发明内容
本申请实施例提供一种边缘计算场景的入侵检测方法及设备,用于解决现有技术中的如下技术问题:在对边缘侧进行入侵检测时,入侵检测系统准确率低以及无法满足实时性的需求。
一方面,本申请实施例提供了一种边缘计算场景的入侵检测方法,方法包括:边缘计算节点获取入侵检测模型;根据本地计算资源、边缘侧应用以及连接的智能终端设备,确定入侵检测模型的联邦学习训练计划;根据联邦学习训练计划,确定训练数据集;根据训练数据集,对入侵检测模型进行更新,确定更新的入侵检测模型。
一个示例中,根据联邦学习训练计划,确定训练数据集,具体包括:向智能终端设备发送入侵检测模型的联邦学习训练计划的数据要求、计算资源要求、奖励机制,以确定智能终端设备参与者;将入侵检测模型发送至智能终端设备参与者,以接收智能终端设备参与者上传的中间数据、以及托管数据;基于托管数据,确定本地的中间数据;根据智能终端设备参与者的中间数据,以及本地的中间数据,确定训练数据集。
一个示例中,将入侵检测模型发送至智能终端设备参与者之前,方法包括:智能终端设备根据各自的性能状况以及数据隐私要求,确定参与方式。
一个示例中,参与方式,包括以下至少一种:参与入侵检测模型的联邦学习训练任务;参与入侵检测模型的联邦学习推理任务;将本地数据托管至边缘计算节点。
一个示例中,参与入侵检测模型的联邦学习训练任务,具体包括:根据入侵检测模型的联邦学习训练任务的数据要求,确定相应的本地数据;根据相应的本地数据,通过本地入侵检测模型确定中间数据。
一个示例中,基于托管数据,确定本地的中间数据,具体包括:基于智能终端设备参与者的托管数据;并确定智能终端设备参与者的网络传输数据、本地应用访问数据、本地操作行为数据;通过本地入侵检测模型,确定中间数据。
一个示例中,根据训练数据集,对入侵检测模型进行更新,确定更新的入侵检测模型,具体包括:根据训练数据集,对入侵检测模型进行梯度更新,确定更新的入侵检测模型。
一个示例中,在确定更新的入侵检测模型之后,方法还包括:根据更新的入侵检测模型,对边缘侧网络传输与智能终端设备进行入侵检测;在获取到告警数据时,记录事件特征并发送云数据中心,以使云数据中心确定事件数据库。
一个示例中,根据更新的入侵检测模型,对边缘侧网络传输与智能终端设备进行入侵检测之前,方法还包括:将更新的入侵检测模型发送至云数据中心,以使云数据中心融合多个边缘计算节点对应的更新的入侵检测模型,对入侵检测模型进行更新。
另一方面,本申请实施例提供了一种边缘计算场景的入侵检测设备,该设备包括处理器、存储器和存储在前述存储器上的执行指令,前述执行指令设置成在被前述处理器执行时能够使前述设备执行上述任一项技术方案所述的方法。
本领域技术人员能够理解的是,本申请实施例通过联合边缘计算节点和智能终端设备,对入侵检测模型进行联邦学习训练,形成针对边端场景的更新的入侵检测模型,在保护用户数据隐私的同时,减轻了云数据中心的数据存储压力,同时也减少了云边数据传输,缓解云边的网络传输压力,能够更加准确、及时、合理的实现对边缘侧网络传输和智能终端设备进行入侵检测即时监控。
进一步,通过云数据中心收集边缘侧的异常事件数据,形成事件数据库,进一步改进入侵检测效率和准确率。
更进一步,通过云数据中心聚合来自边缘计算节点训练得到的入侵检测模型,持续优化入侵检测模型,并下发给边缘计算节点。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。本领域技术人员应当理解的是,本节具体实施方式中所描述的实施例仅是本申请的一部分实施例,而不是本申请的全部实施例。基于本节具体实施方式中所描述的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都不会偏离本申请的技术原理,因此都应当落入到本申请的保护范围内。
下面参照附图来对本申请的一些实施例进行详细说明。
图1为本申请实施例提供的一种边缘计算场景的入侵检测系统示意图。
如图1所示,边缘计算场景的入侵检测系统至少包括:云数据中心100、若干边缘计算节点,包括边缘计算节点210、边缘计算节点220以及边缘计算节点230等。其中,边缘计算节点210包括:智能终端设备310以及智能终端设备320等,边缘计算节点220包括智能终端设备330、智能终端设备340以及智能终端设备350等,边缘计算节点230包括智能终端设备360等。
需要说明的是,本申请实施例的边缘计算场景的入侵检测系统设置有若干边缘计算节点,若干边缘计算节点中各边缘计算节点与云数据中心100分别进行连接,边缘计算节点的数量可以是一个,也可以设置有多个,如图1所示,分别设置有边缘计算节点210、边缘计算节点220以及边缘计算节点230。本申请实施例中,为方便描述,以下以边缘计算节点210为例进行解释说明。
在一个实施例中,云数据中心100聚集大量的计算存储资源,提供面向边缘计算和联邦学习的云基础设施服务。
边缘计算节点210可以是边缘计算微数据中心或者边缘服务器,具有相对较强的计算存储网络能力,同时与云数据中心100连接,由云数据中心100统一管理,并将云端的服务在边缘计算节点210上提供对应的服务,同时承载用户在边缘侧运行的应用。
边缘计算节点210作为边缘侧联邦学习的中央协调服务中心,与智能终端设备共同完成入侵检测模型联邦学习训练、推理。
智能终端设备是具有AI能力和网络能力的物联网设备,与边缘计算节点210实现互联,同时可以接收指令完成操作,也可以具备交互能力。并且智能终端设备根据业务场景的需要拥有不同的计算资源,可以选择参与入侵检测模型联邦学习训练任务,也可以只参与入侵检测模型联邦学习推理任务,或者将数据托管给边缘计算节点210来完成入侵检测模型联邦学习训练和推理任务。
入侵检测模型是深度学习模型,通过模型训练,学习出智能终端活动的反常行为的模式。
另外,由边缘计算节点210为智能终端设备及应用提供入侵检测服务,融合传统的规则方式以及联邦学习入侵检测两种方式,包括数据收集、入侵检测分析、异常响应等。
需要说明的是,本申请实施例中边缘侧包括边缘计算节点、智能终端设备。
在一个实施例中,边缘计算节点210通过获取入侵检测模型,然后根据本地计算资源、边缘侧应用以及连接的智能终端设备,确定入侵检测模型的联邦学习训练计划;根据联邦学习训练计划,确定训练数据集;根据训练数据集,对入侵检测模型进行更新,确定更新的入侵检测模型。
基于前文的描述,本领域技术人员能够理解的是,本申请实施例通过联合边缘计算节点和智能终端设备,对入侵检测模型进行联邦学习训练,形成针对边端场景的更新的入侵检测模型,在保护用户数据隐私的同时,减轻了云数据中心的数据存储压力,同时也减少了云边数据传输,缓解云边的网络传输压力,能够更加准确、及时、合理的实现对边缘侧网络传输和智能终端设备进行入侵检测即时监控。
本申请实施例具体如何确定更新的入侵检测模型,将通过图2具体解释说明。
如图2所示,图2为本申请实施例提供的一种边缘计算场景的入侵检测方法流程图,可以具体包括:
步骤S101:边缘计算节点获取入侵检测模型。
具体地,在边缘计算节点210获取入侵检测模型之前,方法包括:
云数据中心100收集大量的网络访问日志及访问行为数据训练通用入侵检测模型,并将通用入侵检测模型进行优化,以适合边缘计算场景,下发到边缘计算节点210。
也就是说,在本申请实施例中,入侵检测模型为优化之后的通用入侵检测模型。
步骤S102:根据本地计算资源、边缘侧应用以及连接的智能终端设备,确定入侵检测模型的联邦学习训练计划。
联邦学习训练计划包括确定联邦学习训练任务、联邦学习训练推理任务,传输的数据格式、安全网络信道通道等。
步骤S103:根据联邦学习训练计划,确定训练数据集。
具体地,边缘计算节点210向连接的智能终端设备发送入侵检测联邦学习模型训练任务和推理任务的数据要求、计算资源要求及奖励机制,招募智能终端设备共同参与。
智能终端设备通过访问边缘计算节点210,根据各自的智能终端设备性能状况及数据隐私要求,确定参与方式。
其中,参与方式包括参与入侵检测模型联邦学习训练任务、参与入侵检测模型联邦学习推理任务或者将本地数据托管给边缘计算节点210等。例如,智能终端设备310参与入侵检测模型联邦学习训练任务,智能终端设备320将本地数据托管给边缘计算节点210。
边缘计算节点210将入侵检测模型分发给智能终端设备参与者。
智能终端设备参与者按照入侵检测模型训练任务的数据要求,从而确定相应的本地数据。如果采用数据托管方式,则将本地数据通过安全网络信道传输到边缘计算节点210。如果采用参与入侵检测模型的联邦学习训练任务,则基于本地数据,通过本地入侵检测模型计算出中间数据,然后汇聚到边缘计算节点210的中央协调服务中心。
其中,智能终端设备的本地数据包括网络流量数据、状态数据、行为数据、日志文件等多类数据。
边缘计算节点210接收智能终端设备的托管数据,并确定智能终端设备参与者的的网络传输数据、边缘计算节点210的本地应用访问数据、操作行为数据等信息。然后通过本地入侵检测模型,计算中间数据,然后汇聚到本地的中央协调服务中心。
边缘计算节点210根据智能终端设备参与者的中间数据,以及本地的中间数据,确定训练数据集。
步骤S104:根据训练数据集,对入侵检测模型进行更新,确定更新的入侵检测模型。
具体地,边缘计算节点210的中央协调服务中心基于汇集的中间数据,计算梯度,更新入侵检测模型参数,确定更新的入侵检测模型新的入侵检测模型。
在一个实施例中,按照步骤S102制定的训练计划,反复执行步骤S103至步骤S104,选择网络及资源空闲时段进行模型训练。
在确定更新的入侵检测模型之后,边缘计算节点210将更新的入侵检测模型发至连接的智能终端设备。
并且边缘计算节点210通过更新的入侵检测模型,结合传统的设定规则检测,根据智能终端设备及边缘计算节点210运行应用的要求,对边端网络传输和智能终端进行入侵检测即时监控。
在一个实施例中,如果智能终端设备参与到入侵检测推理过程,则需要根据更新的入侵检测模型计算其中间数据,然后将中间数据上传至边缘计算节点210。
边缘计算节点210将智能终端参与者的中间的数据汇集到本地的中央协调服务中心,然后计算出推理结果。
在智能终端设备执行入侵检测过程中,发现异常将产生告警及时上报边缘计算节点210。
需要说明的是,边缘计算节点210也可以通过更新的入侵检测模型,进行入侵检测,从而发现异常将产生告警。
边缘计算节点210接收到告警数据,采取反应措施,并记录该事件的特征,待到网络空闲时刻上传到云数据中心100。
云数据中心100接收来自边缘计算中心210的数据,形成事件数据库,以持续改进入侵检测效率和准确率。
基于前文的描述,本领域人员可以理解的是,本申请实施例通过云数据中心收集边缘侧的异常事件数据,形成事件数据库,进一步改进入侵检测效率和准确率。
在一个实施例中,在确定更新的入侵检测模型之后,边缘计算节点210将更新的入侵检测模型上传到云数据中心100。
需要说明的是,边缘计算节点220、边缘计算节点230也将更新的入侵检测模型上传到云数据中心100。其中,对于具体如何确定更新的入侵检测模型,在此不再进行解释说明,请参照边缘计算节点210确定更新的入侵检测模型的实施过程。
云数据中心100将边缘计算节点210、边缘计算节点220以及边缘计算节点230的模型进行融合,从而得到更新的入侵检测模型,并下发给边缘计算节点210、边缘计算节点220以及边缘计算节点230。也就是说,此处更新的入侵检测模型为更新的通用入侵检测模型。
基于前文的描述,本领域技术人员能够理解的是,本申请实施例通过云数据中心聚合来自边缘计算节点训练得到的入侵检测模型,可以持续更新入侵检测模型,并下发给边缘计算节点。
如图3所示,本申请还提供了一种边缘计算场景的入侵检测设备。该设备在硬件层面上包括处理器,可选地还包括存储器和总线,此外该设备还允许包括其它业务所需要的硬件。
其中,存储器用于存放执行指令,该执行指令具体是能够被执行的计算机程序。进一步,存储器可以包括内存和非易失性存储器(non-volatile memory),并向处理器提供执行指令和数据。示例性地,内存可以是高速随机存取存储器(Random-Access Memory,RAM),非易失性存储器可以是至少1个磁盘存储器。
其中,总线用于将处理器、存储器和网络接口相互连接到一起。该总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线、EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为了便于表示,图3中仅用一个双向箭头表示,但这并不表示仅有一根总线或一种类型的总线。
在上述设备的一种可行的实施方式中,处理器可以先从非易失性存储器中读取对应的执行指令到内存中再运行,也可以先从其它设备上获取相应的执行指令再运行。处理器在执行存储器所存放的执行指令时,能够实现本申请上述任意一个方法实施例中的方法。
本领域技术人员能够理解的是,上述的方法可以应用于处理器中,也可以借助处理器来实现。示例性地,处理器是一种集成电路芯片,具有处理信号的能力。在处理器执行方法的过程中,上述方法的各步骤可以通过处理器中硬件形式的集成逻辑电路或软件形式的指令完成。进一步,上述处理器可以是通用处理器,例如中央处理器(CentralProcessing Unit,CPU)、网络处理器(Network Processor,NP)、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件、微处理器以及其它任何常规的处理器。
本领域技术人员还能够理解的是,本申请上述方法实施例的步骤可以被硬件译码处理器执行完成,也可以被译码处理器中的硬件和软件模块组合执行完成。其中,软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等其它本领域成熟的存储介质中。该存储介质位于存储器中,处理器读取存储器中的信息之后结合其硬件完成上述方法实施例中步骤的执行。
本领域技术人员能够理解的是,本申请上述的方法实施例能够以方法的形式或计算机程序产品的形式来展现。因此,本申请的技术方案可以采用全硬件的方式来实施,也可以采用全软件的形式来实施,还可以采用软件与硬件相结合的形式来实施。
需要说明的是,为了突出本申请上述多个实施例彼此之间的不同之处,本申请上述的多个实施例之间是以并列的方式和/或递进的方式来进行布局和描述的,并且后面的实施例仅重点说明了其与其它实施例之间的不同之处,各个实施例之间相同或相似的部分可以互相参照。举例说明,对于装置/产品实施例而言,由于装置/产品实施例与方法实施例基本相似,所以描述的相对比较简单,相关之处参见方法实施例对应部分的说明即可。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请技术原理之内所作的任何修改、等同替换、改进等,均应落入本申请的保护范围之内。