CN113518090A - 一种边缘计算架构物联网入侵检测方法和系统 - Google Patents

一种边缘计算架构物联网入侵检测方法和系统 Download PDF

Info

Publication number
CN113518090A
CN113518090A CN202110816037.1A CN202110816037A CN113518090A CN 113518090 A CN113518090 A CN 113518090A CN 202110816037 A CN202110816037 A CN 202110816037A CN 113518090 A CN113518090 A CN 113518090A
Authority
CN
China
Prior art keywords
internet
things
edge computing
node
vulnerability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110816037.1A
Other languages
English (en)
Other versions
CN113518090B (zh
Inventor
沈士根
沈亦周
刘建华
黄龙军
方朝曦
李琪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Shaoxing
Original Assignee
University of Shaoxing
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Shaoxing filed Critical University of Shaoxing
Priority to CN202110816037.1A priority Critical patent/CN113518090B/zh
Publication of CN113518090A publication Critical patent/CN113518090A/zh
Application granted granted Critical
Publication of CN113518090B publication Critical patent/CN113518090B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/15Correlation function computation including computation of convolution operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种边缘计算架构物联网入侵检测方法和系统。当前动作周期T的检测时刻t,进行以下步骤:S1、对于待检测的物联网节点,进行漏洞扫描获得物联网节点所包含的漏洞集合,S2、根据漏洞扫描结果、历史记录的物联网节点状态st、边缘计算设备采取动作nt、物联网系统统计的成本收益矩阵、以及当前检测时刻t物联网节点的状态st,计算当前时刻对物联网节点采取行动nt的系统收益v(t);S3、获取使得系统收益v(t)最大的边缘计算设备的动作nT,当t时刻与t‑1时刻的系统收益差异小于预设阈值ω,则接受该结果,将动作nt作为边缘计算设备对待检测物联网节点的动作

Description

一种边缘计算架构物联网入侵检测方法和系统
技术领域
本发明属于物联网技术领域,更具体地,涉及一种边缘计算架构物联网入侵检测方法和系统。
背景技术
随着近几年物联网应用技术的更新发展,如今的各个行业领域如民生、工商以及军事等受到物联网技术的影响日益增大,因此其安全性问题愈发得到重视。在面对隐私暴露、身份冒充以及恶意程序等恶意网络攻击行为时,迫切需要建立安全的物联网安全防护体系。物联网入侵检测系统作为一种主动防御的技术,能在恶意程序入侵物联网时发出警告并采取合适的入侵防御动作,以此来保证物联网系统的安全性、私密性和完整性。然而,入侵检测系统通常需要消耗大量的计算资源,这给物联网入侵检测系统部署入侵检测代理带来了问题。
边缘计算作为一种新的计算模型,向下接受物联网设备的接入,向上和云端对接,通过提供具备较强网络、计算、存储、应用等能力的边缘服务器,能提供智能感知、安全隐私保护、数据分析、智能计算、过程优化和实时控制等时间敏感服务。边缘计算模式的出现,为物联网应用提供了更多优势,比如减小物联网应用程序中的延迟问题,提高物联网网络性能,降低物联网营运成本,保证物联网资源的合理使用等。对原来很难在物联网设备上部署物联网入侵检测代理的问题,可将这些入侵检测代理部署到边缘计算服务器中,从而解决入侵检测系统需要消耗大量计算资源的问题,因此,边缘计算为物联网入侵检测系统的应用带来了新思路。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种边缘计算架构物联网入侵检测方法和系统,其目的在于通过布设在边缘计算节点上的基于增强学习的物联网检测方法及系统,针对当前环境,基于此环境建立一个马尔可夫决策过程,通过增强学习的学习者与环境交互学习,得到最优动作策略,可调用云服务器进行环境检测,在边缘计算节点上完成动作决策,可显著的缩短物联网入侵检测的时间,并且随着不断的使用过程,决策能力提高而不会额外增加决策时间,由此解决现有的入侵检测系统需要消耗大量计算资源、决策时间长的技术问题。
为实现上述目的,按照本发明的一个方面,提供了1.一种边缘计算架构物联网入侵检测方法,其特征在于,在当前动作周期T的检测时刻t,进行以下步骤:
S1、对于待检测的物联网节点,进行漏洞扫描获得物联网节点所包含的漏洞集合,根据漏洞评分系统获得漏洞集合中每一漏洞i的访问向量αi、访问复杂度βi、以及授权值γi,i=1,2,...,K,其中K为扫描到的漏洞数量,即漏洞集合的大小
S2、根据步骤S1的漏洞扫描结果、历史记录的物联网节点状态st、边缘计算设备采取动作nt、物联网系统统计的成本收益矩阵、以及当前检测时刻t物联网节点的状态st,计算当前时刻对物联网节点采取行动nt的系统收益v(t);其中t=1,2,...;
S3、根据步骤S2的计算结果,获取使得系统收益v(t)最大的边缘计算设备的动作nT,当t时刻与t-1时刻的系统收益差异小于预设阈值ω,则接受该结果,将动作nt作为边缘计算设备对待检测物联网节点的动作
Figure BDA0003170144790000021
否则,进入下一检测时刻t+1,重复步骤S1至S3。
优选地,所述边缘计算架构物联网入侵检测方法,其步骤S1边缘计算设备调用云计算设备的安全扫描系统对待检测物联网节点进行漏洞扫描。
优选地,所述边缘计算架构物联网入侵检测方法,其物联网节点状态st、当前检测时刻t物联网节点的状态sT∈S,S表示物联网节点的状态空间,S={s1,s2},其中,s1表示正常状态,s2表示异常状态,并且正常和异常状态只和当前环境有关,与之前的环境无关。
优选地,所述边缘计算架构物联网入侵检测方法,其边缘计算设备采取动作nt、当前时刻对物联网节点采取行动nt∈N,N表示动作空间,边缘计算设备通过选择动作n∈N处理来源于物联网节点的入侵信息。
优选地,所述边缘计算架构物联网入侵检测方法,其所述系统收益v(t)按照如下方法计算:
Figure BDA0003170144790000031
其中y(st,nt)为当前检测时刻t物联网节点处于状态st且边缘计算设备采取动作nt的奖励,ζ为折扣系数,
Figure BDA0003170144790000032
为互联网节点状态转换的概率,
Figure BDA0003170144790000033
为物联网节点处于状态
Figure BDA0003170144790000037
且边缘计算设备采取动作nt的系统收益。
优选地,所述边缘计算架构物联网入侵检测方法,其所述系统收益v(t)按照如下方法计算:
Figure BDA0003170144790000034
其中,v(t-1)为检测时刻t-1计算的系统收益,优选按照如下方法迭代计算:
Figure BDA0003170144790000035
优选地,所述边缘计算架构物联网入侵检测方法,其当前检测时刻t物联网节点处于状态st且边缘计算设备采取动作nt的奖励y(st,nt),按照如下方法计算:
Figure BDA0003170144790000036
其中,k(s1|s2)为从异常状态s2转移到正常状态s1的概率函数,k(s1|s2)∈K,k(s2|s1)为从正常状态s1转移到异常状态s2的概率函数,k(s2|s1)∈K,lattack表示恶意程序成功攻击物联网节点给边缘计算架构物联网造成的损失,cdetect表示边缘计算设备检测恶意程序的成本,bdetect表示边缘计算设备成功检测恶意程序的收益,以上数据读取自成本收益矩阵。
优选地,所述边缘计算架构物联网入侵检测方法,其从异常状态s2转移到正常状态s1的概率函数k(s1|s2)为边缘计算设备的入侵检测系统的检出率δ,即:
k(s1|s2)=δ
从正常状态s1转移到异常状态s2的概率函数k(s2|s1),根据为物联网节点漏洞被攻击导致物联网节点处于异常状态的概率:
Figure BDA0003170144790000041
其中k(s2|s1)i表示漏洞i被攻击导致物联网节点处于异常状态的概率,按照如下经验公式估算:
k(s2|s1)i=2×αi×βi×γi
其中,αi表示边缘计算架构物联网漏洞i的访问向量,βi表示边缘计算架构物联网漏洞i的访问复杂度,γi表示边缘计算架构物联网漏洞i的授权值,αi、βi、γi的值根据行业公开的通用漏洞评分系统CVSS中给出的漏洞可利用性指标来确定。
Figure BDA0003170144790000043
为互联网节点状态转换的概率,即k(s2|s1)、k(s1|s2)。
优选地,所述边缘计算架构物联网入侵检测方法,其物联网节点处于状态s且边缘计算架构物联网入侵检测系统采取动作n的系统收益函数v(s,n),定义如下:
Figure BDA0003170144790000042
其中,E(·)表示期望值;ζ表示折扣系数,意味着未来的奖励相对于当前奖励的重要程度;t为检测时刻。
按照本发明的另一个方面,提供了一种边缘计算架构物联网入侵检测系统,其包括云服务器、以及边缘计算节点;其中:
所述云服务器,具有高性能计算能力,用于被边缘计算节点调用运行安全扫描系统,对待检测物联网节点进行漏洞扫描;
所述边缘计算设备,用于执行本发明提供的边缘计算架构物联网入侵检测方法,对待检测的物联网节点进行检测并采取相应动作。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
本发明提出了一种基于增强学习的边缘计算架构物联网入侵检测方法和系统。首先基于增强学习原理,建立边缘计算架构物联网入侵检测系统的马尔科夫决策过程,使用迭代算法得到最优动作策略。通过这种方法优化边缘计算架构物联网入侵检测策略,提高入侵检测准确率并减少误报率。同时,因为使用边缘计算设备实现入侵检测的核心工作任务,有效降低了系统时延,提高了整个边缘计算架构物联网入侵检测系统的效率,使得系统耗能减少,速度变快。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
增强学习技术是一种基于奖励的学习,依赖于与环境的交互作用。其中,学习者根据来自环境的反馈来学习其行为,并尝试改进自身行为。增强学习最重要的一点是从基础开始寻找一种从状态映射到行动的策略,并不断地累积从而达到最大化的输出映射奖励。目前,物联网入侵检测系统的发展更多侧重于追求主动防御技术,结合边缘计算和增强学习技术,可以为物联网入侵检测系统提供更高效和精准的检测技术。
本文给出一种基于增强学习的边缘计算架构物联网入侵检测方法。首先对边缘计算架构物联网入侵检测环境建模,并基于此环境建立一个马尔可夫决策过程。通过增强学习的学习者与环境交互学习,得到最优动作策略。具体实施时,采用基于折扣的累积奖励策略,通过迭代算法来获得边缘计算架构物联网入侵检测系统最优动作解。
本发明提供的边缘计算架构物联网入侵检测方法,在当前动作周期T的检测时刻t,进行以下步骤:
S1、对于待检测的物联网节点,进行漏洞扫描获得物联网节点所包含的漏洞集合,根据漏洞评分系统获得漏洞集合中每一漏洞i的访问向量αi、访问复杂度βi、以及授权值γi,i=1,2,...,K,其中K为扫描到的漏洞数量,即漏洞集合的大小。
优选,边缘计算设备调用云计算设备的安全扫描系统对待检测物联网节点进行漏洞扫描。
S2、根据步骤S1的漏洞扫描结果、历史记录的物联网节点状态st、边缘计算设备采取动作nt、物联网系统统计的成本收益矩阵、以及当前检测时刻t物联网节点的状态st,计算当前时刻对物联网节点采取行动nt的系统收益v(t);其中t=1,2,...;物联网节点状态st、当前检测时刻t物联网节点的状态sT∈S,S表示物联网节点的状态空间,S={s1,s2},其中,s1表示正常状态,s2表示异常状态,并且正常和异常状态只和当前环境有关,与之前的环境无关;边缘计算设备采取动作nt、当前时刻对物联网节点采取行动nt∈N,N表示动作空间,边缘计算设备通过选择动作n∈N处理来源于物联网节点的入侵信息。
所述系统收益v(t)按照如下方法计算:
Figure BDA0003170144790000071
其中y(st,nt)为当前检测时刻t物联网节点处于状态st且边缘计算设备采取动作nt的奖励,ζ为折扣系数,
Figure BDA0003170144790000072
为互联网节点状态转换的概率,
Figure BDA0003170144790000073
为物联网节点处于状态
Figure BDA0003170144790000076
且边缘计算设备采取动作nt的系统收益。具体而言:
当前检测时刻t物联网节点处于状态st且边缘计算设备采取动作nt的奖励y(st,nt),按照如下方法计算:
Figure BDA0003170144790000074
其中,k(s1|s2)为从异常状态s2转移到正常状态s1的概率函数,k(s1|s2)∈K,k(s2|s1)为从正常状态s1转移到异常状态s2的概率函数,k(s2|s1)∈K,lattack表示恶意程序成功攻击物联网节点给边缘计算架构物联网造成的损失,cdetect表示边缘计算设备检测恶意程序的成本,bdetect表示边缘计算设备成功检测恶意程序的收益,以上数据读取自成本收益矩阵。
从异常状态s2转移到正常状态s1的概率函数k(s1|s2)为边缘计算设备的入侵检测系统的检出率δ,即:
k(s1|s2)=δ
从正常状态s1转移到异常状态s2的概率函数k(s2|s1),根据为物联网节点漏洞被攻击导致物联网节点处于异常状态的概率:
Figure BDA0003170144790000075
其中k(s2|s1)i表示漏洞i被攻击导致物联网节点处于异常状态的概率,按照如下经验公式估算:
k(s2|s1)i=2×αi×βi×γi
其中,αi表示边缘计算架构物联网漏洞i的访问向量,βi表示边缘计算架构物联网漏洞i的访问复杂度,γi表示边缘计算架构物联网漏洞i的授权值,αi、βi、γi的值根据行业公开的通用漏洞评分系统CVSS中给出的漏洞可利用性指标来确定。
Figure BDA0003170144790000085
为互联网节点状态转换的概率,即k(s2|s1)、k(s1|s2)。
物联网节点处于状态s且边缘计算架构物联网入侵检测系统采取动作n的系统收益函数v(s,n),定义如下:
Figure BDA0003170144790000081
其中,E(·)表示期望值;ζ表示折扣系数,意味着未来的奖励相对于当前奖励的重要程度;t检测时刻;v(t-1)为检测时刻t-1计算的系统收益,优选按照如下方法迭代计算:
Figure BDA0003170144790000082
S3、根据步骤S2的计算结果,获取使得系统收益v(t)最大的边缘计算设备的动作nT,当t时刻与t-1时刻的系统收益差异小于预设阈值ω,则接受该结果,将动作nt作为边缘计算设备对待检测物联网节点的动作
Figure BDA0003170144790000083
记作:
Figure BDA0003170144790000084
否则,进入下一检测时刻t+1,重复步骤S1至S3。
本发明提供的边缘计算架构物联网入侵检测系统,包括云服务器、以及边缘计算节点;其中:
所述云服务器,具有高性能计算能力,用于被边缘计算节点调用运行安全扫描系统,对待检测物联网节点进行漏洞扫描;
所述边缘计算设备,用于执行本发明提供的边缘计算架构物联网入侵检测方法,对待检测的物联网节点进行检测并采取相应动作。
以下为实施例:
在目前的入侵检测方法中,行为正常与否的阈值相对难以确定。同时也存在着误报、漏报率过高和建模时间较长等问题。基于此,本发明提供的边缘计算架构物联网入侵检测方法,基于增强学习和马尔可夫决策过程并使用边缘设备执行该物联网入侵检测方法,从而在较短的时间内,进行无模型判断,并随着使用时间的推移,提高检测精度。
具体思想如下:将增强学习引入边缘计算架构物联网入侵检测系统中,在入侵检测中设置增强学习中的四要素:学习者、奖励函数、环境和策略。通过建立边缘计算架构物联网入侵检测系统的马尔可夫决策过程,最终得到边缘计算架构物联网入侵检测系统价值函数的最优动作解。
定义边缘计算架构物联网入侵检测系统的马尔可夫决策过程:
(1)边缘计算架构物联网入侵检测系统中的边缘计算设备为学习者。
(2)S表示物联网节点的状态空间,S={s1,s2},其中,s1表示正常状态,s2表示异常状态,并且正常和异常状态只和当前环境有关,与之前的环境无关。
(3)N表示动作空间,学习者通过选择动作n∈N用于分析来源于物联网节点的入侵信息,动作例如放行、隔离、修复等等。
(4)
Figure BDA0003170144790000091
表示物联网节点状态转移概率,对从正常状态s1转移到异常状态s2的概率函数k(s2|s1)∈K,以及从异常状态s2转移到正常状态s1的概率函数k(s1|s2)∈K,定义为:
k(s2|s1)i=2×αi×βi×γi
k(s2|s1)=1-Π(1-k(s2|s1)i)
k(s1|s2)=δ
其中,αi表示边缘计算架构物联网漏洞i的访问向量,βi表示边缘计算架构物联网漏洞i的访问复杂度,γi表示边缘计算架构物联网漏洞i的授权值,αi、βi、γi的值根据行业公开的通用漏洞评分系统CVSS中给出的漏洞可利用性指标来确定;δ表示边缘计算架构物联网入侵检测系统的检测率。
(5)
Figure BDA0003170144790000101
表示奖励,在时间t物联网节点处于状态st且边缘计算架构物联网入侵检测系统采取动作nt的奖励函数yt(st,nt)∈Y定义为
Figure BDA0003170144790000102
其中,lattack表示恶意程序成功攻击物联网节点给边缘计算架构物联网造成的损失,cdetect表示边缘计算架构物联网检测恶意程序的成本,bdetect表示边缘计算架构物联网成功检测恶意程序的收益。
求解边缘计算架构物联网入侵检测系统的马尔可夫决策过程:
(1)定义价值函数v(st,nt)
物联网节点处于状态s且边缘计算架构物联网入侵检测系统采取动作n的价值函数v(st,nt)定义为
Figure BDA0003170144790000103
其中,E(·)表示期望值;ζ表示折扣系数,意味着未来的奖励相对于当前奖励的重要程度。
(2)计算边缘计算架构物联网入侵检测系统在时间t采取的最优动作
Figure BDA0003170144790000104
Figure BDA0003170144790000105
基于以上分析,本实施例提供的边缘计算架构物联网入侵检测方法,采用迭代算法获取当前检测时刻T时刻的边缘计算设备对待检测设备的最优动作,在当前动作周期T的检测时刻t进行以下步骤:
S1、边缘计算设备调用云计算设备的安全扫描系统对待检测物联网节点进行漏洞扫描,根据漏洞评分系统获得漏洞集合中每一漏洞i的访问向量αi、访问复杂度βi、以及授权值γi,i=1,2,...,K,其中K为扫描到的漏洞数量,即漏洞集合的大小。
S2、根据步骤S1的漏洞扫描结果、上一检测时刻系统收益v(t-1),物联网系统统计的成本收益矩阵、以及当前检测时刻t物联网节点的状态st,计算当前时刻对物联网节点采取行动nt的系统收益v(t);
所述系统收益v(t)按照如下方法计算:
Figure BDA0003170144790000111
其中y(st,nt)为t时刻物联网节点处于状态st且边缘计算设备采取动作nt的奖励,ζ为折扣系数,
Figure BDA0003170144790000112
为互联网节点状态转换的概率。
当前检测时刻t物联网节点处于状态st且边缘计算设备采取动作nt的奖励y(st,nt),按照如下方法计算:
Figure BDA0003170144790000113
其中,k(s1|s2)为从异常状态s2转移到正常状态s1的概率函数,k(s1|s2)∈K,k(s2|s1)为从正常状态s1转移到异常状态s2的概率函数,k(s2|s1)∈K,lattack表示恶意程序成功攻击物联网节点给边缘计算架构物联网造成的损失,cdetect表示边缘计算设备检测恶意程序的成本,bdetect表示边缘计算设备成功检测恶意程序的收益,以上数据读取自成本收益矩阵。
从异常状态s2转移到正常状态s1的概率函数k(s1|s2)为边缘计算设备的入侵检测系统的检出率δ,即:
k(s1|s2)=δ
从正常状态s1转移到异常状态s2的概率函数k(s2|s1),根据为物联网节点漏洞被攻击导致物联网节点处于异常状态的概率:
Figure BDA0003170144790000114
其中k(s2|s1)i表示漏洞i被攻击导致物联网节点处于异常状态的概率,按照如下经验公式估算:
k(s2|s1)i=2×αi×βi×γi
其中,αi表示边缘计算架构物联网漏洞i的访问向量,βi表示边缘计算架构物联网漏洞i的访问复杂度,γi表示边缘计算架构物联网漏洞i的授权值,αi、βi、γi的值根据行业公开的通用漏洞评分系统CVSS中给出的漏洞可利用性指标来确定。
Figure BDA0003170144790000121
为互联网节点状态转换的概率,即k(s2|s1)、k(s1|s2)。
S3、根据步骤S2的计算结果,获取使得系统收益v(t)最大的边缘计算设备的动作nT,当t时刻与t-1时刻的系统收益差异小于预设阈值ω,则接受该结果,将动作nt作为边缘计算设备对待检测物联网节点的动作
Figure BDA0003170144790000122
记作:
Figure BDA0003170144790000123
否则,进入下一检测时刻t+1,重复步骤S1至S3。
以上过程可表示为以下伪代码:
Figure BDA0003170144790000124
Figure BDA0003170144790000133
至此,得到的边缘计算架构物联网入侵检测系统动作
Figure BDA0003170144790000132
表示边缘计算架构物联网入侵检测系统在时间t可采取的最优动作,此时边缘计算架构物联网入侵检测系统将获得最优的长期价值。
应用本实施例提供的入侵检测方法的边缘计算架构物联网入侵检测系统,包括云服务器、以及边缘计算节点;其中:
所述云服务器,具有高性能计算能力,用于被边缘计算节点调用运行安全扫描系统,对待检测物联网节点进行漏洞扫描;
所述边缘计算设备,用于执行本发明提供的边缘计算架构物联网入侵检测方法,对待检测的物联网节点进行检测并采取相应动作。
云服务器和边缘计算设备构成设备层,其中边缘计算设备的主要任务是从物联网中收集相关的信息数据(入侵样本)。入侵检测服务由多个入侵检测云服务器提供,其与物联网设备层通过边缘计算设备连接。
边缘计算设备提供入侵检测服务层,通过入侵检测服务器构建采用边缘计算架构的学习系统,根据边缘计算架构物联网入侵检测方法学习边缘计算架构物联网入侵检测系统的最优动作。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种边缘计算架构物联网入侵检测方法,其特征在于,在当前动作周期T的检测时刻t,进行以下步骤:
S1、对于待检测的物联网节点,进行漏洞扫描获得物联网节点所包含的漏洞集合,根据漏洞评分系统获得漏洞集合中每一漏洞i的访问向量αi、访问复杂度βi、以及授权值γi,i=1,2,...,K,其中K为扫描到的漏洞数量,即漏洞集合的大小;
S2、根据步骤S1的漏洞扫描结果、历史记录的物联网节点状态st、边缘计算设备采取动作nt、物联网系统统计的成本收益矩阵、以及当前检测时刻t物联网节点的状态st,计算当前时刻对物联网节点采取行动nt的系统收益v(t);其中t=1,2,...;
S3、根据步骤S2的计算结果,获取使得系统收益v(t)最大的边缘计算设备的动作nT,当t时刻与t-1时刻的系统收益差异小于预设阈值ω,则接受该结果,将动作nt作为边缘计算设备对待检测物联网节点的动作
Figure FDA0003170144780000011
否则,进入下一检测时刻t+1,重复步骤S1至S3。
2.如权利要求1所述的边缘计算架构物联网入侵检测方法,其特征在于,步骤S1边缘计算设备调用云计算设备的安全扫描系统对待检测物联网节点进行漏洞扫描。
3.如权利要求1所述的边缘计算架构物联网入侵检测方法,其特征在于物联网节点状态st、当前检测时刻t物联网节点的状态sT∈S,S表示物联网节点的状态空间,S={s1,s2},其中,s1表示正常状态,s2表示异常状态,并且正常和异常状态只和当前环境有关,与之前的环境无关。
4.如权利要求1所述的边缘计算架构物联网入侵检测方法,其特征在于,边缘计算设备采取动作nt、当前时刻对物联网节点采取行动nt∈N,N表示动作空间,边缘计算设备通过选择动作n∈N处理来源于物联网节点的入侵信息。
5.如权利要求1所述的边缘计算架构物联网入侵检测方法,其特征在于,所述系统收益v(t)按照如下方法计算:
Figure FDA0003170144780000021
其中y(st,nt)为当前检测时刻t物联网节点处于状态st且边缘计算设备采取动作nt的奖励,ζ为折扣系数,
Figure FDA0003170144780000022
为互联网节点状态转换的概率,
Figure FDA0003170144780000023
为物联网节点处于状态
Figure FDA0003170144780000024
且边缘计算设备采取动作nt的系统收益。
6.如权利要求5所述的边缘计算架构物联网入侵检测方法,其特征在于,所述系统收益v(t)按照如下方法计算:
Figure FDA0003170144780000025
其中,v(t-1)为检测时刻t-1计算的系统收益,优选按照如下方法迭代计算:
Figure FDA0003170144780000026
7.如权利要求5所述的边缘计算架构物联网入侵检测方法,其特征在于,当前检测时刻t物联网节点处于状态st且边缘计算设备采取动作nt的奖励y(st,nt),按照如下方法计算:
Figure FDA0003170144780000027
其中,k(s1|s2)为从异常状态s2转移到正常状态s1的概率函数,k(s1|s2)∈K,k(s2|s1)为从正常状态s1转移到异常状态s2的概率函数,k(s2|s1)∈K,lattack表示恶意程序成功攻击物联网节点给边缘计算架构物联网造成的损失,cdetect表示边缘计算设备检测恶意程序的成本,bdetect表示边缘计算设备成功检测恶意程序的收益,以上数据读取自成本收益矩阵。
8.如权利要求5所述的边缘计算架构物联网入侵检测方法,其特征在于,从异常状态s2转移到正常状态s1的概率函数k(s1|s2)为边缘计算设备的入侵检测系统的检出率δ,即:
k(s1|s2)=δ
从正常状态s1转移到异常状态s2的概率函数k(s2|s1),根据为物联网节点漏洞被攻击导致物联网节点处于异常状态的概率:
Figure FDA0003170144780000031
其中k(s2|s1)i表示漏洞i被攻击导致物联网节点处于异常状态的概率,按照如下经验公式估算:
k(s2|s1)i=2×αi×βi×γi
其中,αi表示边缘计算架构物联网漏洞i的访问向量,βi表示边缘计算架构物联网漏洞i的访问复杂度,γi表示边缘计算架构物联网漏洞i的授权值,αi、βi、γi的值根据行业公开的通用漏洞评分系统CVSS中给出的漏洞可利用性指标来确定。
Figure FDA0003170144780000032
为互联网节点状态转换的概率,即k(s2|s1)、k(s1|s2)。
9.如权利要求5所述的边缘计算架构物联网入侵检测方法,其特征在于,物联网节点处于状态s且边缘计算架构物联网入侵检测系统采取动作n的系统收益函数v(s,n),定义如下:
Figure FDA0003170144780000033
其中,E(·)表示期望值;ζ表示折扣系数,意味着未来的奖励相对于当前奖励的重要程度;t为检测时刻。
10.一种边缘计算架构物联网入侵检测系统,其特征在于,包括云服务器、以及边缘计算节点;其中:
所述云服务器,具有高性能计算能力,用于被边缘计算节点调用运行安全扫描系统,对待检测物联网节点进行漏洞扫描;
所述边缘计算设备,用于执行权利要求1至9任意一项所述的边缘计算架构物联网入侵检测方法,对待检测的物联网节点进行检测并采取相应动作。
CN202110816037.1A 2021-07-20 2021-07-20 一种边缘计算架构物联网入侵检测方法和系统 Active CN113518090B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110816037.1A CN113518090B (zh) 2021-07-20 2021-07-20 一种边缘计算架构物联网入侵检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110816037.1A CN113518090B (zh) 2021-07-20 2021-07-20 一种边缘计算架构物联网入侵检测方法和系统

Publications (2)

Publication Number Publication Date
CN113518090A true CN113518090A (zh) 2021-10-19
CN113518090B CN113518090B (zh) 2023-08-01

Family

ID=78068042

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110816037.1A Active CN113518090B (zh) 2021-07-20 2021-07-20 一种边缘计算架构物联网入侵检测方法和系统

Country Status (1)

Country Link
CN (1) CN113518090B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785819A (zh) * 2022-03-08 2022-07-22 南京工业大学 一种基于边缘计算的工业互联网安全防护方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871829A (zh) * 2016-03-25 2016-08-17 广州赛宝认证中心服务有限公司 基于云计算环境的入侵检测系统配置方法和装置
CN107220540A (zh) * 2017-04-19 2017-09-29 南京邮电大学 基于强化学习的入侵检测方法
CN111163519A (zh) * 2019-12-27 2020-05-15 东北大学秦皇岛分校 系统收益最大化的无线体域网资源分配与任务卸载算法
US10754959B1 (en) * 2017-01-20 2020-08-25 University Of South Florida Non-linear stochastic models for predicting exploitability
CN111711666A (zh) * 2020-05-27 2020-09-25 梁宏斌 一种基于强化学习的车联网云计算资源优化方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871829A (zh) * 2016-03-25 2016-08-17 广州赛宝认证中心服务有限公司 基于云计算环境的入侵检测系统配置方法和装置
US10754959B1 (en) * 2017-01-20 2020-08-25 University Of South Florida Non-linear stochastic models for predicting exploitability
CN107220540A (zh) * 2017-04-19 2017-09-29 南京邮电大学 基于强化学习的入侵检测方法
CN111163519A (zh) * 2019-12-27 2020-05-15 东北大学秦皇岛分校 系统收益最大化的无线体域网资源分配与任务卸载算法
CN111711666A (zh) * 2020-05-27 2020-09-25 梁宏斌 一种基于强化学习的车联网云计算资源优化方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
钱志鸿等: "智能网联交通系统的关键技术与发展", 《电子与信息学报》 *
钱志鸿等: "智能网联交通系统的关键技术与发展", 《电子与信息学报》, no. 01, 15 January 2020 (2020-01-15), pages 7 - 24 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785819A (zh) * 2022-03-08 2022-07-22 南京工业大学 一种基于边缘计算的工业互联网安全防护方法

Also Published As

Publication number Publication date
CN113518090B (zh) 2023-08-01

Similar Documents

Publication Publication Date Title
US10440048B1 (en) Anti-attacking modelling for CMD systems based on GSPN and Martingale theory
US11188643B2 (en) Methods and apparatus for detecting a side channel attack using hardware performance counters
CN113486334A (zh) 网络攻击预测方法、装置、电子设备及存储介质
CN112785157B (zh) 风险识别系统的更新方法及装置、风险识别方法及装置
CN111259404B (zh) 中毒样本生成方法、装置、设备及计算机可读存储介质
WO2023070696A1 (zh) 针对连续学习能力系统的基于特征操纵的攻击和防御方法
CN111754241A (zh) 一种用户行为感知方法、装置、设备及介质
CN115829058B (zh) 训练样本处理方法、跨模态匹配方法、装置、设备和介质
Qin et al. Association analysis-based cybersecurity risk assessment for industrial control systems
CN114218998A (zh) 一种基于隐马尔可夫模型的电力系统异常行为分析方法
EP4009586B1 (en) A system and method for automatically neutralizing malware
CN113518090A (zh) 一种边缘计算架构物联网入侵检测方法和系统
Cheng et al. Water quality monitoring method based on TLD 3D fish tracking and XGBoost
Lu et al. Dance: Enhancing saliency maps using decoys
CN117240632B (zh) 一种基于知识图谱的攻击检测方法和系统
CN117235742B (zh) 一种基于深度强化学习的智能化渗透测试方法与系统
CN115567305B (zh) 基于深度学习的顺序网络攻击预测分析方法
CN115277065B (zh) 一种物联网异常流量检测中的对抗攻击方法及装置
Dehghan et al. Proapt: Projection of apt threats with deep reinforcement learning
Kinneer et al. Modeling observability in adaptive systems to defend against advanced persistent threats
CN114844684A (zh) 一种基于多重融合方法的主动防御网络评估方法及系统
CN111582474B (zh) 神经网络结构探测方法、结构探测模型的训练方法及装置
CN117093997B (zh) 基于平稳多臂老虎机的代码对抗样本生成方法
CN117009970B (zh) 盲特征场景下恶意软件对抗样本生成方法与电子设备
US20240214414A1 (en) Incremental causal graph learning for attack forensics in computer systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant