CN112436969A - 一种物联网设备管理方法、系统、设备及介质 - Google Patents
一种物联网设备管理方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN112436969A CN112436969A CN202011328096.6A CN202011328096A CN112436969A CN 112436969 A CN112436969 A CN 112436969A CN 202011328096 A CN202011328096 A CN 202011328096A CN 112436969 A CN112436969 A CN 112436969A
- Authority
- CN
- China
- Prior art keywords
- internet
- things equipment
- things
- equipment
- events
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims description 31
- 230000006399 behavior Effects 0.000 claims abstract description 121
- 230000002776 aggregation Effects 0.000 claims abstract description 62
- 238000004220 aggregation Methods 0.000 claims abstract description 62
- 238000000034 method Methods 0.000 claims abstract description 34
- 230000004931 aggregating effect Effects 0.000 claims abstract description 14
- 238000004422 calculation algorithm Methods 0.000 claims description 33
- 238000010801 machine learning Methods 0.000 claims description 20
- 238000013145 classification model Methods 0.000 claims description 17
- 238000012360 testing method Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 15
- 238000001514 detection method Methods 0.000 claims description 12
- 238000012549 training Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 8
- 238000007637 random forest analysis Methods 0.000 claims description 3
- 238000012706 support-vector machine Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000005577 local transmission Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/10—Detection; Monitoring
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开了一种物联网设备管理方法、系统、设备及介质,该方法包括:获取目标物联网设备相关的运行事件,并对所述运行事件进行聚合以得到聚合事件;所述运行事件包括所述目标物联网设备的自身运行事件和上下文运行事件;识别所述聚合事件对应的行为特征;基于所述行为特征判断所述目标物联网设备是否存在危险行为。本申请基于目标物联网设备的自身运行事件和上下文运行事件进行危险行为的判断,扩大了识别物联网设备的范围,可以基于更加全面的数据判断物联网设备是否存在危险行为,提高了对物联网设备的识别和管理能力。
Description
技术领域
本发明涉及物联网领域,特别涉及一种物联网设备管理方法、系统、设备及介质。
背景技术
随着物联网(即IoT,Internet of Things)技术的飞速发展,各种类别、类型、品牌、型号的物联网设备在日常生活中发挥着重要的作用,如家用路由器、IP、Camera、网络打印机、工业物联网中的工业控制系统(Industrial Control System)等。这些设备在被分配公网IP地址的情况下,可以借助互联网进行设备之间的交互和管理;但随之而来的是这些设备缺乏安全防护,或者设计上的缺陷,或者软件漏洞的曝光,导致黑客可以利用这些不安全因素实施恶意行为。
通用技术中,通过深度报文检测(DPI,Deep Packet Inspection)技术和设备指纹识别技术对物联网设备进行识别,由于物联网设备在软硬件功能及实现上存在差异性,因此能够根据这些差异建立设备指纹模型来提取设备指纹,并通过与设备响应报文中的特征信息比对进行设备识别。例如,Ztag识别工具基于设备应用层通用协议或工业控制协议,采用正则表达式构建设备指纹,实现设备类型识别的框架;Nmap识别工具基于通用协议实现关键字或协议标语格式的差异性,利用正则表达式构建设备指纹并进行匹配识别;但这两种识别工具支持的设备类型较少且识别能力有限,而少量的设备指纹无法满足大规模物联网设备识别的需求,并且识别过程中设备指纹的提取都依赖于对设备特征差异性的长期观察积累建立设备指纹模型,识别的实时性较差,降低了识别物联网设备的能力。
发明内容
有鉴于此,本发明的目的在于提供一种物联网设备管理方法、系统、设备及介质,能够扩大识别物联网设备的范围,提高识别和管理物联网设备的能力。其具体方案如下:
第一方面,本申请公开了一种物联网设备管理方法,包括:
获取目标物联网设备相关的运行事件,并对所述运行事件进行聚合以得到聚合事件;所述运行事件包括所述目标物联网设备的自身运行事件和上下文运行事件;
识别所述聚合事件对应的行为特征;
基于所述行为特征判断所述目标物联网设备是否存在危险行为。
可选的,所述获取目标物联网设备相关的运行事件,包括:
获取所述目标物联网设备的自身运行事件;
确定与所述目标物联网设备通信的操作设备,并获取所述操作设备的运行事件,以得到所述目标物联网设备的上下文运行事件。
可选的,所述对所述运行事件进行聚合以得到聚合事件,包括:
基于预设的事件聚合规则对所述运行事件进行聚合以得到所述聚合事件;其中,所述事件聚合规则包括事件类型聚合规则和/或时间聚合规则。
可选的,所述基于所述行为特征判断所述目标物联网设备是否存在危险行为,包括:
基于所述行为特征对所述目标物联网设备进行分类,以确定出风险物联网设备;
利用预先基于机器学习算法创建的行为检测模型,对所述风险物联网设备进行检测,以判断所述风险物联网设备是否存在危险行为。
可选的,所述基于所述行为特征对所述目标物联网设备进行分类,以确定出风险物联网设备,包括:
将所述行为特征与历史样本行为特征进行特征匹配,根据匹配结果对所述目标物联网设备进行分类,以确定出所述风险物联网设备;
和/或,通过预先基于机器学习算法创建的设备分类模型,并根据所述行为特征对所述目标物联网设备进行分类,以确定出所述风险物联网设备。
可选的,所述设备分类模型的创建过程,包括:
将获取的所述聚合事件和对应的行为特征分为两部分,以得到训练数据集和测试数据集;
利用所述训练数据集中的聚合事件和对应的行为特征,对基于机器学习算法构建的空白模型进行训练,得到训练后模型;
利用所述测试数据集中的聚合事件和对应的行为特征,对所述训练后模型进行测试,若测试成功则将所述训练后模型作为所述设备分类模型。
可选的,所述行为检测模型和所述设备分类模型均为基于机器学习算法创建得到的模型;所述机器学习算法包括支持向量机算法、随机森林算法、朴素贝叶斯算法和K邻近算法中的任意一项。
第二方面,本申请公开了一种物联网设备管理系统,包括:
聚合模块,用于获取目标物联网设备相关的运行事件,并对所述运行事件进行聚合以得到聚合事件;所述运行事件包括所述目标物联网设备的自身运行事件和上下文运行事件;
特征确定模块,用于识别所述聚合事件对应的行为特征;
行为判定模块,用于基于所述行为特征判断所述目标物联网设备是否存在危险行为。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的物联网设备管理方法。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中计算机程序被处理器执行时实现前述的物联网设备管理方法。
本申请通过获取目标物联网设备相关的运行事件,并对所述运行事件进行聚合以得到聚合事件,然后识别所述聚合事件对应的行为特征,最后基于所述行为特征判断所述目标物联网设备是否存在危险行为,其中,运行事件包括所述目标物联网设备的自身运行事件和上下文运行事件。可见,通过获取目标物联网设备的自身运行事件和上下文运行事件,并对运行时间进行聚合后识别聚合事件对应的行为特征,并根据行为特征判断目标物联网设备是否存在危险行为,本申请基于目标物联网设备的自身运行事件和上下文运行事件进行危险行为的判断,扩大了识别物联网设备的范围,可以基于更加全面的数据判断物联网设备是否存在危险行为,提高了对物联网设备的识别和管理能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种物联网设备管理方法流程图;
图2为本申请提供的一种物联网设备管理系统结构示意图;
图3为本申请提供的一种具体的物联网设备管理方法流程图;
图4为本申请提供的一种具体的物联网设备管理系统结构示意图;
图5为本申请提供的一种电子设备结构图。
具体实施方式
现有技术中,通过深度报文检测技术和设备指纹识别技术对物联网设备进行识别,但可识别的设备类型较少且识别能力有限,降低了识别物联网设备的能力。为克服上述问题,本申请提供了一种物联网设备分类和安全管理方法,可以提高对物联网设备的识别和管理能力。
本申请实施例公开了一种物联网设备管理方法,参见图1所示,该方法可以包括以下步骤:
步骤S11:获取目标物联网设备相关的运行事件,并对所述运行事件进行聚合以得到聚合事件;所述运行事件包括所述目标物联网设备的自身运行事件和上下文运行事件。
本实施例中,首先获取目标物联网设备相关的运行事件,其中,上述运行事件包括目标物联网设备的自身运行事件和上下文运行事件;上述自身运行事件为目标物联网设备本身的运行事件,例如,物联网设备与特定用户的交互事件,办公室照明系统的定时关闭事件;上述上下文运行事件为与目标物联网设备存在通信的操作设备的运行事件。在获取到上述运行事件后,对运行事件进行聚合处理,以得到聚合后的聚合事件,具体的,可以根据预设的事件聚合规则对运行事件进行聚合处理。
步骤S12:识别所述聚合事件对应的行为特征。
本实施例中,在得到上述聚合事件后,识别聚合事件对应的行为特征,以确定相应的目标物联网设备包含的行为特征,具体的,可以根据上述聚合事件的事件元数据(即Matadata)确定出相应的行为特征。
步骤S13:基于所述行为特征判断所述目标物联网设备是否存在危险行为。
本实施例中,在确定出上述行为特征后,基于行为特征判断目标物联网设备是否存在危险行为,可以理解的是,若上述行为特征为行为异常,则可以认为相应的聚合事件对应的目标物联网设备存在被攻击的风险,进而进一步通过相应的行为特征或运行事件,去检测该目标物联网设备是否存在危险行为;由此,可以更加有效的检测出目标物联网设备的危险行为,进而阻断物联网设备的攻击。
本实施例中,对物联网设备的管理结构可以如图2所示,首先可以由数据汇集节点(ITF,IoT Fog)获取目标物联网设备的运行事件,然后将运行事件通过预设传输协议传输给IoT设备上下文行为特征识别和安全管理系统(IoT Cloud),以便IoT设备上下文行为特征识别和安全管理系统对目标物联网设备进行行为特征识别和管理;其中,上述传输协议可以为MQTT(Message Queuing Telemetry Transport,即消息队列遥测传输)协议;上述数据汇集节点和上述IoT设备上下文行为特征识别和安全管理系统,可以采取分布式部署,也可以部署在一起。
由上可见,本实施例通过获取目标物联网设备相关的运行事件,并对所述运行事件进行聚合以得到聚合事件,然后识别所述聚合事件对应的行为特征,最后基于所述行为特征判断所述目标物联网设备是否存在危险行为,其中,运行事件包括所述目标物联网设备的自身运行事件和上下文运行事件。可见,本申请基于目标物联网设备的自身运行事件和上下文运行事件进行危险行为的判断,扩大了识别物联网设备的范围,可以基于更加全面的数据判断物联网设备是否存在危险行为,提高了对物联网设备的识别和管理能力。
本申请实施例公开了一种具体的物联网设备管理方法,参见图3所示,该方法可以包括以下步骤:
步骤S21:获取所述目标物联网设备的自身运行事件,
本实施例中,首先获取目标物联网设备的自身运行事件,例如,物联网设备与特定用户的交互事件,办公室照明系统的定时关闭事件。
步骤S22:确定与所述目标物联网设备通信的操作设备,并获取所述操作设备的运行事件,以得到所述目标物联网设备的上下文运行事件。
本实施例中,在获取到目标物联网设备的自身运行事件后,基于自身运行事件可以确定出与目标物联网设备存在通信的操作设备或系统,进一步,获取上述操作设备或系统的运行事件作为目标物联网设备的上下文运行事件。
步骤S23:基于预设的事件聚合规则对所述运行事件进行聚合以得到所述聚合事件;其中,所述事件聚合规则包括事件类型聚合规则和/或时间聚合规则。
本实施例中,在获取到目标物联网设备的运行事件后,基于预设的事件聚合规则对获取的运行事件进行聚合处理,得到聚合后的聚合事件,其中,上述事件聚合规则可以为事件类型聚合规则和/或时间聚合规则;可以理解的是,事件聚合规则可以为针对事件类型的聚合规则,例如基于特定事件进行聚合,当获取的运行事件为预设的特定事件时,即该运行事件触发了相应的事件聚合规则时,对获取的所有运行事件进行聚合,以得到聚合事件;同时,事件聚合规则可以为针对单个目标物联网设备的聚合规则,例如,可以根据预设时间间隔并且在确保事件有效性的情况下,对某个目标物联网的运行事件进行聚合,对该目标物联网设备的运行事件进行数据冗余处理后,得到相应的聚合事件。并且,上述事件聚合规则可以为缺省规则,根据场景以及后续目标物联网设备的运行状况进行调整,以更加适应目标物联网设备的运行特点。
步骤S24:识别所述聚合事件对应的行为特征。
步骤S25:基于所述行为特征对所述目标物联网设备进行分类,以确定出风险物联网设备。
本实施例中,在识别出聚合事件体现的行为特征后,基于行为特征对相应的物联网设备进行分类,以确定出存在攻击风险的风险物联网设备,可以理解的是,若识别出的行为特征为行为异常,则可以确定相应的目标物联网设备为风险物联网设备。
本实施例中,所述基于所述行为特征对所述目标物联网设备进行分类,以确定出风险物联网设备,可以包括:将所述行为特征与历史样本行为特征进行特征匹配,根据匹配结果对所述目标物联网设备进行分类,以确定出所述风险物联网设备;和/或,通过预先基于机器学习算法创建的设备分类模型,并根据所述行为特征对所述目标物联网设备进行分类,以确定出所述风险物联网设备。可以理解的是,通过将获取的行为特征与历史样本行为特征进行特征匹配,然后根据匹配结果对目标物联网设备进行分类,以确定出风险物联网设备;对于通过特征匹配不能确定的行为特征,可以将行为特征输入预先基于机器学习算法创建的设备分类模型,以对目标物联网设备进行分类确定出风险物联网设备,并对每个类别的目标物联网设备添加相应的标签,并生成相应的分类报表。
本实施例中,所述设备分类模型的创建过程,可以包括:将获取的所述聚合事件和对应的行为特征分为两部分,以得到训练数据集和测试数据集;利用所述训练数据集中的聚合事件和对应的行为特征,对基于机器学习算法构建的空白模型进行训练,得到训练后模型;利用所述测试数据集中的聚合事件和对应的行为特征,对所述训练后模型进行测试,若测试成功则将所述训练后模型作为所述设备分类模型。可以理解的是,在利用测试数据对训练后模型进行测试时,若测试结果为分类成功即含有分类标签,则将该训练后模型作为设备分类模型并保存;若测试失败,则对未标记的数据集执行基于聚类的分类,如果分类成功,可以通过人工的方式添加标签,进而确定设备分类模型。如果分类失败了,则反馈相应的错误信息以便重新构建设备分类模型。
步骤S26:利用预先基于机器学习算法创建的行为检测模型,对所述风险物联网设备进行检测,以判断所述风险物联网设备是否存在危险行为。
本实施例中,在确定出风险物联网设备后,利用预先基于机器学习算法创建的行为检测模型,对风险物联网设备的运行事件进行检测以判断风险物联网设备是否存在危险行为,并根据检测结果生成相应的危险行为报告。其中,上述行为检测模型和设备分类模型均为基于机器学习算法创建得到的模型,其中,机器学习算法包括支持向量机算法、随机森林算法、朴素贝叶斯算法和K邻近算法中的任意一个。
其中,关于上述步骤S24的具体过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
由上可见,本实施例通过预设的事件聚合规则对运行事件进行聚合以得到聚合事件,在得到行为特征后,所述行为特征所述目标物联网设备进行分类,以确定出风险物联网设备,然后利用预先基于机器学习算法创建的行为检测模型,对风险物联网设备进行检测,以判断风险物联网设备是否存在危险行为;通过机器学习算法构建的设备分类模型和行为检测模型实时检测目标物联网设备的危险行为,由此提高了物联网设备识别的实时性,增强了物联网设备的安全管理能力。
相应的,本申请实施例还公开了一种物联网设备管理系统,参见图4所示,该系统包括:
聚合模块11,用于获取目标物联网设备相关的运行事件,并对所述运行事件进行聚合以得到聚合事件;所述运行事件包括所述目标物联网设备的自身运行事件和上下文运行事件;
特征确定模块12,用于识别所述聚合事件对应的行为特征;
行为判定模块13,用于基于所述行为特征判断所述目标物联网设备是否存在危险行为。
本实施例中,上述特征确定模块12和行为判定模块13,可以结合作为上述物联网设备管理系统中的特征识别和行为判定子系统,该子系统与上述聚合模块11可以采取分布式部署,也可以部署在一起;聚合模块11在获取到运行事件后,将运行事件的事件元数据通过本地传输单元传输给特征识别和行为判定子系统,以便进行行为识别和判定。
本实施例通过获取目标物联网设备的自身运行事件和上下文运行事件,并对运行时间进行聚合后识别聚合事件对应的行为特征,并根据行为特征判断目标物联网设备是否存在危险行为。可见,基于目标物联网设备的自身运行事件和上下文运行事件进行危险行为的判断,扩大了识别物联网设备的范围,可以基于更加全面的数据判断物联网设备是否存在危险行为,提高了对物联网设备的识别和管理能力。
在一些具体实施例中,所述聚合模块11具体可以包括:
自身运行事件获取单元,用于获取所述目标物联网设备的自身运行事件;
上下文运行事件获取单元,用于确定与所述目标物联网设备通信的操作设备,并获取所述操作设备的运行事件,以得到所述目标物联网设备的上下文运行事件;
聚合单元,用于基于预设的事件聚合规则对所述运行事件进行聚合以得到所述聚合事件;其中,所述事件聚合规则包括事件类型聚合规则和/或时间聚合规则。
在一些具体实施例中,所述行为判定模块13具体可以包括:
分类单元,用于基于所述行为特征对所述目标物联网设备进行分类,以确定出风险物联网设备;
检测单元,用于利用预先基于机器学习算法创建的行为检测模型,对所述风险物联网设备进行检测,以判断所述风险物联网设备是否存在危险行为。
进一步的,本申请实施例还公开了一种电子设备,参见图5所示,图中的内容不能被认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的物联网设备管理方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及包括运行事件在内的数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的物联网设备管理方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述任一实施例公开的物联网设备管理方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种物联网设备管理方法、系统、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种物联网设备管理方法,其特征在于,包括:
获取目标物联网设备相关的运行事件,并对所述运行事件进行聚合以得到聚合事件;所述运行事件包括所述目标物联网设备的自身运行事件和上下文运行事件;
识别所述聚合事件对应的行为特征;
基于所述行为特征判断所述目标物联网设备是否存在危险行为。
2.根据权利要求1所述的物联网设备管理方法,其特征在于,所述获取目标物联网设备相关的运行事件,包括:
获取所述目标物联网设备的自身运行事件;
确定与所述目标物联网设备通信的操作设备,并获取所述操作设备的运行事件,以得到所述目标物联网设备的上下文运行事件。
3.根据权利要求1所述的物联网设备管理方法,其特征在于,所述对所述运行事件进行聚合以得到聚合事件,包括:
基于预设的事件聚合规则对所述运行事件进行聚合以得到所述聚合事件;其中,所述事件聚合规则包括事件类型聚合规则和/或时间聚合规则。
4.根据权利要求1所述的物联网设备管理方法,其特征在于,所述基于所述行为特征判断所述目标物联网设备是否存在危险行为,包括:
基于所述行为特征对所述目标物联网设备进行分类,以确定出风险物联网设备;
利用预先基于机器学习算法创建的行为检测模型,对所述风险物联网设备进行检测,以判断所述风险物联网设备是否存在危险行为。
5.根据权利要求4所述的物联网设备管理方法,其特征在于,所述基于所述行为特征对所述目标物联网设备进行分类,以确定出风险物联网设备,包括:
将所述行为特征与历史样本行为特征进行特征匹配,根据匹配结果对所述目标物联网设备进行分类,以确定出所述风险物联网设备;
和/或,通过预先基于机器学习算法创建的设备分类模型,并根据所述行为特征对所述目标物联网设备进行分类,以确定出所述风险物联网设备。
6.根据权利要求5所述的物联网设备管理方法,其特征在于,所述设备分类模型的创建过程,包括:
将获取的所述聚合事件和对应的行为特征分为两部分,以得到训练数据集和测试数据集;
利用所述训练数据集中的聚合事件和对应的行为特征,对基于机器学习算法构建的空白模型进行训练,得到训练后模型;
利用所述测试数据集中的聚合事件和对应的行为特征,对所述训练后模型进行测试,若测试成功则将所述训练后模型作为所述设备分类模型。
7.根据权利要求5或6任一项所述的物联网设备管理方法,其特征在于,所述行为检测模型和所述设备分类模型均为基于机器学习算法创建得到的模型;所述机器学习算法包括支持向量机算法、随机森林算法、朴素贝叶斯算法和K邻近算法中的任意一项。
8.一种物联网设备管理系统,其特征在于,包括:
聚合模块,用于获取目标物联网设备相关的运行事件,并对所述运行事件进行聚合以得到聚合事件;所述运行事件包括所述目标物联网设备的自身运行事件和上下文运行事件;
特征确定模块,用于识别所述聚合事件对应的行为特征;
行为判定模块,用于基于所述行为特征判断所述目标物联网设备是否存在危险行为。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的物联网设备管理方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中计算机程序被处理器执行时实现如权利要求1至7任一项所述的物联网设备管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011328096.6A CN112436969A (zh) | 2020-11-24 | 2020-11-24 | 一种物联网设备管理方法、系统、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011328096.6A CN112436969A (zh) | 2020-11-24 | 2020-11-24 | 一种物联网设备管理方法、系统、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112436969A true CN112436969A (zh) | 2021-03-02 |
Family
ID=74694570
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011328096.6A Pending CN112436969A (zh) | 2020-11-24 | 2020-11-24 | 一种物联网设备管理方法、系统、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112436969A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117135623A (zh) * | 2023-10-24 | 2023-11-28 | 奥鼎智通(北京)科技有限公司 | 一种6g下d2d数据安全传输方法、系统及存储介质 |
CN117914605A (zh) * | 2024-01-24 | 2024-04-19 | 河南能睿科技有限公司 | 用于工业物联网的微分段防护方法及相关产品 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107391244A (zh) * | 2017-07-11 | 2017-11-24 | 重庆邮电大学 | 一种基于混合调度模型的物联网操作系统调度方法 |
CN107862468A (zh) * | 2017-11-23 | 2018-03-30 | 深圳市智物联网络有限公司 | 设备风险识别模型建立的方法及装置 |
CN109981617A (zh) * | 2019-03-12 | 2019-07-05 | 深圳市智物联网络有限公司 | 一种物联网设备监控方法、系统及电子设备和存储介质 |
CN110855703A (zh) * | 2019-11-22 | 2020-02-28 | 秒针信息技术有限公司 | 智能风险识别系统、方法和电子设备 |
US20200076846A1 (en) * | 2018-08-30 | 2020-03-05 | CloudPost Networks, Inc. | Presenting, At A Graphical User Interface, Device Photos And Risk Categories Associated With Devices In A Network |
CN111010387A (zh) * | 2019-12-10 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种物联网设备非法替换检测方法、装置、设备及介质 |
CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
CN111953778A (zh) * | 2020-08-12 | 2020-11-17 | 北京泊菲莱科技有限公司 | 一种物联网管理系统 |
-
2020
- 2020-11-24 CN CN202011328096.6A patent/CN112436969A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107391244A (zh) * | 2017-07-11 | 2017-11-24 | 重庆邮电大学 | 一种基于混合调度模型的物联网操作系统调度方法 |
CN107862468A (zh) * | 2017-11-23 | 2018-03-30 | 深圳市智物联网络有限公司 | 设备风险识别模型建立的方法及装置 |
US20200076846A1 (en) * | 2018-08-30 | 2020-03-05 | CloudPost Networks, Inc. | Presenting, At A Graphical User Interface, Device Photos And Risk Categories Associated With Devices In A Network |
CN109981617A (zh) * | 2019-03-12 | 2019-07-05 | 深圳市智物联网络有限公司 | 一种物联网设备监控方法、系统及电子设备和存储介质 |
CN110855703A (zh) * | 2019-11-22 | 2020-02-28 | 秒针信息技术有限公司 | 智能风险识别系统、方法和电子设备 |
CN111010387A (zh) * | 2019-12-10 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种物联网设备非法替换检测方法、装置、设备及介质 |
CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
CN111953778A (zh) * | 2020-08-12 | 2020-11-17 | 北京泊菲莱科技有限公司 | 一种物联网管理系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117135623A (zh) * | 2023-10-24 | 2023-11-28 | 奥鼎智通(北京)科技有限公司 | 一种6g下d2d数据安全传输方法、系统及存储介质 |
CN117135623B (zh) * | 2023-10-24 | 2024-01-23 | 奥鼎智通(北京)科技有限公司 | 一种6g下d2d数据安全传输方法、系统及存储介质 |
CN117914605A (zh) * | 2024-01-24 | 2024-04-19 | 河南能睿科技有限公司 | 用于工业物联网的微分段防护方法及相关产品 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11586972B2 (en) | Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs | |
US7792049B2 (en) | Techniques for modeling and evaluating protocol interactions | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
US8676965B2 (en) | Tracking high-level network transactions | |
US10911479B2 (en) | Real-time mitigations for unfamiliar threat scenarios | |
CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
CN111866016B (zh) | 日志的分析方法及系统 | |
KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
CN111488577B (zh) | 一种基于人工智能的模型建立方法和风险评估方法及装置 | |
US7802009B2 (en) | Automatic reverse engineering of message formats from network traces | |
US20130291108A1 (en) | Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining | |
US11182163B1 (en) | Customizable courses of action for responding to incidents in information technology environments | |
US20100305990A1 (en) | Device classification system | |
CN112118249B (zh) | 基于日志和防火墙的安全防护方法及装置 | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
CN112436969A (zh) | 一种物联网设备管理方法、系统、设备及介质 | |
CN117332095A (zh) | 一种基于资产探测的网络空间知识图谱构建方法 | |
CN113704772A (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
CN113849820A (zh) | 一种漏洞检测方法及装置 | |
CN113886829B (zh) | 一种失陷主机检测方法、装置、电子设备及存储介质 | |
CN112714118B (zh) | 网络流量检测方法和装置 | |
EP3848822B1 (en) | Data classification device, data classification method, and data classification program | |
CN116405261A (zh) | 基于深度学习的恶意流量检测方法、系统及存储介质 | |
US20230254340A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210302 |