CN117134997B - 一种边缘传感器能耗攻击检测方法、装置及存储介质 - Google Patents

Abstract

本申请涉及一种边缘传感器能耗攻击检测方法、装置及存储介质，该方法适用于包括代理节点、边缘传感器和订阅节点在内的系统，它们之间通过发布/订阅消息协议进行通信。方法的核心步骤包括采集历史时间段内的主题消息的消息流行度样本数据，构建流行度序列，计算相邻数据点之间的差异值，将差异值分为正、负和零值三组，使用标准化MK统计量计算它们的Z值，通过比较Z值的绝对值和标准正态分布的Z值分布表来确定消息流行度的变化趋势。进一步根据趋势确定误差阈值，利用预设的预测函数计算未来一段时间内的流行度预测值，并对实际观测值计算误差，通过误差与阈值之间的关系进行异常检测。该方法可实时响应，有助于控制和遏制能耗攻击的流量。

Description

一种边缘传感器能耗攻击检测方法、装置及存储介质

技术领域

本申请涉及通信技术领域，尤其涉及一种边缘传感器能耗攻击检测方法、装置及存储介质。

背景技术

在数字经济时代，算力正逐渐成为一种新的生产力，通过无处不在的网络连接，将动态分布的计算与存储资源相互连接。这一发展使得海量的应用能够实时、按需调用分布在全球的计算资源，从而为各行各业的数字化转型提供了基础动力。

边缘计算是数字经济时代的一个重要趋势，其核心思想是将计算和存储资源推向网络的边缘，以更快的响应时间和更高的带宽来满足各种应用的需求，同时保障了数据的安全和隐私。

根据国际数据公司IDC发布的《数据时代2025》报告，预测到2025年，将有50%的数据在网络边缘侧进行分析、处理和存储。与此同时，边缘计算也被视为5G、工业互联网、物联网等领域的重要结合点，将推动相关产业实现飞跃性发展。

然而，随着边缘计算的推广应用，边缘计算设备面临着潜在的风险，包括设备遭受能耗攻击、设备被用作攻击跳板以对算力网络进行攻击、以及设备部署环境的不安全性等问题。在这其中，边缘传感器是一个重要的组成部分，它们用于监测环境参数和设备状态，并广泛应用于工业自动化、智能家居、城市管理等领域。

在物联网场景下，攻击者可以通过恶意请求服务的方式对边缘传感器发起能耗攻击，迫使传感器一直处于活跃状态，导致能量消耗过快，最终影响了边缘计算的实时性和可用性。

为了解决这一问题，现有技术提出了基于节点电量损耗检测的无线传感器异常节点识别方法，该方法通过监测传感器节点的电量情况，识别出电量异常的网络节点，并将其从网络中剔除。然而，这种方法存在一些缺点，包括在检测出节点异常时传感器已经出现明显的能量损耗，缺乏对网络异常情况的主动感知，以及无法监测到网络存在攻击行为。

另一方面，现有技术还提出了基于节点间认证协议的能耗攻击抵抗方法。该方法通过认证协议，使中继节点能够识别消息是否来自网络中合法的传感节点，从而避免中继节点遭受到攻击者实施的能耗攻击。然而，这种方法的有效性前提是网关节点必须是完全安全的，否则整个网络都将为攻击者所利用，无法有效检测出网络中的能耗攻击。

因此，针对现有技术中存在的问题，本申请提出了一种基于主题消息流行度预测的能耗攻击检测方法，以及相应的响应措施，旨在识别和应对边缘传感器的能耗攻击，保障边缘计算的稳定性和安全性。

发明内容

为了解决上述技术问题，本申请提供了一种边缘传感器能耗攻击检测方法、装置及存储介质，下面对本申请中的技术方案进行描述：

本申请第一方面提供了一种边缘传感器能耗攻击检测方法，所述方法应用于系统中，所述系统包括代理节点、边缘传感器和订阅节点，所述订阅节点，所述代理节点与所述边缘传感器之间通过发布/订阅范式的消息协议进行通信，所述代理节点向所述订阅节点推送主题消息，所述方法包括：

采集历史时间段内的主题消息的消息流行度，形成消息流行度的样本数据；

基于所述消息流行度的样本数据构建所述历史时间段内的流行度序列；

在所述流行度序列中，计算每一对相邻的数据点之间的差异值，获得差异值序列，所述差异值序列中记录有每一对相邻的数据点以及对应的差异值；

定义三种不同的标识符用于表示所述差异值的正负关系，并根据相同的标识符划分成三组差异值子序列；

使用标准化MK统计量的计算方法对三组差异值子序列进行计算，得到用于表示趋势显著性的Z值；

将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较，并根据比较结果确定所述消息流行度的变化趋势；

根据所述变化趋势确定误差阈值；

使用预设的预测函数计算所述主题消息在未来一段时间内的流行度预测值；

在所述未来一段时间段内对所述主题消息进行持续观测，并获得对应的流行度观测值；

计算所述流行度预测值与所述流行度观测值之间的误差值；

根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测。

可选的，所述定义三种不同的标识符用于表示所述差异值的正负关系，并根据相同的标识符划分成三组差异值子序列包括：

所述标识符的定义如下：

Si=-1，如果Di<0，表示下降趋势；

Si=0，如果Di=0，表示无变化趋势；

Si=1，如果Di>0，表示上升趋势；

其中，Si表示所述标识符的三种不同取值，用于表示第i个差异值的标识符，Di表示差异值；

根据Si的三种不同取值，将差异值划分为三组差异值子序列，同一个差异值子序列中的si取值相同。

可选的，所述使用标准化MK统计量的计算方法对三组差异值子序列进行计算，得到用于表示趋势显著性的Z值包括：

通过下述式子计算所述流行度序列的检验统计量S的方差Var(S)，所述检验统计量S为三组差异值子序列的Si取值的总和：

Var(S)=[T*(T-1)*(2T+5)]/18；

或Var(S)=[(T*(T-1)*(2T+5)-∑(ti*(ti-1)*(2ti+5)))/18]；

其中，T表示所述流行度序列，ti表示第i组相同的值的个数，∑表示对所有组求和；

并通过下述方式计算用于表示趋势显著性的Z值：

当S大于0时，计算Z值为：

Z=(S-1)/sqrt(Var(S))；

当S等于0时，Z值为0；

当S小于0时，计算Z值为：

Z=(S+1)/sqrt(Var(S))；

其中，sqrt表示平方根。

可选的，所述使用预设的预测函数计算所述主题消息在未来一段时间内的流行度预测值包括：

构建下述预测函数：

Y=β0+β1X+ε；

其中，Y表示消息流行度的流行度预测值，β0表示截距项，β1表示斜率，表示消息流行度随时间的变化率，X表示时间的变量，ε表示误差项，所述ε为随机变量，服从正态分布，用于表示模型中未定义的随机误差；

所述β0以及所述β1通过最小乘二法确定。

可选的，所述根据所述变化趋势确定误差阈值包括：

所述误差阈值包括预设的第一误差阈值和第二误差阈值，所述第二误差阈值大于所述第一误差阈值；

当确定所述变化趋势为显著上升趋势时，选择所述第二误差阈值；

当确定所述变化趋势为显著下降趋势时，选择所述第一误差阈值。

可选的，所述根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测包括：

当确定所述变化趋势为显著上升趋势时，若所述误差值大于所述第二误差阈值，则确定对所述主题消息的订阅消息为异常订阅；

当确定所述变化趋势为显著下降趋势时，若所述误差值小于所述第一误差阈值，则确定对所述主题消息的订阅消息为异常订阅。

可选的，在所述根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测之后，所述方法还包括：

若确定订阅消息为异常订阅，则对所述订阅消息进行限速或者拒绝服务；

或预先根据主题消息的消息流行度的大小，在所述代理节点中缓存部分主题消息对应的服务资源；

若确定订阅消息为异常订阅，则所述代理节点使用所述服务资源对订阅消息进行响应。

或对所述订阅节点发起身份验证。

可选的，所述消息流行度为所述历史时间段内，所述主题消息的订阅数与所有主题消息的订阅总数的比值。

可选的，将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较，并根据比较结果确定所述消息流行度的变化趋势包括：

假设H0表示所述样本数据不存在趋势，则将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较：

若所述Z值的绝对值大于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是显著的；

若所述Z值的绝对值小于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是不显著的。

本申请第二方面提供了一种边缘传感器能耗攻击检测装置，应用于系统中，所述系统包括代理节点、边缘传感器和订阅节点，所述订阅节点，所述代理节点与所述边缘传感器之间通过发布/订阅范式的消息协议进行通信，所述代理节点向所述订阅节点推送主题消息，包括：

流行度采集单元，用于采集历史时间段内的主题消息的消息流行度，形成消息流行度的样本数据；

序列构建单元，用于基于所述消息流行度的样本数据构建所述历史时间段内的流行度序列；

差异值计算单元，用于在所述流行度序列中，计算每一对相邻的数据点之间的差异值，获得差异值序列，所述差异值序列中记录有每一对相邻的数据点以及对应的差异值；

分组单元，用于定义三种不同的标识符用于表示所述差异值的正负关系，并根据相同的标识符划分成三组差异值子序列；

Z值计算单元，用于使用标准化MK统计量的计算方法对三组差异值子序列进行计算，得到用于表示趋势显著性的Z值；

Z值比较单元，用于将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较，并根据比较结果确定所述消息流行度的变化趋势；

误差阈值确定单元，用于根据所述变化趋势确定误差阈值；

预测单元，用于使用预设的预测函数计算所述主题消息在未来一段时间内的流行度预测值；

观测单元，用于在所述未来一段时间段内对所述主题消息进行持续观测，并获得对应的流行度观测值；

误差值计算单元，用于计算所述流行度预测值与所述流行度观测值之间的误差值；

异常检测单元，用于根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测。

本申请第三方面提供了一种边缘传感器能耗攻击检测装置，所述装置包括：

处理器、存储器、输入输出单元以及总线；

所述处理器与所述存储器、所述输入输出单元以及所述总线相连；

所述存储器保存有程序，所述处理器调用所述程序以执行第一方面以及第一方面中任一项可选的所述方法。

本申请第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质上保存有程序，所述程序在计算机上执行时执行第一方面以及第一方面中任一项可选的所述方法。

从以上技术方案可以看出，本申请具有以下优点：

1、该方法能够高效地监测历史时间段内主题消息的流行度，使用MK统计量方法分析消息流行度的趋势，从而及时发现异常情况。

2、方法在流行度变化中实时检测能耗攻击的发生，以及时采取响应措施，减缓攻击对边缘传感器设备和边缘计算能耗的影响，确保边缘计算的实时性。

3、该方法采用标准化MK统计量和预测函数，能够根据不同情况自适应地确定趋势显著性和误差阈值，从而适应不同场景和数据特征。

4、该方法综合了消息流行度的历史数据、趋势分析、预测模型和实时响应，为边缘算力场景中的能耗攻击提供了全面的检测和防御方案。

附图说明

为了更清楚地说明本申请中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请中提供的边缘传感器能耗攻击检测方法的实施例流程示意图；

图2为本申请方法应用的系统的组成示意图；

图3为本申请中提供的边缘传感器能耗攻击检测装置的实施例结构示意图；

图4为本申请中提供的边缘传感器能耗攻击检测装置的实施例结构示意图。

具体实施方式

需要说明的是，本申请提供的方法，可以应用于终端也可以应用于系统，还可以应用于服务器上，例如终端可以是智能手机或电脑、平板电脑、智能电视、智能手表、便携计算机终端也可以是台式计算机等固定终端。为方便阐述，本申请中以终端为执行主体进行举例说明。

下面对本申请中提供的实施例进行详细描述：

首先需要说明的是，本申请所提供的边缘传感器能耗攻击检测方法应用于系统中，参阅图2，图2为该系统的一个结构示意图，该系统包括代理节点、边缘传感器和订阅节点，所述订阅节点，所述代理节点与所述边缘传感器之间通过发布/订阅范式的消息协议进行通信，所述代理节点向所述订阅节点推送主题消息。

系统中的代理节点、边缘传感器和订阅节点之间通过发布/订阅范式的消息协议进行通信。这种消息协议为基于发布/订阅范式，通常采用MQTT等协议来实现。通过这种协议，代理节点可以向订阅节点推送主题消息，同时订阅节点也可以主动订阅感兴趣的主题消息。

而在此场景下，边缘传感器是重要的数据采集节点，它们负责收集各种数据并将其上传到计算节点进行处理。然而，攻击者可以通过不正当手段对边缘传感器发起能耗攻击，即消耗边缘传感器的能量，从而干扰其正常运行。

攻击者采用恶意请求服务的方式，即发送虚假或过多的请求给边缘传感器，导致边缘传感器不断产生消息内容并保持处于活动状态。攻击者的目标是通过这种方式消耗边缘传感器的能量，使其在短时间内能量耗尽。

为了增加攻击的强度，恶意节点通常以异常高的订阅率订阅攻击主题消息。这样做会导致攻击主题消息的流行度出现异常波动，因为正常用户的订阅率相对较低，而恶意节点的订阅率异常高。

能耗攻击会导致边缘传感器能量被异常消耗，进而增加了边缘计算的能耗。在严重情况下，这可能导致边缘计算的数据来源失效，严重影响了边缘计算的实时性和可用性。

为了更加清楚的对本申请方案进行阐述，下面先对该系统的模型以及攻击原理进行描述：

参阅图2，该系统包括一个代理节点Broker，以及存在M个与代理节点关联的边缘传感器，记为集合S，存在N个订阅节点，记为集合U，订阅节点从边缘传感器订阅F类主题消息，消息集合记为C。当存在能耗攻击时，恶意节点集合会不断发起订阅，使得边缘传感器不断产生消息内容，这将导致造成大量的能耗，从而影响其他正常用户的订阅。

参阅图1，为了检测出该场景下的能耗攻击从而更好的进行应对，本实施例提供了一种边缘传感器能耗攻击检测方法，该方法的步骤包括：

S101、采集历史时间段内的主题消息的消息流行度，形成消息流行度的样本数据；

在这一步骤中，系统会收集历史时间段内特定主题消息的订阅数量数据，形成样本数据。这些数据将用来计算该主题消息的流行度。消息流行度表示在一段时间内某个主题消息的受欢迎程度，可以订阅数来衡量。

在一个实施例中，消息流行度的计算方式为，在所述历史时间段内，所述主题消息的订阅数与所有主题消息的订阅总数的比值。

消息流行度的计算方式是将特定主题消息在历史时间段内的订阅数除以所有主题消息在同一时间段内的订阅总数。这计算方式可以用以下的数学表达式表示：

消息流行度（Popularity of a Specific Topic）=(特定主题消息的订阅数)/(所有主题消息的订阅总数)

其中：

"特定主题消息的订阅数"是历史时间段内某一特定主题消息的订阅数量。

"所有主题消息的订阅总数"是历史时间段内所有主题消息的订阅数量之和。

S102、基于所述消息流行度的样本数据构建所述历史时间段内的流行度序列；

在这一步骤中，系统将采集到的消息流行度样本数据按照时间顺序组成一个流行度序列。

首先，系统需要在历史时间段内定期或实时地收集特定主题消息的订阅数。这可以通过监控消息发布/订阅系统中的订阅节点对主题消息的订阅请求来完成。采集到的消息订阅数数据应该按照时间顺序进行存储，以便后续的分析。可以选择合适的数据库或数据存储机制来保存这些数据。

在具有时间戳的数据存储中，系统可以按照时间顺序提取特定主题消息的订阅数数据，并将它们组成一个时间序列。这个时间序列即为消息流行度的序列，其中每个时间点对应着特定时间段内的消息订阅数。

在本实施例中，将该流行度序列表示为T。

S103、在所述流行度序列中，计算每一对相邻的数据点之间的差异值，获得差异值序列，所述差异值序列中记录有每一对相邻的数据点以及对应的差异值；

这一步骤计算相邻时间点上的流行度数据之间的差异。对每一对相邻的数据点，系统计算它们之间的差异值，即后一个数据点减去前一个数据点的值。这样就得到了一个差异值序列，其中记录了每一对相邻数据点的差异值。

这一步骤的目标是计算相邻时间点上的流行度数据之间的差异值，具体的计算过程如下：

假设有一个消息流行度的时间序列，其中包含多个时间点的消息流行度，我们将这些数据表示为P1,P2,...,Pn，其中Pi代表第i个时间点的消息流行度。

a.计算相邻时间点的差异值。对于每一对相邻的时间点Pi和Pi+1，计算它们之间的差异值Di，可以使用以下公式：

Di=Pi+1-Pi

b.执行上述计算步骤，直到处理完所有的相邻时间点对。这将生成一个差异值序列，其中包含了每一对相邻时间点的差异值。

S104、定义三种不同的标识符用于表示所述差异值的正负关系，并根据相同的标识符划分成三组差异值子序列；

在这一步骤中，系统将根据差异值的正负关系定义三种不同的标识符，用于表示差异值是正值、负值还是零。然后，系统将根据这些标识符将差异值分成三组，即正值组、负值组和零值组。以下一个具体的实现方式：

定义标识符：

正值标识符（Positive Identifier）：用于表示差异值是正值的情况。

负值标识符（Negative Identifier）：用于表示差异值是负值的情况。

零值标识符（Zero Identifier）：用于表示差异值是零的情况。

遍历差异值序列：

对于差异值序列中的每个差异值Di，执行以下步骤：

a.如果Di大于零，则将正值标识符分配给Di。

b.如果Di小于零，则将负值标识符分配给Di。c.如果Di等于零，则将零值标识符分配给Di。

分组差异值：

根据上述标识符的分配情况，将差异值分成三组：正值组、负值组和零值组。每组包含相应标识符的差异值。

那么，系统现在具有三组差异值，分别表示正值、负值和零值。这将用于后续的计算和分析，以确定消息流行度的趋势和变化。

在一个实施例中，可以分别使用Si=-1、Si=0和Si=1来分别表示Di<0、Di=0和Di>0这三个分组。Si表示标识符。

S105、使用标准化MK统计量的计算方法对三组差异值子序列进行计算，得到用于表示趋势显著性的Z值；

在这一步骤中，系统将使用标准化MK统计量的计算方法进行计算。这个计算方法将得到差异值子序列的Z值，Z值用于表示流行度的趋势显著性。以下是具体的实现方式：

首先计算三组差异值子序列的Si取值的总和S；

再计算流行度序列的方差；

本申请提供了一种具体的计算方差的实施例，该具体的实施例中，将计算方差分为两种情况，一种情况是当样本数足够多，例如当T大于或者等于10时，统计量S大致服从正态分布，其均值为0，方差为：

Var(S)=[T*(T-1)*(2T+5)]/18

当T个时间序列的流行度值中有组相同的值时。

在这种情况下，方差的计算方式与第一种情况稍有不同，需要考虑分组的情况。方差的计算方式如下：

Var(S)=[(T*(T-1)*(2T+5)-∑(ti*(ti-1)*(2ti+5)))/18]

其中，ti表示第i组相同的值的个数，∑表示对所有组求和。

这两种情况下的方差计算方式考虑了样本数和数据中相同值的分组情况，以更准确地评估统计量的方差。第一种情况适用于大样本，而第二种情况适用于存在相同值的情况。

在计算出S之后，根据S的取值大小来决定Z值的计算方法；

若S大于0，表示为S_positive，则计算Z值为：

Z=(S_positive-1)/sqrt（Var_positive）；

若S小于0，表示为S_negative，则计算Z值为：

Z_negative=(S_negative+1)/sqrt(Var_negative)

若S等于0，表示为S_zero，则Z_zero=0。

S106、将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较，并根据比较结果确定所述消息流行度的变化趋势；

预先设定的标准正态分布的Z值分布表包含了一系列Z值对应的累积概率或显著性水平。这个表是统计学中使用的标准表格，用于判断一个Z值在正态分布中的显著性。

根据查找到的显著性水平或累积概率，系统可以确定消息流行度的变化趋势：

如果Z值对应的显著性水平小于设定的显著性水平阈值（可以是0.05或0.01），则可以认为消息流行度不存在显著的上升或下降趋势。

如果Z值对应的显著性水平大于设定的显著性水平阈值，则可以认为消息流行度存在显著的上升或下降趋势。

如果Z值对应的显著性水平在设定的显著性水平阈值范围内，系统可能认为消息流行度的趋势不显著，需要进一步观察或采取其他措施。

在一个可选的实施例中，可以假设H0表示这些样本数据不存在趋势，那么在趋势检验中，目标则是测试这一假设是否成立。

具体来说，想要确定样本数据是否显示出了明显的趋势，无论是上升趋势、下降趋势还是任何其他类型的趋势。在上述趋势检验中，计算了统计量S，该统计量代表了数据点之间的符号总和。如果S大于0，这意味着数据中存在上升趋势，如果S小于0，这意味着存在下降趋势，而如果S等于0，则表示数据没有明显的趋势。

根据这个统计量S的正负情况，可以选择不同的标准化公式来计算Z值，然后将Z值的绝对值与标准正态分布的Z分布表进行比较，以确定数据是否显示出了趋势的显著性。

如果H0表示数据不存在趋势，那么目标是看是否可以接受这一假设，即数据中没有明显的趋势。

在这种情况下，计算Z值，并将其与标准正态分布的Z分布表进行比较。

如果Z值的绝对值大于表中的临界值（通常在给定显著性水平下），则会拒绝H0，表示数据中存在趋势。这意味着数据显示出上升或下降趋势。

如果Z值的绝对值小于表中的临界值，则我们不会拒绝H0，表示数据中没有明显的趋势。

所以，当假设数据不存在趋势时，关注的是Z值是否足够大以拒绝这一假设，而当不假设数据不存在趋势时，关注的是Z值是否足够小以拒绝无趋势的假设。这是因为该方式试图确定数据中是否存在趋势以及趋势的方向（上升或下降）。

S107、根据所述变化趋势确定误差阈值；

根据上一步骤中确定的变化趋势，系统将设定一个误差阈值。这个阈值将用于后续步骤中，用于判断消息流行度的预测值与实际观测值之间的误差是否超过了阈值。

设定误差阈值的目的是为了后续的消息流行度预测和异常检测提供一个参考标准，以确定何时认为预测值与实际观测值之间的误差达到了一定的显著性水平。阈值的设定可以基于系统的需求和预测的精度要求。

一个实施例是，误差阈值基于误差分布的标准差：系统可以根据历史数据集中误差的标准差来设定阈值。一种可选的方法是将阈值设置为误差标准差的多个倍数，例如，可以选择设置阈值为误差标准差的1倍或2倍。

另一个实施例是，基于预测精度的需求：阈值的设定也可以依赖于系统对预测精度的要求。如果系统要求更高的精度，可以选择较小的阈值，以便更早地检测到异常情况。

再一个实施例是，基于统计分析：系统可以进行统计分析，例如，通过分析历史误差数据的分布，确定一个适当的阈值。这可以基于正态分布或其他适当的统计分布来进行。

S108、使用预设的预测函数计算所述主题消息在未来一段时间内的流行度预测值；

该步骤的目的是使用预设的预测函数计算主题消息在未来一段时间内的流行度预测值。

该步骤中，首先，需要选择一个适当的预测函数或模型，可选的预测模型包括线性回归、时间序列分析、ARIMA模型、神经网络、决策树、随机森林等。选择模型时要考虑数据的趋势、周期性和噪声等因素。

使用历史时间段内的消息流行度数据作为训练数据。这些数据应包括消息的时间戳和相应的流行度值。根据选定的模型，需要进行特征工程，即从历史数据中提取有用的特征。特征可以包括时间特征（如小时、天、周的季节性）、历史流行度值的滞后项、特定事件的影响等。使用训练数据来训练选定的预测模型。在训练过程中，模型将学习历史数据的模式和趋势，以便用于未来的预测。一旦模型训练完成，就可以使用它来进行未来流行度的预测。为此，需要提供未来时间点对应的特征值（例如未来时间戳），并使用模型生成流行度的预测值。具体的实现方式将依赖于所选的预测模型和工具。例如，选择线性回归模型，可以使用数据分析库（如Python中的Scikit-Learn）来构建和训练模型。如果选择深度学习模型，可以使用深度学习框架（如TensorFlow或PyTorch）来实现。

在一个具体的实施例中，构建下述预测函数：

Y=β0+β1X+ε；

其中，Y表示消息流行度的流行度预测值，β0表示截距项，β1表示斜率，表示消息流行度随时间的变化率，X表示时间的变量，ε表示误差项，所述ε为随机变量，服从正态分布，用于表示模型中未定义的随机误差；

所述β0以及所述β1通过最小乘二法确定。

该可选的实施例中，

首先收集历史时间段内的消息流行度数据和对应的时间点数据。

选择线性回归模型，即Y=β0+β1X+ε。

使用最小二乘法估计β0和β1，使得观测值与模型预测值之间的平方误差最小。

评估模型的拟合程度，可以使用平均绝对误差（MeanAbsoluteError）或均方误差（MeanSquaredError）等指标来衡量模型的性能。

使用拟合好的模型来进行未来一段时间内的流行度预测，即给定时间点X的值，计算对应的Y。

计算实际观测值与预测值之间的误差（ε），并进行误差分析，以确定模型的预测准确性和可信度。

最终，得到的线性回归模型可以用于预测消息流行度随时间的变化趋势，通过分析模型的参数β0和β1，可以了解消息流行度是上升还是下降，以及变化的速率。

S109、在所述未来一段时间段内对所述主题消息进行持续观测，并获得对应的流行度观测值；

在这一步骤中，系统会在事先定义的未来一段时间内不断地观测特定主题消息的实际流行度情况。即从边缘传感器和订阅节点收集消息订阅和流行度数据，以获得对特定主题消息的实际流行度的观测值。这些观测值将用于与之前计算的流行度预测值进行比较。

S110、计算所述流行度预测值与所述流行度观测值之间的误差值；

在这一步骤中，系统将通过将流行度预测值与相应的流行度观测值相减来计算误差值。这可以表示为以下公式：

误差值=流行度观测值-流行度预测值。

这个误差值反映了流行度预测与实际观测之间的差异。如果误差值接近零，表示预测较为准确，而较大的误差值可能表示出现了异常情况。

S111、根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测。

最后，系统将根据误差值与事先定义的误差阈值之间的关系来判断特定主题消息的订阅消息是否异常。具体的判断规则如下：

如果误差值小于误差阈值，系统将认为流行度预测值与观测值之间的差异在正常范围内，因此该订阅消息被视为正常。

如果误差值大于误差阈值，系统将认为流行度预测值与观测值之间的差异超过了正常范围，可能表示出现了异常情况，因此该订阅消息被视为异常。

这些步骤的目的是监测消息流行度预测值与实际观测值之间的差异，并根据差异来判断是否发生了异常，以提前识别潜在的攻击或异常情况。这有助于系统及时采取必要的措施来保护边缘传感器免受能耗攻击。

进一步的，在一个实施例中，在对所述主题消息对应的订阅消息进行异常检测之后，该本申请方法还包括：

若确定订阅消息为异常订阅，则对所述订阅消息进行限速或者拒绝服务；

或预先根据主题消息的消息流行度的大小，在所述代理节点中缓存部分主题消息对应的服务资源；

若确定订阅消息为异常订阅，则所述代理节点使用所述服务资源对订阅消息进行响应。

或对所述订阅节点发起身份验证。

上述三个操作是在能耗攻击检测阶段的一部分，用于响应检测到的异常订阅消息，以保护边缘传感器免受攻击。这些操作的含义和实现如下：

限速或拒绝服务：

如果系统确定某个订阅消息是异常的，可以选择限制或拒绝提供服务给该订阅节点。这意味着系统可以减缓对该主题消息的响应速度，或者完全拒绝服务请求。这样可以减少异常订阅对边缘传感器的能量消耗，确保正常订阅节点获得更好的服务质量。

缓存服务资源：

针对消息流行度较高的主题消息，系统可以在代理节点中缓存相应的服务资源。这些资源可以包括消息内容、计算资源或其他与消息相关的数据。通过缓存流行度较高的主题消息，系统可以更快速地响应订阅请求，减少对边缘传感器的实时数据请求，从而减轻了能量消耗。

身份验证：

另一种响应方式是对订阅节点发起身份验证。这意味着系统要求订阅节点提供有效的身份验证信息，例如用户名和密码，以验证其合法性。如果订阅节点无法提供有效的身份验证信息，系统可以拒绝其连接或服务请求。这有助于防止恶意节点继续接入网络，减轻攻击对边缘传感器造成的能量消耗。

上述实施例对本申请中提供的方法进行了详细描述，下面对本申请中提供的装置进行描述：

参阅图3，本申请中提供了一种边缘传感器能耗攻击检测装置，其特征在于，应用于系统中，所述系统包括代理节点、边缘传感器和订阅节点，所述订阅节点，所述代理节点与所述边缘传感器之间通过发布/订阅范式的消息协议进行通信，所述代理节点向所述订阅节点推送主题消息，包括：

流行度采集单元301，用于采集历史时间段内的主题消息的消息流行度，形成消息流行度的样本数据；

序列构建单302元，用于基于所述消息流行度的样本数据构建所述历史时间段内的流行度序列；

差异值计算单元303，用于在所述流行度序列中，计算每一对相邻的数据点之间的差异值，获得差异值序列，所述差异值序列中记录有每一对相邻的数据点以及对应的差异值；

分组单元304，用于定义三种不同的标识符用于表示所述差异值的正负关系，并根据相同的标识符划分成三组差异值子序列；

Z值计算单元305，用于使用标准化MK统计量的计算方法对三组差异值子序列进行计算，得到用于表示趋势显著性的Z值；

Z值比较单元306，用于将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较，并根据比较结果确定所述消息流行度的变化趋势；

误差阈值确定单元307，用于根据所述变化趋势确定误差阈值；

预测单元308，用于使用预设的预测函数计算所述主题消息在未来一段时间内的流行度预测值；

观测单元309，用于在所述未来一段时间段内对所述主题消息进行持续观测，并获得对应的流行度观测值；

误差值计算单元310，用于计算所述流行度预测值与所述流行度观测值之间的误差值；

异常检测单元311，用于根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测。

可选的，分组单元304具体用于：

所述标识符的定义如下：

Si=-1，如果Di<0，表示下降趋势；

Si=0，如果Di=0，表示无变化趋势；

Si=1，如果Di>0，表示上升趋势；

其中，Si表示所述标识符的三种不同取值，用于表示第i个差异值的标识符，Di表示差异值；

根据Si的三种不同取值，将差异值划分为三组差异值子序列，同一个差异值子序列中的si取值相同。

Z值计算单元305具体用于：

计算各组差异值子序列的长度；

通过下述式子计算所述差异值子序列的方差Var(S)：

Var(S)=[T*(T-1)*(2T+5)]/18；

或Var(S)=[(T*(T-1)*(2T+5)-∑(ti*(ti-1)*(2ti+5)))/18]；

其中，T表示所述流行度序列，ti表示第i组相同的值的个数，∑表示对所有组求和；

并通过下述方式计算用于表示趋势显著性的Z值：

当S大于0时，计算Z值为：

Z=(S-1)/sqrt(Var(S))；

当S等于0时，Z值为0；

当S小于0时，计算Z值为：

Z=(S+1)/sqrt(Var(S))；

其中，sqrt表示平方根。

Z值比较单元306具体用于：

将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较：

若所述Z值的绝对值小于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是不显著的；

若所述Z值的绝对值大于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是显著的。

Z值比较单元306具体用于：

假设H0表示所述样本数据不存在趋势，则将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较：

若所述Z值的绝对值大于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是显著的；

若所述Z值的绝对值小于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是不显著的。

预测单元308具体用于：

构建下述预测函数：

Y=β0+β1X+ε；

其中，Y表示消息流行度的流行度预测值，β0表示截距项，β1表示斜率，表示消息流行度随时间的变化率，X表示时间的变量，ε表示误差项，所述ε为随机变量，服从正态分布，用于表示模型中未定义的随机误差；

所述β0以及所述β1通过最小乘二法确定。

误差阈值确定单元307具体用于：

所述误差阈值包括预设的第一误差阈值和第二误差阈值，所述第二误差阈值大于所述第一误差阈值；

当确定所述变化趋势为显著上升趋势时，选择所述第二误差阈值；

当确定所述变化趋势为显著下降趋势时，选择所述第一误差阈值。

异常检测单元311具体用于：

当确定所述变化趋势为显著上升趋势时，若所述误差值大于所述第二误差阈值，则确定对所述主题消息的订阅消息为异常订阅；

当确定所述变化趋势为显著下降趋势时，若所述误差值小于所述第一误差阈值，则确定对所述主题消息的订阅消息为异常订阅。

还包括异常处理单元312，具体用于：

若确定订阅消息为异常订阅，则对所述订阅消息进行限速或者拒绝服务；

或预先根据主题消息的消息流行度的大小，在所述代理节点中缓存部分主题消息对应的服务资源；

若确定订阅消息为异常订阅，则所述代理节点使用所述服务资源对订阅消息进行响应。

或对所述订阅节点发起身份验证。

参阅图4，本申请还提供了一种边缘传感器能耗攻击检测装置，包括：

处理器401、存储器402、输入输出单元403、总线404；

处理器401与存储器402、输入输出单元403以及总线404相连；

存储器402保存有程序，处理器401调用程序以执行如上任一方法。

本申请还涉及一种计算机可读存储介质，计算机可读存储介质上保存有程序，其特征在于，当程序在计算机上运行时，使得计算机执行如上任一方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，read-onlymemory）、随机存取存储器（RAM，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (6)

1.一种边缘传感器能耗攻击检测方法，其特征在于，所述方法应用于系统中，所述系统包括代理节点、边缘传感器和订阅节点，所述订阅节点，所述代理节点与所述边缘传感器之间通过发布/订阅范式的消息协议进行通信，所述代理节点向所述订阅节点推送主题消息，所述方法包括：

采集历史时间段内的主题消息的消息流行度，形成消息流行度的样本数据；

基于所述消息流行度的样本数据构建所述历史时间段内的流行度序列；

在所述流行度序列中，计算每一对相邻的数据点之间的差异值，获得差异值序列，所述差异值序列中记录有每一对相邻的数据点以及对应的差异值；

定义三种不同的标识符用于表示所述差异值的正负关系，并根据相同的标识符划分成三组差异值子序列；

使用标准化MK统计量的计算方法对三组差异值子序列进行计算，得到用于表示趋势显著性的Z值；

将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较，并根据比较结果确定所述消息流行度的变化趋势；

根据所述变化趋势确定误差阈值；

使用预设的预测函数计算所述主题消息在未来一段时间内的流行度预测值；

在所述未来一段时间段内对所述主题消息进行持续观测，并获得对应的流行度观测值；

计算所述流行度预测值与所述流行度观测值之间的误差值；

根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测；

所述定义三种不同的标识符用于表示所述差异值的正负关系，并根据相同的标识符划分成三组差异值子序列包括：

所述标识符的定义如下：

Si=-1，如果Di<0，表示下降趋势；

Si=0，如果Di=0，表示无变化趋势；

Si=1，如果Di>0，表示上升趋势；

其中，Si表示所述标识符的三种不同取值，用于表示第i个差异值的标识符，Di表示差异值；

根据Si的三种不同取值，将差异值划分为三组差异值子序列，同一个差异值子序列中的si取值相同；

所述使用标准化MK统计量的计算方法对三组差异值子序列进行计算，得到用于表示趋势显著性的Z值包括：

通过下述式子计算所述流行度序列的检验统计量S的方差Var(S)，所述检验统计量S为三组差异值子序列的Si取值的总和：

Var(S)=[T*(T-1)*(2T+5)]/18；

或Var(S)=[(T*(T-1)*(2T+5)-∑(ti*(ti-1)*(2ti+5)))/18]；

其中，T表示所述流行度序列，ti表示第i组相同的值的个数，∑表示对所有组求和；

并通过下述方式计算用于表示趋势显著性的Z值：

当S大于0时，计算Z值为：

Z=(S-1)/sqrt(Var(S))；

当S等于0时，Z值为0；

当S小于0时，计算Z值为：

Z=(S+1)/sqrt(Var(S))；

其中，sqrt表示平方根；

将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较，并根据比较结果确定所述消息流行度的变化趋势包括：

假设H0表示所述样本数据不存在趋势，则将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较：

若所述Z值的绝对值大于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是显著的；

若所述Z值的绝对值小于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是不显著的；

所述根据所述变化趋势确定误差阈值包括：

所述误差阈值包括预设的第一误差阈值和第二误差阈值，所述第二误差阈值大于所述第一误差阈值；

当确定所述变化趋势为显著上升趋势时，选择所述第二误差阈值；

当确定所述变化趋势为显著下降趋势时，选择所述第一误差阈值；

所述使用预设的预测函数计算所述主题消息在未来一段时间内的流行度预测值包括：

构建下述预测函数：

Y=β0+β1X+ε；

其中，Y表示消息流行度的流行度预测值，β0表示截距项，β1表示斜率，表示消息流行度随时间的变化率，X表示时间的变量，ε表示误差项，所述ε为随机变量，服从正态分布，用于表示模型中未定义的随机误差；

所述β0以及所述β1通过最小乘二法确定；

所述根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测包括：

当确定所述变化趋势为显著上升趋势时，若所述误差值大于所述第二误差阈值，则确定对所述主题消息的订阅消息为异常订阅；

当确定所述变化趋势为显著下降趋势时，若所述误差值小于所述第一误差阈值，则确定对所述主题消息的订阅消息为异常订阅。

2.根据权利要求1中所述的边缘传感器能耗攻击检测方法，其特征在于，在所述根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测之后，所述方法还包括：

若确定订阅消息为异常订阅，则对所述订阅消息进行限速或者拒绝服务；

或预先根据主题消息的消息流行度的大小，在所述代理节点中缓存部分主题消息对应的服务资源；

若确定订阅消息为异常订阅，则所述代理节点使用所述服务资源对订阅消息进行响应；

或对所述订阅节点发起身份验证。

3.根据权利要求1至2中任一项所述的边缘传感器能耗攻击检测方法，其特征在于，所述消息流行度为所述历史时间段内，所述主题消息的订阅数与所有主题消息的订阅总数的比值。

4.一种边缘传感器能耗攻击检测装置，其特征在于，应用于系统中，所述系统包括代理节点、边缘传感器和订阅节点，所述订阅节点，所述代理节点与所述边缘传感器之间通过发布/订阅范式的消息协议进行通信，所述代理节点向所述订阅节点推送主题消息，包括：

流行度采集单元，用于采集历史时间段内的主题消息的消息流行度，形成消息流行度的样本数据；

序列构建单元，用于基于所述消息流行度的样本数据构建所述历史时间段内的流行度序列；

差异值计算单元，用于在所述流行度序列中，计算每一对相邻的数据点之间的差异值，获得差异值序列，所述差异值序列中记录有每一对相邻的数据点以及对应的差异值；

分组单元，用于定义三种不同的标识符用于表示所述差异值的正负关系，并根据相同的标识符划分成三组差异值子序列；

Z值计算单元，用于使用标准化MK统计量的计算方法对三组差异值子序列进行计算，得到用于表示趋势显著性的Z值；

Z值比较单元，用于将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较，并根据比较结果确定所述消息流行度的变化趋势；

误差阈值确定单元，用于根据所述变化趋势确定误差阈值；

预测单元，用于使用预设的预测函数计算所述主题消息在未来一段时间内的流行度预测值；

观测单元，用于在所述未来一段时间段内对所述主题消息进行持续观测，并获得对应的流行度观测值；

误差值计算单元，用于计算所述流行度预测值与所述流行度观测值之间的误差值；

异常检测单元，用于根据所述误差值与所述误差阈值之间的关系，对所述主题消息对应的订阅消息进行异常检测；

分组单元具体用于：

所述标识符的定义如下：

Si=-1，如果Di<0，表示下降趋势；

Si=0，如果Di=0，表示无变化趋势；

Si=1，如果Di>0，表示上升趋势；

其中，Si表示所述标识符的三种不同取值，用于表示第i个差异值的标识符，Di表示差异值；

根据Si的三种不同取值，将差异值划分为三组差异值子序列，同一个差异值子序列中的si取值相同；

Z值计算单元具体用于：

计算各组差异值子序列的长度；

通过下述式子计算所述差异值子序列的方差Var(S)：

Var(S)=[T*(T-1)*(2T+5)]/18；

或Var(S)=[(T*(T-1)*(2T+5)-∑(ti*(ti-1)*(2ti+5)))/18]；

其中，T表示所述流行度序列，ti表示第i组相同的值的个数，∑表示对所有组求和；

并通过下述方式计算用于表示趋势显著性的Z值：

当S大于0时，计算Z值为：

Z=(S-1)/sqrt(Var(S))；

当S等于0时，Z值为0；

当S小于0时，计算Z值为：

Z=(S+1)/sqrt(Var(S))；

其中，sqrt表示平方根；

Z值比较单元具体用于：

将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较：假设H0表示所述样本数据不存在趋势，则将所述Z值的绝对值与预设的标准正态分布的Z值分布表进行比较：

若所述Z值的绝对值大于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是显著的；

若所述Z值的绝对值小于所述Z值分布表中的数值，则所述消息流行度在显著性水平上是不显著的；

预测单元具体用于：

构建下述预测函数：

Y=β0+β1X+ε；

其中，Y表示消息流行度的流行度预测值，β0表示截距项，β1表示斜率，表示消息流行度随时间的变化率，X表示时间的变量，ε表示误差项，所述ε为随机变量，服从正态分布，用于表示模型中未定义的随机误差；

所述β0以及所述β1通过最小乘二法确定；

误差阈值确定单元具体用于：

所述误差阈值包括预设的第一误差阈值和第二误差阈值，所述第二误差阈值大于所述第一误差阈值；

当确定所述变化趋势为显著上升趋势时，选择所述第二误差阈值；

当确定所述变化趋势为显著下降趋势时，选择所述第一误差阈值；

异常检测单元具体用于：

当确定所述变化趋势为显著上升趋势时，若所述误差值大于所述第二误差阈值，则确定对所述主题消息的订阅消息为异常订阅；

当确定所述变化趋势为显著下降趋势时，若所述误差值小于所述第一误差阈值，则确定对所述主题消息的订阅消息为异常订阅。

5.一种边缘传感器能耗攻击检测装置，其特征在于，所述装置包括：

处理器、存储器、输入输出单元以及总线；

所述处理器与所述存储器、所述输入输出单元以及所述总线相连；

所述存储器保存有程序，所述处理器调用所述程序以执行如权利要求1至3任一项所述方法。

6.一种计算机可读存储介质，所述计算机可读存储介质上保存有程序，所述程序在计算机上执行时执行如权利要求1至3中任一项所述方法。