工业互联网边缘设备行为检测方法、装置、设备及介质制造方法及图纸

本发明专利技术公开了一种工业互联网边缘设备行为检测方法、装置、设备及介质，涉及工业互联网领域，该方法包括：采用边缘层中的网关获取物理设备的当前流量数据；对当前流量数据进行处理，得到当前流量特征信息；将云端存储的工业互联网边缘设备行为检测模型下发至边缘层，并将当前流量特征信息输入至位于边缘层处的工业互联网边缘设备行为检测模型中，确定物理设备当前行为。本发明专利技术结合“云端+边缘层”协同检测和IWEL技术，保障及时发现工业互联网中物理设备的恶性行为，保证物理设备的安全，同时使物理设备行为分析更加快速、高效。高效。高效。

【技术实现步骤摘要】
工业互联网边缘设备行为检测方法、装置、设备及介质


[0001]本专利技术涉及工业互联网领域，特别是涉及一种工业互联网边缘设备行为检测方法、装置、电子设备及计算机可读存储介质。

技术介绍

[0002]随着5G时代的到来，网络具备了接入速率高、并发程度大、时延低等优势，许多对网络的速率、延时以及稳定性要求高的新兴物联网领域，例如智能网联汽车、移动医疗、工业互联网等都得到蓬勃发展。物理设备数目众多，会产生PB级别的海量数据。
[0003]据IDC数据统计，未来将会有超过500亿物理设备接入网络。在这些物理设备数据中，将会有过半的数据需要在网络架构的边缘层进行数据分析、数据存储以及数据处理。
[0004]在5G背景下，物理设备往往具有高通量、高实时性的特点，所以一旦有物联网安全事件发生，其规模往往更多、影响更为严重。目前已知的针对物理设备的安全威胁与传统的网络安全威胁有相似之处，攻击者可以通过暴力破解、利用己知漏洞提权等方法，在未经授权的情况下，访问物理设备、从中获取敏感信息或者控制物理设备等；攻击者也可以直接对物理设备发起拒绝服务攻击，通过消耗目标的资源使被攻击目标无法正常使用，从而影响系统的运行。
[0005]针对物联网安全检测问题，根据检测位置分类为：云端检测、终端检测和边缘检测，云端检测主要计算在云端海量数据下，云端负载过重，实时性不高。终端检测对终端要求高，会占用终端本身计算资源。边缘计算与云端检测、终端检测相比，缓解了云端和终端的压力，具备更好的检测结果。
[0006]工业互联网物理设备行为检测方法通常为采用收集网络流量，并进行异常流量检测的方法，而对于异常流量检测，主要有三种方式：第一种方式是使用基于特征的方法来检测异常流量，该方法主要依赖于规则匹配，可以有效的检测出特定模式下的攻击，但是无法检测新的未知攻击；第二种方式是通过构建统计模型或各种统计函数，设置统计阈值进行判断，但统计阈值设置较为严格，会产生漏检率过高的问题；第三种方式是基于机器学习的方法，该方法虽然可以很好的对未来的异常流量进行预测并不需要设置阈值，但是现在模型存在计算精度低、计算时间长的问题。

技术实现思路

[0007]本专利技术的目的是提供一种工业互联网边缘设备行为检测方法、装置、设备及介质，结合“云端+边缘层”协同检测和IWEL(结合信息增益率与流量权重的集成学习)技术，保障及时发现工业互联网中物理设备的恶性行为，保证物理设备的安全，同时使物理设备行为分析更加快速、高效。
[0008]为实现上述目的，本专利技术提供了如下方案：第一方面，本专利技术提供了一种工业互联网边缘设备行为检测方法，应用于工业互联网边缘设备行为检测装置，所述工业互联网边缘设备行为检测装置包括设备层、边缘层
和云端，所述设备层设置有多个物理设备，每个所述物理设备均与所述边缘层中的网关连接；所述工业互联网边缘设备行为检测方法包括：采用所述边缘层中的网关获取物理设备的当前流量数据；对所述当前流量数据进行处理，得到当前流量特征信息；将所述云端存储的工业互联网边缘设备行为检测模型下发至所述边缘层，并将所述当前流量特征信息输入至位于所述边缘层处的工业互联网边缘设备行为检测模型中，确定物理设备当前行为；所述行为包括良性行为和恶性行为；其中，所述云端用于训练、存储和更新工业互联网边缘设备行为检测模型；所述工业互联网边缘设备行为检测模型是在云端处采用若干个样本数据对IWEL模型进行训练后得到的模型；所述样本数据包括输入数据以及对应的标签数据；所述输入数据为样本流量特征信息，所述标签数据为物理设备行为。
[0009]第二方面，本专利技术提供了一种工业互联网边缘设备行为检测装置，包括设备层、边缘层和云端，所述设备层设置有多个物理设备，每个所述物理设备均与所述边缘层中的网关连接；所述网关用于获取物理设备的当前流量数据；所述边缘层还包括处理模块；所述处理模块，用于：对所述当前流量数据进行处理，得到当前流量特征信息；接收所述云端存储的工业互联网边缘设备行为检测模型；将所述当前流量特征信息输入至位于所述边缘层处的工业互联网边缘设备行为检测模型中，确定物理设备当前行为；所述行为包括良性行为和恶性行为；所述云端用于训练、存储和更新工业互联网边缘设备行为检测模型；所述工业互联网边缘设备行为检测模型是在云端处采用若干个样本数据对IWEL模型进行训练后得到的模型；所述样本数据包括输入数据以及对应的标签数据；所述输入数据为样本流量特征信息，所述标签数据为物理设备行为。
[0010]第三方面，本专利技术提供了一种电子设备，包括存储器及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行根据第一方面所述的工业互联网边缘设备行为检测方法。
[0011]第四方面，本专利技术提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的工业互联网边缘设备行为检测方法。
[0012]根据本专利技术提供的具体实施例，本专利技术公开了以下技术效果：本专利技术提供了一种工业互联网边缘设备行为检测方法、装置、设备及介质。本专利技术采用了边缘层直接采集处理物理设备流量数据的方式，缓解了设备层采集物理设备流量数据时存在压力大的问题。本专利技术设计了“云端+边缘层”协同检测方案，采用云端训练、存储、更新工业互联网边缘设备行为检测模型，采用边缘层计算工业互联网边缘设备行为检测模型以检测物理设备行为，具备较少压力，提高计算速度的特点。此外，本专利技术设计的工业互联网边缘设备行为检测模型具有快速识别恶性行为和较高精准度的优点。
附图说明
[0013]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0014]图1为本专利技术工业互联网边缘设备行为检测方法的流程示意图；图2为本专利技术工业互联网边缘设备行为检测方法的架构图；图3为本专利技术流量特征信息确定过程示意图；图4为本专利技术IWEL模型的结构框图。
具体实施方式
[0015]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0016]为使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本专利技术作进一步详细的说明。
[0017]现有工业互联网物理设备行为检测方法存在以下缺点：缺点1：采用传统工业互联网安全行为分析方法，物理设备的流量数据采集汇总时存在压力大的问题。
[0018]缺点2：工业互联网物理设备一般采用云端统一检测方式，具有攻击效率低，不能保证实时性。
[0019]缺点3：采用集成学习模型对工业互联网物理设备进行安全分本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工业互联网边缘设备行为检测方法，其特征在于，所述工业互联网边缘设备行为检测方法应用于工业互联网边缘设备行为检测装置，所述工业互联网边缘设备行为检测装置包括设备层、边缘层和云端，所述设备层设置有多个物理设备，每个所述物理设备均与所述边缘层中的网关连接；所述工业互联网边缘设备行为检测方法包括：采用所述边缘层中的网关获取物理设备的当前流量数据；对所述当前流量数据进行处理，得到当前流量特征信息；将所述云端存储的工业互联网边缘设备行为检测模型下发至所述边缘层，并将所述当前流量特征信息输入至位于所述边缘层处的工业互联网边缘设备行为检测模型中，确定物理设备当前行为；所述行为包括良性行为和恶性行为；其中，所述云端用于训练、存储和更新工业互联网边缘设备行为检测模型；所述工业互联网边缘设备行为检测模型是在云端处采用若干个样本数据对IWEL模型进行训练后得到的模型；所述样本数据包括输入数据以及对应的标签数据；所述输入数据为样本流量特征信息，所述标签数据为物理设备行为。2.根据权利要求1所述的一种工业互联网边缘设备行为检测方法，其特征在于，还包括：当所述物理设备当前行为为恶性行为时，输出物理设备注意防护信息。3.根据权利要求1所述的一种工业互联网边缘设备行为检测方法，其特征在于，所述采用所述边缘层中的网关获取物理设备的当前流量数据，具体包括：采用所述边缘层中的网关的流量代理功能，获取物理设备的当前流量数据。4.根据权利要求1所述的一种工业互联网边缘设备行为检测方法，其特征在于，所述样本数据的确定过程为：采用所述边缘层中的网关获取物理设备的若干个样本流量数据；在所述边缘层，对任一所述样本流量数据均执行以下操作：对所述物理设备的样本流量数据进行特征提取聚合操作，得到样本流量特征信息；流量特征信息包括多个流量特征，分别为源的IP地址数量、源端口数量、目的IP地址数量、目的端口数量、发出数据包总数量、发出数据包总字节数、接收数据包总数量和接收数据包总字节数；根据所述样本流量特征信息，确定所述样本流量特征信息对应的物理设备行为。5.根据权利要求1所述的一种工业互联网边缘设备行为检测方法，其特...

【专利技术属性】
技术研发人员：王冲华，江浩，许丰娟，郝志强，李耀兵，李俊，李红飞，余果，孔同，林晨，韦彦，曲海阔，王福炎，
申请(专利权)人：国家工业信息安全发展研究中心，
类型：发明
国别省市：