CN115580490B - 工业互联网边缘设备行为检测方法、装置、设备及介质 - Google Patents

工业互联网边缘设备行为检测方法、装置、设备及介质 Download PDF

Info

Publication number
CN115580490B
CN115580490B CN202211486596.1A CN202211486596A CN115580490B CN 115580490 B CN115580490 B CN 115580490B CN 202211486596 A CN202211486596 A CN 202211486596A CN 115580490 B CN115580490 B CN 115580490B
Authority
CN
China
Prior art keywords
industrial internet
data
behavior
edge
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211486596.1A
Other languages
English (en)
Other versions
CN115580490A (zh
Inventor
王冲华
江浩
许丰娟
郝志强
李耀兵
李俊
李红飞
余果
孔同
林晨
韦彦
曲海阔
王福炎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Industrial Control Systems Cyber Emergency Response Team
Original Assignee
China Industrial Control Systems Cyber Emergency Response Team
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Industrial Control Systems Cyber Emergency Response Team filed Critical China Industrial Control Systems Cyber Emergency Response Team
Priority to CN202211486596.1A priority Critical patent/CN115580490B/zh
Publication of CN115580490A publication Critical patent/CN115580490A/zh
Application granted granted Critical
Publication of CN115580490B publication Critical patent/CN115580490B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种工业互联网边缘设备行为检测方法、装置、设备及介质,涉及工业互联网领域,该方法包括:采用边缘层中的网关获取物理设备的当前流量数据;对当前流量数据进行处理,得到当前流量特征信息;将云端存储的工业互联网边缘设备行为检测模型下发至边缘层,并将当前流量特征信息输入至位于边缘层处的工业互联网边缘设备行为检测模型中,确定物理设备当前行为。本发明结合“云端+边缘层”协同检测和IWEL技术,保障及时发现工业互联网中物理设备的恶性行为,保证物理设备的安全,同时使物理设备行为分析更加快速、高效。

Description

工业互联网边缘设备行为检测方法、装置、设备及介质
技术领域
本发明涉及工业互联网领域,特别是涉及一种工业互联网边缘设备行为检测方法、装置、电子设备及计算机可读存储介质。
背景技术
随着5G时代的到来,网络具备了接入速率高、并发程度大、时延低等优势,许多对网络的速率、延时以及稳定性要求高的新兴物联网领域,例如智能网联汽车、移动医疗、工业互联网等都得到蓬勃发展。物理设备数目众多,会产生PB级别的海量数据。
据IDC数据统计,未来将会有超过500亿物理设备接入网络。在这些物理设备数据中,将会有过半的数据需要在网络架构的边缘层进行数据分析、数据存储以及数据处理。
在5G背景下,物理设备往往具有高通量、高实时性的特点,所以一旦有物联网安全事件发生,其规模往往更多、影响更为严重。目前已知的针对物理设备的安全威胁与传统的网络安全威胁有相似之处,攻击者可以通过暴力破解、利用己知漏洞提权等方法,在未经授权的情况下,访问物理设备、从中获取敏感信息或者控制物理设备等;攻击者也可以直接对物理设备发起拒绝服务攻击,通过消耗目标的资源使被攻击目标无法正常使用,从而影响***的运行。
针对物联网安全检测问题,根据检测位置分类为:云端检测、终端检测和边缘检测,云端检测主要计算在云端海量数据下,云端负载过重,实时性不高。终端检测对终端要求高,会占用终端本身计算资源。边缘计算与云端检测、终端检测相比,缓解了云端和终端的压力,具备更好的检测结果。
工业互联网物理设备行为检测方法通常为采用收集网络流量,并进行异常流量检测的方法,而对于异常流量检测,主要有三种方式:第一种方式是使用基于特征的方法来检测异常流量,该方法主要依赖于规则匹配,可以有效的检测出特定模式下的攻击,但是无法检测新的未知攻击;第二种方式是通过构建统计模型或各种统计函数,设置统计阈值进行判断,但统计阈值设置较为严格,会产生漏检率过高的问题;第三种方式是基于机器学习的方法,该方法虽然可以很好的对未来的异常流量进行预测并不需要设置阈值,但是现在模型存在计算精度低、计算时间长的问题。
发明内容
本发明的目的是提供一种工业互联网边缘设备行为检测方法、装置、设备及介质,结合“云端+边缘层”协同检测和IWEL(结合信息增益率与流量权重的集成学习)技术,保障及时发现工业互联网中物理设备的恶性行为,保证物理设备的安全,同时使物理设备行为分析更加快速、高效。
为实现上述目的,本发明提供了如下方案:
第一方面,本发明提供了一种工业互联网边缘设备行为检测方法,应用于工业互联网边缘设备行为检测装置,所述工业互联网边缘设备行为检测装置包括设备层、边缘层和云端,所述设备层设置有多个物理设备,每个所述物理设备均与所述边缘层中的网关连接;所述工业互联网边缘设备行为检测方法包括:
采用所述边缘层中的网关获取物理设备的当前流量数据;
对所述当前流量数据进行处理,得到当前流量特征信息;
将所述云端存储的工业互联网边缘设备行为检测模型下发至所述边缘层,并将所述当前流量特征信息输入至位于所述边缘层处的工业互联网边缘设备行为检测模型中,确定物理设备当前行为;所述行为包括良性行为和恶性行为;
其中,所述云端用于训练、存储和更新工业互联网边缘设备行为检测模型;
所述工业互联网边缘设备行为检测模型是在云端处采用若干个样本数据对IWEL模型进行训练后得到的模型;所述样本数据包括输入数据以及对应的标签数据;所述输入数据为样本流量特征信息,所述标签数据为物理设备行为。
第二方面,本发明提供了一种工业互联网边缘设备行为检测装置,包括设备层、边缘层和云端,所述设备层设置有多个物理设备,每个所述物理设备均与所述边缘层中的网关连接;
所述网关用于获取物理设备的当前流量数据;
所述边缘层还包括处理模块;
所述处理模块,用于:
对所述当前流量数据进行处理,得到当前流量特征信息;
接收所述云端存储的工业互联网边缘设备行为检测模型;
将所述当前流量特征信息输入至位于所述边缘层处的工业互联网边缘设备行为检测模型中,确定物理设备当前行为;所述行为包括良性行为和恶性行为;
所述云端用于训练、存储和更新工业互联网边缘设备行为检测模型;
所述工业互联网边缘设备行为检测模型是在云端处采用若干个样本数据对IWEL模型进行训练后得到的模型;所述样本数据包括输入数据以及对应的标签数据;所述输入数据为样本流量特征信息,所述标签数据为物理设备行为。
第三方面,本发明提供了一种电子设备,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据第一方面所述的工业互联网边缘设备行为检测方法。
第四方面,本发明提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的工业互联网边缘设备行为检测方法。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提供了一种工业互联网边缘设备行为检测方法、装置、设备及介质。本发明采用了边缘层直接采集处理物理设备流量数据的方式,缓解了设备层采集物理设备流量数据时存在压力大的问题。本发明设计了“云端+边缘层”协同检测方案,采用云端训练、存储、更新工业互联网边缘设备行为检测模型,采用边缘层计算工业互联网边缘设备行为检测模型以检测物理设备行为,具备较少压力,提高计算速度的特点。此外,本发明设计的工业互联网边缘设备行为检测模型具有快速识别恶性行为和较高精准度的优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明工业互联网边缘设备行为检测方法的流程示意图;
图2为本发明工业互联网边缘设备行为检测方法的架构图;
图3为本发明流量特征信息确定过程示意图;
图4为本发明IWEL模型的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
现有工业互联网物理设备行为检测方法存在以下缺点:
缺点1:采用传统工业互联网安全行为分析方法,物理设备的流量数据采集汇总时存在压力大的问题。
缺点2:工业互联网物理设备一般采用云端统一检测方式,具有攻击效率低,不能保证实时性。
缺点3:采用集成学习模型对工业互联网物理设备进行安全分析时存在速度慢,准确率低等问题。
鉴于此,本发明提供了一种工业互联网边缘设备行为检测方法、装置、设备及介质。本发明采用了边缘层直接采集处理物理设备流量数据的方式,缓解了设备层采集物理设备流量数据时存在压力大的问题。本发明设计了“云端+边缘层”协同检测方案,采用云端训练、存储、更新工业互联网边缘设备行为检测模型,采用边缘层计算工业互联网边缘设备行为检测模型以检测物理设备行为,具备较少压力,提高计算速度的特点。此外,本发明设计的工业互联网边缘设备行为检测模型具有快速识别恶性行为和较高精准度的优点,提升了检测速度和检测准确率。
实施例一
本发明实施例提供了一种工业互联网边缘设备行为检测方法。其中,所述工业互联网边缘设备行为检测方法应用于工业互联网边缘设备行为检测装置,所述工业互联网边缘设备行为检测装置包括设备层、边缘层和云端,所述设备层设置有多个物理设备,每个所述物理设备均与所述边缘层中的网关连接。
如图1所示,该工业互联网边缘设备行为检测方法包括:
步骤100:采用所述边缘层中的网关获取物理设备的当前流量数据。
步骤200:对所述当前流量数据进行处理,得到当前流量特征信息。
步骤300:将所述云端存储的工业互联网边缘设备行为检测模型下发至所述边缘层,并将所述当前流量特征信息输入至位于所述边缘层处的工业互联网边缘设备行为检测模型中,确定物理设备当前行为;所述行为包括良性行为和恶性行为。
其中,所述云端用于训练、存储和更新工业互联网边缘设备行为检测模型;
所述工业互联网边缘设备行为检测模型是在云端处采用若干个样本数据对IWEL模型进行训练后得到的模型;所述样本数据包括输入数据以及对应的标签数据;所述输入数据为样本流量特征信息,所述标签数据为物理设备行为。
本实施例提供的工业互联网边缘设备行为检测方法的架构图如图2所示。
作为一种优选的实施方式,本发明实施例所述的工业互联网边缘设备行为检测方法,还包括:当所述物理设备当前行为为恶性行为时,输出物理设备注意防护信息。
一个示例为:当所述物理设备当前行为为恶性行为时,边缘层进行策略下发,通知对应的物理设备进行安全响应。
由于传统的物理设备流量数据均是在物理设备上直接采集,会对物理设备造成一定压力,所以将物理设备连接至边缘层中的网关,即可以采用边缘层直接采集物理设备流量数据。
由于工业互联网在设备层部署了多个物理设备,故步骤100采用所述边缘层中的网关的流量代理功能,获取物理设备的当前流量数据。
作为一种优选的实施方式,本发明实施例所述的工业互联网边缘设备行为检测模型的训练过程如下:
步骤1:确定若干个样本数据,具体操作如下:
采用所述边缘层中的网关获取物理设备的若干个样本流量数据;
在所述边缘层,对任一所述样本流量数据均执行以下操作:
对所述物理设备的样本流量数据进行特征提取聚合操作,得到样本流量特征信息,并根据所述样本流量特征信息,确定所述样本流量特征信息对应的物理设备行为。所述流量特征信息包括多个流量特征,分别为源的IP地址数量、源端口数量、目的IP地址数量、目的端口数量、发出数据包总数量、发出数据包总字节数、接收数据包总数量和接收数据包总字节数。
一个示例为:
S1:现场部署多个物理设备,利用边缘层中的网关的流量代理功能,采集物理设备的样本流量数据,生成一系列流量日志文件,供后续使用。
S2:对流量日志文件提取关键字段,去除其中不必要的信息,减少特征的维度,便于后续对数据分析和建模。其中,提取的流量特征类型如表1所示。
表1 流量特征类型提取表
特征 特征说明
<i>f</i><sub>1</sub> 源IP地址
<i>f</i><sub>2</sub> 源端口
<i>f</i><sub>3</sub> 目的IP地址
<i>f</i><sub>4</sub> 目的端口
<i>f</i><sub>5</sub> 发出数据包数量
<i>f</i><sub>6</sub> 发出数据包字节数
<i>f</i><sub>7</sub> 接收到的数据包数量
<i>f</i><sub>8</sub> 接收到的数据包字节数
流量数据按照空间进行划分,划分方法为10条、20条、50条不等,如图3所示。按照流量特征类型,对窗口中的流量特征进行聚合,分别为窗口内的源的IP地址数量、源端口数量、目的IP地址数量、目的端口数量、发出数据包总数量、发出数据包总字节数、接收数据包总数量和接收数据包总字节数。
对上述识别的流量特征聚合过后,为每条样本流量数据打上标签,打标签的方式是通过计算窗口内哪种流量特征居多,设置一个阈值为0.5,即超过半数为恶意流量特征,如果窗口内恶意流量特征居多,则标记为恶意窗口,若良性流量特征居多,则标记为良性窗口,每一条良性流量和恶性流量打标规则均通过人工判定,判定依据是专业领域人员预先设置的知识库。
其中,样本数据如表2所示。
表2 样本数据说明表
特征 特征说明
<i>fe</i><sub>1</sub> 源的IP地址数量
<i>fe</i><sub>2</sub> 源端口数量
<i>fe</i><sub>3</sub> 目的IP地址数量
<i>fe</i><sub>4</sub> 目的端口数量
<i>fe</i><sub>5</sub> 发出数据包总数量
<i>fe</i><sub>6</sub> 发出数据包总字节数
<i>fe</i><sub>7</sub> 接收数据包总数量
<i>fe</i><sub>8</sub> 接收数据包总字节数
<i>label</i> 数据标签
步骤2:当样本数据满足一定数目时,利用ftp将样本数据上传到云端进行模型训练和更新,同时将样本数据中的输入数据传递给边缘层处的工业互联网边缘设备行为检测模型,以用于后续检测。
步骤3:在云端处,利用样本数据对IWEL模型进行训练,得到工业互联网边缘设备行为检测模型并存储。其中,样本数据采用随机抽样的方式进行选择。
IWEL模型的结构如图4所示,所述IWEL模型为分布式计算框架;所述IWEL模型包括最终类别输出端以及与所述最终类别输出端均连接的八个支路;所述支路依次包括数据输入端、改进的C4.5决策树和输出类别端。
IWEL模型设计的目的是使物理设备安全分析更加快速,该IWEL模型是基于集成学习的改进,采用基于bagging的方法,集合多个C4.5决策树,通过投票获得最终的结果。
首先介绍信息熵H(X),如公式(1)所示。
Figure 24212DEST_PATH_IMAGE001
(1);
其中,X表示特征集合,x表示其中的一个特征,p(x)是所有特征中出现x的概率。则条件上的计算方式如公式(2)所示。
Figure 846412DEST_PATH_IMAGE002
(2);
其中,
Figure 829412DEST_PATH_IMAGE003
表示条件熵,表示在已知随机变量X的条件下随机变量Y的不确定性,H(Y|X=x)表示条件熵,表示在已知随机变量x的条件下随机变量Y的不确定性,则信息增益/>
Figure 896725DEST_PATH_IMAGE004
可以通过公式(3)所示。
Figure 648780DEST_PATH_IMAGE005
(3);
其中,信息熵
Figure 173040DEST_PATH_IMAGE006
为/>
Figure 846598DEST_PATH_IMAGE007
Y表示特征集合,y表示其中的一个特征,p(y)是所有特征中出现y的概率。
则信息增益率
Figure 983181DEST_PATH_IMAGE008
可以通过公式(4)所示。
Figure 589743DEST_PATH_IMAGE009
(4)。
通过不断找到信息增益率最大的特征,最终构造一棵完整的树,然后对该树进行剪枝。构造好了多棵决策树后,在测试数据中进行测试,然后选择在测试数据上准确度最高的模型作为最终模型。
通过上述可知,采用基于C4.5决策树的集成学习模型用于工业互联网物理设备安全分析存在3个问题:一是安全分析速度慢,检测时间长;二是分析过程中提取的流量字段未考虑特征重要度,关联性较小的特征会对分类产生影响;三是分析结果准确率低。
为此本发明实施例做出三点改进,一是引入分布式计算框架,采用基于Spark的C4.5决策树;二是基于专家经验给每个流量特征增加权重,减少小关联特征影响;三是将条件熵引入信息增益中增加分析结果准确性。改进后的权重
Figure 19325DEST_PATH_IMAGE010
定义如下:
Figure 711338DEST_PATH_IMAGE011
(5);
其中,l为流量特征编号,len(*)为集合内流量特征数量,f imp 为重要流量特征集合,f unimp 为非重要流量特征集合,根据计算出得权重,则加权后的信息增益率
Figure 854874DEST_PATH_IMAGE012
的计算方式如下:
Figure 486582DEST_PATH_IMAGE013
(6);
然后将信息增益率进行改进,改进后的信息增益率
Figure 854109DEST_PATH_IMAGE014
的计算公式如(7)所示。
Figure 33418DEST_PATH_IMAGE015
(7)。
通过上述改进公式,IWEL模型训练如下:
首先,边缘层上传流量特征,云端接收流量特征和标签数据(此时流量特征是由8个非决策特征组合的),通过公式(7)计算每个特征(即f)的改进信息增益率(可以看出本发明中改进后的公式更好地根据每个特征重要性不同进行了区分),然后筛选出包含最大值的特征,选取该特征,在该特征基础上继续选取剩余特征,直到最后完成决策树的构建(模型的叶子节点就是分类结果,即良性和恶性),得到工业互联网边缘设备行为检测模型。此时工业互联网边缘设备行为检测模型在云端训练完成,下发到边缘层。
在实际安全分析过程中,工业互联网边缘设备行为检测模型会根据实时产生的流量数据(这些数据是没有标签的)进行安全检测,并判断是否异常。
进一步地,所述改进的C4.5决策树的构建过程为:
步骤11:确定每个所述流量特征的权重。
步骤12:根据所述流量特征的权重,计算每个所述流量特征对应的改进后的信息增益率。
步骤13:将改进后的信息增益率进行排序,选取最大的改进后的信息增益率对应的流量特征作为所述改进的C4.5决策树的节点,并将最大的改进后的信息增益率对应的流量特征进行标记。
步骤14:计算未标记的所述流量特征的权重,返回步骤12,直到完成改进的C4.5决策树。
作为一种优选的实施方式,本发明实施例所述的步骤200,具体包括:
当所述边缘层接收到mqtt发过来的边缘设备行为检测通知后,所述边缘层对所述当前流量数据进行处理,得到当前流量特征信息。
其中,云端接收到边缘层上传的样本数据进行IWEL模型训练,将训练好的模型下传到边缘层进行模型替换,保证模型定期更新。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种工业互联网边缘设备行为检测装置。
本发明实施例提供了一种工业互联网边缘设备行为检测装置,包括设备层、边缘层和云端,所述设备层设置有多个物理设备,每个所述物理设备均与所述边缘层中的网关连接。
所述网关用于获取物理设备的当前流量数据;
所述边缘层还包括处理模块;所述处理模块,用于:
对所述当前流量数据进行处理,得到当前流量特征信息;
接收所述云端存储的工业互联网边缘设备行为检测模型;
将所述当前流量特征信息输入至位于所述边缘层处的工业互联网边缘设备行为检测模型中,确定物理设备当前行为;所述行为包括良性行为和恶性行为。
所述云端用于训练、存储和更新工业互联网边缘设备行为检测模型。
所述工业互联网边缘设备行为检测模型是在云端处采用若干个样本数据对IWEL模型进行训练后得到的模型;所述样本数据包括输入数据以及对应的标签数据;所述输入数据为样本流量特征信息,所述标签数据为物理设备行为。
实施例三
本发明实施例提供一种电子设备包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一的工业互联网边缘设备行为检测方法。
可选地,上述电子设备可以是服务器。
另外,本发明实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的工业互联网边缘设备行为检测方法。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的***而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (9)

1.一种工业互联网边缘设备行为检测方法,其特征在于,所述工业互联网边缘设备行为检测方法应用于工业互联网边缘设备行为检测装置,所述工业互联网边缘设备行为检测装置包括设备层、边缘层和云端,所述设备层设置有多个物理设备,每个所述物理设备均与所述边缘层中的网关连接;所述工业互联网边缘设备行为检测方法包括:
采用所述边缘层中的网关获取物理设备的当前流量数据;
对所述当前流量数据进行处理,得到当前流量特征信息;
将所述云端存储的工业互联网边缘设备行为检测模型下发至所述边缘层,并将所述当前流量特征信息输入至位于所述边缘层处的工业互联网边缘设备行为检测模型中,确定物理设备当前行为;所述行为包括良性行为和恶性行为;
其中,所述云端用于训练、存储和更新工业互联网边缘设备行为检测模型;
所述工业互联网边缘设备行为检测模型是在云端处采用若干个样本数据对IWEL模型进行训练后得到的模型;所述样本数据包括输入数据以及对应的标签数据;所述输入数据为样本流量特征信息,所述标签数据为物理设备行为。
2.根据权利要求1所述的一种工业互联网边缘设备行为检测方法,其特征在于,还包括:当所述物理设备当前行为为恶性行为时,输出物理设备注意防护信息。
3.根据权利要求1所述的一种工业互联网边缘设备行为检测方法,其特征在于,所述采用所述边缘层中的网关获取物理设备的当前流量数据,具体包括:
采用所述边缘层中的网关的流量代理功能,获取物理设备的当前流量数据。
4.根据权利要求1所述的一种工业互联网边缘设备行为检测方法,其特征在于,所述样本数据的确定过程为:
采用所述边缘层中的网关获取物理设备的若干个样本流量数据;
在所述边缘层,对任一所述样本流量数据均执行以下操作:
对所述物理设备的样本流量数据进行特征提取聚合操作,得到样本流量特征信息;流量特征信息包括多个流量特征,分别为源的IP地址数量、源端口数量、目的IP地址数量、目的端口数量、发出数据包总数量、发出数据包总字节数、接收数据包总数量和接收数据包总字节数;
根据所述样本流量特征信息,确定所述样本流量特征信息对应的物理设备行为。
5.根据权利要求1所述的一种工业互联网边缘设备行为检测方法,其特征在于,所述IWEL模型为分布式计算框架;所述IWEL模型包括最终类别输出端以及与所述最终类别输出端均连接的八个支路;所述支路依次包括数据输入端、改进的C4.5决策树和输出类别端。
6.根据权利要求5所述的一种工业互联网边缘设备行为检测方法,其特征在于,所述改进的C4.5决策树的构建过程为:
确定每个所述流量特征的权重;
根据所述流量特征的权重,计算每个所述流量特征对应的改进后的信息增益率;
将改进后的信息增益率进行排序,选取最大的改进后的信息增益率对应的流量特征作为所述改进的C4.5决策树的节点,并将最大的改进后的信息增益率对应的流量特征进行标记;
计算未标记的所述流量特征的权重,返回步骤根据所述流量特征的权重,计算每个所述流量特征对应的改进后的信息增益率,直到完成改进的C4.5决策树。
7.一种工业互联网边缘设备行为检测装置,其特征在于,包括设备层、边缘层和云端,所述设备层设置有多个物理设备,每个所述物理设备均与所述边缘层中的网关连接;
所述网关用于获取物理设备的当前流量数据;
所述边缘层还包括处理模块;
所述处理模块,用于:
对所述当前流量数据进行处理,得到当前流量特征信息;
接收所述云端存储的工业互联网边缘设备行为检测模型;
将所述当前流量特征信息输入至位于所述边缘层处的工业互联网边缘设备行为检测模型中,确定物理设备当前行为;所述行为包括良性行为和恶性行为;
所述云端用于训练、存储和更新工业互联网边缘设备行为检测模型;
所述工业互联网边缘设备行为检测模型是在云端处采用若干个样本数据对IWEL模型进行训练后得到的模型;所述样本数据包括输入数据以及对应的标签数据;所述输入数据为样本流量特征信息,所述标签数据为物理设备行为。
8.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至6中任一项所述的工业互联网边缘设备行为检测方法。
9.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的工业互联网边缘设备行为检测方法。
CN202211486596.1A 2022-11-25 2022-11-25 工业互联网边缘设备行为检测方法、装置、设备及介质 Active CN115580490B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211486596.1A CN115580490B (zh) 2022-11-25 2022-11-25 工业互联网边缘设备行为检测方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211486596.1A CN115580490B (zh) 2022-11-25 2022-11-25 工业互联网边缘设备行为检测方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN115580490A CN115580490A (zh) 2023-01-06
CN115580490B true CN115580490B (zh) 2023-03-24

Family

ID=84590722

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211486596.1A Active CN115580490B (zh) 2022-11-25 2022-11-25 工业互联网边缘设备行为检测方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN115580490B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112769796A (zh) * 2020-12-30 2021-05-07 华北电力大学 一种基于端侧边缘计算的云网端协同防御方法及***
CN113556354A (zh) * 2021-07-29 2021-10-26 国家工业信息安全发展研究中心 一种基于流量分析的工业互联网安全威胁检测方法与***
CN114666088A (zh) * 2021-12-30 2022-06-24 爱普(福建)科技有限公司 工业网络数据行为信息的侦测方法、装置、设备和介质
WO2022221389A1 (en) * 2021-04-14 2022-10-20 The Curators Of The University Of Missouri Method and system for intelligent and scalable misbehavior detection of heterogeneous iot devices at network edge

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11627151B2 (en) * 2018-10-31 2023-04-11 General Electric Company Industrial asset cyber-attack detection algorithm verification using secure, distributed ledger

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112769796A (zh) * 2020-12-30 2021-05-07 华北电力大学 一种基于端侧边缘计算的云网端协同防御方法及***
WO2022221389A1 (en) * 2021-04-14 2022-10-20 The Curators Of The University Of Missouri Method and system for intelligent and scalable misbehavior detection of heterogeneous iot devices at network edge
CN113556354A (zh) * 2021-07-29 2021-10-26 国家工业信息安全发展研究中心 一种基于流量分析的工业互联网安全威胁检测方法与***
CN114666088A (zh) * 2021-12-30 2022-06-24 爱普(福建)科技有限公司 工业网络数据行为信息的侦测方法、装置、设备和介质

Also Published As

Publication number Publication date
CN115580490A (zh) 2023-01-06

Similar Documents

Publication Publication Date Title
Alshamkhany et al. Botnet attack detection using machine learning
CN108696543B (zh) 基于深度森林的分布式反射拒绝服务攻击检测、防御方法
Staudemeyer et al. Extracting salient features for network intrusion detection using machine learning methods
CN107370752B (zh) 一种高效的远控木马检测方法
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
CN102420723A (zh) 一种面向多类入侵的异常检测方法
Abdullah et al. Performance evaluation of a genetic algorithm based approach to network intrusion detection system
CN111224994A (zh) 一种基于特征选择的僵尸网络检测方法
CN112800424A (zh) 一种基于随机森林的僵尸网络恶意流量监测方法
CN111523588B (zh) 基于改进的lstm对apt攻击恶意软件流量进行分类的方法
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
CN111935185B (zh) 基于云计算构建大规模诱捕场景的方法及***
CN107209834A (zh) 恶意通信模式提取装置、恶意通信模式提取***、恶意通信模式提取方法及恶意通信模式提取程序
Ghalehgolabi et al. Intrusion detection system using genetic algorithm and data mining techniques based on the reduction
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
CN116684877A (zh) 一种基于gyac-lstm的5g网络流量异常检测方法及***
CN111125702A (zh) 一种病毒识别方法及装置
CN110650157B (zh) 基于集成学习的Fast-flux域名检测方法
CN111447169B (zh) 一种在网关上的实时恶意网页识别方法及***
CN115580490B (zh) 工业互联网边缘设备行为检测方法、装置、设备及介质
Little et al. Spectral clustering technique for classifying network attacks
Yang et al. Multi-class DRDoS attack detection method based on feature selection
CN114330504B (zh) 基于Sketch的网络恶意流量检测方法
CN114362972B (zh) 一种基于流量摘要和图采样的僵尸网络混合检测方法及***
CN112929364B (zh) 一种基于icmp隧道分析的数据泄漏检测方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant