CN114448830A - 一种设备检测系统及方法 - Google Patents
一种设备检测系统及方法 Download PDFInfo
- Publication number
- CN114448830A CN114448830A CN202210215352.3A CN202210215352A CN114448830A CN 114448830 A CN114448830 A CN 114448830A CN 202210215352 A CN202210215352 A CN 202210215352A CN 114448830 A CN114448830 A CN 114448830A
- Authority
- CN
- China
- Prior art keywords
- flow data
- detected
- data
- edge side
- side gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 197
- 238000000034 method Methods 0.000 title claims abstract description 14
- 230000002159 abnormal effect Effects 0.000 claims abstract description 67
- 238000012549 training Methods 0.000 claims description 25
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000000605 extraction Methods 0.000 claims description 6
- 239000000126 substance Substances 0.000 claims description 4
- 238000013480 data collection Methods 0.000 claims description 2
- 238000005259 measurement Methods 0.000 claims description 2
- 238000006243 chemical reaction Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000013500 data storage Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 238000007405 data analysis Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000010606 normalization Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000008707 rearrangement Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/11—Identifying congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种设备检测系统及方法。该系统包括:终端设备、边缘侧网关以及云端服务器;其中,所述终端设备,用于产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关;所述云端服务器,用于将预先训练完成的异常检测模型发送给所述边缘侧网关;所述边缘侧网关,用于接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。实现降低网络带宽的占用以及更加快速的对终端设备所产生的流量数据进行数据检测,从而可以有效的确定终端设备是否被网络攻击。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种设备检测系统及方法。
背景技术
随着互联网技术的迅速发展,越来越多的终端设备接入云端服务器,从而出现终端设备公开暴露在网络环境的情况,那么终端设备不可避免的会受到网络攻击。
现有技术中,设备检测系统是基于云端服务器以及与该云端服务器连接的终端设备构建而成的系统。云端服务器需要接收与该云端服务器连接的所有终端设备所产生的流量数据,存在网络带宽占用较大的问题。由于云端服务器不仅需要接收大量的流量数据,从而导致存在无法实时对接收到的流量数据进行分析,存在对流量数据分析延时的技术问题。
发明内容
本发明实施例提供了一种设备检测系统及方法,以实现降低网络带宽的占用以及更加快速的对终端设备所产生的流量数据进行数据检测,从而可以有效的确定终端设备是否被网络攻击。
第一方面,本发明实施例提供了一种设备检测系统,该系统包括:终端设备、边缘侧网关以及云端服务器;其中,
所述终端设备,用于产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关;
所述云端服务器,用于将预先训练完成的异常检测模型发送给所述边缘侧网关;
所述边缘侧网关,用于接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。
第二方面,本发明实施例还提供了一种设备检测方法,该方法包括:
通过终端设备产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关;
通过云端服务器将预先训练完成的异常检测模型发送给所述边缘侧网关;
通过所述边缘侧网关接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。
第三方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任意实施例所提供的设备检测方法。
本发明实施例的技术方案,提供一种设备检测系统,系统包括:终端设备、边缘侧网关以及云端服务器。其中,所述终端设备,用于产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关。所述云端服务器,用于将预先训练完成的异常检测模型发送给所述边缘侧网关。所述边缘侧网关,用于接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。本发明实施例的技术方案,解决了现有技术存在网络带宽占用较大以及对流量数据分析延时的问题,实现降低网络带宽的占用以及更加快速的对终端设备所产生的流量数据进行数据检测,从而可以有效的确定终端设备是否被网络攻击,从而达到提升终端设备检测效率的技术效果。
附图说明
为了更加清楚地说明本发明示例性实施例的技术方案,下面对描述实施例中所需要用到的附图做一简单介绍。显然,所介绍的附图只是本发明所要描述的一部分实施例的附图,而不是全部的附图,对于本领域普通技术人员,在不付出创造性劳动的前提下,还可以根据这些附图得到其他的附图。
图1是本发明实施例一提供的一种设备检测系统的结构示意图;
图2是本发明实施例一提供的一种设备检测系统的结构示意图;
图3是本发明实施例二提供的一种设备检测系统的结构示意图;
图4是本发明实施例二提供的一种基于设备检测系统信息发送的示意图;
图5是本发明实施例二提供的一种基于设备检测系统的待检测流量数据处理示意图;
图6是本发明实施例三提供的一种设备检测方法的流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1是本发明实施例一提供的一种设备检测系统的结构示意图,本实施例可适用于对终端设备所产生的流量数据进行检测进而确定终端设备是否被攻击的情况。本实施例的设备检测系统可以包括以下结构:
终端设备110、边缘侧网关120以及云端服务器130;其中,终端设备,用于产生待检测流量数据,并将待检测流量数据发送给边缘侧网关。
其中,终端设备可以理解为能够与边缘侧网关建立连接的设备。终端设备可以用于产生待检测流量数据。终端设备可以包括但不限于手机、平板电脑、笔记本电脑、可穿戴设备、机器人、车辆等。终端设备的数量可以为一个、两个或两个以上。待检测流量数据可以理解为当前需要检测的网络流量数据。待检测流量数据可以包括但不限于业务数据、用户行为数据等。
其中,边缘侧网关可以理解为与终端设备连接的网关。可选的,边缘侧网关可以为路由器。边缘侧网关的数量可以为一个、两个或两个以上。边缘侧网关与终端设备之间的对应关系可以为一对一、一对多或多对多。云端服务器可以为远端服务器。
具体的,在终端设备产生网络流量数据后,可以将终端设备所产生的网络流量数据作为待检测流量数据。也就是在得到终端设备产生的待检测流量数据后,可以将待检测流量数据发送给与终端设备对应的边缘侧网关。
可选的,通过下述方式将待检测流量数据发送给与终端设备对应的边缘侧网关:
在终端设备产生待检测流量数据后,可以确定与所述终端设备通信连接的边缘侧网关,并将与所述终端设备通信连接的边缘侧网关作为目标边缘侧网关。在确定终端设备所连接的目标边缘网关后,可以将终端设备所产生的待检测流量数据发送给目标边缘侧网关。
可选的,通过下述方式确定与终端设备通信连接的边缘侧网关:
基于预先设置的终端设备与边缘侧网关之间的对应关系,可以确定与终端设备通信连接的边缘侧网关。其中,预先设置的终端设备与边缘侧网关之间的对应关系可以是根据设备检测的实际需求设置,在此不做具体限定。本发明实施例中,预先设置的终端设备与边缘侧网关之间的对应关系可以存储至预先创建的用于存储终端设备与边缘侧网关之间的对应关系的数据表,可灵活配置终端设备与边缘侧网关之间的对应关系。
需要说明的是,当边缘侧网关的数量为多个的情况,那么,在本实施例中与不同边缘侧网关连接的终端设备的数量可以相同,也可以不同。参见图2,与云端服务器连接的边缘侧网关可以为边缘侧网关1、边缘侧网关2,与边缘侧网关1连接的终端设备可以为终端设备1、终端设备2以及终端设备3,与边缘侧网关2连接的终端设备可以为终端设备4、终端设备5以及终端设备6。
云端服务器,用于将预先训练完成的异常检测模型发送给边缘侧网关。
其中,异常检测模型可以用于对待检测流量数据进行检测。训练异常检测模型的数据集可以为NSL-KDD数据集。NSL-KDD数据集中的样本数据可以包括至少一条流量数据以及相应的类别标识,如,类别标识可以为正常或非正常。
具体的,通过云端服务器将预先训练完成的异常检测模型发送给与所述云端服务器通信连接的边缘侧网关。可选的,在通过云端服务器将预先训练完成的异常检测模型发送给与所述云端服务器通信连接的边缘侧网关之前,还包括,确定异常检测模型是否训练完成,若是,则可以得到预先训练完成的异常检测模型;若否,则对异常检测模型进行模型训练,以得到训练完成的异常检测模型。
边缘侧网关,用于接收待检测流量数据和预先训练完成的异常检测模型,基于待检测流量数据和预先训练完成的异常检测模型,确定待检测流量数据对应的类别检测结果,基于类别检测结果确定终端设备是否被网络攻击。
其中,类别检测结果可以将待检测流量数据输入至预先训练完成的异常检测模型后所得到的检测结果。类别检测结果可以用于确定与待检测流量数据对应的终端设备是否被网络攻击。类别检测结果可以为正常或异常。
具体的,通过边缘侧网关接收与该边缘侧网关连接的终端设备所产生的待检测流量数据,以及通过边缘侧网关接收云端服务器发送的预先训练完成的异常检测模型。在边缘侧网关接收到待检测流量数据和预先训练完成的异常检测模型后,可以将待检测流量数据输入至预先训练完成的异常检测模型。进而可以得到预先训练完成的异常检测模型输出的与该待检测流量数据对应的类别检测结果。进而可以基于类别检测结果确定待检测流量数据对应的终端设备是否被网络攻击。
可选的,边缘侧网关,用于通过调用用于获取终端设备所产生的待检测流量数据的待检测流量数据获取函数,获取终端设备所产生的待检测流量数据的待检测流量数据。其中,待检测流量数据获取函数可以是基于数据包捕获函数库所开发的函数。可选的,开发待检测流量数据获取函数的软件开发语言可以是C++语言。
可选的,边缘侧网关,用于当确定类别检测结果为异常,则确定终端设备被网络攻击。
具体的,当确定类别检测结果为异常,则可以将类别检测结果为异常所对应的待检测流量数据确定为异常流量数据。进而可以确定该异常流量数据对应的终端设备被网络攻击。可以理解的是,当确定类别检测结果为正常,则可以确定终端设备未被网络攻击。
在此基础上,边缘侧网关,还用于当确定终端设备被网络攻击,则确定终端设备被网络攻击的攻击类型,基于攻击类型确定与攻击类型对应的目标防护策略,并将目标防护策略下发给终端设备。
其中,攻击类型可以理解为网络攻击的类型。攻击类型可以包括但不限于
拒绝服务(Denial of Service,dos)攻击、来自远程主机的未授权访问(R2L)攻击、提权攻击(U2R)、端口监视或扫描(PROBING)攻击等。其中,dos攻击可以包括但不限于syn flood(洪水攻击)、Smurf攻击等。R2L攻击可以为口令暴力破解攻击。U2R攻击可以为缓冲区溢出攻击。PROBING攻击可以为port-scan攻击、ping-sweep攻击等。目标防护策略可以理解为与当前攻击类型对应的防护策略。与当前攻击类型对应的防护策略可以是根据实际需求预先设定的。
具体的,通过边缘侧网关可以确定终端设备是否被网络攻击。如果确定终端设备被网络攻击,则可以对终端设备产生的流量数据进行分析。进而可以得到终端设备被网络攻击的攻击类型。在确定攻击类型后,可以基于攻击类型与防护策略之间的对应关系,确定攻击类型所对应的防护策略,并将攻击类型所对应的防护策略作为目标防护策略。在确定目标防护策略后,可以将目标防护策略下发给终端设备。
终端设备,用于响应于接收到的目标防护策略,中断与边缘侧网关的连接。
具体的,通过终端设备接收边缘侧网关下发的目标防护策略。在终端设备接收到目标防护策略后,可以基于目标防护策略断开终端设备与边缘侧网关的连接。
本发明实施例中,基于目标防护策略断开终端设备与边缘侧网关的连接的方式有多种,如,作为本方实施例的一种可选的实施方式、当终端设备接收到目标防护策略后,可以生成用于断开所述终端设备与边缘侧网关之间连接的断开连接指令。进而可以基于断开连接指令断开与边缘侧网关的连接。
其中,断开连接指令可以用于断开终端设备与边缘侧网关的连接。断开连接指令可以包括但不限于终端设备的标识、边缘侧网关的标识等。
作为本发明实施例的另一种可选的实施方式,当边缘侧网关确定终端设备被网络攻击,则可以用于提示终端设备被网络攻击的第二提示信息。在生成第二提示信息后,可以并将第二提示信息发送给与边缘网关通信连接的前端显示界面,从而可以使前端显示界面展示第二提示信息。
其中,第二提示信息可以用于提示终端设备被网络攻击。前端显示界面可以用于展示终端设备被网络攻击的第二提示信息,以便于网络监管人员及时观察到异常并进行异常处理,如,强制断开终端设备与边缘侧网关的连接。
作为本发明实施例的再一种可选的实施方式,当终端设备接收到目标防护策略后,可以生成用于提示所述终端设备被网络攻击的预警信息。在生成预警信息后,将所述预警进行以预先设置的预警方式进行展示和/或播放,以使该终端设备的用户及时断开与边缘侧网关的连接。
其中,预警信息可以用于提示终端设备被网络攻击的信息。预先设置的预警方式可以根据实际需求进行设置,在此不做具体限定,如,自动打开终端设备的预警提示灯、播放预警信息、展示预警信息等。
本发明实施例的技术方案,提供一种设备检测系统,系统包括:终端设备、边缘侧网关以及云端服务器。其中,所述终端设备,用于产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关。所述云端服务器,用于将预先训练完成的异常检测模型发送给所述边缘侧网关。所述边缘侧网关,用于接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。本发明实施例的技术方案,解决了现有技术存在网络带宽占用较大以及对流量数据分析延时的问题,实现降低网络带宽的占用以及更加快速的对终端设备所产生的流量数据进行数据检测,从而可以有效的确定终端设备是否被网络攻击,从而达到提升终端设备检测效率的技术效果。
实施例二
图3是本发明实施例二提供的一种设备检测系统的结构示意图,本实施例的设备检测系统可以包括:终端设备、边缘侧网关以及云端服务器。边缘侧网关可以包括流量数据采集模块121和流量数据检测模块122。其中,终端设备,用于产生待检测流量数据,并将待检测流量数据发送给边缘侧网关的流量数据采集模块。
云端服务器,用于将预先训练完成的异常检测模型发送给边缘侧网关的流量数据检测模块。
流量数据采集模块,用于接收终端设备发送的待检测流量数据,并将待检测流量数据发送给流量数据检测模块。
其中,流量数据采集模块可以用于采集终端设备所产生的待检测流量数据。
具体的,通过流量数据采集模块接收终端设备发送的待检测流量数据。在流量数据采集模块接收到待检测流量数据后,可以将待检测流量数据发送给流量数据检测模块。
流量数据检测模块,用于接收云端服务器发送的预先训练完成的异常检测模型,以及接收待检测流量数据,并将待检测流量数据输入至预先训练完成的异常检测模型,得到待检测流量数据对应的类别检测结果。
其中,流量数据检测模块可以用于对待检测流量数据进行检测。
具体的,通过流量数据检测模块接收云端服务器发送的预先训练完成的异常检测模型,以及通过流量数据检测模块接收待检测流量数据。在流量数据检测模块接收到预先训练完成的异常检测模型和待检测流量数据后,可以将待检测流量数据输入至预先训练完成的异常检测模型中。进而可以得到待检测流量数据对应的类别检测结果。
在上述基础上,本发明实施例中的设备检测系统还包括:消息队列遥测传输服务器,其中,
流量数据采集模块,用于当接收到待检测流量数据时,生成用于提示已接收到待检测流量数据的第一提示信息,将第一提示信息发送给消息队列遥测传输服务器。
其中,第一提示信息可以是用于提示已接收到待检测流量数据的信息。消息队列遥测传输服务器可以理解为用于接收以及发送第一提示信息。
具体的,当数据集采集模块接收到待检测流量数据时,则可以生成用于提示已接收到待检测流量数据的第一提示信息。在生成第一提示信息后,可以将第一提示信息发送给与流量数据采集模块连接的消息队列遥测传输服务器(参见图4中的MQTT服务器)。
消息队列遥测传输服务器,用于接收第一提示信息,并将第一提示信息发送给流量数据检测模块。
其中,消息队列遥测传输服务器可以是预先基于消息队列遥测传输(MessageQueuing Telemetry Transport,mqtt)协议搭建的服务器,可以用于进行消息的发送或订阅。需要说明的是,本发明实施例中,发送或订阅可以是分别在相应的线程中执行的。
具体的,通过消息队列遥测传输服务器接收第一提示信息。在消息队列遥测传输服务器接收到第一提示信息后,可以将第一提示信息发送给与消息队列遥测传输服务器连接的流量数据检测模块。
流量数据检测模块,用于接收第一提示信息,并基于第一提示信息执行将待检测流量数据输入至预先训练完成的异常检测模型的操作。
具体的,通过流量数据检测模块接收消息队列遥测传输服务器发送的第一提示信息。在流量数据检测模块接收到第一提示信息后,可以基于第一提示信息执行将待检测流量数据输入至预先训练完成的异常检测模型的操作。
可选的,流量数据采集模块,还用于将待检测流量数据发送给云端服务器。
具体的,通过流量数据采集模块将待检测流量数据发送给云端服务器。
参见图5,通过流量数据采集模块将待检测流量数据发送给云端服务器,可以是,通过预先创建的用于接收待检测流量数据的主线程接收终端设备发送的待检测流量数据。在主线程接收到待检测流量数据后,可以通过主线程对待检测流量数据进行数据特征提取。进而可以得到待检测流量数据的流量特征数据。在得到流量特征数据后,当流量特征数据的数量达到预设数量阈值时,则将预设数量阈值的流量特征数据写入至预先创建的用于存储流量特征数据的文件中,进而可以得到用于存储流量特征数据的流量特征数据存储文件。
在上述基础上,在得到流量特征数据存储文件后,可以通过调用预先创建的用于发布消息的发布线程,将用于提示已生成流量特征数据存储文件的消息进行发布。需要说明的是,预设数量阈值可以根据实际检测需求预先设置,如,50、200或1000。
在上述基础上,在通过发布线程将用于提示已生成流量特征数据存储文件的消息进行发布后,可以通过调用预先创建的用于订阅消息的订阅线程订阅发布线程所发布的用于提示已生成流量特征数据存储文件的消息,以使云端服务器接收流量特征数据存储文件。
云端服务器,用于接收流量数据采集模块发送的待检测流量数据,将待检测流量数据作为训练样本。
具体的,通过云端服务器接收流量数据采集模块发送的待检测流量数据,并将待检测流量数据作为训练样本。
在上述基础上,云端服务器,还用于将训练样本中的样本流量数据的流量特征数据作为原始网络模型的输入,得到与样本流量数据相对应的输出类别检测结果,基于输出类别检测结果与样本流量数据对应的期望类别标签,得到异常检测模型。
其中,样本流量数据可以理解为用于训练异常检测模型的流量数据。流量特征数据可以理解为对流量数据进行特征提取后得到的特征数据。原始网络模型可以是用于训练的初始网络模型。在本发明实施例中原始网络模型可以为根据实际需求构建的分类模型。输出类别检测结果可以是在将样本流量数据的流量特征数据输入至原始网络模型后得到的实际类别输出结果。样本流量数据对应的期望类别标签可以理解为与样本流量数据对应的预期类型标签。
具体的,在云端服务器中可以将训练样本中的样本流量数据的流量特征数据输入至原始网络模型中,进而可以得到与样本流量数据相对应的输出类别检测结果。在得到与样本流量数据相对应的输出类别检测结果后,可以基于与样本流量数据相对应的输出类别检测结果和样本流量数据对应的期望类别标签,对原始网络模型的网络参数进行参数调整。具体的,可以根据样本流量数据的输出类别检测结果和期望类别标签,确定原始网络模型的损失函数。当损失函数达到收敛时,可以得到训练完成的异常检测模型。
需要说明的是,训练原始网络模型的算法可以为标签传播算法。
进一步,为了保证训练完成的异常检测模型的准确度,可以通过下述方式对训练完成的异常检测模型进行测试:
将测试样本流量数据输入至预先训练完成的异常检测模型中,得到与测试样本流量数据相对应的实际输出结果。根据测试样本流量数据对应的预期输出结果以及与测试样本流量数据对应的实际输出结果,确定训练完成的异常检测模型的准确率。当准确率低于预设准确率阈值,则对训练的参数、网络结构进行优化。基于优化后的训练的参数、网络结构,对训练完成的异常检测模型重新进行训练,直至训练完成的异常检测模型的准确率高于预设准确率阈值。
本发明实施例中,训练完成的异常检测模型的数量可以为多个,可以确定模型准确度最高的训练完成的异常检测模型,并将模型准确度最高的训练完成的异常检测模型上传至用于存储训练完成的异常检测模型的文件存储服务器(ftp服务器)。在将训练完成的异常检测模型上传至用于存储训练完成的异常检测模型的文件存储服务器后,可以生成用于提示训练完成异常检测模型已上传至文件存储服务器的消息,并将用于提示训练完成异常检测模型已上传至文件存储服务器的消息发送给边缘侧网关,以使边缘侧网关下载所述训练完成的异常检测模型。
可选的,通过下述方式确定训练样本中的样本流量数据的流量特征数据,云端服务器,用于对样本流量数据进行特征提取,得到样本流量数据的待数值转换特征数据,将待数值转换特征数据中的待转换字符转换为与待转换字符对应的目标字符,得到样本流量数据的流量特征数据。
其中,待数值转换特征数据可以理解为需要进行数值转换的特征数据。待数值转换特征数据可以包括至少一个待转换字符。待转换字符可以理解为需要进行字符转换的字符。待转换字符可以包括但不限于TCP、UDP、IMCP。目标字符可以是需要将待转换字符转换为所对应的字符。待转换字符和目标字符可以根据实际需求预先进行设置,在此不做具体限定。示例性的,待转换字符可以为TCP、UDP、IMCP,与TCP对应的目标字符为0,与UDP对应的目标字符为1,与IMCP对应的目标字符为2。
具体的,在云端服务器可以对样本流量数据进行特征提取。进而可以得到样本流量数据的待数值转换特征数据。在得到待数值转换特征数据后,可以确定待数值转换特征数据中的待转换字符转换。在确定待数值转换特征数据中的待转换字符转换后,可以基于待转换字符和目标字符之间的对应关系,确定与待数值转换特征数据中所包含待转换字符对应的目标字符。进而可以将待数值转换特征数据中的待转换字符转换为与待转换字符对应的目标字符,得到样本流量数据的流量特征数据。
为了提高训练模型所需要的样本数据的数据质量,可以在将待数值转换特征数据中的待转换字符转换为与待转换字符对应的目标字符得到样本流量数据的流量特征数据后,可以通过下述公式对样本流量数据的流量特征数据进行数据标准化处理:
其中,Xi'j可以表示为对样本流量数据的流量特征数据进行数据标准化处理后得到的数据。其中,i可以表示为数据集的横坐标。j可以表示为数据集的纵坐标。Xij可以表示为数据集中横坐标为i纵坐标为j的流量特征数据。其中,
AVGj可以表示为数据集中从第一行至最后一行的第j列流量特征数据的平均值。其中,
STADj可以表示为第j列流量特征数据的平均绝对偏差。
在上述基础上,在对样本流量数据的流量特征数据进行数据标准化处理后,可以通过下述公式对标准化后的数据进行归一化处理。本发明实施例中,将对标准化后的数据进行归一化到[0,1]的区间。
其中,X″ij可以表示为X′ij归一化后的数据。Xmin可以表示为X′ij中的最小值,其中,Xmin=min{X′ij}。Xmax可以表示为X′ij中的最大值,其中Xmax=max{X′ij}。
本发明实施例的技术方案,边缘侧网关,包括流量数据采集模块和流量数据检测模块。通过流量数据采集模块接收终端设备发送的待检测流量数据,并将待检测流量数据发送给流量数据检测模块。通过流量数据检测模块接收云端服务器发送的预先训练完成的异常检测模型,以及接收待检测流量数据,并将待检测流量数据输入至预先训练完成的异常检测模型,得到待检测流量数据对应的类别检测结果,解决了现有技术存在网络带宽占用较大以及对流量数据分析延时的问题,实现降低网络带宽的占用以及更加快速的对终端设备所产生的流量数据进行数据检测,从而可以有效的确定终端设备是否被网络攻击,从而达到提升终端设备检测效率的技术效果。
实施例三
图6是本发明实施例三提供的一种设备检测方法的流程示意图,该方法与上述各实施例的设备检测系统属于同一个发明构思,在设备检测方法的实施例中未详尽描述的细节内容,可以参考上述设备检测系统的实施例。该方法应用于由终端设备、边缘侧网关以及云端服务器组成的设备检测系统,该方法具体包括以下步骤:
S310、通过终端设备产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关。
S320、通过云端服务器将预先训练完成的异常检测模型发送给所述边缘侧网关。
S330、通过所述边缘侧网关接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。
可选的,所述边缘侧网关,包括流量数据采集模块和流量数据检测模块,通过所述流量数据采集模块接收所述终端设备发送的待检测流量数据,并将所述待检测流量数据发送给所述流量数据检测模块;通过所述流量数据检测模块接收所述云端服务器发送的所述预先训练完成的异常检测模型,以及接收所述待检测流量数据,并将所述待检测流量数据输入至所述预先训练完成的异常检测模型,得到待检测流量数据对应的类别检测结果。
可选的,所述的方法还包括消息队列遥测传输服务器,通过所述流量数据采集模块当接收到待检测流量数据时,生成用于提示已接收到待检测流量数据的第一提示信息,将所述第一提示信息发送给所述消息队列遥测传输服务器;通过所述消息队列遥测传输服务器,接收所述第一提示信息,并将所述第一提示信息发送给所述流量数据检测模块;通过所述流量数据检测模块,接收所述第一提示信息,并基于所述第一提示信息执行将所述待检测流量数据输入至所述预先训练完成的异常检测模型的操作。
可选的,通过所述流量数据采集模块,将所述待检测流量数据发送给所述云端服务器;通过所述云端服务器接收所述流量数据采集模块发送的所述待检测流量数据,将所述待检测流量数据作为训练样本。
可选的,通过所述云端服务器,将所述训练样本中的样本流量数据的流量特征数据作为原始网络模型的输入,得到与所述样本流量数据相对应的输出类别检测结果,基于所述输出类别检测结果与所述样本流量数据对应的期望类别标签,得到所述异常检测模型。
可选的,通过所述云端服务器,对所述样本流量数据进行特征提取,得到所述样本流量数据的待数值转换特征数据,将所述待数值转换特征数据中的待转换字符转换为与所述待转换字符对应的目标字符,得到所述样本流量数据的流量特征数据。
可选的,通过所述边缘侧网关,当确定所述类别检测结果为异常,则确定所述终端设备被网络攻击。
可选的,通过所述边缘侧网关,当确定所述终端设备被网络攻击,则确定所述终端设备被网络攻击的攻击类型,基于所述攻击类型确定与所述攻击类型对应的目标防护策略,并将所述目标防护策略下发给所述终端设备;所述终端设备,用于响应于接收到的所述目标防护策略,中断与所述边缘侧网关的连接。
可选的,通过所述边缘侧网关,当确定所述终端设备被网络攻击,则生成用于提示所述终端设备被网络攻击的第二提示信息,并将所述第二提示信息发送给与所述边缘网关通信连接的前端显示界面,以使所述前端显示界面展示所述第二提示信息。
本发明实施例的技术方案,通过所述终端设备产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关。通过所述云端服务器将预先训练完成的异常检测模型发送给所述边缘侧网关。通过所述边缘侧网关接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。本发明实施例的技术方案,解决了现有技术存在网络带宽占用较大以及对流量数据分析延时的问题,实现降低网络带宽的占用以及更加快速的对终端设备所产生的流量数据进行数据检测,从而可以有效的确定终端设备是否被网络攻击,从而达到提升终端设备检测效率的技术效果。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
实施例四
本发明实施例四还提供一种计算机可读存储介质,其上存储有计算机程序,特征在于,该程序被处理器执行时,例如本发明上述实施例所提供的设备检测方法,该方法包括:
通过所述终端设备产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关。通过所述云端服务器将预先训练完成的异常检测模型发送给所述边缘侧网关。通过所述边缘侧网关接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明实施例操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种设备检测系统,其特征在于,所述系统包括:终端设备、边缘侧网关以及云端服务器;其中,
所述终端设备,用于产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关;
所述云端服务器,用于将预先训练完成的异常检测模型发送给所述边缘侧网关;
所述边缘侧网关,用于接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。
2.根据权利要求1所述的系统,其特征在于,所述边缘侧网关,包括流量数据采集模块和流量数据检测模块,其中,
所述流量数据采集模块,用于接收所述终端设备发送的待检测流量数据,并将所述待检测流量数据发送给所述流量数据检测模块;
所述流量数据检测模块,用于接收所述云端服务器发送的所述预先训练完成的异常检测模型,以及接收所述待检测流量数据,并将所述待检测流量数据输入至所述预先训练完成的异常检测模型,得到待检测流量数据对应的类别检测结果。
3.根据权利要求2所述的系统,其特征在于,所述系统还包括:消息队列遥测传输服务器,其中,
所述流量数据采集模块,用于当接收到待检测流量数据时,生成用于提示已接收到待检测流量数据的第一提示信息,将所述第一提示信息发送给所述消息队列遥测传输服务器;
所述消息队列遥测传输服务器,用于接收所述第一提示信息,并将所述第一提示信息发送给所述流量数据检测模块;
所述流量数据检测模块,用于接收所述第一提示信息,并基于所述第一提示信息执行将所述待检测流量数据输入至所述预先训练完成的异常检测模型的操作。
4.根据权利要求2所述的系统,其特征在于,所述流量数据采集模块,还用于将所述待检测流量数据发送给所述云端服务器;
所述云端服务器,用于接收所述流量数据采集模块发送的所述待检测流量数据,将所述待检测流量数据作为训练样本。
5.根据权利要求4所述的系统,其特征在于,所述云端服务器,还用于将所述训练样本中的样本流量数据的流量特征数据作为原始网络模型的输入,得到与所述样本流量数据相对应的输出类别检测结果,基于所述输出类别检测结果与所述样本流量数据对应的期望类别标签,得到所述异常检测模型。
6.根据权利要求5所述的系统,其特征在于,所述云端服务器,用于对所述样本流量数据进行特征提取,得到所述样本流量数据的待数值转换特征数据,将所述待数值转换特征数据中的待转换字符转换为与所述待转换字符对应的目标字符,得到所述样本流量数据的流量特征数据。
7.根据权利要求1所述的系统,其特征在于,所述边缘侧网关,用于当确定所述类别检测结果为异常,则确定所述终端设备被网络攻击。
8.根据权利要求7所述的系统,其特征在于,所述边缘侧网关,还用于当确定所述终端设备被网络攻击,则确定所述终端设备被网络攻击的攻击类型,基于所述攻击类型确定与所述攻击类型对应的目标防护策略,并将所述目标防护策略下发给所述终端设备;
所述终端设备,用于响应于接收到的所述目标防护策略,中断与所述边缘侧网关的连接。
9.根据权利要求7所述的系统,其特征在于,所述边缘侧网关,还用于当确定所述终端设备被网络攻击,则生成用于提示所述终端设备被网络攻击的第二提示信息,并将所述第二提示信息发送给与所述边缘网关通信连接的前端显示界面,以使所述前端显示界面展示所述第二提示信息。
10.一种设备检测方法,其特征在于,所述方法包括:
通过终端设备产生待检测流量数据,并将所述待检测流量数据发送给所述边缘侧网关;
通过云端服务器将预先训练完成的异常检测模型发送给所述边缘侧网关;
通过所述边缘侧网关接收所述待检测流量数据和所述预先训练完成的异常检测模型,基于所述待检测流量数据和所述预先训练完成的异常检测模型,确定所述待检测流量数据对应的类别检测结果,基于所述类别检测结果确定所述终端设备是否被网络攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210215352.3A CN114448830B (zh) | 2022-03-07 | 2022-03-07 | 一种设备检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210215352.3A CN114448830B (zh) | 2022-03-07 | 2022-03-07 | 一种设备检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114448830A true CN114448830A (zh) | 2022-05-06 |
| CN114448830B CN114448830B (zh) | 2024-04-05 |
Family
ID=81358707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210215352.3A Active CN114448830B (zh) | 2022-03-07 | 2022-03-07 | 一种设备检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114448830B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114844724A (zh) * | 2022-06-28 | 2022-08-02 | 杭州安恒信息技术股份有限公司 | 基于端云联动的端口异常检测方法、装置、设备及介质 |
| CN115242443A (zh) * | 2022-06-22 | 2022-10-25 | 杭州安恒信息安全技术有限公司 | 一种基于边缘计算的信息安全防护方法、装置和系统 |
| CN115955334A (zh) * | 2022-12-02 | 2023-04-11 | 深圳市铭励扬科技有限公司 | 一种基于边缘计算的网络攻击流量处理方法及系统 |
| CN116319114A (zh) * | 2023-05-25 | 2023-06-23 | 广州鲁邦通物联网科技股份有限公司 | 一种网络入侵检测的方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200120121A1 (en) * | 2017-08-18 | 2020-04-16 | Visa International Service Association | Remote configuration of security gateways |
| US20210112083A1 (en) * | 2019-10-10 | 2021-04-15 | Honeywell International Inc. | Hybrid intrusion detection model for cyber-attacks in avionics internet gateways using edge analytics |
| CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及系统 |
| CN113037687A (zh) * | 2019-12-24 | 2021-06-25 | 中移物联网有限公司 | 一种流量识别方法及电子设备 |
| CN113422720A (zh) * | 2021-06-22 | 2021-09-21 | 河北卓智电子技术有限公司 | 基于边缘计算网关的异常检测方法 |
| CN113435103A (zh) * | 2021-05-19 | 2021-09-24 | 深圳供电局有限公司 | 配电房异常检测方法、系统、服务器、边缘网关和介质 |
| CN113452676A (zh) * | 2021-05-27 | 2021-09-28 | 鹏城实验室 | 一种检测器分配方法和物联网检测系统 |
-
2022
- 2022-03-07 CN CN202210215352.3A patent/CN114448830B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200120121A1 (en) * | 2017-08-18 | 2020-04-16 | Visa International Service Association | Remote configuration of security gateways |
| US20210112083A1 (en) * | 2019-10-10 | 2021-04-15 | Honeywell International Inc. | Hybrid intrusion detection model for cyber-attacks in avionics internet gateways using edge analytics |
| CN113037687A (zh) * | 2019-12-24 | 2021-06-25 | 中移物联网有限公司 | 一种流量识别方法及电子设备 |
| CN112769796A (zh) * | 2020-12-30 | 2021-05-07 | 华北电力大学 | 一种基于端侧边缘计算的云网端协同防御方法及系统 |
| CN113435103A (zh) * | 2021-05-19 | 2021-09-24 | 深圳供电局有限公司 | 配电房异常检测方法、系统、服务器、边缘网关和介质 |
| CN113452676A (zh) * | 2021-05-27 | 2021-09-28 | 鹏城实验室 | 一种检测器分配方法和物联网检测系统 |
| CN113422720A (zh) * | 2021-06-22 | 2021-09-21 | 河北卓智电子技术有限公司 | 基于边缘计算网关的异常检测方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115242443A (zh) * | 2022-06-22 | 2022-10-25 | 杭州安恒信息安全技术有限公司 | 一种基于边缘计算的信息安全防护方法、装置和系统 |
| CN114844724A (zh) * | 2022-06-28 | 2022-08-02 | 杭州安恒信息技术股份有限公司 | 基于端云联动的端口异常检测方法、装置、设备及介质 |
| CN115955334A (zh) * | 2022-12-02 | 2023-04-11 | 深圳市铭励扬科技有限公司 | 一种基于边缘计算的网络攻击流量处理方法及系统 |
| CN115955334B (zh) * | 2022-12-02 | 2023-11-10 | 深圳市铭励扬科技有限公司 | 一种基于边缘计算的网络攻击流量处理方法及系统 |
| CN116319114A (zh) * | 2023-05-25 | 2023-06-23 | 广州鲁邦通物联网科技股份有限公司 | 一种网络入侵检测的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114448830B (zh) | 2024-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114448830B (zh) | 一种设备检测系统及方法 | |
| CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
| US11444861B2 (en) | Method and apparatus for detecting traffic | |
| CN109474603B (zh) | 数据抓包处理方法及终端设备 | |
| CN111193633B (zh) | 异常网络连接的检测方法及装置 | |
| CN113489711B (zh) | DDoS攻击的检测方法、系统、电子设备和存储介质 | |
| CN113225339B (zh) | 网络安全监测方法、装置、计算机设备及存储介质 | |
| CN113688291B (zh) | 一种流媒体网络数据的异常行为检测方法和装置 | |
| CN110955890A (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN113033639A (zh) | 一种异常数据检测模型的训练方法、电子设备及存储介质 | |
| CN111585830A (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
| CN111224890A (zh) | 一种云平台的流量分类方法、系统及相关设备 | |
| CN113938404B (zh) | 一种资产探测方法、装置、设备、系统及存储介质 | |
| CN115314322A (zh) | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 | |
| CN110222846B (zh) | 一种面向互联网终端的信息安防方法及信息安防系统 | |
| CN114039765A (zh) | 一种配电物联网的安全管控方法、装置及电子设备 | |
| CN115378746B (zh) | 网络入侵检测规则生成方法、装置、设备以及存储介质 | |
| CN115576852B (zh) | 模糊测试用例的质量评估方法、装置、设备以及存储介质 | |
| CN114708557B (zh) | 一种基于空地通信的电力施工监控方法及系统 | |
| CN115102728B (zh) | 一种用于信息安全的扫描器识别方法、装置、设备及介质 | |
| CN115296917B (zh) | 资产暴露面信息获取方法、装置、设备以及存储介质 | |
| CN116340946A (zh) | 一种基于主机脆弱性数据及异常行为的分析方法 | |
| CN115664726A (zh) | 一种恶意beacon通信的检测方法和装置 | |
| CN116248340A (zh) | 接口攻击的检测方法、装置、电子设备及存储介质 | |
| CN116340108A (zh) | 埋点数据的检测方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |