一种工业物联网异常行为检测方法和系统与流程

1.本发明涉及物联网安全管理技术领域，具体是一种工业物联网异常行为检测方法和系统。


背景技术：

2.工业物联网需要把数以亿计的终端工业设备连入互联网，使得原本相对封闭的工业控制网络变得越来越开放。开放带来便捷和效能的同时，漏洞数量和利用漏洞形成有效攻击的数量也在不断攀升，使工业网络安全面临着极大的挑战。因此，现在出现了很多类似于漏洞检测类的软件，用户可以定期查询整个物联网系统中的潜在问题。
3.但是在漏洞检测完成后，往往会统计并向用户展示，询问是否修复，在这一过程中，如果系统中存在恶意的监测软件，很容易就得知系统中的薄弱点类型及位置，很显然，从攻击者的角度来说，此时是最佳攻击时间。


技术实现要素：

4.本发明的目的在于提供一种工业物联网异常行为检测方法和系统，以解决上述背景技术中提出的问题。
5.为实现上述目的，本发明提供如下技术方案：一种工业物联网异常行为检测方法和系统，包括：接收检测请求，对用户进行权限验证，当用户通过权限验证时，依次对系统中的终端设备进行风险检测，得到风险概率；比对所述风险概率和预设的概率阈值，当所述风险概率大于预设的概率阈值时，生成验证函数，并向终端设备发送；实时监测网络状态，当网速突变时，确定初始时刻，并根据所述初始时刻和所述验证函数确定实时变化的验证码；所述网络状态由终端设备接收到验证函数时调整；将所述验证码插入待发送的数据，并将所述数据依次向终端设备中发送；其中，终端设备根据验证函数验证所述验证码，当含有验证码的数据通过验证时，调整网络状态。
6.作为本发明技术方案进一步的限定：所述对用户进行权限验证的步骤包括：接收检测请求，开放运动信号获取端口；基于所述运动信号获取端口获取的实际加速度；比对所述实际加速度与预设的加速度阈值范围，计算获取到的实际加速度在不同加速度阈值范围内的时长；根据所述时长确定用户权限级别。
7.作为本发明技术方案进一步的限定：所述根据所述时长确定用户权限级别的步骤包括：读取不同加速度阈值范围内的时长；
将所述时长输入训练好的特征函数中，得到特征值；基于所述特征值读取权限表中的用户权限级别；其中，所述权限表包括特征值项和级别项，所述权限表在注册阶段生成。
8.作为本发明技术方案进一步的限定：所述依次对系统中的终端设备进行风险检测，得到风险概率的步骤包括：随机确定检测信号，将所述检测信号输入训练好的预测模型中，得到各节点的预测信号；获取各节点的实际输出信号，并将同一节点对应的所述实际输出信号与所述预测信号进行比对，得到偏移率；将所述偏移率和相应的节点地址输入训练好的风险模型中，得到包含节点地址的风险概率；其中，所述节点为能够进行数据传输的终端设备。
9.作为本发明技术方案进一步的限定：所述生成验证函数的步骤包括：基于基本初等数学函数生成函数数据库；随机读取函数数据库中的基本初等数学函数，并基于基本初等数学函数中的常项数个数确定随机数个数；基于所述随机数个数生成随机数，并基于所述随机数确定验证函数。
10.作为本发明技术方案进一步的限定：所述将所述验证码插入待发送的数据，并将所述数据依次向终端设备中发送的步骤包括：读取并打包待发送的数据，向终端设备发送传输请求；记录传输请求的发送时间，作为第二时刻；读取第一时刻和第二时刻，基于第二时刻和第一时刻计算时间差值，基于时间差值和验证函数生成验证码；将所述验证码插入打包后的数据。
11.作为本发明技术方案进一步的限定：终端设备根据验证函数验证所述验证码，当含有验证码的数据通过验证时，调整网络状态的步骤具体包括：接收到传输请求时，确定第二时刻；根据所述第一时刻、第二时刻和验证函数确定参考验证码；接收含有验证码的数据，比对所述验证码与所述参考验证码；当所述验证码与所述参考验证码相同时，获取数据大小，并根据预设的传输时间确定并调整网速。
12.本发明技术方案提供了一种工业物联网异常行为检测系统，其特征在于，所述系统包括：风险检测模块，用于接收检测请求，对用户进行权限验证，当用户通过权限验证时，依次对系统中的终端设备进行风险检测，得到风险概率；验证函数生成模块，用于比对所述风险概率和预设的概率阈值，当所述风险概率大于预设的概率阈值时，生成验证函数，并向终端设备发送；验证码确定模块，用于实时监测网络状态，当网速突变时，确定初始时刻，并根据所述初始时刻和所述验证函数确定实时变化的验证码；所述网络状态由终端设备接收到验证函数时调整；
数据发送模块，用于将所述验证码插入待发送的数据，并将所述数据依次向终端设备中发送；其中，终端设备根据验证函数验证所述验证码，当含有验证码的数据通过验证时，调整网络状态。
13.作为本发明技术方案进一步限定：所述风险检测模块包括：检测端口开放单元，用于接收检测请求，开放运动信号获取端口；加速度获取单元，用于基于所述运动信号获取端口获取的实际加速度；比对单元，用于比对所述实际加速度与预设的加速度阈值范围，计算获取到的实际加速度在不同加速度阈值范围内的时长；级别确定单元，用于根据所述时长确定用户权限级别。
14.作为本发明技术方案进一步限定：所述级别确定单元包括：时长读取子单元，用于读取不同加速度阈值范围内的时长；特征值确定子单元，用于将所述时长输入训练好的特征函数中，得到特征值；处理执行子单元，用于基于所述特征值读取权限表中的用户权限级别；其中，所述权限表包括特征值项和级别项，所述权限表在注册阶段生成。
15.与现有技术相比，本发明的有益效果是：本发明通过限制网络传输速度对终端设备进行保护，通过相互独立对应的验证函数对传输的数据进行管控，极大的提高了系统进行风险检测时的安全性。
附图说明
16.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。
17.图1示出了工业物联网异常行为检测方法的流程框图。
18.图2示出了工业物联网异常行为检测方法的第一子流程框图。
19.图3示出了工业物联网异常行为检测方法的第二子流程框图。
20.图4示出了工业物联网异常行为检测方法的第三子流程框图。
21.图5示出了工业物联网异常行为检测方法的第四子流程框图。
22.图6示出了工业物联网异常行为检测方法的第五子流程框图。
23.图7示出了工业物联网异常行为检测系统的组成结构框图。
24.图8示出了工业物联网异常行为检测系统中风险检测模块的组成结构框图。
25.图9示出了风险检测模块中级别确定单元的结构示意图。
具体实施方式
26.为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
27.实施例1图1示出了工业物联网异常行为检测方法的流程框图，本发明实施例中，一种工业
物联网异常行为检测方法，所述方法包括步骤s100至步骤s400：步骤s100：接收检测请求，对用户进行权限验证，当用户通过权限验证时，依次对系统中的终端设备进行风险检测，得到风险概率；步骤s100为权限验证过程，风险检测功能一般都设置在总控中心的设备上，而且在其检测过程中，会涉及到每个终端设备，所述终端设备可以是安装在各种设备上的终端设备，也可以是进行信号中转的终端设备；由于涉及范围较广，检测功能需要由一些级别较高的用户发送指令。
28.步骤s200：比对所述风险概率和预设的概率阈值，当所述风险概率大于预设的概率阈值时，生成验证函数，并向终端设备发送；检测到风险后，总控中心需要发送一些系统补丁；但是在这一过程中，恰恰是风险性最高的时段，因为在检测到某个终端具备风险时，其实它也就宣告着相应终端是容易攻破的，如果总控中心中存在一些恶意监测软件，只需要监测风险检测过程即可确定哪些终端设备易被攻击，然后进行恶意攻击。因此，上述内容生成一个验证函数，将数据传输内容限定在需要的安装包内。
29.步骤s300：实时监测网络状态，当网速突变时，确定初始时刻，并根据所述初始时刻和所述验证函数确定实时变化的验证码；所述网络状态由终端设备接收到验证函数时调整；网速突变一般指的是网速突然下降，当终端设备接收到验证函数的那一刻起，对网速进行限制，起到近似于断网保护的效果；记录网速突变的时间，作为初始时刻，验证函数是一个关于时间的函数，时间需要首尾时刻才能确定，尾时刻可以是网速突变后的任意时间，确定了初始时刻，也就确定了“零点”，验证函数的自变量也就随之确定了。
30.步骤s400：将所述验证码插入待发送的数据，并将所述数据依次向终端设备中发送；步骤s400是一个简单的连接过程，某一时刻要发送的数据，其验证码是不同，计算该时刻的验证码，然后将所述验证码与所述数据连接，就得到了要向终端设备中发送的数据。
31.值得一提的是，终端设备根据验证函数验证所述验证码，当含有验证码的数据通过验证时，调整网络状态。所述调整网络状态指的是恢复网络传输速度，至于具体速度与实际情况有关，本发明不作细述。
32.此外，由于初始时刻相同，验证函数也相同，总控中心与终端设备得到的验证码是一一对应的。
33.图2示出了工业物联网异常行为检测方法的第一子流程框图，所述对用户进行权限验证的步骤包括步骤s101至步骤s104：步骤s101：接收检测请求，开放运动信号获取端口；步骤s102：基于所述运动信号获取端口获取的实际加速度；步骤s103：比对所述实际加速度与预设的加速度阈值范围，计算获取到的实际加速度在不同加速度阈值范围内的时长；步骤s104：根据所述时长确定用户权限级别。
34.步骤s101至步骤s104提供了一种具体的权限验证的技术方案，即，通过检测运动
信号来判断用户权限，具体的运动信号可以是敲击力度，摇晃幅度等等，上述内容将运动信号限定在智能手机的摇晃的方式，不同人摇晃手机的幅度与习惯是不同的，多次摇晃，加速度值会分布在一个大区间内，其中，大区间中有很多小区间，也就是上述加速度阈值范围。
35.值得一提的是，加速度采集过程一定是离散的，采集频率越高，时长确定过程越精确。
36.图3示出了工业物联网异常行为检测方法的第二子流程框图，所述根据所述时长确定用户权限级别的步骤包括：步骤s1041：读取不同加速度阈值范围内的时长；步骤s1042：将所述时长输入训练好的特征函数中，得到特征值；步骤s1043：基于所述特征值读取权限表中的用户权限级别；其中，所述权限表包括特征值项和级别项，所述权限表在注册阶段生成。
37.步骤s1041至步骤s1043是处理过程，不同加速度阈值范围内的时长，按照预设的特征函数，可以得到一个特征值，所述特征函数是一个多元函数，自变量为不同加速度阈值范围内的时长；最终生成的特征值与用户是一一对应的。不同人摇晃手机的方式是不同的，而且模仿他人摇晃手机，力度也很难做到相同，因此，上述权限验证过程安全性很高。
38.图4示出了工业物联网异常行为检测方法的第三子流程框图，所述依次对系统中的终端设备进行风险检测，得到风险概率的步骤包括步骤s105至步骤s107：步骤s105：随机确定检测信号，将所述检测信号输入训练好的预测模型中，得到各节点的预测信号；步骤s106：获取各节点的实际输出信号，并将同一节点对应的所述实际输出信号与所述预测信号进行比对，得到偏移率；步骤s107：将所述偏移率和相应的节点地址输入训练好的风险模型中，得到包含节点地址的风险概率；其中，所述节点为能够进行数据传输的终端设备。
39.步骤s105至步骤s107的工作流程为，随机确定一个输入，然后根据此输入，从理论上确定各节点的理论输出，然后测量实际输出信号，并将所述实际输出信号与所述预测信号进行比对，如果相同的话，偏移率即为零，如果不同的话，偏移率不为零；不同节点对于偏移率的要求不同，因此，在根据偏移率确定风险概率时，要依次比对每个终端设备。
40.图5示出了工业物联网异常行为检测方法的第四子流程框图，所述生成验证函数的步骤包括：步骤s201：基于基本初等数学函数生成函数数据库；步骤s202：随机读取函数数据库中的基本初等数学函数，并基于基本初等数学函数中的常项数个数确定随机数个数；步骤s203：基于所述随机数个数生成随机数，并基于所述随机数确定验证函数。
41.步骤s201至步骤s203为函数确定过程，较为简单，本发明技术方案不再赘述。
42.图6示出了工业物联网异常行为检测方法的第五子流程框图，所述将所述验证码插入待发送的数据，并将所述数据依次向终端设备中发送的步骤包括：步骤s401：读取并打包待发送的数据，向终端设备发送传输请求；步骤s402：记录传输请求的发送时间，作为第二时刻；步骤s403：读取第一时刻和第二时刻，基于第二时刻和第一时刻计算时间差值，基
于时间差值和验证函数生成验证码；步骤s404：将所述验证码插入打包后的数据。
43.验证函数是关于时间的函数，根据启止时刻来确定时间差值，然后将所述时间差值代入验证函数，即可得到唯一对应的验证码，将所述验证码插入打包后的数据，那么该数据就能够通过终端设备的检测。
44.进一步的，终端设备根据验证函数验证所述验证码，当含有验证码的数据通过验证时，调整网络状态的步骤具体包括：接收到传输请求时，确定第二时刻；根据所述第一时刻、第二时刻和验证函数确定参考验证码；接收含有验证码的数据，比对所述验证码与所述参考验证码；当所述验证码与所述参考验证码相同时，获取数据大小，并根据预设的传输时间确定并调整网速。
45.上述内容是发生在终端设备处的具体工作过程，它仅允许带有验证码的数据进行传输，至于调节的幅度，是根据预设的传输时间确定并调整，这么做的目的是，在确定网速后，可以再对传输时间进行检测，如果传输时间过大，则说明传输的数据有问题。
46.实施例2图7示出了工业物联网异常行为检测系统的组成结构框图，本发明实施例中，一种工业物联网异常行为检测系统，所述系统10包括：风险检测模块11，用于接收检测请求，对用户进行权限验证，当用户通过权限验证时，依次对系统中的终端设备进行风险检测，得到风险概率；验证函数生成模块12，用于比对所述风险概率和预设的概率阈值，当所述风险概率大于预设的概率阈值时，生成验证函数，并向终端设备发送；验证码确定模块13，用于实时监测网络状态，当网速突变时，确定初始时刻，并根据所述初始时刻和所述验证函数确定实时变化的验证码；所述网络状态由终端设备接收到验证函数时调整；数据发送模块14，用于将所述验证码插入待发送的数据，并将所述数据依次向终端设备中发送；其中，终端设备根据验证函数验证所述验证码，当含有验证码的数据通过验证时，调整网络状态。
47.图8示出了工业物联网异常行为检测系统中风险检测模块的组成结构框图，所述风险检测模块11包括：检测端口开放单元111，用于接收检测请求，开放运动信号获取端口；加速度获取单元112，用于基于所述运动信号获取端口获取的实际加速度；比对单元113，用于比对所述实际加速度与预设的加速度阈值范围，计算获取到的实际加速度在不同加速度阈值范围内的时长；级别确定单元114，用于根据所述时长确定用户权限级别。
48.图9示出了风险检测模块中级别确定单元的结构示意图，所述级别确定单元114包括：时长读取子单元1141，用于读取不同加速度阈值范围内的时长；
特征值确定子单元1142，用于将所述时长输入训练好的特征函数中，得到特征值；处理执行子单元1143，用于基于所述特征值读取权限表中的用户权限级别；其中，所述权限表包括特征值项和级别项，所述权限表在注册阶段生成。
49.所述工业物联网异常行为检测方法所能实现的功能均由计算机设备完成，所述计算机设备包括一个或多个处理器和一个或多个存储器，所述一个或多个存储器中存储有至少一条程序代码，所述程序代码由所述一个或多个处理器加载并执行以实现所述工业物联网异常行为检测方法的功能。
50.处理器从存储器中逐条取出指令、分析指令，然后根据指令要求完成相应操作，产生一系列控制命令，使计算机各部分自动、连续并协调动作，成为一个有机的整体，实现程序的输入、数据的输入以及运算并输出结果，这一过程中产生的算术运算或逻辑运算均由运算器完成；所述存储器包括只读存储器(read
‑
only memory，rom)，所述只读存储器用于存储计算机程序，所述存储器外部设有保护装置。
51.示例性的，计算机程序可以被分割成一个或多个模块，一个或者多个模块被存储在存储器中，并由处理器执行，以完成本发明。一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序在终端设备中的执行过程。
52.本领域技术人员可以理解，上述服务设备的描述仅仅是示例，并不构成对终端设备的限定，可以包括比上述描述更多或更少的部件，或者组合某些部件，或者不同的部件，例如可以包括输入输出设备、网络接入设备、总线等。
53.所称处理器可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器 (digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列 (field
‑
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，上述处理器是上述终端设备的控制中心，利用各种接口和线路连接整个用户终端的各个部分。
54.上述存储器可用于存储计算机程序和/或模块，上述处理器通过运行或执行存储在存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现上述终端设备的各种功能。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序（比如信息采集模板展示功能、产品信息发布功能等）等；存储数据区可存储根据泊位状态显示系统的使用所创建的数据（比如不同产品种类对应的产品信息采集模板、不同产品提供方需要发布的产品信息等）等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡（smart media card， smc），安全数字（secure digital， sd）卡，闪存卡（flash card）、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
55.终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例系统中的全部或部分模块/单元，也可以通过计算机程序来指令相关的硬件来完成，上述的计算机程序可存储于计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个系统实施例的功能。其中，计算机程序包括计算机程序代码，计算机程序代码
可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器（rom，read
‑
only memory）、随机存取存储器（ram，random access memory）、电载波信号、电信信号以及软件分发介质等。
56.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
57.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。