基于知识图谱边缘节点安全检测系统及方法技术方案

本发明专利技术公开了基于知识图谱边缘节点安全检测系统及方法，属于边缘计算技术领域，本发明专利技术要解决的技术问题为如何实现在边缘计算场景下对有效的边缘节点进行安全检测，满足边缘计算场景下边缘节点的安全检测需求，采用的技术方案为：该系统包括数据采集模块、安全检测模块、数据存储模块、数据处理模块、知识图谱模块和告警模块；数据采集模块作为守护进程部署在各边缘节点操作系统中，用于实时采集边缘节点设备的日志信息和流量信息，并上传到云端存储到数据存储模块中，为数据处理模块后续的数据分析提供数据基础；安全检测模块用于实现网络入侵检测功能，并将检测到的告警信息传入数据处理模块做进一步处理。据处理模块做进一步处理。据处理模块做进一步处理。

【技术实现步骤摘要】
基于知识图谱边缘节点安全检测系统及方法


[0001]本专利技术涉及边缘计算
，具体地说是一种基于知识图谱边缘节点安全检测系统及方法。

技术介绍

[0002]边缘计算是指在靠近物或数据源头的一侧，采用网络、计算、存储、应用核心能力为一体的开放平台，就近提供最近端服务。其应用程序在边缘侧发起，产生更快的网络服务响应，满足行业在实时业务、应用智能、安全与隐私保护等方面的基本需求，得益于它的优势，边缘计算近来发展迅速，边缘计算使数据在源头附近就能得到处理，能有效解决网络带宽和时延上的瓶颈，边缘计算作为技术平台将支撑AI技术获得更广泛的应用，加速万物智能时代的到来。同时，从集中式的云计算走向分布式的边缘计算的过程中，为传统的网络架构带来了极大的变化，也为边缘网络带来了更大的网络攻击威胁。
[0003]在边缘计算场景中，边缘节点分布较为分散，且数据量巨大，安全设备产生的告警信息往往也是海量的，并且伴随着大量误报信息，这给边缘节点的安全分析带来了很大的挑战。运维人员需要丰富的经验和大量的时间才能针对告警做出相关的处理，从而导致运营成本的增加。
[0004]故如何实现在边缘计算场景下对有效的边缘节点进行安全检测，满足边缘计算场景下边缘节点的安全检测需求是目前亟待解决的技术问题。

技术实现思路

[0005]本专利技术的技术任务是提供一种基于知识图谱边缘节点安全检测系统及方法，来解决如何实现在边缘计算场景下对有效的边缘节点进行安全检测，满足边缘计算场景下边缘节点的安全检测需求的问题。
[0006]本专利技术的技术任务是按以下方式实现的，一种基于知识图谱边缘节点安全检测系统，该系统包括数据采集模块、安全检测模块、数据存储模块、数据处理模块、知识图谱模块和告警模块；
[0007]数据采集模块作为守护进程部署在各边缘节点操作系统中，用于实时采集边缘节点设备的日志信息和流量信息，并上传到云端存储到数据存储模块中，为数据处理模块后续的数据分析提供数据基础；
[0008]安全检测模块用于实现网络入侵检测功能，并将检测到的告警信息传入数据处理模块做进一步处理；
[0009]数据存储模块部署在云端，用于存储数据采集模块采集的日志信息及流量信息和安全检测模块采集的告警信息；
[0010]数据处理模块用于对数据采集模块和安全检测模块上传的日志数据、流量数据和告警数据进行处理；
[0011]知识图谱模块用于通过上传的告警数据、日志数据和流量数据从不同的维度和关
系对攻击源进行推理评估，结合基于结构的知识图谱表示学习方法进行全面学习，构建边缘计算环境下的攻击源安全模型；
[0012]告警模块用于将告警信息推送给运维人员，并提醒运维人员快速响应，运维人员处理告警后可以针对某个或者某些告警做恢复告警处理。
[0013]作为优选，所述安全检测模块采用安全检测设备，安全检测设备采用网络入侵检测系统IDS/IPS或网络应用防护系统。
[0014]作为优选，所述数据存储模块为时序数据库，时序数据库用于提供根据时间和存储空间自动分表和基于时序查询数据的功能，同时还支持高频插入插入和频繁查询，较少删除和修改历史数据。
[0015]作为优选，边缘节点受到攻击时，数据处理模块通过对告警数据、日志数据和流量数据的比对分析，判断是否为有效的告警：
[0016]若明确是有效的告警信息，则直接传给告警模块进行相应的告警，并同时传输给知识图谱模块构建安全知识库；
[0017]若未明确是有效的告警信息，则结合知识图谱模块继续处理分析。
[0018]更优地，所述攻击源安全模型用于确定知识图谱中的实体和关系；实体分为目标客体和威胁主体；目标客体为攻击的目标；威胁主体为攻击发起者，即攻击源；关系分为直接关系和间接关系，直接关系是指通过日志数据和流量数据直接得到的关系对；间接关系是指通过间接关联得到的关系。
[0019]更优地，所述知识图谱模块是通过实体和关系构成的，知识图谱模块中包括多种实体，实体中的直接关系和间接关系表示威胁传递。
[0020]更优地，所述告警模块的推送方式包括邮件、短信或企业微信订阅号。
[0021]一种基于知识图谱边缘节点安全检测方法，该方法具体如下：
[0022]S1、数据采集模块按照设定策略获取边缘节点的日志信息并上传到云端的数据存储模块中；
[0023]S2、安全检测模块根据设定的规则进行网络入侵检测，并把产生的海量告警信息上传到云端的数据存储模块；
[0024]S3、数据处理模块获取数据存储模块中的告警信息、日志数据集流量数据并通过对告警数据、日志数据和流量数据的比对分析，判断是否为有效的告警：
[0025]①
、若明确是有效的告警信息，则直接传给告警模块进行相应的告警，并同时传输给知识图谱模块构建安全知识库，下一步执行步骤S4；
[0026]②
、若未明确是有效的告警信息，则在知识图谱模块进行相应检索，匹配对应的知识图谱，结合攻击源安全模型做进一步的分析评估；
[0027]S4、知识图谱模块以告警信息中的IP地址、端口、告警及日志的实体为知识图谱的节点，通过日志解析和数据挖掘得到实体之间的关系构成知识图谱的边；
[0028]S5、告警模块对数据处理模块传入过来的告警信息通过邮件、短信或企业微信订阅号推送给运维人员，并提醒运维人员快速响应，运维人员处理告警后可以针对某个或者某些告警做恢复告警处理。
[0029]作为优选，所述知识图谱模块结合知识图谱中的表示学习方法，将三元组表示成向量；具体是采用TransE模型来学习知识图谱中节点和边的向量表示；具体如下：
[0030]将每个三元组实例(head，relation，tail)中的关系relation看作头实体head到尾实体tail的翻译，通过不断调整h、r和t，使(h+r)尽可能与t相等，即h+r＝t；其中，h表示实体head的向量；r表示关系relation的向量；t表示实体tail的向量；
[0031]通过不断的学习，最终确定攻击源，构建攻击源安全模型；
[0032]根据不断上传的日志数据和告警信息提取三元组作为训练集对攻击源安全模型进行不断的训练，提高准确率。
[0033]更优地，所述攻击源安全模型用于确定知识图谱中的实体和关系；实体分为目标客体和威胁主体；目标客体为攻击的目标；威胁主体为攻击发起者，即攻击源；关系分为直接关系和间接关系，直接关系是指通过日志数据和流量数据直接得到的关系对；间接关系是指通过间接关联得到的关系。
[0034]本专利技术的基于知识图谱边缘节点安全检测系统及方法具有以下优点：
[0035](一)本专利技术基于知识图谱构建攻击源安全模型，并用于边缘节点安全问题的检测，提高了边缘节点安全检测的准确率，提升了边缘计算场景下安全检测的自动化水平，降低了边缘计算场景下的安全运维成本；
[0036](二)本专利技术的知识图谱提供了从“关系”的角度去本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于知识图谱边缘节点安全检测系统，其特征在于，该系统包括数据采集模块、安全检测模块、数据存储模块、数据处理模块、知识图谱模块和告警模块；数据采集模块作为守护进程部署在各边缘节点操作系统中，用于实时采集边缘节点设备的日志信息和流量信息，并上传到云端存储到数据存储模块中，为数据处理模块后续的数据分析提供数据基础；安全检测模块用于实现网络入侵检测功能，并将检测到的告警信息传入数据处理模块做进一步处理；数据存储模块部署在云端，用于存储数据采集模块采集的日志信息及流量信息和安全检测模块采集的告警信息；数据处理模块用于对数据采集模块和安全检测模块上传的日志数据、流量数据和告警数据进行处理；知识图谱模块用于通过上传的告警数据、日志数据和流量数据从不同的维度和关系对攻击源进行推理评估，结合基于结构的知识图谱表示学习方法进行全面学习，构建边缘计算环境下的攻击源安全模型；告警模块用于将告警信息推送给运维人员，并提醒运维人员快速响应。2.根据权利要求1所述的基于知识图谱边缘节点安全检测系统，其特征在于，所述安全检测模块采用安全检测设备，安全检测设备采用网络入侵检测系统IDS/IPS或网络应用防护系统。3.根据权利要求1所述的基于知识图谱边缘节点安全检测系统，其特征在于，所述数据存储模块为时序数据库，时序数据库用于提供根据时间和存储空间自动分表和基于时序查询数据的功能，同时还支持高频插入插入和频繁查询。4.根据权利要求1所述的基于知识图谱边缘节点安全检测系统，其特征在于，边缘节点受到攻击时，数据处理模块通过对告警数据、日志数据和流量数据的比对分析，判断是否为有效的告警：若明确是有效的告警信息，则直接传给告警模块进行相应的告警，并同时传输给知识图谱模块构建安全知识库；若未明确是有效的告警信息，则结合知识图谱模块继续处理分析。5.根据权利要求1
‑
4中任一所述的基于知识图谱边缘节点安全检测系统，其特征在于，所述攻击源安全模型用于确定知识图谱中的实体和关系；实体分为目标客体和威胁主体；目标客体为攻击的目标；威胁主体为攻击发起者，即攻击源；关系分为直接关系和间接关系，直接关系是指通过日志数据和流量数据直接得到的关系对；间接关系是指通过间接关联得到的关系。6.根据权利要求5所述的基于知识图谱边缘节点安全检测系统，其特征在于，所述知识图谱模块是通过实体和关系构成的，知识图谱模块中包括多种实体，实体中的直...

【专利技术属性】
技术研发人员：陈洪鑫，金伟毅，李明，李胜，廖琦，
申请(专利权)人：苏州思萃工业互联网技术研究所有限公司，
类型：发明
国别省市：