CN114880201B - 一种对智能信息设备异常行为实时监测方法及*** - Google Patents

一种对智能信息设备异常行为实时监测方法及*** Download PDF

Info

Publication number
CN114880201B
CN114880201B CN202210560470.8A CN202210560470A CN114880201B CN 114880201 B CN114880201 B CN 114880201B CN 202210560470 A CN202210560470 A CN 202210560470A CN 114880201 B CN114880201 B CN 114880201B
Authority
CN
China
Prior art keywords
equipment
actuator
sensor
correlation diagram
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210560470.8A
Other languages
English (en)
Other versions
CN114880201A (zh
Inventor
杜皓华
王悦
郁静华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Industrial Control Safety Innovation Technology Co ltd
Beihang University
Original Assignee
Shanghai Industrial Control Safety Innovation Technology Co ltd
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Industrial Control Safety Innovation Technology Co ltd, Beihang University filed Critical Shanghai Industrial Control Safety Innovation Technology Co ltd
Priority to CN202210560470.8A priority Critical patent/CN114880201B/zh
Publication of CN114880201A publication Critical patent/CN114880201A/zh
Application granted granted Critical
Publication of CN114880201B publication Critical patent/CN114880201B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3495Performance evaluation by tracing or monitoring for systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • G06F18/24155Bayesian classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/29Graphical models, e.g. Bayesian networks
    • G06F18/295Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Probability & Statistics with Applications (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Algebra (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明涉及一种对智能信息设备异常行为实时监测的方法及***,根据设备的开源代码构造设备状态相关图,利用智能家居***的初始化流量数据训练特定的相关图,根据标注好的设备状态相关图对传感器进行故障检测,获得故障传感器。根据所述设备状态相关图获得边的权重,根据边的权重选取权重最大的链路路径输入随机森林算法中进行异常执行器的检测,获得异常执行器。本发明仅利用开源的代码和设备的设备功能描述符去构建设备状态的相关图,并利用智能家居***的初始化流量数据去训练特定的相关图。该方法实现了无需安装其他应用程序和不影响智能家居***功能和效率的前提下实时监控设备的异常行为,保证了用户的安全。

Description

一种对智能信息设备异常行为实时监测方法及***
技术领域
本发明涉及智能家居***的安全防护领域,特别是涉及一种对智能信息设备异常行为实时监测的方法及***。
背景技术
智能家居是在互联网影响之下物联化的体现。智能家居通过物联网技术将家中的各种设备(如音视频设备、照明***、窗帘控制、空调控制、安防***、数字影院***、影音服务器、影柜***、网络家电等)连接到一起,提供家电控制、照明控制、电话远程控制、室内外遥控、防盗报警、环境监测、暖通控制、红外转发以及可编程定时控制等多种功能和手段。根据功能的不同,智能家居中物联网设备可以分为三类:1)传感器:感知环境的变化,例如流体的水平、温度或电压,当环境条件发生改变后,传感器会将数据上报;2)执行器:通过切换其状态,可以改变环境状态(如警报、门锁和空调);3)通信中心:充当应用程序的执行网关。通常,应用程序通过组织各种物联网设备合作可以提供某些特定的自主服务,以传感数据或用户命令作为输入,从而控制一个或多个执行器。智能信息设备在便利用户生活的同时,也带来了危害用户安全和侵犯用户隐私的担忧。因此,保证智能信息设备安全运行已经成为一个越来越热门的研究问题。
在智能家居***中,现有的不当/异常行为检测方法在两个方面受到限制。1)现有的研究方法大多集中在软件层面,帮助用户发现智能家居***/物联网***中的恶意软件行为,忽略了智能信息设备错误配置或已被入侵的现实情况;2)目前关于设备安全的研究大多数集中于预防保护策略上,比如安全配对、访问控制。这些方法有效保护了设备免受不信任第三方的攻击。但是,面对攻击者已经成功侵入设备的情况下,这些方法将无法帮助用户检测出具有异常行为的设备。这种被忽视的攻击行为恰恰是现实世界智能***部署的主要障碍。基于此,亟需一种对智能信息设备异常行为实时监测的方法及***。
发明内容
本发明的目的是提供一种对智能信息设备异常行为实时监测的方法及***,能在保证高识别率和低延迟的条件下检测传感器和执行器的错误行为。
为实现上述目的,本发明提供了如下方案:
一种对智能信息设备异常行为实时监测的方法,包括:
收集智能信息设备的开源代码,根据所述开源代码构造设备状态相关图;所述设备状态相关图包括多个节点,任意两个相关的节点之间通过边连接,所述节点对应设备,所述设备包括传感器和执行器;
收集智能家居***的初始流量数据,并根据所述初始流量数据对所述设备状态相关图中所述边的属性进行标注,得到标注好的设备状态相关图;所述初始流量数据包括每一时刻所有所述设备的状态和数据,所述边的属性为通过所述边连接的两个所述设备之间的相关关系;
根据所述标注好的设备状态相关图对所述传感器进行故障检测,获得故障传感器;
将相邻时刻的所述设备状态相关图中的执行器通过边连接获得时序设备状态相关图;
根据所述设备状态相关图,利用贝叶斯模型和马尔可夫模型获得所述边的权重;
利用所述边的权重,采用随机游走算法从所述时序设备状态相关图中提取多条链路路径,将多条所述链路路径作为字符串,利用最长公共子序列的长度和Levenshtein距离得到每条所述链路路径的敏感度,根据每条所述链路路径的敏感度大小对多条所述链路路径进行排序,选取敏感度最大的链路路径记为第一链路路径;所述链路路径指以某一所述执行器为起点,利用所述边将所述时序设备状态相关图中与所述某一执行器相关的设备连接后形成的路径;
以所有执行器的所有事件对应的链路路径作为训练集,以所述第一链路路径作为输入,以所述执行器是否异常为标签,对随机森林模型进行训练,获得训练好的随机森林模型;
利用所述训练好的随机森林模型检测异常数据,识别出异常执行器。
本发明还提供一种对智能信息设备异常行为实时监测的***,包括:
设备状态相关图获取模块,用于收集智能信息设备的开源代码,根据所述开源代码构造设备状态相关图;所述设备状态相关图包括节点,任意两个相关的节点之间通过边连接,所述节点对应若干个设备,所述设备包括传感器和执行器;
属性标注模块,用于收集智能家居***的初始流量数据,并根据所述初始流量数据对所述设备状态相关图中所述边的属性进行标注,得到标注好的设备状态相关图;所述初始流量数据包括每一时刻所有所述设备的状态和数据,所述边的属性为通过所述边连接的两个所述设备之间的相关关系;
传感器故障检测模块,用于根据所述标注好的设备状态相关图对所述传感器进行故障检测,获得故障传感器;
时序设备状态相关图获取模块,用于将相邻时刻的所述设备状态相关图中的执行器通过边连接获得时序设备状态相关图;
权重获取模块,用于根据所述设备状态相关图,利用贝叶斯模型和马尔可夫模型获得所述边的权重;
第一链路路径获取模块,用于利用所述边的权重采用随机游走算法从所述时序设备状态相关图中提取多条链路路径,获取多条所述链路路径的敏感度,根据每条所述链路路径的敏感度大小对多条所述链路路径进行排序,选取敏感度最大的链路路径记为第一链路路径;所述链路路径指以某一所述执行器为起点,利用所述边将所述时序设备状态相关图中与所述某一执行器相关的设备连接后形成的路径;
随机森林模型训练模块,用于以所有所述执行器的所有事件对应的链路路径作为训练集,以所述第一链路路径作为输入,以所述执行器是否异常为标签,对随机森林模型进行训练,获得训练好的随机森林模型;
执行器故障检测模块,用于利用所述训练好的随机森林模型检测异常数据,识别出异常执行器。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提供一种对智能信息设备异常行为实时监测的方法及***,根据设备的开源代码构造设备状态相关图,利用智能家居***的初始化流量数据训练特定的相关图,根据标注好的设备状态相关图对传感器进行故障检测,获得故障传感器。根据所述设备状态相关图,利用贝叶斯模型和马尔可夫模型获得边的权重,通过构建时序设备状态相关图,利用边的权重采用随机游走算法从时序设备状态相关图中提取多条链路路径,获得每条所述链路路径的敏感度,并选取敏感度最大的链路路径记为第一链路路径,以所有执行器的所有事件对应的链路路径作为训练集,以所述第一链路路径作为输入,以所述执行器是否异常为标签,对随机森林模型进行训练,得到训练好的随机森林模型,利用该训练好的随机森林模型进行异常执行器的检测,获得异常执行器。本发明上述方案仅利用开源的代码和设备的设备功能描述符去构建设备状态的相关图,并利用智能家居***的初始化流量数据去训练特定的相关图。该方法实现了无需安装其他应用程序和不影响智能家居***功能和效率的前提下实时监控设备的异常行为,保证了用户的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的一种对智能信息设备异常行为实时监测的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种对智能信息设备异常行为实时监测的方法及***,能在保证高识别率和低延迟的条件下检测传感器和执行器的错误行为。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例1
本实施例提供一种对智能信息设备异常行为实时监测的方法,请参阅图1,包括:
S1、收集智能信息设备的开源代码,根据所述开源代码构造设备状态相关图;所述设备状态相关图包括节点,任意两个相关的节点之间通过边连接,所述节点对应若干个设备,所述设备包括传感器和执行器。
可选的,所述根据所述开源代码构造设备状态相关图,具体包括:
将所述开源代码转换为抽象语法树,并提取出实体设备名称,所述实体设备名称包括执行器和传感器;将所述实体设备抽象为节点,并分析所述实体设备之间的数据/状态变化关系,将所述数据/状态变化关系抽象为边,根据所述节点和所述边得到所述设备状态相关图。
由于智能信息设备的开源代码均使用Groovy语言编写,因此可以借助AstBuilder工具对开源代码进行静态分析,转换为抽象语法树,提取出实体名称(执行器和传感器),将实体抽象为点;并可以通过分析preference块提取出设备之间的关系,包括传感器之间的上下文关系以及传感器和执行器之间的依赖关系,将关系抽象为边。具体地,如果执行器ak调用传感器si和sj,并且该命令由事件t触发,将添加ak指向si和sj的有向边et ak,si和et ak,sj,以及si和sj之间的有向边et si,sj、et sj,si。通过对源码静态分析,可以建立一个通用的设备相关图。针对具体的智能家居***,可以根据具体设备信息从通用的设备相关图中构建一个特定的设备相关图。
需要说明的是,上述方法的步骤S1中,智能家居***构造成对应的设备状态相关图由节点和边构成,其中,所述节点对应设备,包括传感器和执行器;节点具有状态这一属性,其中传感器的状态共有三种:感知数据增大、感知数据减小和感知数据不变,执行器的状态是有限的,从抽象语法树中提取;所述边可以分为两种:执行器和传感器之间的依赖边和传感器和传感器之间的相关边。具体地:执行器和传感器之间的依赖边对应于执行器和传感器的依赖关系(部署在共享物理环境中的传感器和执行器互相协作,这意味着改变执行器的状态将影响物理环境,进而影响传感器的感知数据);传感器和传感器之间的相关边是指传感器之间的上下文关系,若两个传感器被同一事件影响后,感知数据会同时发生变化,则认定这两个传感器具有上下文关系。例如,一旦“空调打开”这一事件发生,来自温度计的感知数据将下降,而来自功率计的感知数据将同时增加,即温度计和功率计在“空调打开”这一事件下,具有上下文关系,即这两个节点之间存在一条边。由于事件种类的多样性,因此两个节点之间可能存在多条边,每条边都有“事件”进行标注,表明这条边是由该事件触发的。
S2、收集智能家居***的初始流量数据,并根据所述初始流量数据对所述设备状态相关图中所述边的属性进行标注,得到标注好的设备状态相关图;所述初始流量数据包括每一时刻所有所述设备的状态和数据,所述边的属性为通过所述边连接的两个所述设备之间的相关关系。
假设智能家居***最初都是正常工作且正确配置的,从步骤S1中可以提取出若干条边,但具体的边的属性无法提取。收集智能家居***的初始流量数据,这些数据记录了不同事件下所有执行器的具体状态以及传感器的所有数据,根据初始流量数据完成边的属性的标注。
S3、根据所述标注好的设备状态相关图对所述传感器进行故障检测,获得故障传感器。
当执行器的状态改变时,即事件发生时,传感器的状态也会随之改变,在步骤S2中,可以从历史数据中学习到所有事件对应的传感器之间的上下文关系,通过对比可以发现当前时刻不符合规律的传感器,即为故障传感器。
上述步骤S3中,故障的传感器设备表现为与真实环境不匹配。由于难以获得物理环境的真值,因此需要将所有传感器收集的数据集作为真值的替代。因此,可以将故障检测改进为寻找其数据与其他传感器数据不一致的传感器。比如当空调的状态从“关”转为“开”时,会使温度传感器、电表状态改变。而突然当这一事件再次发生时,只有电表状态改变,温度传感器状态不变,即温度传感器的读取的数据与其他传感器不一致,因此可以认定温度传感器发生故障。
S4、将相邻时刻的所述设备状态相关图中的执行器通过边连接获得时序设备状态相关图。
S5、根据所述设备状态相关图,利用贝叶斯模型和马尔可夫模型获得所述边的权重。
利用贝叶斯模型学习执行器和传感器之间的相关关系,因为执行器的改变会对环境造成影响,进而改变传感器的状态,因此可以将执行器视作一系列传感器的组合。假设执行器a等价于n个传感器的组合,这n个传感器的状态表示为X,传感器之间是互相独立的,传感器和执行器之间的相关性的公式如下:
传感器的状态只与上一时刻的状态有关,利用马尔可夫模型可以学习到传感器的状态转移概率。在某事件下,若一个传感器的状态发生改变,而另一传感器的状态没有发生改变,那么这两个传感器就是正交的,没有上下文关系,可以移除这两个传感器之间的由这一事件引发的边。
P(Xt+1=x|X1=x1,X2=x2,...,Xt=xt)=P(Xt+1=x|Xt=Xt),when P(X1=x1,X2=x2,...,Xt=xt)>0
可以学习到不同事件下传感器之间的上下文关系以及传感器和执行器之间的相关关系,具体地利用贝叶斯模型和马尔可夫模型可以分别学习到执行器和传感器之间的相关性以及传感器之间的状态转移概率;
S6、利用所述边的权重采用随机游走算法从所述时序设备状态相关图中提取多条链路路径,获取多条所述链路路径的敏感度,根据每条所述链路路径的敏感度大小对多条所述链路路径进行排序,选取敏感度最大的链路路径记为第一链路路径。
对于相邻两个时刻的设备相关图,通过执行器状态的变化,构建一条ak t到ak t+1的边,将两个相邻时刻的设备相关图连接起来;进而根据一系列的设备事件(执行器的状态变化)得到时序设备相关图序列,G=<R0,R1,...,Rt,...>,利用长度为|W|的时间窗口截取时序相关图的片段,利用随机游走算法提取出k条路径,根据边的权重大小来描述每条边的敏感度水平,然后根据链接路径的敏感度对链接路径进行排序,选取敏感度最高的路径作为设备异常行为检测的输入;
任意一条链路路径是指给定执行器的动作(状态切换)与传感器数据变化之间的依赖关系,链路路径以执行器的某一状态为起点,以依赖边和相关边将时序设备状态相关图相连。由于所有路径总数为指数级别,计算庞大,根据上述求得的状态转移概率生成边的权重,利用随机游走算法生成k条链路路径,当观测***达到稳定状态时,步行终止。将每条路径视作字符串,根据边的权重利用最长公共子串的计算方法和Levenshtein距离计算路径的敏感度,并根据敏感度对所有路径进行排序,选取敏感度最高的链路路径作为设备异常行为检测的输入。如果一条链路路径的灵敏度得分之和较高,则意味着该路径上的节点向执行器或其他传感器处理更多有用的信息,应更加注意监控。因此,链接路径的敏感度权重总和越高,其异常概率就越大;另一方面,链接路径的敏感度权重总和越低,异常概率就越小。
S7、以所有执行器的所有事件对应的链路路径作为训练集,以所述第一链路路径作为输入,以所述执行器是否异常为标签,对随机森林模型进行训练,获得训练好的随机森林模型;利用所述训练好的随机森林模型检测异常数据,识别出异常执行器。
具体地,可利用前256时刻的训练集初始化构建一百棵子树,对于新生成的数据,计算其加入每棵树后复杂度的平均变化大小,若超过阈值,证明该数据是异常数据,对应的链路路径的起始节点即为异常执行器。
上述步骤中,执行器的异常行为可通过传感器感知数据的变化来检测。执行器的状态的改变会影响物理环境(如空调打开),进而相关传感器的感知数据发生变化。基于此,可以通过执行器的状态的改变后的传感器数据来推断执行器的动作/状态切换,然后通过判断这个动作是否与之前的命令是否一致来检测异常行为的执行器。
不同的智能家居***往往有着不同的部署,比如不同的设备种类及不同的安装位置等。因此预先训练出一个可以识别出每个家庭IoT设备异常行为的通用模型是不切实际的。由于训练数据的缺乏,难以为每一家庭训练一个特定的模型。本发明仅利用开源的代码和设备的设备功能描述符去构建设备状态的相关图,并利用智能家居***的初始化流量数据去训练特定的相关图。该方法实现了无需安装其他应用程序和不影响智能家居***功能和效率的前提下实时监控设备的异常行为,保证了用户的安全。
实施例2
本实施例提供一种对智能信息设备异常行为实时监测的***,包括:
设备状态相关图获取模块M1,用于收集智能信息设备的开源代码,根据所述开源代码构造设备状态相关图;所述设备状态相关图包括节点,任意两个相关的节点之间通过边连接,所述节点对应若干个设备,所述设备包括传感器和执行器;
属性标注模块M2,用于收集智能家居***的初始流量数据,并根据所述初始流量数据对所述设备状态相关图中所述边的属性进行标注,得到标注好的设备状态相关图;所述初始流量数据包括每一时刻所有所述设备的状态和数据,所述边的属性为通过所述边连接的两个所述设备之间的相关关系;
传感器故障检测模块M3,用于根据所述标注好的设备状态相关图对所述传感器进行故障检测,获得故障传感器;
时序设备状态相关图获取模块M4,用于将相邻时刻的所述设备状态相关图中的执行器通过边连接获得时序设备状态相关图;
权重获取模块M5,用于根据所述设备状态相关图,利用贝叶斯模型和马尔可夫模型获得所述边的权重;
第一链路路径获取模块M6,用于利用所述边的权重采用随机游走算法从所述时序设备状态相关图中提取多条链路路径,获取多条所述链路路径的敏感度,根据每条所述链路路径的敏感度大小对多条所述链路路径进行排序,选取敏感度最大的链路路径记为第一链路路径;所述链路路径指以某一所述执行器为起点,利用所述边将所述时序设备状态相关图中与所述某一执行器相关的设备连接后形成的路径
随机森林模型训练模块M7,用于以所有所述执行器的所有事件对应的链路路径作为训练集,以所述第一链路路径作为输入,以所述执行器是否异常为标签,对随机森林模型进行训练,获得训练好的随机森林模型;
执行器故障检测模块M8,用于利用所述训练好的随机森林模型检测异常数据,识别出异常执行器。
可选的,所述设备状态相关图获取模块包括:
实体设备获取子模块,用于将所述开源代码转换为抽象语法树,并提取出实体设备名称,所述实体设备名称包括执行器和传感器;
状态相关图获取子模块,用于将所述实体设备抽象为节点,并分析所述实体设备之间的数据/状态变化关系,将所述数据/状态变化关系抽象为边,根据所述节点和所述边得到所述设备状态相关图。
可选的,所述传感器故障检测模块包括:
传感器故障检测子模块,用于改变某一所述执行器的状态,根据所述执行器和与所述执行器连接的传感器的关联关系,判断所述传感器的状态变化是否异常,得到所述传感器是否为故障传感器。
可选的,所述时序设备状态相关图获取模块包括:
时序设备状态相关图获取子模块,用于获取相邻时刻的任意两个设备状态相关图,改变所述设备状态相关图中任一执行器的状态,根据所述任一执行器的状态变化,构建一条ak t到ak t+1的边将所述相邻时刻的任意两个设备状态相关图连接,得到时序设备状态相关图;其中,a表示执行器,ak表示第k个执行器,k∈(0,N),ak t表示t时刻的第k个执行器。
可选的,所述***还包括标签获取模块,用于改变所述执行器的状态,根据与所述执行器相关的传感器的变化对所述执行器是否异常进行标记,得到执行器是否异常的标签。
对于实施例公开的***而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种对智能信息设备异常行为实时监测的方法,其特征在于,包括:
收集智能信息设备的开源代码,根据所述开源代码构造设备状态相关图;所述设备状态相关图包括多个节点,任意两个相关的节点之间通过边连接,所述节点对应设备,所述设备包括传感器和执行器;
收集智能家居***的初始流量数据,并根据所述初始流量数据对所述设备状态相关图中所述边的属性进行标注,得到标注好的设备状态相关图;所述初始流量数据包括每一时刻所有所述设备的状态和数据,所述边的属性为通过所述边连接的两个所述设备之间的相关关系;
根据所述标注好的设备状态相关图对所述传感器进行故障检测,获得故障传感器;
将相邻时刻的所述设备状态相关图中的执行器通过边连接获得时序设备状态相关图;
根据所述设备状态相关图,利用贝叶斯模型和马尔可夫模型获得所述边的权重;
利用所述边的权重采用随机游走算法从所述时序设备状态相关图中提取多条链路路径,获取多条所述链路路径的敏感度,根据每条所述链路路径的敏感度大小对多条所述链路路径进行排序,选取敏感度最大的链路路径记为第一链路路径;所述链路路径指以某一所述执行器为起点,利用所述边将所述时序设备状态相关图中与所述某一执行器相关的设备连接后形成的路径;
以所有所述执行器的所有事件对应的链路路径作为训练集,以所述第一链路路径作为输入,以所述执行器是否异常为标签,对随机森林模型进行训练,获得训练好的随机森林模型;
利用所述训练好的随机森林模型检测异常数据,识别出异常执行器。
2.根据权利要求1所述的方法,其特征在于,所述根据所述开源代码构造设备状态相关图,具体包括:
将所述开源代码转换为抽象语法树,并提取出实体设备名称,所述实体设备名称包括所述执行器和所述传感器;
将所述实体设备抽象为节点,并分析所述实体设备之间的数据/状态变化关系,将所述数据/状态变化关系抽象为边,根据所述节点和所述边得到所述设备状态相关图。
3.根据权利要求1所述的方法,其特征在于,所述根据所述标注好的设备状态相关图对所述传感器进行故障检测,获得故障传感器,具体包括:
改变某一所述执行器的状态,根据所述执行器和与所述执行器连接的传感器的关联关系,判断所述传感器的状态变化是否异常,得到所述传感器是否为故障传感器。
4.根据权利要求1所述的方法,其特征在于,所述将相邻时刻的所述设备状态相关图中的所述执行器通过边连接获得时序设备状态相关图,具体包括:
获取相邻时刻的任意两个所述设备状态相关图,改变所述设备状态相关图中任一所述执行器的状态,根据任一所述执行器的状态变化,构建一条ak t到ak t+1的边将所述相邻时刻的任意两个所述设备状态相关图连接,得到时序设备状态相关图;其中,a表示执行器,ak表示第k个执行器,ak t表示t时刻的第k个执行器。
5.根据权利要求1所述的方法,其特征在于,所述以所述第一链路路径作为训练集,以所述执行器是否异常为标签,对随机森林模型进行训练之前,还包括获取执行器是否异常的标签:
改变所述执行器的状态,根据与所述执行器相关的传感器的变化对所述执行器是否异常进行标记,得到所述执行器是否异常的标签。
6.一种对智能信息设备异常行为实时监测的***,其特征在于,包括:
设备状态相关图获取模块,用于收集智能信息设备的开源代码,根据所述开源代码构造设备状态相关图;所述设备状态相关图包括节点,任意两个相关的节点之间通过边连接,所述节点对应若干个设备,所述设备包括传感器和执行器;
属性标注模块,用于收集智能家居***的初始流量数据,并根据所述初始流量数据对所述设备状态相关图中所述边的属性进行标注,得到标注好的设备状态相关图;所述初始流量数据包括每一时刻所有所述设备的状态和数据,所述边的属性为通过所述边连接的两个所述设备之间的相关关系;
传感器故障检测模块,用于根据所述标注好的设备状态相关图对所述传感器进行故障检测,获得故障传感器;
时序设备状态相关图获取模块,用于将相邻时刻的所述设备状态相关图中的执行器通过边连接获得时序设备状态相关图;
权重获取模块,用于根据所述设备状态相关图,利用贝叶斯模型和马尔可夫模型获得所述边的权重;
第一链路路径获取模块,用于利用所述边的权重采用随机游走算法从所述时序设备状态相关图中提取多条链路路径,获取多条所述链路路径的敏感度,根据每条所述链路路径的敏感度大小对多条所述链路路径进行排序,选取敏感度最大的链路路径记为第一链路路径;所述链路路径指以某一所述执行器为起点,利用所述边将所述时序设备状态相关图中与所述某一执行器相关的设备连接后形成的路径;
随机森林模型训练模块,用于以所有所述执行器的所有事件对应的链路路径作为训练集,以所述第一链路路径作为输入,以所述执行器是否异常为标签,对随机森林模型进行训练,获得训练好的随机森林模型;
执行器故障检测模块,用于利用所述训练好的随机森林模型检测异常数据,识别出异常执行器。
7.根据权利要求6所述的***,其特征在于,所述设备状态相关图获取模块包括:
实体设备获取子模块,用于将所述开源代码转换为抽象语法树,并提取出实体设备名称,所述实体设备名称包括所述执行器和所述传感器;
状态相关图获取子模块,用于将所述实体设备抽象为节点,并分析所述实体设备之间的数据/状态变化关系,将所述数据/状态变化关系抽象为边,根据所述节点和所述边得到所述设备状态相关图。
8.根据权利要求6所述的***,其特征在于,所述传感器故障检测模块包括:
传感器故障检测子模块,用于改变某一所述执行器的状态,根据所述执行器和与所述执行器连接的传感器的关联关系,判断所述传感器的状态变化是否异常,得到所述传感器是否为故障传感器。
9.根据权利要求6所述的***,其特征在于,所述时序设备状态相关图获取模块包括:
时序设备状态相关图获取子模块,用于获取相邻时刻的任意两个所述设备状态相关图,改变所述设备状态相关图中任一所述执行器的状态,根据任一所述执行器的状态变化,构建一条ak t到ak t+1的边将所述相邻时刻的任意两个所述设备状态相关图连接,得到时序设备状态相关图;其中,a表示执行器,ak表示第k个执行器,k∈(0,N),ak t表示t时刻的第k个执行器。
10.根据权利要求6所述的***,其特征在于,还包括标签获取模块,用于改变所述执行器的状态,根据与所述执行器相关的传感器的变化对所述执行器是否异常进行标记,得到所述执行器是否异常的标签。
CN202210560470.8A 2022-05-23 2022-05-23 一种对智能信息设备异常行为实时监测方法及*** Active CN114880201B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210560470.8A CN114880201B (zh) 2022-05-23 2022-05-23 一种对智能信息设备异常行为实时监测方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210560470.8A CN114880201B (zh) 2022-05-23 2022-05-23 一种对智能信息设备异常行为实时监测方法及***

Publications (2)

Publication Number Publication Date
CN114880201A CN114880201A (zh) 2022-08-09
CN114880201B true CN114880201B (zh) 2024-05-24

Family

ID=82677346

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210560470.8A Active CN114880201B (zh) 2022-05-23 2022-05-23 一种对智能信息设备异常行为实时监测方法及***

Country Status (1)

Country Link
CN (1) CN114880201B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN209911780U (zh) * 2019-07-16 2020-01-07 湖南文理学院 一种智能家居设备控制***
CN112346393A (zh) * 2021-01-08 2021-02-09 睿至科技集团有限公司 基于智能运维的数据全链路异常监测及处理方法和***
CN112671585A (zh) * 2020-12-25 2021-04-16 珠海格力电器股份有限公司 智能家居设备的异常处理方法及装置、处理器、电子设备
KR20210105276A (ko) * 2020-02-18 2021-08-26 국민대학교산학협력단 스마트 홈 모니터링 방법 및 장치
CN114114950A (zh) * 2022-01-20 2022-03-01 广州优刻谷科技有限公司 一种基于语义分析的智能家居异常检测方法及***
WO2022057321A1 (zh) * 2020-09-17 2022-03-24 华为技术有限公司 异常链路检测方法、装置及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN209911780U (zh) * 2019-07-16 2020-01-07 湖南文理学院 一种智能家居设备控制***
KR20210105276A (ko) * 2020-02-18 2021-08-26 국민대학교산학협력단 스마트 홈 모니터링 방법 및 장치
WO2022057321A1 (zh) * 2020-09-17 2022-03-24 华为技术有限公司 异常链路检测方法、装置及存储介质
CN112671585A (zh) * 2020-12-25 2021-04-16 珠海格力电器股份有限公司 智能家居设备的异常处理方法及装置、处理器、电子设备
CN112346393A (zh) * 2021-01-08 2021-02-09 睿至科技集团有限公司 基于智能运维的数据全链路异常监测及处理方法和***
CN114114950A (zh) * 2022-01-20 2022-03-01 广州优刻谷科技有限公司 一种基于语义分析的智能家居异常检测方法及***

Also Published As

Publication number Publication date
CN114880201A (zh) 2022-08-09

Similar Documents

Publication Publication Date Title
US8255351B2 (en) System and method for fault prediction in home network
US10187411B2 (en) Method for intrusion detection in industrial automation and control system
EP3136249B1 (en) Log analysis device, attack detection device, attack detection method and program
Farhadi et al. Alert correlation and prediction using data mining and HMM.
Yoon et al. Communication pattern monitoring: Improving the utility of anomaly detection for industrial control systems
Sun et al. Efficient rule engine for smart building systems
CN109768952B (zh) 一种基于可信模型的工控网络异常行为检测方法
US20180285397A1 (en) Entity-centric log indexing with context embedding
CN114218403A (zh) 基于知识图谱的故障根因定位方法、装置、设备及介质
CN112333211B (zh) 一种基于机器学习的工控行为检测方法和***
CN113114618B (zh) 一种基于流量分类识别的物联网设备入侵检测的方法
Kholidy et al. Attack prediction models for cloud intrusion detection systems
Matoušek et al. Efficient modelling of ICS communication for anomaly detection using probabilistic automata
Wang et al. Efficient detection of DDoS attacks with important attributes
CN113343228B (zh) 事件可信度分析方法、装置、电子设备及可读存储介质
CN114880201B (zh) 一种对智能信息设备异常行为实时监测方法及***
CN112887323B (zh) 一种面向工业互联网边界安全的网络协议关联与识别方法
CN114070642A (zh) 网络安全检测方法、***、设备及存储介质
CN117220961B (zh) 一种基于关联规则图谱的入侵检测方法、装置及存储介质
CN104917757A (zh) 一种事件触发式的mtd防护***及方法
CN116074092B (zh) 一种基于异构图注意力网络的攻击场景重构***
KR101395809B1 (ko) 웹 서버의 공격 탐지 방법 및 시스템
Luh et al. Design of an anomaly-based threat detection & explication system
KR101761798B1 (ko) 제어 네트워크에서의 스캐닝 공격 탐지 장치
CN104933357A (zh) 一种基于数据挖掘的洪泛攻击检测***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant