CN111641621B - 物联网安全事件识别方法、装置和计算机设备 - Google Patents

物联网安全事件识别方法、装置和计算机设备 Download PDF

Info

Publication number
CN111641621B
CN111641621B CN202010437015.XA CN202010437015A CN111641621B CN 111641621 B CN111641621 B CN 111641621B CN 202010437015 A CN202010437015 A CN 202010437015A CN 111641621 B CN111641621 B CN 111641621B
Authority
CN
China
Prior art keywords
attribute
internet
things
threshold interval
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010437015.XA
Other languages
English (en)
Other versions
CN111641621A (zh
Inventor
徐丽丽
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202010437015.XA priority Critical patent/CN111641621B/zh
Publication of CN111641621A publication Critical patent/CN111641621A/zh
Application granted granted Critical
Publication of CN111641621B publication Critical patent/CN111641621B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请涉及一种物联网安全事件识别方法、装置和计算机设备,其中,该物联网安全事件识别方法包括:获取物联网实体的多个属性特征和多个所述属性特征之间的关联信息;根据所述属性特征和所述关联信息,构建与多个所述属性特征关联的知识图谱网络;根据所述知识图谱网络和所述属性特征对应的特征值,识别物联网安全事件。通过本申请,解决了无法准确识别物联网安全事件的问题。

Description

物联网安全事件识别方法、装置和计算机设备
技术领域
本申请涉及物联网安全技术领域,特别是涉及一种物联网安全事件识别方法、装置和计算机设备。
背景技术
随着物联网技术的飞速发展,其应用范围也越来越广泛,随之产生的物联网安全问题也越来越多。当企业网络受到数据攻击时,如果得不到及时的检测和维护,将会给企业带来巨大的经济损失。通过安全专家积累的经验对物联网安全事件进行识别,可以解决一部分物联网安全问题。然而,安全专家无法关注到多台网络设备关联下的物联网安全事件。
相关技术中,采用基于传统数据模式的物联网信息平台对物联网安全事件进行识别,实现自动监测物联网安全事件。然而,采用该方法是通过获取的多个孤立数据进行识别,使得物联网安全事件的识别结果不够准确。
目前针对相关技术中,无法准确识别物联网安全事件的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种物联网安全事件识别方法、装置和计算机设备,以至少解决相关技术中无法准确识别物联网安全事件的问题。
第一方面,本申请实施例提供了一种物联网安全事件识别方法,包括:
获取物联网实体的多个属性特征和多个所述属性特征之间的关联信息;
根据所述属性特征和所述关联信息,构建与多个所述属性特征关联的知识图谱网络;
根据所述知识图谱网络和所述属性特征对应的特征值,识别物联网安全事件。
在其中一些实施例中,所述根据所述属性特征和所述关联信息,构建与多个所述属性特征关联的知识图谱网络包括:
将所述属性特征抽象成节点;
将所述关联信息抽象为边;
将所述节点和所述边输入到图数据库中,得到与多个所述属性特征关联的知识图谱网络。
在其中一些实施例中,在将所述节点和所述边输入到图数据库中,得到与多个所述属性特征关联的知识图谱网络之后,所述方法还包括:
获取所述物联网实体的多个属性特征的经验数据和多个所述属性特征之间的关联信息;
根据所述关联信息、所述经验数据和3sigma原则,确定每一所述属性特征的第一阈值区间和第二阈值区间;所述第一阈值区间根据所述属性特征的经验数据计算得到,所述第二阈值区间根据所述属性特征的经验数据及其关联属性特征的经验数据计算得到;
将所述第一阈值区间和所述第二阈值区间写入所述知识图谱网络中对应属性特征的属性信息中。
在其中一些实施例中,所述经验数据包括所述属性特征的经验值;所述根据所述关联信息、所述经验数据和3sigma原则,确定每一所述属性特征的第一阈值区间和第二阈值区间包括:
根据所述属性特征的经验值和3sigma原则,确定每一所述属性特征的第一阈值区间;
根据所述关联信息和所述经验数据,得到所述属性特征对应的关联属性特征的经验值;
根据所述属性特征的经验值及其对应关联属性特征的经验值,计算每一所述属性特征的综合特征值;
根据所述综合特征值,确定每一所述属性特征的第二阈值区间。
在其中一些实施例中,所述根据所述知识图谱网络和所述属性特征对应的特征值,识别物联网安全事件包括:
根据所述知识图谱网络中属性特征的特征值和所述第一阈值区间,确定异常节点;
计算所述异常节点对应属性特征的所述综合特征值;
若所述综合特征值在所述第二阈值区间之外,则确定所述异常节点存在物联网安全事件。
在其中一些实施例中,所述方法还包括:
获取物联网安全数据;所述物联网安全数据包括物联网实体的多个属性特征的特征值;
根据多个所述属性特征的特征值和预设阈值区间函数,确定多个异常属性特征;
根据多个所述异常属性特征的特征值,得到所述物联网实体的异常特征向量;
根据预设相似度函数、所述异常特征向量和预设参考特征向量,确定所述物联网安全数据的识别结果。
在其中一些实施例中,所述根据预设相似度函数、所述异常特征向量和预设参考特征向量,确定所述物联网安全数据的识别结果包括:
根据所述预设相似度函数,计算所述异常特征向量与预设参考特征向量的相似度;
若所述相似度大于预设相似度阈值,则确定所述安全数据为异常数据;否则,确定所述安全数据为正常数据。
第二方面,本申请实施例提供了一种物联网安全事件识别装置,包括:
获取模块,用于获取物联网实体的多个属性特征和多个所述属性特征之间的关联信息;
构建模块,用于根据所述属性特征和所述关联信息,构建与多个所述属性特征关联的知识图谱网络;
识别模块,用于根据所述知识图谱网络和所述属性特征对应的特征值,识别物联网安全事件。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的物联网安全事件识别方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的物联网安全事件识别方法。
相比于相关技术,本申请实施例提供的物联网安全事件识别方法、装置和计算机设备,通过获取物联网实体的多个属性特征和多个所述属性特征之间的关联信息;根据所述属性特征和所述关联信息,构建与多个所述属性特征关联的知识图谱网络;根据所述知识图谱网络和所述属性特征对应的特征值,识别物联网安全事件,解决了无法准确识别物联网安全事件的问题。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例的物联网安全事件识别方法的流程图;
图2为本申请实施例中构建知识图谱网络的流程图;
图3为本申请实施例中知识图谱网络的示意图;
图4为本申请实施例中设置知识图谱网络属性信息的流程图;
图5为本申请实施例中确定第一阈值区间和第二阈值区间的流程图;
图6为本申请实施例中识别物联网安全事件的流程图;
图7为本申请实施例中识别物联网安全事件的流程图;
图8为本申请实施例中确定识别结果的流程图;
图9为本申请具体实施例的物联网安全事件识别方法的流程图;
图10为本申请实施例的物联网安全事件识别装置的结构框图;
图11为本申请实施例的物联网安全事件识别设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请所描述的各种技术,可以但不仅限于应用于物联网安全监控平台和物联网安全监控设备。
本实施例提供了一种物联网安全事件识别方法。图1为本申请实施例的物联网安全事件识别方法的流程图,如图1所示,该流程包括如下步骤:
步骤S110,获取物联网实体的多个属性特征和多个属性特征之间的关联信息。
其中,物联网实体用于表示各种物联网设备。属性特征的类型包括在线时间、指纹信息、登陆用户名信息、流量信息、设备ID、外联IP和文件信息。关联信息包括多个属性特征之间的关联关系。
步骤S120,根据属性特征和关联信息,构建与多个属性特征关联的知识图谱网络。
可以理解的是,根据该关联信息将物联网实体的多个属性特征关联起来,得到多个属性特征相互关联的知识图谱网络。
步骤S130,根据知识图谱网络和属性特征对应的特征值,识别物联网安全事件。
需要说明的是,根据知识图谱网络和属性特征对应的特征值,挖掘多个属性特征之间的风险信息,通过预先获取的经验数据对该风险信息进行评估,从而根据评估结果确定物联网安全事件。
通过上述步骤S110至步骤S130,根据知识图谱网络和属性特征对应的特征值,挖掘多个属性特征之间的风险信息,利用预先获取的经验数据对该风险信息进行评估,根据评估结果确定物联网安全事件。通过构建多个属性特征相互关联的知识图谱网络,实现了数据的融合,避免了因数据孤立造成的识别误差,从而实现了有效地识别物联网安全事件,解决了无法准确识别物联网安全事件的问题。
在其中一些实施例中,图2为本申请实施例中构建知识图谱网络的流程图,如图2所示,该流程包括如下步骤:
步骤S210,将属性特征抽象成节点。
步骤S220,将关联信息抽象为边。
步骤S230,将节点和边输入到图数据库中,得到与多个属性特征关联的知识图谱网络。
图数据库是一种自动建模成图的工具,可以通过将属性特征抽象成节点,将关联信息抽象为边,并将节点和边输入到图数据库中,自动生成知识图谱网络。
图3为本申请实施例中知识图谱网络的示意图,以图3为例对构建知识图谱网络的过程进行说明,通过将登陆用户名信息、登陆状态信息和访问内容抽象成节点,并将物联网设备的编号信息、登陆用户名信息、登陆状态信息和访问内容信息之间的关联关系抽象成边,建立编号信息、登陆用户名信息、登陆状态信息和访问内容信息相互关联的知识图谱网络。其中,ip表示物联网设备的编号信息,uid表示登陆用户名信息,login表示登陆状态信息,content表示访问内容信息。
通过上述步骤S210至步骤S230,通过将属性特征抽象成节点,将关联信息抽象为边,将节点和边输入到图数据库中,自动生成可视化的知识图谱网络,可以通过知识图谱网络清晰观察到数据的结构特征和数据之间的关联关系,以便于更好的挖掘复杂物联网数据之间的风险信息,识别出潜在安全事件,进一步提高了识别的准确度。
在其中一些实施例中,图4为本申请实施例中设置知识图谱网络属性信息的流程图,如图4所示,该流程包括如下步骤:
步骤S410,获取物联网实体的多个属性特征的经验数据和多个属性特征之间的关联信息。
具体地,可以收集近一周内物联网设备的历史数据,根据历史数据设置每一属性特征的经验值,从而得到多个属性特征的经验数据。
步骤S420,根据关联信息、经验数据和3sigma原则,确定每一属性特征的第一阈值区间和第二阈值区间;第一阈值区间根据属性特征的经验数据计算得到,第二阈值区间根据属性特征的经验数据及其关联属性特征的经验数据计算得到。
在3sigma原则下,假设一组数据只含有随机误差,确定预设阈值区间之外的误差为粗大误差,需要将含有该粗大误差的数据进行剔除以保证这组数据的有效性。因此,根据每一属性特征的经验数据和3sigma原则,设置属性特征的第一阈值区间,即属性特征的特征值的正常阈值区间。
步骤S430,将第一阈值区间和第二阈值区间写入知识图谱网络中对应属性特征的属性信息中。
可以根据第一阈值区间和第二阈值区间,确定知识图谱网络中异常的属性特征,从而实现对挖掘多个属性特征之间的风险信息
通过上述步骤S410至步骤S430,采用数学上的3sigma原则,可以得到更准确的第一阈值区间和第二阈值区间,从而可以进一步提高识别的准确度。通过第一阈值区间和第二阈值区间写入知识图谱网络中对应属性特征的属性信息中,便于根据知识图谱网络和属性特征对应的特征值,识别物联网安全事件。
在其中一些实施例中,图5为本申请实施例中确定第一阈值区间和第二阈值区间的流程图,如图5所示,该流程包括如下步骤:
步骤S510,根据属性特征的经验值和3sigma原则,确定每一属性特征的第一阈值区间。
根据3sigma模型和属性特征的经验值,确定每一属性特征的第一阈值区间为
Figure BDA0002502656560000071
当属性特征的特征值超过3倍标准差时,将该属性特征视为异常属性特征。
步骤S520,根据关联信息和经验数据,得到属性特征对应的关联属性特征的经验值。
步骤S530,根据属性特征的经验值及其对应关联属性特征的经验值,计算每一属性特征的综合特征值。
步骤S540,根据综合特征值,确定每一属性特征的第二阈值区间。
通过上述步骤S510至步骤S540,根据属性特征的经验值和3sigma原则,确定每一属性特征的第一阈值区间,从而可以第一阈值区间筛选出异常属性特征。采用数学规则来确定第一阈值区间,可以提高计算的准确性和科学性。
在其中一些实施例中,图6为本申请实施例中识别物联网安全事件的流程图,如图6所示,该流程包括如下步骤:
步骤S610,根据知识图谱网络中属性特征的特征值和第一阈值区间,确定异常节点。
具体地,获取知识图谱网络中属性特征的特征值在第一阈值区间的节点,确定该节点为异常节点。例如,频繁修改密码并且登陆失败次数在第一阈值区间之外时,可能存在撞库安全事件,确定该登陆次数对应的节点为异常节点。
步骤S620,计算异常节点对应属性特征的综合特征值。
获取与异常节点对应属性特征相关联的属性特征,根据异常节点对应属性特征的特征值和对应关联属性特征的特征值,计算得到异常节点对应属性特征的综合特征值。
步骤S630,若综合特征值在第二阈值区间之外,则确定异常节点存在物联网安全事件。
例如,根据访问内容、访问次数和访问时间对应的特征值,计算异常节点对应的综合特征值,若该综合特征值在第二阈值区间之外,则确定异常节点存在黑客团伙行为。
通过上述步骤S610至步骤S630,通过两次识别,先筛选出异常节点,再根据异常节点对应属性特征的特征值和其关联属性特征的特征值,计算综合特征值,根据综合特征值和第二阈值区间,确定异常节点是否存在物联网安全事件,可以避免遗漏某些异常节点的情况,同时考虑了数据之间的关联关系,得到的识别结果比较准确。
在其中一些实施例中,图7为本申请实施例中识别物联网安全事件的流程图,如图7所示,该流程包括如下步骤:
步骤S710,获取物联网安全数据;物联网安全数据包括物联网实体的多个属性特征的特征值。
物联网安全数据包括CPU使用率、外联IP和进程列表。
步骤S720,根据多个属性特征的特征值和预设阈值区间函数,确定多个异常属性特征。
预设阈值区间函数可以是安全专家的经验阈值区间函数,也可以是西格玛异常阈值区间函数,本实施例对预设阈值区间函数的类型不作限制。根据预设阈值区间函数获取属性特征的特征值在预设阈值区间外的属性特征,确定该属性特征为异常属性特征。
步骤S730,根据多个异常属性特征的特征值,得到物联网实体的异常特征向量。
例如,根据某个物联网设备的在线时间x11、CPU使用率x12、登陆次数x13和登陆失败次数x14,确定该物联网设备的异常特征向量S1为:
S1=(x11,x12,x13,x14) (1)
步骤S740,根据预设相似度函数、异常特征向量和预设参考特征向量,确定物联网安全数据的识别结果。
预设相似度函数用于计算异常特征向量和预设参考特征向量之间的相似度。预设相似度函数可以是余弦相似度函数,也可以是其他相似度函数,本实施例不作限制。
通过上述步骤S710至步骤S740,根据多个异常属性特征的特征值,计算物联网实体的异常特征向量,通过将多个孤立的异常数据融合起来,评估物联网实体的安全性,以便于有效地识别出物联网安全事件,提高了识别准确度。
在其中一些实施例中,图8为本申请实施例中确定识别结果的流程图,如图8所示,该流程包括如下步骤:
步骤S810,根据预设相似度函数,计算异常特征向量与预设参考特征向量的相似度。
例如,采用余弦相似度函数计算异常特征向量S1和预设参考特征向量S0之间的相似度。通过余弦相似度函数计算根据n维样本点的异常特征向量S1(x11,x12,...,x1n)和预设参考特征向量S0(x21,x22,...,x2n)的夹角的余弦值cos(θ),并根据夹角的余弦值确定相似度。夹角越大,异常特征向量与预设参考特征向量的差距越大,异常程度越高。可以将异常特征向量S1表示为a(x11,x12,...,x1n),和预设参考特征向量S0表示为b(x21,x22,...,x2n),根据公式(2)计算异常特征向量和预设参考特征向量的夹角的余弦值cos(θ)。
Figure BDA0002502656560000101
步骤S820,若相似度大于预设相似度阈值,则确定安全数据为异常数据;否则,确定安全数据为正常数据。
计算综合特征向量与预设参考特征向量的相似度,将计算得到相似度和预设相似度阈值进行比较,若相似度大于预设相似度阈值,则确定安全数据为异常数据;否则,确定安全数据为正常数据,相似度越小,异常程度越高。
通过上述步骤S810至步骤S820,通过计算综合特征向量与预设参考特征向量的相似度,并根据计算得到的相似度和预设相似度阈值,确定安全数据是否为异常数据,实现了简单快速的确定数据的异常程度,提高了识别效率。
下面通过具体实施例对本申请实施例进行描述和说明。
图9为本申请具体实施例的物联网安全事件识别方法的流程图,如图9所示,该物联网安全事件识别方法包括如下步骤:
步骤S910,获取物联网实体的多个属性特征和多个属性特征之间的关联信息。
步骤S920,将属性特征抽象成节点;将关联信息抽象为边;将节点和边输入到图数据库中,得到与多个属性特征关联的知识图谱网络。
步骤S930,获取物联网实体的多个属性特征的经验数据和多个属性特征之间的关联信息;根据关联信息、经验数据和3sigma原则,确定每一属性特征的第一阈值区间和第二阈值区间。将第一阈值区间和第二阈值区间写入知识图谱网络的属性中。
步骤S940,根据知识图谱网络和属性特征对应的特征值,识别物联网安全事件。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。例如,结合图2,步骤S210和步骤S220的执行顺序可以互换,即可以先执行步骤S210,然后执行步骤S220;也可以先执行步骤S220,然后执行步骤S210。再例如,结合图5,步骤S510和步骤S530的顺序也可以互换。
本实施例还提供了一种物联网安全事件识别装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图10为本申请实施例的物联网安全事件识别装置的结构框图,如图10所示,该装置包括:
获取模块1010,用于获取物联网实体的多个属性特征和多个属性特征之间的关联信息;
构建模块1020,用于根据属性特征和关联信息,构建与多个属性特征关联的知识图谱网络;
识别模块1030,用于根据知识图谱网络和属性特征对应的特征值,识别物联网安全事件。
在其中一些实施例中,构建模块1020包括第一抽象单元1021、第二抽象单元1022和图谱构建单元1023,其中:
第一抽象单元1021,用于将所述属性特征抽象成节点。
第二抽象单元1022,用于将所述关联信息抽象为边。
图谱构建单元1023,用于将所述节点和所述边输入到图数据库中,得到与多个所述属性特征关联的知识图谱网络。
在其中一些实施例中,构建模块1020还包括数据获取单元1024、阈值确定单元1025和属性设置单元1026,其中:
数据获取单元1024,用于获取所述物联网实体的多个属性特征的经验数据和多个所述属性特征之间的关联信息。
阈值确定单元1025,用于根据所述关联信息、所述经验数据和3sigma原则,确定每一所述属性特征的第一阈值区间和第二阈值区间;所述第一阈值区间根据所述属性特征的经验数据计算得到,所述第二阈值区间根据所述属性特征的经验数据及其关联属性特征的经验数据计算得到。
属性设置单元1026,用于将所述第一阈值区间和所述第二阈值区间写入所述知识图谱网络中对应属性特征的属性信息中。
在其中一些实施例中,阈值确定单元1025还用于根据所述属性特征的经验值和3sigma原则,确定每一所述属性特征的第一阈值区间;根据所述关联信息和所述经验数据,得到所述属性特征对应的关联属性特征的经验值;根据所述属性特征的经验值及其对应关联属性特征的经验值,计算每一所述属性特征的综合特征值;根据所述综合特征值,确定每一所述属性特征的第二阈值区间。
在其中一些实施例中,识别模块1030包括异常确定单元1031、特征值计算单元1032和安全事件识别单元1033,其中:
异常确定单元1031,用于根据所述知识图谱网络中属性特征的特征值和所述第一阈值区间,确定异常节点。
特征值计算单元1032,用于计算所述异常节点对应属性特征的所述综合特征值。
安全事件识别单元1033,用于若所述综合特征值在所述第二阈值区间之外,则确定所述异常节点存在物联网安全事件。
在其中一些实施例中,获取物联网安全数据;所述物联网安全数据包括物联网实体的多个属性特征的特征值;根据多个所述属性特征的特征值和预设阈值区间函数,确定多个异常属性特征;根据多个所述异常属性特征的特征值,得到所述物联网实体的异常特征向量;根据预设相似度函数、所述异常特征向量和预设参考特征向量,确定所述物联网安全数据的识别结果。
在其中一些实施例中,根据所述预设相似度函数,计算所述异常特征向量与预设参考特征向量的相似度;若所述相似度大于预设相似度阈值,则确定所述安全数据为异常数据;否则,确定所述安全数据为正常数据。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例物联网安全事件识别方法可以由物联网安全事件识别设备来实现。图11为本申请实施例的物联网安全事件识别设备的硬件结构示意图。
物联网安全事件识别设备可以包括处理器111以及存储有计算机程序指令的存储器112。
具体地,上述处理器111可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器115可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器115可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(Solid State Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(UniversalSerial Bus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器115可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器115可在数据处理装置的内部或外部。在特定实施例中,存储器115是非易失性(Non-Volatile)存储器。在特定实施例中,存储器115包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(Random Access Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(ProgrammableRead-Only Memory,简称为PROM)、可擦除PROM(ErasableProgrammable Read-Only Memory,简称为EPROM)、电可擦除PROM(Electrically ErasableProgrammable Read-Only Memory,简称为EEPROM)、电可改写ROM(ElectricallyAlterable Read-Only Memory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-AccessMemory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode DynamicRandom Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(ExtendedDate Out Dynamic Random Access Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器115可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器112所执行的可能的计算机程序指令。
处理器111通过读取并执行存储器112中存储的计算机程序指令,以实现上述实施例中的任意一种物联网安全事件识别方法。
在其中一些实施例中,物联网安全事件识别设备还可包括通信接口113和总线110。其中,如图11所示,处理器111、存储器112、通信接口113通过总线110连接并完成相互间的通信。
通信接口113用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口113还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线110包括硬件、软件或两者,将物联网安全事件识别设备的部件彼此耦接在一起。总线110包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线110可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(MicroChannel Architecture,简称为MCA)总线、***组件互连(Peripheral ComponentInterconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SerialAdvanced Technology Attachment,简称为SATA)总线、视频电子标准协会局部(VideoElectronics Standards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线110可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该物联网安全事件识别设备可以基于获取到的物联网安全事件识别,执行本申请实施例中的物联网安全事件识别方法,从而实现结合图1描述的物联网安全事件识别方法。
另外,结合上述实施例中的物联网安全事件识别方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种物联网安全事件识别方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种物联网安全事件识别方法,其特征在于,包括:
获取物联网实体的多个属性特征和多个所述属性特征之间的关联信息;
根据所述属性特征和所述关联信息,构建与多个所述属性特征关联的知识图谱网络;
根据所述知识图谱网络和所述属性特征对应的特征值,识别物联网安全事件;
所述构建与多个所述属性特征关联的知识图谱网络之后,所述方法还包括:
获取所述物联网实体的多个属性特征的经验数据和多个所述属性特征之间的关联信息;
根据所述关联信息、所述经验数据和3sigma原则,确定每一所述属性特征的第一阈值区间和第二阈值区间;所述第一阈值区间根据所述属性特征的经验数据计算得到,所述第二阈值区间根据所述属性特征的经验数据及其关联属性特征的经验数据计算得到;
将所述第一阈值区间和所述第二阈值区间写入所述知识图谱网络中对应属性特征的属性信息中。
2.根据权利要求1所述的方法,其特征在于,所述根据所述属性特征和所述关联信息,构建与多个所述属性特征关联的知识图谱网络包括:
将所述属性特征抽象成节点;
将所述关联信息抽象为边;
将所述节点和所述边输入到图数据库中,得到与多个所述属性特征关联的知识图谱网络。
3.根据权利要求1所述的方法,其特征在于,所述经验数据包括所述属性特征的经验值;所述根据所述关联信息、所述经验数据和3sigma原则,确定每一所述属性特征的第一阈值区间和第二阈值区间包括:
根据所述属性特征的经验值和3sigma原则,确定每一所述属性特征的第一阈值区间;
根据所述关联信息和所述经验数据,得到所述属性特征对应的关联属性特征的经验值;
根据所述属性特征的经验值及其对应关联属性特征的经验值,计算每一所述属性特征的综合特征值;
根据所述综合特征值,确定每一所述属性特征的第二阈值区间。
4.根据权利要求3所述的方法,其特征在于,所述根据所述知识图谱网络和所述属性特征对应的特征值,识别物联网安全事件包括:
根据所述知识图谱网络中属性特征的特征值和所述第一阈值区间,确定异常节点;
计算所述异常节点对应属性特征的所述综合特征值;
若所述综合特征值在所述第二阈值区间之外,则确定所述异常节点存在物联网安全事件。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取物联网安全数据;所述物联网安全数据包括物联网实体的多个属性特征的特征值;
根据多个所述属性特征的特征值和预设阈值区间函数,确定多个异常属性特征;
根据多个所述异常属性特征的特征值,得到所述物联网实体的异常特征向量;
根据预设相似度函数、所述异常特征向量和预设参考特征向量,确定所述物联网安全数据的识别结果。
6.根据权利要求5所述的方法,其特征在于,所述根据预设相似度函数、所述异常特征向量和预设参考特征向量,确定所述物联网安全数据的识别结果包括:
根据所述预设相似度函数,计算所述异常特征向量与预设参考特征向量的相似度;
若所述相似度大于预设相似度阈值,则确定所述安全数据为异常数据;否则,确定所述安全数据为正常数据。
7.一种物联网安全事件识别装置,其特征在于,包括:
获取模块,用于获取物联网实体的多个属性特征和多个所述属性特征之间的关联信息;
构建模块,用于根据所述属性特征和所述关联信息,构建与多个所述属性特征关联的知识图谱网络;
识别模块,用于根据所述知识图谱网络和所述属性特征对应的特征值,识别物联网安全事件;
物联网安全事件识别装置,还用于:
获取所述物联网实体的多个属性特征的经验数据和多个所述属性特征之间的关联信息;
根据所述关联信息、所述经验数据和3sigma原则,确定每一所述属性特征的第一阈值区间和第二阈值区间;所述第一阈值区间根据所述属性特征的经验数据计算得到,所述第二阈值区间根据所述属性特征的经验数据及其关联属性特征的经验数据计算得到;
将所述第一阈值区间和所述第二阈值区间写入所述知识图谱网络中对应属性特征的属性信息中。
8.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的物联网安全事件识别方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一项所述的物联网安全事件识别方法。
CN202010437015.XA 2020-05-21 2020-05-21 物联网安全事件识别方法、装置和计算机设备 Active CN111641621B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010437015.XA CN111641621B (zh) 2020-05-21 2020-05-21 物联网安全事件识别方法、装置和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010437015.XA CN111641621B (zh) 2020-05-21 2020-05-21 物联网安全事件识别方法、装置和计算机设备

Publications (2)

Publication Number Publication Date
CN111641621A CN111641621A (zh) 2020-09-08
CN111641621B true CN111641621B (zh) 2022-05-20

Family

ID=72331491

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010437015.XA Active CN111641621B (zh) 2020-05-21 2020-05-21 物联网安全事件识别方法、装置和计算机设备

Country Status (1)

Country Link
CN (1) CN111641621B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112487208B (zh) * 2020-12-14 2023-06-30 杭州安恒信息技术股份有限公司 一种网络安全数据关联分析方法、装置、设备及存储介质
CN112540832B (zh) * 2020-12-24 2022-01-28 中山大学 一种基于知识图谱的云原生***故障分析方法
CN114945028B (zh) * 2021-02-10 2023-08-01 ***通信有限公司研究院 基于物联网设备的信息处理方法、相关设备及存储介质
CN113364766B (zh) * 2021-06-03 2022-09-27 中国工商银行股份有限公司 一种apt攻击的检测方法及装置
CN114218197A (zh) * 2021-12-17 2022-03-22 上海繁易信息科技股份有限公司 基于面向对象的工业物联网数据建模方法与***
CN114114950B (zh) * 2022-01-20 2022-04-12 广州优刻谷科技有限公司 一种基于语义分析的智能家居异常检测方法及***
CN115086004B (zh) * 2022-06-10 2023-08-29 中山大学 一种基于异质图的安全事件识别方法及***

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108399180B (zh) * 2017-02-08 2021-11-26 腾讯科技(深圳)有限公司 一种知识图谱构建方法、装置及服务器
CN110598021B (zh) * 2018-05-25 2023-03-21 阿里巴巴集团控股有限公司 获取图片的知识图谱的方法、装置和***
US10915820B2 (en) * 2018-08-09 2021-02-09 Accenture Global Solutions Limited Generating data associated with underrepresented data based on a received data input
CN109684483B (zh) * 2018-12-11 2024-07-02 平安科技(深圳)有限公司 知识图谱的构建方法、装置、计算机设备及存储介质
CN109587008B (zh) * 2018-12-28 2020-11-06 华为技术服务有限公司 检测异常流量数据的方法、装置及存储介质
CN109922075B (zh) * 2019-03-22 2020-06-02 中国南方电网有限责任公司 网络安全知识图谱构建方法和装置、计算机设备
CN110322349B (zh) * 2019-06-25 2023-08-22 创新先进技术有限公司 一种数据的处理方法、装置及设备
CN110611651B (zh) * 2019-07-19 2022-05-27 中国工商银行股份有限公司 网络监控方法、网络监控装置和电子设备
CN110909129B (zh) * 2019-11-14 2022-11-04 上海秒针网络科技有限公司 异常投诉事件的识别方法及装置
CN110933101B (zh) * 2019-12-10 2022-11-04 腾讯科技(深圳)有限公司 安全事件日志处理方法、装置及存储介质
CN111177417B (zh) * 2020-04-13 2020-06-30 中国人民解放军国防科技大学 基于网络安全知识图谱的安全事件关联方法、***、介质

Also Published As

Publication number Publication date
CN111641621A (zh) 2020-09-08

Similar Documents

Publication Publication Date Title
CN111641621B (zh) 物联网安全事件识别方法、装置和计算机设备
US10785241B2 (en) URL attack detection method and apparatus, and electronic device
CN111404887B (zh) 一种业务处理方法及装置
CN109409050B (zh) 包括机器学习快照评估的保护***
US10341294B2 (en) Unauthorized communication detection system and unauthorized communication detection method
CN111968625A (zh) 融合文本信息的敏感音频识别模型训练方法及识别方法
CN110633211A (zh) 对于多接口的测试方法、装置、服务器及介质
WO2021051578A1 (zh) 性能特征降维方法及装置、电子设备及存储介质
CN111222137A (zh) 一种程序分类模型训练方法、程序分类方法及装置
WO2017206605A1 (zh) 防止服务器被攻击的方法及装置
CN114662602A (zh) 一种离群点检测方法、装置、电子设备及存储介质
CN110309154B (zh) 基于图谱的实体特征选择方法、装置、设备和存储介质
CN110135326B (zh) 一种身份认证方法、电子设备及计算机可读存储介质
CN111885034B (zh) 物联网攻击事件追踪方法、装置和计算机设备
CN111651658A (zh) 一种基于深度学习的自动化识别网站的方法和计算机设备
CN112532625A (zh) 网络态势感知评估数据更新方法、装置及可读存储介质
CN114760113B (zh) 一种异常告警检测方法、装置及电子设备和存储介质
CN110598115A (zh) 一种基于人工智能多引擎的敏感网页识别方法及***
CN113792291B (zh) 一种受域生成算法恶意软件感染的主机识别方法及装置
CN114237981A (zh) 数据恢复方法、装置、设备及存储介质
CN114265813A (zh) 快照查询方法、装置、设备及存储介质
CN111556042B (zh) 恶意url的检测方法、装置、计算机设备和存储介质
CN111694588B (zh) 引擎升级检测方法、装置、计算机设备和可读存储介质
CN114039765A (zh) 一种配电物联网的安全管控方法、装置及电子设备
CN113204706A (zh) 基于MapReduce的数据筛选抽取方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant