CN115038088B - 一种智能网络安全检测预警***和方法 - Google Patents
一种智能网络安全检测预警***和方法 Download PDFInfo
- Publication number
- CN115038088B CN115038088B CN202210955318.XA CN202210955318A CN115038088B CN 115038088 B CN115038088 B CN 115038088B CN 202210955318 A CN202210955318 A CN 202210955318A CN 115038088 B CN115038088 B CN 115038088B
- Authority
- CN
- China
- Prior art keywords
- data
- abnormal
- node
- internet
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0609—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on severity or priority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/04—Arrangements for maintaining operational condition
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种智能网络安全检测预警***和方法,所述***和方法包括:物联网节点设备周期性地采集数据并接收其他节点设备传输的信息后进行处理和异常分析,将处理后的异常信息数据或无异常指示信息上报至下一节点或边缘服务器,边缘服务器接收所有节点上报的异常信息数据或无异常指示信息后,基于各节点上报的异常信息数据计算当前***的异常熵是否超过阈值,是则继续确定该***的异常等级,并将***的异常等级上报至预警后台。通过本发明,物联网节点设备基于内置网络异常判断模型判定后将处理过的数据上传送给服务器,减小网络传输压力,边缘服务器对***内所有的节点上报的异常数据进行分析,得到***网络安全等级,实现可靠的预警触发。
Description
技术领域
本发明属于计算机物联网技术领域,尤其涉及一种智能网络安全检测预警***和方法。
背景技术
随着5G技术支持的可接入设备数量增加,大规模的物联网设备接入5G网络中进行数据传输,针对大规模接入的物联网设备的网络安全问题需要解决,包括物联网中非法接入、流量过载导致的网络安全故障等。同时,随着网络传输的数据量增大,仅仅基于服务器来计算通常会导致服务器的负荷过高,且移动网络传输的压力过大,导致网络安全隐患得不到及时上报,导致更加严重的后果。
人工智能算法芯片的处理能力不断增强,可以支持本地的人工智能算法分析计算。
因此,基于现有网络和设备的升级与应用场景的特点,需要一种低延迟、高可靠、***资源利用率高的智能网络安全预警***。
发明内容
针对上述现有技术中存在的缺陷,本发明提供一种智能网络安全检测预警***,所述***包括:
物联网节点设备,所述物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行处理和异常分析,在分析结果异常时,将经过处理的采集数据信息以及经过处理的从其他节点设备接收到的数据作为异常信息数据上报至下一节点或边缘服务器,在分析结果无异常时,将无异常指示信息上报至下一节点或边缘服务器;
边缘服务器,所述边缘服务器接收所有节点上报的异常信息数据或无异常指示信息后,所述边缘服务器根据各节点上报的异常信息数据计算当前***的异常熵是否超过阈值,是则确定该***的异常等级,并将所述***的异常等级上报至预警后台;
预警后台,所述预警后台根据接收到的***的异常等级进行预警;
其中,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行异常分析,包括在物联网节点设备内置网络异常判断模型对采集的数据以及从其他节点设备接收到的数据进行异常分析;
其中,所述边缘服务器计算当前***的异常熵超过阈值后判定该***的异常等级,包括如下步骤:
步骤一,所述边缘服务器计算单个节点的异常熵Snode:
其中,Snodej为向边缘服务器上报周期内网络异常信息的第j个物联网节点设备的异常熵,s为所述单个节点离边缘服务器的跳数,n为周期内从其他所有节点处接收的数据流的条数,M为上述数据流中包含的数据包的个数,L为上述数据包的大小,FLmax为在单个周期内被分配给从其他节点设备接收数据的时段中,所述第j个物联网节点设备能接收的最大数据量,U为第j个物联网节点设备接收其他节点设备上传数据的其他节点设备个数,O为第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的实际大小,Onorm为第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的正常大小,Rik为对第k个其他节点设备的发送数据进行检测发现的网络层地址和数据链路层地址的地址对不匹配的条数,Rpk为对第k个其他节点设备的发送数据进行检测发现的网络层地址和端口号的不匹配的条数,Rsk为对第k个其他节点设备的发送数据进行检测发现的数据链路层地址和端口号的不匹配的条数;
步骤三,所述边缘服务器判断当前***的异常熵SA是否大于阈值 threshold;
步骤四,当SA-threshold>0,所述边缘服务器计算MK=SA-threshold;
步骤五,将MK和异常等级区间进行比对,确定所述***当前的异常等级。
其中,所述物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,包括,在单个周期内的时段一内采集数据,并在单个周期内除时段一以外的其他时段接收其他节点设备传输的信息。
其中,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行处理,包括获取得到以下参数信息:
所述物联网节点设备周期内从其他所有节点处接收的数据流的条数 n, 所述数据流中包含的数据包的个数M,所述数据包的大小L,在单个周期内被分配给从其他节点设备接收数据的时段中所述第j个物联网节点设备能接收的最大数据量FLmax,第j个物联网节点设备接收其他节点设备上传数据的其他节点设备个数U,第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的实际大小O,第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的正常大小Onorm,对第k个其他节点设备的发送数据进行检测发现的网络层地址和数据链路层地址的地址对不匹配的条数Rik,对第k个其他节点设备的发送数据进行检测发现的网络层地址和端口号的不匹配的条数Rpk,对第k个其他节点设备的发送数据进行检测发现的数据链路层地址和端口号的不匹配的条数Rsk。
其中,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行异常分析,包括所述物联网节点设备根据内置的网络异常判断模型对采集的数据以及从其他节点设备接收到的数据进行异常分析,所述网络异常判断模型根据至少包括所述***的各设备的历史网络数据训练得到,所述历史网络数据是按各设备历史周期内采集和接收的数据分别存储的,将所述历史网络数据作为KNN模型的输入数据进行训练以得到单个设备的网络异常判断模型。
其中,所述网络异常判断模型包含两个KNN模型,分别对应单个周期内用于采集数据的时段一的KNN模型,和单个周期内用于接收其他节点设备传输的信息的除时段一以外的其他时段的KNN模型,使用两者组合判断异常情况。
其中,所述阈值threshold是根据***历史数据中发生***网络异常的***异常熵的均值B1和***历史数据中未发生***网络异常的***异常熵的均值B2设定的。
其中,所述阈值threshold的设定为,threshold=w1B1+w2B2,其中,w1和w2为***历史数据中发生***网络异常的***异常熵的均值B1和***历史数据中未发生***网络异常的***异常熵的均值B2对应的权重, w1和w2的数量关系满足w1+w2=1。
本发明还提出了一种基于上述***的网络安全检测预警方法,所述方法包括:
物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行处理和异常分析,在分析结果异常时,将经过处理的采集数据信息以及经过处理的从其他节点设备接收到的数据作为异常信息数据上报至下一节点或边缘服务器,在分析结果无异常时,将无异常指示信息上报至下一节点或边缘服务器;边缘服务器接收所有节点上报的异常信息数据或无异常指示信息后,所述边缘服务器根据各节点上报的异常信息数据计算当前***的异常熵是否超过阈值,是则确定该***的异常等级,并将所述***的异常等级上报至预警后台;所述预警后台根据接收到的***的异常等级进行预警。
其中,所述物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,包括,在周期内时段一内采集数据,并在周期内时段一外的其他时段接收其他节点设备传输的信息。
其中,所述物联网节点设备向另一个物联网节点设备传输数据时,在接入网预先为设备对分配的时频资源上进行数据传输。
本发明中,物联网节点设备基于内置网络异常判断模型对异常情况进行判定后,将处理过的数据上传给服务器,减小网络传输的负荷压力,降低网络延迟,增加了可接入的物联网节点设备数量。
本发明中,边缘服务器通过对***内所有的节点上报的异常数据进行分析,得到***整体的网络安全等级,经过节点和服务器双重异常分析,实现可靠的预警触发。
附图说明
通过参考附图阅读下文的详细描述,本公开示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本公开的若干实施方式,并且相同或对应的标号表示相同或对应的部分,其中:
图1是示出根据本发明实施例的一种智能网络安全预警的方法的示意图。
图2是示出根据本发明实施例的计算异常熵的示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种。
应当理解,尽管在本发明实施例中可能采用术语第一、第二、第三等来描述……,但这些……不应限于这些术语。这些术语仅用来将……区分开。例如,在不脱离本发明实施例范围的情况下,第一……也可以被称为第二……,类似地,第二……也可以被称为第一……。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者装置中还存在另外的相同要素。
下面结合附图详细说明本发明的可选实施例。
实施例一、
如图1所示,本发明公开了一种基于上述***的网络安全检测预警方法,所述方法包括:
物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行处理和异常分析,在分析结果异常时,将经过处理的采集数据信息以及经过处理的从其他节点设备接收到的数据作为异常信息数据上报至下一节点或边缘服务器,在分析结果无异常时,将无异常指示信息上报至下一节点或边缘服务器。
边缘服务器接收所有节点上报的异常信息数据或无异常指示信息后,所述边缘服务器根据各节点上报的异常信息数据计算当前***的异常熵是否超过阈值,是则确定该***的异常等级,并将所述***的异常等级上报至预警后台。
所述预警后台根据接收到的***的异常等级进行预警。
可选地,为了便于使生成模型训练和判定的数据结构统一,所述物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,包括,在周期内时段一内采集数据,并在周期内时段一外的其他时段接收其他节点设备传输的信息,时段一在每个周期内长度和位置固定。
可选地,所述物联网节点设备向另一个物联网节点设备传输数据时,在接入网预先为设备对分配的时频资源上进行数据传输,传输方式可以为通过D2D建立的测链路SL上进行数据传输,所述测链路SL 可以由接入设备进行配置,所述传输时段可以由设备间预先协商,也可以由基站预先调度分配给各设备。
本发明中,物联网节点设备对异常情况进行判定后,将处理过的数据上传送给服务器,减小网络传输的负荷压力,降低网络延迟,增加了可接入的物联网节点设备数量。
本发明中,边缘服务器通过对***内所有的节点上报的异常数据进行分析,得到***整体的网络安全等级,经过节点和服务器双重异常分析,实现可靠的预警触发。
实施例二、
本发明公开了一种智能网络安全预警的***,包括如下网络单元和对应的功能:
物联网节点设备,所述物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行处理和异常分析,在分析结果异常时,将经过处理的采集数据信息以及经过处理的从其他节点设备接收到的数据作为异常信息数据上报至下一节点或边缘服务器,在分析结果无异常时,将无异常指示信息上报至下一节点或边缘服务器。
边缘服务器,所述边缘服务器接收所有节点上报的异常信息数据或无异常指示信息后,所述边缘服务器根据各节点上报的异常信息数据计算当前***的异常熵是否超过阈值,是则确定该***的异常等级,并将所述***的异常等级上报至预警后台。
预警后台,所述预警后台根据接收到的***的异常等级进行预警。
其中,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行异常分析,包括在物联网节点设备内置网络异常判断模型对采集的数据以及从其他节点设备接收到的数据进行异常分析。
如图2所示,所述边缘服务器计算当前***的异常熵超过阈值后判定该***的异常等级,包括如下步骤:
步骤一,所述边缘服务器计算单个节点的异常熵Snode:
其中,Snodej为向边缘服务器上报周期内网络异常信息的第j个物联网节点设备的异常熵,s为所述单个节点离边缘服务器的跳数,n为周期内从其他所有节点处接收的数据流的条数,M为上述数据流中包含的数据包的个数,L为上述数据包的大小,FLmax为在单个周期内被分配给从其他节点设备接收数据的时段中,所述第j个物联网节点设备能接收的最大数据量,U为第j个物联网节点设备接收其他节点设备上传数据的其他节点设备个数,O为第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的实际大小,Onorm为第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的正常大小,Rik为对第k个其他节点设备的发送数据进行检测发现的网络层地址和数据链路层地址的地址对不匹配的条数,Rpk为对第k个其他节点设备的发送数据进行检测发现的网络层地址和端口号的不匹配的条数,Rsk为对第k个其他节点设备的发送数据进行检测发现的数据链路层地址和端口号的不匹配的条数;
步骤三,所述边缘服务器判断当前***的异常熵SA是否大于阈值 threshold;
步骤四,当SA-threshold>0,所述边缘服务器计算MK=SA-threshold;
步骤五,将MK和异常等级区间进行比对,确定所述***当前的异常等级。
可选地,为了便于使生成模型训练和判定的数据结构统一,所述物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,包括,在单个周期内的时段一内采集数据,并在单个周期内除时段一以外的其他时段接收其他节点设备传输的信息。
其中,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行处理,包括获取得到以下参数信息:
所述物联网节点设备周期内从其他所有节点处接收的数据流的条数n, 所述数据流中包含的数据包的个数M,所述数据包的大小L,在单个周期内被分配给从其他节点设备接收数据的时段中所述第j个物联网节点设备能接收的最大数据量FLmax,第j个物联网节点设备接收其他节点设备上传数据的其他节点设备个数U,第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的实际大小O,第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的正常大小Onorm,对第k个其他节点设备的发送数据进行检测发现的网络层地址和数据链路层地址的地址对不匹配的条数Rik,对第k个其他节点设备的发送数据进行检测发现的网络层地址和端口号的不匹配的条数Rpk,对第k个其他节点设备的发送数据进行检测发现的数据链路层地址和端口号的不匹配的条数Rsk。
物联网节点设备将上述处理后的数据直接或间接地发送给边缘服务器,边缘服务器在收到所有数据异常或无异常指示后,根据***异常熵计算方法计算***的异常熵,并将其和阈值进行比较确定异常等级。
在某一实施例中,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行异常分析,包括所述物联网节点设备根据内置的网络异常判断模型对采集的数据以及从其他节点设备接收到的数据进行异常分析,所述网络异常判断模型根据至少包括所述***的各设备的历史网络数据训练得到,所述历史网络数据是按各设备历史周期内采集和接收的数据分别存储的,将所述历史网络数据作为KNN模型的输入数据进行训练以得到单个设备的网络异常判断模型。
在某一实施例中,所述网络异常判断模型包含两个KNN模型,分别对应单个周期内用于采集数据的时段一的KNN模型,和单个周期内用于接收其他节点设备传输的信息的除时段一以外的其他时段的KNN 模型,使用两者组合判断异常情况。
在某一实施例中,所述阈值threshold是根据***历史数据中发生***网络异常的***异常熵的均值B1和***历史数据中未发生***网络异常的***异常熵的均值B2设定的。
在某一实施例中,所述阈值threshold的设定为, threshold=w1B1+w2B2,其中,w1和w2为***历史数据中发生***网络异常的***异常熵的均值B1和***历史数据中未发生***网络异常的***异常熵的均值B2对应的权重,w1和w2的数量关系满足w1+w2=1。例如,可以将w1和w2分别设置为0.6和0.4。网络管理人员也可以根据边缘服务器管理区域的不同,设置不同的权重满足不同***对安全性要求高低不同的需求。
在某一实施例中,异常等级区间可以根据已确定等级的历史***异常熵进行确定。
本公开实施例提供了通信节点、服务器、后台在内多个网络单元,每种网络单元中都包含非易失性计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行如上实施例所述的方法步骤。
本发明中,物联网节点设备对异常情况进行判定后,将处理过的数据上传送给服务器,减小网络传输的负荷压力,降低网络延迟,增加了可接入的物联网节点设备数量。
本发明中,边缘服务器通过对***内所有的节点上报的异常数据进行分析,得到***整体的网络安全等级,经过节点和服务器双重异常分析,实现可靠的预警触发。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质可以但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(AN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/ 或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。
以上介绍了本发明的较佳实施方式,旨在使得本发明的精神更加清楚和便于理解,并不是为了限制本发明,凡在本发明的精神和原则之内,所做的修改、替换、改进,均应包含在本发明所附的权利要求概括的保护范围之内。
Claims (10)
1.一种智能网络安全检测预警***,所述***包括:
物联网节点设备,所述物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行处理和异常分析,在分析结果异常时,将经过处理的采集数据信息以及经过处理的从其他节点设备接收到的数据作为异常信息数据上报至下一节点或边缘服务器,在分析结果无异常时,将无异常指示信息上报至下一节点或边缘服务器;
边缘服务器,所述边缘服务器接收所有节点上报的异常信息数据或无异常指示信息后,所述边缘服务器根据各节点上报的异常信息数据计算当前***的异常熵是否超过阈值,是则确定该***的异常等级,并将所述***的异常等级上报至预警后台;
预警后台,所述预警后台根据接收到的***的异常等级进行预警;
其中,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行异常分析,包括在物联网节点设备内置网络异常判断模型对采集的数据以及从其他节点设备接收到的数据进行异常分析;
其中,所述边缘服务器计算当前***的异常熵超过阈值后判定该***的异常等级,包括如下步骤:
步骤一,所述边缘服务器计算单个节点的异常熵Snode:
其中,Snodej为向边缘服务器上报周期内网络异常信息的第j个物联网节点设备的异常熵,s为所述单个节点离边缘服务器的跳数,n为周期内从其他所有节点处接收的数据流的条数,M为上述数据流中包含的数据包的个数,L为上述数据包的大小,FLmax为在单个周期内被分配给从其他节点设备接收数据的时段中,所述第j个物联网节点设备能接收的最大数据量,U为第j个物联网节点设备接收其他节点设备上传数据的其他节点设备个数,O为第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的实际大小,Onorm为第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的正常大小,Rik为对第k个其他节点设备的发送数据进行检测发现的网络层地址和数据链路层地址的地址对不匹配的条数,Rpk为对第k个其他节点设备的发送数据进行检测发现的网络层地址和端口号的不匹配的条数,Rsk为对第k个其他节点设备的发送数据进行检测发现的数据链路层地址和端口号的不匹配的条数;
步骤三,所述边缘服务器判断当前***的异常熵SA是否大于阈值threshold;
步骤四,当SA-threshold>0,所述边缘服务器计算MK=SA-threshold;
步骤五,将MK和异常等级区间进行比对,确定所述***当前的异常等级。
2.如权利要求1所述智能网络安全检测预警***,其特征在于,所述物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,包括,在单个周期内的时段一内采集数据,并在单个周期内除时段一以外的其他时段接收其他节点设备传输的信息。
3.如权利要求1所述的智能网络安全检测预警***,其特征在于,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行处理,包括获取得到以下参数信息:
所述物联网节点设备周期内从其他所有节点处接收的数据流的条数n, 所述数据流中包含的数据包的个数M,所述数据包的大小L,在单个周期内被分配给从其他节点设备接收数据的时段中所述第j个物联网节点设备能接收的最大数据量FLmax,第j个物联网节点设备接收其他节点设备上传数据的其他节点设备个数U,第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的实际大小O,第j个物联网节点设备在单个周期内的被分配给用于采集数据的时段能采集到的数据量的正常大小Onorm,对第k个其他节点设备的发送数据进行检测发现的网络层地址和数据链路层地址的地址对不匹配的条数Rik,对第k个其他节点设备的发送数据进行检测发现的网络层地址和端口号的不匹配的条数Rpk,对第k个其他节点设备的发送数据进行检测发现的数据链路层地址和端口号的不匹配的条数Rsk。
4.如权利要求1所述的智能网络安全检测预警***,其特征在于,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行异常分析,包括所述物联网节点设备根据内置的网络异常判断模型对采集的数据以及从其他节点设备接收到的数据进行异常分析,所述网络异常判断模型根据至少包括所述***的各设备的历史网络数据训练得到,所述历史网络数据是按各设备历史周期内采集和接收的数据分别存储的,将所述历史网络数据作为KNN模型的输入数据进行训练以得到单个设备的网络异常判断模型。
5.如权利要求1所述的智能网络安全检测预警***,其特征在于,所述网络异常判断模型包含两个KNN模型,分别对应单个周期内用于采集数据的时段一的KNN模型,和单个周期内用于接收其他节点设备传输的信息的除时段一以外的其他时段的KNN模型,使用两者组合判断异常情况。
6.如权利要求1所述的智能网络安全检测预警***,其特征在于,所述阈值threshold是根据***历史数据中发生***网络异常的***异常熵的均值B1和***历史数据中未发生***网络异常的***异常熵的均值B2设定的。
7.如权利要求6所述的智能网络安全检测预警***,其特征在于,所述阈值threshold的设定为,threshold=w1B1+w2B2,其中,w1和w2为***历史数据中发生***网络异常的***异常熵的均值B1和***历史数据中未发生***网络异常的***异常熵的均值B2对应的权重,w1和w2的数量关系满足w1+w2=1。
8.一种基于权利要求1-7任一项的智能安全检测预警***的网络安全检测预警方法,所述方法包括:
物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,所述物联网节点设备对采集的数据以及从其他节点设备接收到的数据进行处理和异常分析,在分析结果异常时,将经过处理的采集数据信息以及经过处理的从其他节点设备接收到的数据作为异常信息数据上报至下一节点或边缘服务器,在分析结果无异常时,将无异常指示信息上报至下一节点或边缘服务器;边缘服务器接收所有节点上报的异常信息数据或无异常指示信息后,所述边缘服务器根据各节点上报的异常信息数据计算当前***的异常熵是否超过阈值,是则确定该***的异常等级,并将所述***的异常等级上报至预警后台;所述预警后台根据接收到的***的异常等级进行预警。
9.如权利要求8所述的网络安全检测预警方法,其特征在于,所述物联网节点设备周期性地采集数据并接收其他节点设备传输的信息,包括,在周期内时段一内采集数据,并在周期内时段一外的其他时段接收其他节点设备传输的信息。
10.如权利要求8所述的网络安全检测预警方法,其特征在于,所述物联网节点设备向另一个物联网节点设备传输数据时,在接入网预先为设备对分配的时频资源上进行数据传输。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210955318.XA CN115038088B (zh) | 2022-08-10 | 2022-08-10 | 一种智能网络安全检测预警***和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210955318.XA CN115038088B (zh) | 2022-08-10 | 2022-08-10 | 一种智能网络安全检测预警***和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115038088A CN115038088A (zh) | 2022-09-09 |
CN115038088B true CN115038088B (zh) | 2022-11-08 |
Family
ID=83130530
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210955318.XA Active CN115038088B (zh) | 2022-08-10 | 2022-08-10 | 一种智能网络安全检测预警***和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115038088B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115695032B (zh) * | 2022-11-07 | 2023-05-30 | 广东网安科技有限公司 | 一种网络安全检测*** |
CN116614319B (zh) * | 2023-07-20 | 2023-10-03 | 河北神玥软件科技股份有限公司 | 基于大数据和人工智能的网络安全管控方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104660464A (zh) * | 2015-01-22 | 2015-05-27 | 贵州电网公司信息通信分公司 | 一种基于非广延熵的网络异常检测方法 |
CN109951420A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于熵和动态线性关系的多级流量异常检测方法 |
CN112788066A (zh) * | 2021-02-26 | 2021-05-11 | 中南大学 | 物联网设备的异常流量检测方法、***及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100856924B1 (ko) * | 2007-03-08 | 2008-09-05 | 한국전자통신연구원 | 네트워크 상태 표시 장치 및 방법 |
US9210181B1 (en) * | 2014-05-26 | 2015-12-08 | Solana Networks Inc. | Detection of anomaly in network flow data |
CN111935172B (zh) * | 2020-08-25 | 2023-09-05 | 广东一知安全科技有限公司 | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 |
-
2022
- 2022-08-10 CN CN202210955318.XA patent/CN115038088B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104660464A (zh) * | 2015-01-22 | 2015-05-27 | 贵州电网公司信息通信分公司 | 一种基于非广延熵的网络异常检测方法 |
CN109951420A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于熵和动态线性关系的多级流量异常检测方法 |
CN112788066A (zh) * | 2021-02-26 | 2021-05-11 | 中南大学 | 物联网设备的异常流量检测方法、***及存储介质 |
Non-Patent Citations (2)
Title |
---|
Gyro anomaly detection method based on information entropy;Guan Wu 等;《2021 Global Reliability and Prognostics and Health Management (PHM-Nanjing)》;20211017;正文第1-4页 * |
工业物联网异常检测技术综述;孙海丽 等;《通信学报》;20220331;第43卷(第3期);正文第197-205页 * |
Also Published As
Publication number | Publication date |
---|---|
CN115038088A (zh) | 2022-09-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115038088B (zh) | 一种智能网络安全检测预警***和方法 | |
KR102418969B1 (ko) | 딥러닝 기반 통신망 장비의 장애 예측 시스템 및 방법 | |
CN110166462B (zh) | 访问控制方法、***、电子设备及计算机存储介质 | |
CN112543465B (zh) | 一种异常检测方法、装置、终端及存储介质 | |
US9015312B2 (en) | Network management system and method for identifying and accessing quality of service issues within a communications network | |
JP6097889B2 (ja) | 監視システム、監視装置、および検査装置 | |
KR100617310B1 (ko) | 네트워크 트래픽 이상 징후 감지 장치 및 그 방법 | |
US11381471B2 (en) | System and method for predicting and handling short-term overflow | |
US20080186876A1 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
CN106034051A (zh) | 网络监控数据处理方法及网络监控数据处理装置 | |
CN108601047B (zh) | 机会网络关键节点的测量方法 | |
EP3460663A1 (en) | Apparatus and method for rare failure prediction | |
CN108964976A (zh) | 一种基于光模块的告警提示方法及告警提示装置 | |
CN111200526A (zh) | 网络设备的监控***及方法 | |
CN106452941A (zh) | 网络异常的检测方法及装置 | |
CN114173370A (zh) | 一种故障定位方法、装置、设备及存储介质 | |
CN114338351B (zh) | 网络异常根因确定方法、装置、计算机设备及存储介质 | |
US20170206125A1 (en) | Monitoring system, monitoring device, and monitoring program | |
EP2899918A1 (en) | Method, apparatus and system for detecting network element load imbalance | |
CN111654405B (zh) | 通信链路的故障节点方法、装置、设备及存储介质 | |
CN115150289B (zh) | 基于复合监控的异常处理方法及*** | |
CN113835961B (zh) | 告警信息监控方法、装置、服务器及存储介质 | |
CN109699041A (zh) | 一种rru通道故障诊断处理方法及rru设备 | |
TWI510109B (zh) | 遞迴式異常網路流量偵測方法 | |
CN113810332A (zh) | 一种加密数据报文判定方法、装置及计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |