí)基于互聯(lián)網(wǎng)的遠程控制功能也對網(wǎng)絡(luò )的實(shí)時(shí)性、可靠性提出更高要求。為此，在智能用電信息采集系統中，邊緣計算網(wǎng)絡(luò )得以推廣應用。如圖7所示，在智能電表的上層，集中器作為邊緣計算終端節點(diǎn)進(jìn)行部署應用，對一定區域范圍內的智能電表數據進(jìn)行匯聚計算，并為智能電表和主站系統提供交互服務(wù)。在提升邊緣側用電信息采集性能的同時(shí)，也避免了智能電表功能、性能提升帶來(lái)的不必要的投資成本。

綜上所述，邊緣計算網(wǎng)絡(luò )作為物聯(lián)網(wǎng)技術(shù)發(fā)展的一種重要創(chuàng )新支撐，在靠近數據源頭側提供就近的高效計算資源服務(wù)，可為智能電網(wǎng)、智慧城市、智慧醫療、車(chē)聯(lián)網(wǎng)等關(guān)鍵基礎設施領(lǐng)域的智能感知、實(shí)時(shí)交互、泛在互聯(lián)、全業(yè)務(wù)融合提供助力。邊緣計算網(wǎng)絡(luò )面向萬(wàn)物互聯(lián)平臺的應用服務(wù)需要更短的響應時(shí)間，同時(shí)也會(huì )產(chǎn)生大量涉及用戶(hù)隱私的數據，邊緣計算的核心技術(shù)和安全防護必將受到學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。

2.2 邊緣計算網(wǎng)絡(luò )安全挑戰

邊緣計算網(wǎng)絡(luò )的引入使得核心控制系統直接面臨來(lái)自互聯(lián)網(wǎng)的信息安全威脅^[19][20]，本節將對邊緣網(wǎng)絡(luò )面臨的網(wǎng)絡(luò )安全挑戰進(jìn)行深入分析。根據邊緣計算網(wǎng)絡(luò )架構可知，其面臨的網(wǎng)絡(luò )安全挑戰主要集中在終端、數據、網(wǎng)絡(luò )、系統風(fēng)險等四方面：

（1）邊緣計算網(wǎng)絡(luò )惡意終端滲透攻擊安全挑戰

在邊緣計算網(wǎng)絡(luò )終端域，為支持“人”與“物”、以及“物”與“物”的互聯(lián)，大量的實(shí)時(shí)控制設備、狀態(tài)監測設備和信息采集設備以及用戶(hù)設備^[22]得以廣泛應用，網(wǎng)絡(luò )將具有數十億甚至數萬(wàn)億的感知設備節點(diǎn)。邊緣計算終端匯聚接入的物聯(lián)網(wǎng)感知設備種類(lèi)繁多、異構多樣且動(dòng)態(tài)變化，對其進(jìn)行分布式授權認證和行為控制存在較大難度。因此，惡意感知設備的接入，提高了感知設備節點(diǎn)以邊緣計算終端為跳板的滲透攻擊風(fēng)險^[21]。同時(shí)，與傳統的網(wǎng)絡(luò )設備一樣，邊緣計算終端固件和系統同樣存在一些難以被發(fā)掘的漏洞，這些漏洞一旦被黑客利用可能產(chǎn)生非常嚴重的后果。此外，邊緣計算終端部署在非可控的邊緣側環(huán)境中，很容易被攻擊者仿冒偽造，從而對邊緣計算網(wǎng)絡(luò )實(shí)施網(wǎng)絡(luò )滲透攻擊，導致數據泄露、系統癱瘓等網(wǎng)絡(luò )與信息安全事件，如圖8所示。

（2）邊緣計算網(wǎng)絡(luò )數據竊取篡改安全挑戰

在邊緣計算網(wǎng)絡(luò )數據域，其核心目的是在用戶(hù)側、生產(chǎn)現場(chǎng)側進(jìn)行大數據預處理后實(shí)現與主站系統的實(shí)時(shí)交互，以減輕主站系統、云計算中心的集中計算壓力。然而，在邊緣計算網(wǎng)絡(luò )數據交互共享過(guò)程中，攻擊者通過(guò)新型網(wǎng)絡(luò )攻擊實(shí)施竊聽(tīng)、滲透、側信道攻擊、篡改等破壞行動(dòng)，可導致用戶(hù)的隱私^[23][24]、使用信息和密碼的泄露，或截取傳輸信息、控制指令，劫持工業(yè)控制系統或邊緣計算終端，導致整個(gè)系統進(jìn)入混亂狀態(tài)。同時(shí)，由于新型網(wǎng)絡(luò )攻擊由傳統的單點(diǎn)攻擊轉變?yōu)槎帱c(diǎn)突破，檢測防御難度加大。而邊緣計算網(wǎng)絡(luò )所傳輸的監測和控制數據都基于一定的控制周期，要求業(yè)務(wù)保證連續性和實(shí)時(shí)性，這些數據對實(shí)時(shí)性、確定性和穩定性的要求高；因此，在攻擊特征不確定性和終端/網(wǎng)絡(luò )/業(yè)務(wù)強耦合約束條件下，研究面向新型網(wǎng)絡(luò )攻擊的邊緣計算數據高可靠交互與攻擊主動(dòng)防御技術(shù)意義重大。

（3）邊緣計算網(wǎng)絡(luò )泛在入侵安全挑戰

在邊緣計算網(wǎng)絡(luò )傳輸網(wǎng)絡(luò )域，網(wǎng)絡(luò )類(lèi)型眾多，分布廣泛，廣泛采用無(wú)線(xiàn)mesh網(wǎng)、Zigbee、3G/4G等無(wú)線(xiàn)網(wǎng)絡(luò )進(jìn)行互聯(lián)互通，因此傳輸網(wǎng)絡(luò )成為滲透攻擊邊緣計算網(wǎng)絡(luò )的風(fēng)險重要來(lái)源之一。一方面，以拖延、阻撓或破壞邊緣計算終端節點(diǎn)、網(wǎng)絡(luò )、系統服務(wù)能力為目的的網(wǎng)絡(luò )入侵攻擊，嚴重時(shí)將導致邊緣計算網(wǎng)絡(luò )工況失控、通信服務(wù)崩潰、系統服務(wù)癱瘓，危害邊緣計算業(yè)務(wù)高實(shí)時(shí)性、高連續性要求。另一方面，新型網(wǎng)絡(luò )攻擊的不斷衍變衍生，傳統基于特征匹配的已知攻擊入侵檢測與事后防御型安全措施已無(wú)法應對，亟需開(kāi)展面向邊緣計算網(wǎng)絡(luò )的網(wǎng)絡(luò )攻擊主動(dòng)檢測與防御技術(shù)研究。

（4）邊緣計算網(wǎng)絡(luò )全時(shí)域空域互聯(lián)業(yè)務(wù)攻擊傳導安全挑戰

在邊緣計算網(wǎng)絡(luò )系統域，伴隨計算能力的下沉，業(yè)務(wù)系統一同下沉至廣域分布的現場(chǎng)邊緣側，且和主站云業(yè)務(wù)形成了全時(shí)域空域互聯(lián)新模式。一旦發(fā)生局部網(wǎng)絡(luò )安全攻擊事件，將能夠迅速在網(wǎng)絡(luò )中傳播，進(jìn)而影響多達數百萬(wàn)甚至更多的物聯(lián)網(wǎng)傳感設備、用戶(hù)。如果不采取有效及時(shí)的網(wǎng)絡(luò )攻擊處置措施，將嚴重威脅業(yè)務(wù)邏輯的準確性、秘密性和完整性，嚴重的情況下可能危害整個(gè)系統的有序健康運行。以電力領(lǐng)域為例，物理電網(wǎng)系統和信息網(wǎng)系統的耦合性愈發(fā)增強，使得電力邊緣網(wǎng)絡(luò )引入的網(wǎng)絡(luò )安全風(fēng)險將進(jìn)一步向電網(wǎng)本體傳導，如圖9所示。而龐大的邊緣計算網(wǎng)絡(luò )產(chǎn)生了海量的網(wǎng)絡(luò )安全告警事件，依賴(lài)人工的事件處置根本無(wú)法滿(mǎn)足要求。加之當前高級持續性APT攻擊由傳統的單點(diǎn)攻擊轉變?yōu)槎帱c(diǎn)突破，檢測防御難度加大，在邊緣計算網(wǎng)絡(luò )系統全時(shí)域空域泛在互聯(lián)環(huán)境下APT攻擊檢測處置難度更高。因此，快速、有效的安全事件關(guān)聯(lián)分析、協(xié)同處置成為邊緣計算網(wǎng)絡(luò )中安全防護需解決的另一個(gè)難題。

綜上所述，邊緣計算網(wǎng)絡(luò )是物聯(lián)網(wǎng)技術(shù)和云計算技術(shù)融合發(fā)展的一個(gè)新階段，其所面臨的終端、網(wǎng)絡(luò )、數據、系統安全風(fēng)險交互影響，使得邊緣計算網(wǎng)絡(luò )面臨著(zhù)嚴峻的安全挑戰。在攻擊特征不確定性和終端/網(wǎng)絡(luò )/業(yè)務(wù)強耦合約束條件下，研究面向已知、新型網(wǎng)絡(luò )攻擊的邊緣計算網(wǎng)絡(luò )防線(xiàn)聯(lián)動(dòng)與攻擊主動(dòng)防御技術(shù)意義重大。

3.1 網(wǎng)絡(luò )安全主動(dòng)防御技術(shù)研究現狀

隨著(zhù)網(wǎng)絡(luò )安全形勢越發(fā)復雜，對網(wǎng)絡(luò )發(fā)起攻擊的技術(shù)手段愈加層出不窮，雖然現階段已有不同的入侵防御技術(shù)模型來(lái)應對。但是對于未知的攻擊，已有的各入侵防御解決方案并不能完全解決這些未知的網(wǎng)絡(luò )攻擊，目前也并沒(méi)有一個(gè)“放之四海皆準”的入侵防御模型來(lái)解決各類(lèi)未知網(wǎng)絡(luò )攻擊。在此背景下主動(dòng)防御技術(shù)逐漸得到了人們的高度重視。

主動(dòng)防御就是通過(guò)系統內生的機制對網(wǎng)絡(luò )攻擊達成事前的有效防御，它不依賴(lài)于攻擊代碼和攻擊行為的特征，而是以提供運行環(huán)境的技術(shù)手段、改變系統的靜態(tài)性和確定性，以最大限度地降低漏洞的成功利用率，破壞或擾亂網(wǎng)絡(luò )脆弱性利用的可實(shí)施性，阻斷或干擾攻擊的可達性，從而大幅增加攻擊難度和成本。雖然主動(dòng)防御思想出現已久，但是作為一種攻擊防御理念，到目前還是沒(méi)有標準化的定義。下面本文根據相關(guān)文獻進(jìn)行總結，介紹幾種主流的主動(dòng)防御模型和主動(dòng)入侵防御技術(shù)：

（1）安全防御模型

傳統的、靜態(tài)的安全措施無(wú)法適應動(dòng)態(tài)變化的網(wǎng)絡(luò )安全環(huán)境，于是可適應網(wǎng)絡(luò )安全動(dòng)態(tài)防護理論體系逐漸形成。目前，國內外安全領(lǐng)域主要都有利用并改進(jìn)以下三類(lèi)威脅響應模型來(lái)防御未知的攻擊。這三類(lèi)模型分別是：

信息安全保證技術(shù)框架^[25]（IATF，Information Assurance Technical Framework）

該模型是將技術(shù)、管理、策略、工程過(guò)程幾個(gè)方面進(jìn)行綜合考慮，結合后形成的技術(shù)框架。中嘉華誠公司曾改進(jìn)過(guò)該模型，構建一個(gè)安全可信的防御系統。同時(shí)，這類(lèi)技術(shù)模型也被應用于其他工業(yè)領(lǐng)域，如鐵路軌道的檢修領(lǐng)域。

自適應網(wǎng)絡(luò )安全模型（ANSM，Adaptive Network Security Model）

該模型是一種傳統的針對網(wǎng)絡(luò )變化情況作出調整變被動(dòng)為主動(dòng)的網(wǎng)絡(luò )安全模型。該模型也被廣泛的應用到各個(gè)其他領(lǐng)域的安全防御中，如地震信息網(wǎng)系統中。

P2DR模型

P2DR^[26]分別代表其四個(gè)主要部分Policy（安全策略）、Protection（防護）、Detection（檢測）和Response（響應）的縮寫(xiě)，如圖11所示。該模型源自于A(yíng)NSM，是美國國際互聯(lián)網(wǎng)安全系統公司在20世紀90年代末建立的一個(gè)可量化、可數學(xué)證明、基于時(shí)間的安全模型標準。該模型是ANSM模型的升級版，也是動(dòng)態(tài)網(wǎng)絡(luò )安全的代表模型，其本身就已經(jīng)綜合的運用了各類(lèi)防護工具，并利用檢測工具了解和判斷了網(wǎng)絡(luò )系統的安全狀態(tài)，以恰當的響應措施應對了網(wǎng)絡(luò )系統中的攻擊。P2DR模型核心思想是通過(guò)適當的反應將系統調整到“最安全”和“風(fēng)險最低”的狀態(tài)。防護、檢測和響應組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導下保證信息系統的安全。P2DR模型可以用一些典型的數學(xué)公式來(lái)表達安全的要求：公式 1：Pt>Dt+Rt。Pt代表系統為了保護安全目標設置各種保護后的防護時(shí)間；或者理解為在這樣的保護方式下，黑客（入侵者）攻擊安全目標所花費的時(shí)間。Dt代表從入侵者開(kāi)始發(fā)動(dòng)入侵開(kāi)始，系統能夠檢測到入侵行為所花費的時(shí)間。Rt代表從發(fā)現入侵行為開(kāi)始，系統能夠做出足夠的響應，將系統調整到正常狀態(tài)的時(shí)間。那么，針對于需要保護的安全目標，如果上述數學(xué)公式滿(mǎn)足防護時(shí)間大于檢測時(shí)間加上響應時(shí)間，也就是在入侵者危害安全目標之前就能被檢測到并及時(shí)處理。

通過(guò)上面模型的分析描述，實(shí)際上給出了安全一個(gè)全新的定義：“及時(shí)超前的檢測和響應就是安全”，“及時(shí)超前的檢測和恢復就是安全”，本文將引入以上模型思路至邊緣計算網(wǎng)絡(luò )的攻擊主動(dòng)防御研究中，從邊緣計算網(wǎng)絡(luò )終端域、數據域、網(wǎng)絡(luò )域、系統域開(kāi)展入侵檢測和攻擊響應理論研究。

（2）主動(dòng)防御技術(shù)

與被動(dòng)防御相比，主動(dòng)防御的優(yōu)點(diǎn)在于具有預測性和主動(dòng)性，使得安全威脅無(wú)法到達受保護的網(wǎng)絡(luò )，從而使網(wǎng)絡(luò )系統免遭受危害。于是具有主動(dòng)防御（Proactive defense）能力的安全技術(shù)逐漸引起重視，已經(jīng)引起國內外政府界、學(xué)術(shù)界、企業(yè)界的廣泛關(guān)注，從而成為網(wǎng)絡(luò )安全領(lǐng)域研究中的熱點(diǎn)及前沿。目前，網(wǎng)絡(luò )攻擊主動(dòng)防御技術(shù)主要的研究成果集中在可信計算、擬態(tài)防御、攻擊誘捕驗證、聯(lián)動(dòng)處置等方面。具體分析如下:

可信計算技術(shù)

1999年10月，由Intel、HP、Compaq、IBM和Microsoft發(fā)起成立了可信計算聯(lián)盟 TCPA（Trusted Comuting latform Alliance）^[27][28]，該組織致力于構建新一代具有安全、信任能力的硬件運算平臺。2003年在TCG^[29]的推動(dòng)下，微軟公司公布了下一代安全計算基礎（Next-Generation Secure Computing Base，NGSCB），以構建相對安全的可信計算機^[30]?？尚庞嬎阒饕悸肥窃谟嬎銠C硬件平臺上引入安全芯片架構，首先在計算機系統中建立一個(gè)信任根，再建立一條信任鏈，從信任根開(kāi)始到硬件平臺、操作系統再到應用，逐級度量認證，逐級信任，把這種信任擴展到整個(gè)終端系統，從而確保整個(gè)終端的可信?？尚庞嬎阒饕w現在用戶(hù)的身份認證、平臺軟硬件配置的正確性、應用程序的完整性和合法性等幾方面。一個(gè)典型的可信計算平臺上的體系結構主要包括三層：可信計算平臺TPM（Trusted Platform Module）、可信軟件棧TSS(TCG Software Stack)及應用軟件。TSS處在TPM之上，應用軟件之下，稱(chēng)作可信軟件棧。它提供了應用程序訪(fǎng)問(wèn)TPM的接口，同時(shí)進(jìn)行對TPM的管理。一個(gè)典型的PC平臺上的體系架構如圖12所示：

TNC（Trusted Network Connection）可信網(wǎng)絡(luò )連接^[31]是對可信平臺應用的擴展，也是可信計算機制與網(wǎng)絡(luò )接入控制機制的結合。它在終端接入網(wǎng)絡(luò )之前，對用戶(hù)的身份進(jìn)行認證；如果認證通過(guò)，對終端平臺的身份進(jìn)行認證；如果認證通過(guò)，對終端的平臺可信狀態(tài)進(jìn)行度量^[32]，如果度量結果滿(mǎn)足網(wǎng)絡(luò )接入的安全策略，則允許終端接入網(wǎng)絡(luò )，否則將終端連接到指定的隔離區域，對其進(jìn)行安全性修補和升級。TNC旨在將終端的可信狀態(tài)延續到網(wǎng)絡(luò )中，使信任鏈從終端擴展到網(wǎng)絡(luò )。TNC是網(wǎng)絡(luò )接入控制的一種實(shí)現方式，是一種主動(dòng)防御方法，能夠將大部分的潛在攻擊在發(fā)生之前進(jìn)行抑制。TNC基礎架構如圖12所示，包括三個(gè)實(shí)體、三個(gè)層次和若干個(gè)接口組件。該架構在傳統的網(wǎng)絡(luò )接入層次上增加了完整性評估層與完整性度量層，實(shí)現對接入平臺的身份驗證與完整性驗證。

在原有模型基礎上，增加了元數據接入節點(diǎn)(MAP)服務(wù)器，并增加了與其它TNC模塊的交互接口標準IF-MAP。元數據接入節點(diǎn)收集網(wǎng)絡(luò )中其它設備(數據流收集器、傳感器、入侵檢測系統和防火墻等)的運行信息，并通過(guò)TNCS傳遞給PDP，輔助PDP進(jìn)行網(wǎng)絡(luò )接入決策的制定。

擬態(tài)防御技術(shù)

針對未知漏洞和后門(mén)的安全威脅，2007年起解放軍信息工程大學(xué)鄔江興院士提出基于不確定性原理的“網(wǎng)絡(luò )空間擬態(tài)防御”思想^[36]。鄔江興院士領(lǐng)銜、聯(lián)合國內15家優(yōu)勢單組建了擬態(tài)防御聯(lián)盟，承擔了國家科技部等擬態(tài)防御相關(guān)的科技攻關(guān)項目。擬態(tài)防御的主要思想是降低網(wǎng)絡(luò )脆弱點(diǎn)的確定性、靜態(tài)性和同構性從而增加攻擊者的攻擊難度，使得攻擊者沒(méi)有足夠的時(shí)間對目標網(wǎng)絡(luò )進(jìn)行探測^[37]。與此同時(shí)，2008年，美國發(fā)布54號國家安全總統令《國家綜合網(wǎng)絡(luò )安全倡議》（CNCI）；并于2009年發(fā)布《網(wǎng)絡(luò )空間政策評審》；此外，美國國家科學(xué)技術(shù)委員會(huì )于2010年發(fā)布《網(wǎng)絡(luò )安全游戲規則的研究與發(fā)展建議》；2011年12月，NITRD發(fā)布《可信網(wǎng)絡(luò )空間：聯(lián)邦網(wǎng)絡(luò )空間安全研發(fā)戰略規劃》。這些綱領(lǐng)性文件的著(zhù)重點(diǎn)即“針對網(wǎng)絡(luò )空間所面臨的現實(shí)和潛在威脅”要發(fā)展能“改變游戲規則”的革命性技術(shù)，以主動(dòng)防范未知威脅、極大提高攻擊代價(jià)為目標。移動(dòng)目標防御^[33]的思路與擬態(tài)防御思想類(lèi)似：“構建、評價(jià)和部署機制及策略是多樣的、不斷變化的。這種不斷變化的思路可以增加攻擊者的攻擊難度及代價(jià)，有效限制脆弱性暴露及被攻擊的機會(huì )，提高系統的彈性?！睋Q句話(huà)說(shuō)，就是通過(guò)移動(dòng)要保護的對象來(lái)達到防護目標的技術(shù)。目前，基于擬態(tài)防御和移動(dòng)目標防御技術(shù)發(fā)展形成了動(dòng)態(tài)網(wǎng)絡(luò )^[34]，MT6D等多種關(guān)鍵技術(shù)研究成果。

動(dòng)態(tài)網(wǎng)絡(luò )目標是支持網(wǎng)絡(luò )配置（如IP地址、端口號等）的動(dòng)態(tài)隨機變化^[35]，以應對掃描蠕蟲(chóng)、偵查、指紋攻擊等。所采用的手段包括持續地使攻擊者收集的系統信息在短的時(shí)間窗口內過(guò)時(shí)、欺騙攻擊者對偽造目標進(jìn)行深入分析等。這種改變必須快速，以應對自動(dòng)掃描程序和蠕蟲(chóng)傳播程序^[38]，并使服務(wù)中斷和延遲最小化。系統的這種不可預知性使得受保護網(wǎng)絡(luò )免受外部偵查和映射攻擊。

MT6D^[39]是一種IPv6地址空間下的移動(dòng)目標防御實(shí)現協(xié)議，通過(guò)輪轉發(fā)送方和接收方的IP地址來(lái)達到信息保密和避免網(wǎng)絡(luò )攻擊的目的，同時(shí)不中斷正在進(jìn)行的會(huì )話(huà)。MT6D的設計主要考慮了以下問(wèn)題：密鑰交換，動(dòng)態(tài)地址變換和MT6D通信隧道^[40]。密鑰交換最可靠的方式是帶外傳輸交換。如果采用帶內交換的方式，就有可能被第三方竊取，威脅通信的安全性。密鑰安全是MT6D最基本、最重要的安全，一旦密鑰泄露，MT6D就失去了安全性。動(dòng)態(tài)地址變換是基于密鑰的一種變換算法。建立會(huì )話(huà)后，接收方和發(fā)送方的通信IP地址將會(huì )不斷地變換，而對方的地址是由雙方通過(guò)密鑰和變化間隔計算得到的，因而不需要在通信的過(guò)程中額外增加流量用于通變換后的地址，同時(shí)也避免了通信過(guò)程中的第三方攻擊。MT6D通信隧道是一個(gè)虛擬信道，基本協(xié)議使用的是UDP，但是在包頭增加了域用于填寫(xiě)MT6D地址和包頭，如圖14所示。

移動(dòng)目標防御技術(shù)能夠增大攻擊者探測系統信息和發(fā)起攻擊的難度，然而卻需要頻繁地改變系統配置，對系統性能而言是一個(gè)不可忽略的損失。

攻擊誘捕驗證技術(shù)

由于A(yíng)PT等未知攻擊具有高級復雜、持續、目標針對性很強的特點(diǎn)，往往利用0day和Nday漏洞，使用傳統基于特征的安全產(chǎn)品難以防范。因此蜜罐技術(shù)不斷地被用來(lái)提高不同系統中的安全性^[41][42][43]，蜜罐技術(shù)也成為目前主要的一種攻擊誘捕和主動(dòng)防御技術(shù)。從本質(zhì)上來(lái)說(shuō)，蜜罐實(shí)質(zhì)上是一種安全資源。通常，蜜罐通過(guò)在系統中布置一些具有漏洞的主機或者網(wǎng)絡(luò )服務(wù)作為誘餌來(lái)欺騙攻擊方，使入侵者對這些誘餌實(shí)施攻擊，這樣防御方就可以捕獲這些攻擊行為，在一定程度上保護了系統，這是目前蜜罐技術(shù)最主要的作用，也是最明顯的作用。文獻^[44]中的“honeyStat”系統,就是利用蜜罐去檢測網(wǎng)絡(luò )中的蠕蟲(chóng)攻擊。

按照蜜罐與惡意用戶(hù)之間的互動(dòng)程度可以將蜜罐分類(lèi)為高、中、低三種不同類(lèi)型的交互蜜罐。其中低交互蜜罐可以有效減少攻擊入侵風(fēng)險，黑斯廷斯等人通過(guò)在網(wǎng)絡(luò )中設置低交互蜜罐，通過(guò)使用虛擬機（VM）將蜜罐部署在網(wǎng)絡(luò )中以監視攻擊者的活動(dòng)^[46]，并記錄了700天的攻擊數據。低交互蜜罐最大的優(yōu)點(diǎn)在于自身部署的復雜性低^[45][47]，但由于數據庫容量有限，因此提供的有效信息量受到了一定的限制。相比之下，中交互蜜罐由于與可疑攻擊行為之間的交互較為頻繁，因此可以提供更多的有效信息。但是，對有效信息數量保證的同時(shí)犧牲了蜜罐部署的簡(jiǎn)易度。因為，為了獲取更多的可疑行為，蜜罐需要為這些“行為”提供更多的看似有效的“系統安全信息”以增加自身的真實(shí)性。這在一定程度上也加大了安全防御的風(fēng)險。同理，在所有類(lèi)型的交互蜜罐之中，高交互蜜罐是最難以布置，風(fēng)險最高的類(lèi)型。但是高風(fēng)險網(wǎng)往往可以帶來(lái)“高收益”。對于攻擊者來(lái)說(shuō)，該類(lèi)型蜜罐的真實(shí)性最高，很容易迷惑系統的攻擊行為，因此該類(lèi)型蜜罐往往可以擁有全部的攻擊行為信息。其中NeilsProvos等人^[48]提出的“蜜罐”就是一個(gè)典型的監控大規模蜜網(wǎng)的蜜罐軟件包，Vrable等人^[49]提出了用來(lái)獲得高保真攻擊數據的大規模蜜罐網(wǎng)絡(luò )系統。為了提高蜜罐偽裝性能的同時(shí)保證系統防御安全性，人們通常結合這兩種類(lèi)型的蜜罐特點(diǎn)，部署來(lái)兩種蜜罐相結合的檢測體系。汪彩梅等人^[50]提出了一種新的“雙蜜罐”檢測系統，該檢測系統能夠有效地檢測蠕蟲(chóng)病毒攻擊。

攻擊聯(lián)動(dòng)防御技術(shù)

自從20世紀80年代Anderson首次提出入侵檢測概念以來(lái)，入侵檢測系統(intrusiondetection system，簡(jiǎn)稱(chēng)IDS)作為網(wǎng)絡(luò )安全的一個(gè)組件獲得了極大的發(fā)展．但與防火墻、VPN等安全組件發(fā)揮著(zhù)越來(lái)越重要的作用相比，IDS的作用還未能真正體現出來(lái)，主要原因是報警響應問(wèn)題未能得到很好的解決．因為隨著(zhù)攻擊手段的改進(jìn)，攻擊越來(lái)越朝向自動(dòng)化、復雜化的方向發(fā)展，而目前的響應則主要以人工為主，這種不對稱(chēng)性使得入侵檢測和響應領(lǐng)域的工作陷入了被動(dòng)的局面，為了解決這個(gè)問(wèn)題，人們開(kāi)始了自動(dòng)或半自動(dòng)響應方式的研究．

這類(lèi)研究首先是從靜態(tài)映射型響應方式開(kāi)始的，即按一定的原則對攻擊進(jìn)行分類(lèi)，并用人工的方式將每一報警映射到一個(gè)預先定義好的響應措施上，目前的很多入侵響應系統(intrusion response system，簡(jiǎn)稱(chēng)IRS)正是基于這種響應方式。靜態(tài)映射型入侵響應很大程度上解決了人工響應時(shí)間過(guò)長(cháng)、負擔過(guò)重的問(wèn)題，但是它也有一些很明顯的缺點(diǎn)：一方面，易于被攻擊所利用；另一方面，它沒(méi)有充分考慮入侵響應的適應性，響應措施的選擇應該隨著(zhù)網(wǎng)絡(luò )環(huán)境的變化而變化。于是人們開(kāi)始了自適應映射型入侵響應的研究，文獻^[51]提出通過(guò)考慮IDS自身的誤報率和以往響應方式的成功率來(lái)自動(dòng)調整入侵和響應措施的映射。自適應方法解決了響應措施的適應性問(wèn)題，但是因為沒(méi)有考慮響應的代價(jià)，使得有時(shí)響應的效果會(huì )得不償失。

同時(shí)，為了提高報警響應的準確性而開(kāi)展的攻擊關(guān)系研究有些也已取得了比較顯著(zhù)的成果，例如報警關(guān)聯(lián)、攻擊圖均為通過(guò)分析各攻擊動(dòng)作之間的關(guān)系給出描述攻擊次序的報警關(guān)聯(lián)圖或攻擊圖，它們一方面能夠降低IDS誤報并增加報警信息的可讀性，同時(shí)也為管理員理解整個(gè)網(wǎng)絡(luò )以及做出響應提供了幫助。不過(guò)在直接使用報警關(guān)聯(lián)和攻擊圖進(jìn)行自動(dòng)響應決策方面，到目前為止并沒(méi)有很大的進(jìn)展，主要原因在于，未能在使用報警關(guān)聯(lián)或攻擊圖進(jìn)行響應時(shí)很好地處理攻防雙方的偏好、收益及策略變化等問(wèn)題。

3.2 邊緣計算網(wǎng)絡(luò )安全防護技術(shù)研究現狀

邊緣計算作為萬(wàn)物互聯(lián)時(shí)代的新型計算模型^[15]，學(xué)術(shù)界針對邊緣計算網(wǎng)絡(luò )的安全問(wèn)題也展開(kāi)了一些研究，但總體研究尚處于起步階段。目前的研究成果主要集中在邊緣計算終端安全、數據安全、網(wǎng)絡(luò )入侵檢測防御等三方面，具有主動(dòng)防御特性的研究成果也相對較少。具體如下：

（1）邊緣計算終端安全方面。邊緣計算網(wǎng)絡(luò )中的設備、終端制造商越來(lái)越多地部署不同的加密技術(shù)，以向物聯(lián)網(wǎng)傳感節點(diǎn)和邊緣計算終端提供有價(jià)值的屬性，如保密/完整性/可用性（稱(chēng)為CIA）數據。提供端到端交鑰匙CIA服務(wù)所需的各種密碼系統，涵蓋協(xié)議棧的所有層以及網(wǎng)絡(luò )物理邊界。Z Liu等人^[52]提出了基于點(diǎn)陣加密算法的邊緣計算設備安全防護技術(shù)，通過(guò)在物聯(lián)網(wǎng)設備節點(diǎn)中應用點(diǎn)陣加密技術(shù)降低對計算資源的占用，從而為邊緣計算感知節點(diǎn)提供安全認證功能。HsuR等人^[53]面向物聯(lián)網(wǎng)業(yè)務(wù)提出了一種基于邊緣計算的可重構安全技術(shù)，通過(guò)邊緣計算技術(shù)簡(jiǎn)化物聯(lián)網(wǎng)密鑰管理，提升安全認證和安全數據訪(fǎng)問(wèn)控制的性能，最終目標是提升密鑰管理技術(shù)的靈活性。R Pettersen等人^[54]提出了基于A(yíng)RM可信區的邊緣計算設備安全防護技術(shù)，將可信計算理念通過(guò)將計算、存儲等服務(wù)集中在A(yíng)RM信任區中隔離執行，從而提供高水平的安全性和隱私保護，同時(shí)盡可能的較小安全防護成本。Abercrombie R等人^[55][56]提出了一種利用一次簽名和單向哈希鏈的加密方案，提供了一種終端認證的解決方案。Khurana等人^[57]提出了有效的 SCADA 系統設備認證的解決方案。此外，Xumin Huang等人^[58]提出了面向車(chē)輛邊緣計算的分布式信譽(yù)管理系統，通過(guò)熟悉性、相似性和時(shí)效性三要素對單個(gè)聯(lián)網(wǎng)車(chē)輛進(jìn)行信譽(yù)度計算和更新，但是此方法在面向大量終端計算時(shí)計算量較大，且存在計算精度差的問(wèn)題。

（2）在邊緣計算數據安全方面。邊緣計算網(wǎng)絡(luò )中引入了大量的量測設備用于用戶(hù)端數據和系統狀態(tài)信息的采集，但是這些先進(jìn)基礎設備的引進(jìn)引入了更多的數據安全風(fēng)險。J Zhang等人^[59]研究分析了邊緣計算范式中的數據安全與隱私保護問(wèn)題，提出了基于密碼技術(shù)的數據安全和隱私問(wèn)題的解決方法，對邊緣計算范式的最新數據安全和隱私解決方案也進(jìn)行了綜述，最后提出了邊緣計算領(lǐng)域數據安全的若干開(kāi)放性研究方向。在網(wǎng)絡(luò )智能化、傳感化改造后后，高級傳感量測設備便成為最易受到攻擊的設備，因此針對量測裝置中的虛假數據攻擊受到了學(xué)者們廣泛的關(guān)注。Liu Y等人^[60]首先提出了一種新的攻擊方法：虛假數據攻擊FDA。在已知系統的配置信息情況下，經(jīng)過(guò)篡改測量器的測量值進(jìn)行入侵^[97]，這種攻擊方式可以給系統狀態(tài)估計引入任意的錯誤。鑒于這種攻擊方式受到實(shí)際條件的限制，文獻^[61][62]分析了此種攻擊方式需要進(jìn)行篡改的測量值數量，并給出相應的計算方法，指出可以通過(guò)保護一組測量值來(lái)防范這種攻擊。工業(yè)無(wú)線(xiàn)網(wǎng)絡(luò )如ISA100^[63]、WirelessHART^[64]等系統也提出了數據鏈路層和網(wǎng)絡(luò )層安全通信機制，但這些安全通信機制共同的問(wèn)題是只考慮了單播通信的安全，而對廣播通信的安全并沒(méi)有涉及，同時(shí)，沒(méi)有針對感知末梢網(wǎng)絡(luò )脆弱性提供安全接入設計。Karlof C等人^[65]針對TinyOS設計了低功耗數據鏈路層安全體系結構TinySec，但并不適用于高實(shí)時(shí)性的邊緣計算網(wǎng)絡(luò )。Perrig A等人^[66]提出了單播安全機制SNEP及安全廣播機制μTESLA，但是其依賴(lài)基于Hash算法的長(cháng)度有限密鑰鏈，限制了廣播的持續進(jìn)，缺少實(shí)時(shí)性和可靠性考慮，不適于邊緣計算網(wǎng)絡(luò )。Eltoweissy M等人^[67]基于EBS模型提出LOCK（LOcalized Combinatorial Keying）方案，將整個(gè)邊緣計算傳感器網(wǎng)絡(luò )劃分成基站、簇頭、普通節點(diǎn)三層結構來(lái)實(shí)現分層的動(dòng)態(tài)密鑰管理，融合多項式模型和EBS模型，但對合謀攻擊免疫力低，實(shí)時(shí)性不高。此外，文獻^[68]考慮了無(wú)線(xiàn)網(wǎng)狀網(wǎng)應用在A(yíng)MI中的部署問(wèn)題，主要是利用網(wǎng)狀網(wǎng)絡(luò )可以通過(guò)使用冗余通信路徑來(lái)克服不良鏈路的優(yōu)點(diǎn)。然而，無(wú)線(xiàn)網(wǎng)狀技術(shù)面臨跨層流量注入、節點(diǎn)模擬、路由注入、消息篡改等攻擊，且大多數現有的路由協(xié)議缺乏保護路徑和數據的具體策略，導致路由安全風(fēng)險，難以保障AMI中數據傳輸的安全性。因此，Zigbee聯(lián)盟發(fā)布了一個(gè)基于Zigbee Pro^[69][70]和802.15.4解決此問(wèn)題的標準。但是，由于基于聚類(lèi)的路由策略的多層特征，傳統ZigBee協(xié)議將遭受?chē)乐氐难舆t。

（3）在邊緣計算網(wǎng)絡(luò )攻擊檢測防御方面。R Rapuzzi等人^[71]提出了面向邊緣計算的多層次網(wǎng)絡(luò )安全態(tài)勢感知框架，對邊緣計算網(wǎng)絡(luò )中大型異構計算和網(wǎng)絡(luò )環(huán)境的網(wǎng)絡(luò )威脅的識別要素和準則進(jìn)行了定義。張琪等人^[72]提出了一種基于邊緣計算的流傳感器實(shí)時(shí)異常檢測算法。該算法首先以時(shí)間序列的形式表達相應的傳感器數據，建立基于邊緣計算的分布式傳感數據異常檢測模型；其次，利用單源時(shí)間序列的連續性和多源時(shí)間序列之間的相關(guān)性，分別有效地檢測流傳感器數據中的異常數據，并在同一過(guò)程中生成相應的異常檢測結果集，最后將上述兩種異常檢測結果集以一定的方式進(jìn)行有效融合，從而得到異常檢測結果集。該算法與其他傳統方法相比具有更高的檢測性能。Chen Yuanfang等人^[73]提出了一個(gè)基于深度學(xué)習的模型來(lái)檢測移動(dòng)邊緣計算安全威脅，該模型采用無(wú)監督學(xué)習來(lái)自動(dòng)檢測，并利用位置信息作為一個(gè)重要特征來(lái)提高檢測性能，提出的模型可以用于檢測蜂窩網(wǎng)絡(luò )邊緣的惡意應用。阿里等人^[74]在面向電力邊緣計算的高級計量場(chǎng)景提出一種入侵檢測技術(shù)，采用智能儀表收集事件日志，并通過(guò)第四階馬爾可夫鏈建模，以演示網(wǎng)絡(luò )確定性和可預測行為，用于開(kāi)發(fā)入侵檢測系統（IDS）。R Roman等人^[19]對移動(dòng)邊緣計算模型下的網(wǎng)絡(luò )安全威脅和挑戰進(jìn)行了研究，全面分析了移動(dòng)邊緣計算在終端設備層、網(wǎng)絡(luò )層、數據中心層、虛擬云服務(wù)層面臨的隔離網(wǎng)絡(luò )安全威脅，對邊緣計算范式下的安全威脅進(jìn)行了總結。并對邊緣計算網(wǎng)絡(luò )安全防護涉及的身份認證、訪(fǎng)問(wèn)控制、協(xié)議安全、可相信管理、入侵檢測、隱私保護等研究方向進(jìn)行了技術(shù)展望。最后提出了邊緣計算范式下網(wǎng)絡(luò )安全防護應該強調協(xié)同和合作的觀(guān)點(diǎn)。針對邊緣計算網(wǎng)絡(luò )安全防護的協(xié)同合作問(wèn)題，近年來(lái)，基于大數據關(guān)聯(lián)分析的網(wǎng)絡(luò )威脅異常檢測方法是當前研究的熱點(diǎn)，此類(lèi)方法在邊緣計算網(wǎng)絡(luò )環(huán)境下也值得借鑒。黃靜耘^[75]在其學(xué)位論文中提出了基于大數據分析的網(wǎng)絡(luò )攻擊場(chǎng)景重建方法，研究因果關(guān)聯(lián)方法和概率關(guān)聯(lián)方法的算法流程,并在大數據平臺上實(shí)現，將告警聚合的結果關(guān)聯(lián)形成多步攻擊場(chǎng)景。同時(shí)，基于攻擊圖的聯(lián)動(dòng)防御技術(shù)也受到了較多的關(guān)注，如戚湧等人^[76]提出了一種基于攻防圖的網(wǎng)絡(luò )安全防御策略生成方法，對安全策略生成所需考慮的因素進(jìn)行擴充,對安全策略的生成方法進(jìn)行優(yōu)化,實(shí)現攻擊場(chǎng)景建模和攻擊意圖挖掘，為管理人員做出合理的防御決策提供了有效的輔助。

綜上可見(jiàn)，針對邊緣計算網(wǎng)絡(luò )發(fā)展過(guò)程中引入的網(wǎng)絡(luò )安全風(fēng)險問(wèn)題，學(xué)術(shù)界開(kāi)展了諸多研究。但是由于邊緣計算網(wǎng)絡(luò )屬于一種混合網(wǎng)絡(luò )架構，涉及多個(gè)環(huán)節多種技術(shù)，目前尚未形成統一的國際標準。針對邊緣計算網(wǎng)絡(luò )的安全防護技術(shù)也經(jīng)歷了從密碼防護、安全模型、訪(fǎng)問(wèn)控制策略、主機加固，再到后來(lái)的異常檢測、關(guān)聯(lián)分析等。但以上技術(shù)以被動(dòng)防御（Passive defense）為主技術(shù)，實(shí)際上只能用于檢測攻擊并進(jìn)行事后響應而不能防止攻擊，防御滯后于攻擊，已無(wú)法適應當前邊緣計算網(wǎng)絡(luò )這種動(dòng)態(tài)變化且實(shí)時(shí)性、可靠性要求高的開(kāi)放互聯(lián)網(wǎng)絡(luò )環(huán)境。這些研究工作在邊緣計算網(wǎng)絡(luò )環(huán)境下還存在一定局限：

（1）在終端滲透防御方面?，F有邊緣計算終端安全主要利用密碼技術(shù)、可信計算技術(shù)實(shí)現終端的安全認證與數據存儲計算安全。由于所涉及的密鑰管理難度大技術(shù)復雜且介入式程度高導致防御成本過(guò)高，并不適用于邊緣計算環(huán)境下多元異構終端的安全防護。同時(shí)現有終端信任度評估技術(shù)存在信譽(yù)度評估準確性差、計算量大等局限性，不能根據邊緣計算終端行為特性進(jìn)行動(dòng)態(tài)學(xué)習和動(dòng)態(tài)度量，不能有效檢測出惡意終端的滲透攻擊行為且不能進(jìn)行提前防御控制，因而研究成果并不能直接用于邊緣計算終端的滲透攻擊行為檢測和主動(dòng)防御。

（2）在數據安全交互方面。面向邊緣計算網(wǎng)絡(luò )的數據安全防護需求，當前諸多研究成果關(guān)注了邊緣計算數據的隱私保護和安全傳輸，普遍采用密碼技術(shù)和安全傳輸協(xié)議實(shí)現。然而大部分研究成果并未考慮到邊緣計算網(wǎng)絡(luò )環(huán)境下的數據傳輸的實(shí)時(shí)性要求，因而難以應用于邊緣計算數據實(shí)時(shí)安全交互。此外，現有的研究成果并未考慮受網(wǎng)絡(luò )攻擊情況下對數據傳輸效率的影響，不能根據網(wǎng)絡(luò )攻擊危害程度自適應調整數據傳輸方案確保傳輸效率。因此，現有安全傳輸技術(shù)普遍屬于被動(dòng)防御技術(shù)，不能對網(wǎng)絡(luò )攻擊行為進(jìn)行主動(dòng)規避或者主動(dòng)抑制，安全性不能滿(mǎn)足邊緣計算網(wǎng)絡(luò )需要。

（3）在網(wǎng)絡(luò )攻擊檢測方面。目前面向邊緣計算網(wǎng)絡(luò )的主流入侵檢測研究成果集中在異常檢測方面，通過(guò)深度學(xué)習等技術(shù)構建邊緣計算網(wǎng)絡(luò )的行為模型，從而基于模型偏差來(lái)檢測、識別各類(lèi)網(wǎng)絡(luò )攻擊。在識別出異常后并不能對新型或者未知網(wǎng)絡(luò )攻擊的實(shí)施機理進(jìn)行分析，檢測結果不能直接用于后續網(wǎng)絡(luò )攻擊的常態(tài)化監測，亦不能對邊緣計算網(wǎng)絡(luò )防護對象起到保護作用。同時(shí)，現有的入侵檢測技術(shù)主要考慮了檢測模型的準確性，然而對方法的應用范圍考慮有限，對入侵檢測的防御成本關(guān)注不足。因此，根據網(wǎng)絡(luò )安全主動(dòng)防御的定義，現有技術(shù)在攻防博弈的過(guò)程中，防御收益和攻擊損害的平衡性需進(jìn)一步研究。

（4）在系統攻擊防御處置方面?，F有針對邊緣計算網(wǎng)絡(luò )系統域的攻擊防御技術(shù)研究較少，僅少部分研究成果強調了協(xié)同、聯(lián)動(dòng)處置的必要性。目前，攻擊聯(lián)動(dòng)高效處置技術(shù)主要以基于告警關(guān)聯(lián)分析的防御處置技術(shù)和基于狀態(tài)攻擊圖的防御處置技術(shù)為為主。但是，狀態(tài)攻擊圖技術(shù)在實(shí)施過(guò)程中存在眾多局限性，如攻擊成功概率的計算、攻擊危害指數定義無(wú)法準確量化，使得在實(shí)際應用中存在計算準確性差的問(wèn)題，很難根據真實(shí)網(wǎng)絡(luò )安全威脅程度進(jìn)行有效防御和低成本防御。此外，在邊緣計算網(wǎng)絡(luò )中系統規模龐大的情況下，狀態(tài)攻防圖生成存在空間爆炸問(wèn)題。如何解決邊緣計算網(wǎng)絡(luò )中大規?；ヂ?lián)系統的網(wǎng)絡(luò )安全事件低成本、快速處置是NP難題。

參考文獻--