一种物联网设备的安全监测方法、装置、设备及存储介质与流程

1.本发明涉及物联网技术领域，尤其涉及一种物联网设备的安全监测方法、装置、设备及存储介质。


背景技术：

2.目前，在互联网时代的发展下，现如今已经快速进入物联网时代。而物联网就是“物物相连的互联网”，物联网的核心和基础仍然是互联网，是通过互联网进行延伸和扩展后的网络。物联网的运用虽然提高了工业运营智能化和生产效率，但网络安全防护的形势依然严峻。因此，任何能够连接互联网的设备都可能潜藏着安全漏洞，一旦某一物联网设备被恶意攻击，也将对其他物联网设备产生安全问题。
3.当前，现有技术中提供了一种物联网安全防护方法，主要是通过在网络入口处增加服务器、防火墙、入侵检测系统等实现的，该方法监测成本大，设备体积及占地面积大，能耗大，且需要专业技术人员运维，因此适用范围有限，仅适用于智能工厂等等大型物联网应用场所，不适用于家居、办公室或会议厅等小型物联网应用场所。
4.在实现本发明的过程中，发明人发现相关技术中至少存在以下问题：由于需要在网络入口处增加服务器、防火墙、入侵检测系统，导致针对物联网的网络安全监测存在成本高、适用范围小等问题。


技术实现要素：

5.本发明实施例的目的是提供一种物联网设备的安全监测方法、装置、设备及存储介质，以解决由于需要在网络入口处增加服务器、防火墙、入侵检测系统，导致针对物联网的网络安全监测存在成本高、适用范围小的问题。
6.为了解决上述技术问题，本发明实施例是这样实现的：
7.第一方面，本发明实施例提供了一种物联网设备的安全监测方法，应用于云端服务器，所述方法包括：
8.获取多个目标物联网设备分别上传的物联网流量数据；
9.针对每个所述目标物联网设备，基于该目标物联网设备的所述物联网流量数据，确定各预设预警指标的特征值；
10.获取包含各所述目标物联网设备的拓扑结构图；其中，所述拓扑结构图包括多个物联网设备节点和多个边，每个所述边为具有预设连接关系的两个所述目标物联网设备对应的物联网设备节点的连线；
11.基于所述拓扑结构图和各所述目标物联网设备的所述预设预警指标的特征值，确定各所述目标物联网设备的网络安全值；
12.根据各所述目标物联网设备的所述网络安全值，确定网络安全不达标的目标物联网设备。
13.第二方面，本发明实施例提供了一种物联网设备的安全监测装置，设置于云端服
务器，所述装置包括：
14.流量数据获取模块，用于获取多个目标物联网设备分别上传的物联网流量数据；
15.指标特征值确定模块，用于针对每个所述目标物联网设备，基于该目标物联网设备的所述物联网流量数据，确定各预设预警指标的特征值；
16.拓扑结构图获取模块，用于获取包含各所述目标物联网设备的拓扑结构图；其中，所述拓扑结构图包括多个物联网设备节点和多个边，每个所述边为具有网络连接关系的两个所述目标物联网设备对应的物联网设备节点的连线；
17.网络安全值确定模块，用于基于所述拓扑结构图和各所述目标物联网设备的所述预设预警指标的特征值，确定各所述目标物联网设备的网络安全值；
18.设备安全识别模块，用于根据各所述目标物联网设备的所述网络安全值，确定网络安全不达标的目标物联网设备。
19.第三方面，本发明实施例提供了一种计算机设备，包括处理器、通信接口、存储器和通信总线；其中，所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信；所述存储器，用于存放计算机程序；所述处理器，用于执行所述存储器上所存放的程序，实现如第一方面所述的物联网设备的安全监测方法的步骤。
20.第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现如第一方面所述的物联网设备的安全监测方法的步骤。
21.本发明实施例中的物联网设备的安全监测方法、装置、设备及存储介质，通过物联网设备采集各自的物联网流量数据，并将该物联网流量数据上传至云端服务器，再由云端服务器基于该物联网流量数据得到各预设预警指标的特征值；以及基于指定物联网安全监测区域内的物联网设备拓扑结构图和物联网设备对应的各预设预警指标的特征值，确定各物联网设备的网络安全值，基于该网络安全值识别目标物联网设备是否存在安全问题，从而达到对物联网设备的网络安全进行监测的目的，这样无需在网络入口处设置用于监测物联网安全的多余的硬件设备，从而降低了物联网安全监测成本，提高了物联网安全监测方法的适用范围。
附图说明
22.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
23.图1为本发明实施例提供的物联网设备的安全监测系统的应用场景示意图；
24.图2为本发明实施例提供的物联网设备的安全监测方法的第一种流程示意图；
25.图3为本发明实施例提供的物联网设备的安全监测方法的第一种流程示意图；
26.图4为本发明实施例提供的物联网设备的安全监测方法的第一种流程示意图；
27.图5为本发明实施例提供的物联网设备的安全监测方法的第一种流程示意图；
28.图6为本发明实施例提供的物联网设备的安全监测方法中拓扑结构图拆分的具体流程示意图；
29.图7为本发明实施例提供的物联网设备的安全监测方法中拓扑结构图拆分的具体实现原理示意图；
30.图8为本发明实施例提供的物联网设备的安全监测装置的模块组成示意图；
31.图9为本发明实施例提供的计算机设备的结构示意图。
具体实施方式
32.为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
33.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
34.本发明实施例提供了一种物联网设备的安全监测方法、装置、设备及存储介质，通过物联网设备采集各自的物联网流量数据，并将该物联网流量数据上传至云端服务器，再由云端服务器基于该物联网流量数据得到各预设预警指标的特征值；以及基于指定物联网安全监测区域内的物联网设备拓扑结构图和该物联网设备对应的各预设预警指标的特征值，确定各物联网设备的网络安全值，基于该网络安全值识别目标物联网设备是否存在安全问题，从而达到对物联网设备的网络安全进行监测的目的，这样无需在网络入口处设置用于监测物联网安全的多余的硬件设备，从而降低了物联网安全监测成本，提高了物联网安全监测方法的适用范围。
35.图1为本发明实施例提供的物联网设备的安全监测系统的应用场景示意图，如图1所示，该系统包括：云端服务器和多个物联网设备，其中，该物联网设备可以是智能冰箱、智能家用电器等智能家居，还可以是智能售卖柜等智能设备，还可以是智能手机、平板电脑等移动终端，该云端服务器可以是用于对物联网设备进行安全监测的后台服务器，该后台服务器可以是独立的服务器，也可以是由多个服务器组成的服务器集群，其中，物联网设备的安全监测的具体过程为：
36.物联网设备，按照预设时间间隔采集各自的物联网流量数据，并将采集到的物联网流量数据上传至云端服务器；
37.云端服务器，接收多个目标物联网设备分别上传的物联网流量数据；
38.云端服务器，针对每个目标物联网设备，基于该目标物联网设备的物联网流量数据，确定各预设预警指标的特征值；
39.云端服务器，获取包含各目标物联网设备的拓扑结构图；其中，该拓扑结构图包括多个物联网设备节点和多个边，每个边为具有预设连接关系的两个目标物联网设备对应的物联网设备节点的连线；该拓扑结构图是针对当前安全监测的物联网应用场景下包含的多个物联网设备所构建的，该拓扑结构图可以是预先存储在预设数据库中的；
40.云端服务器，基于获取到的拓扑结构图和各目标物联网设备的预设预警指标的特征值，确定各目标物联网设备的网络安全值；
41.云端服务器，根据各目标物联网设备的网络安全值，确定网络安全不达标的目标
物联网设备；
42.云端服务器，若确定任一目标物联网设备的网络安全不达标，则对相应的物联网设备进行安全预警，进而实现物联网安全预警。
43.在上述应用场景中，通过物联网设备采集各自的物联网流量数据，并将该物联网流量数据上传至云端服务器，再由云端服务器基于该物联网流量数据得到各预设预警指标的特征值；以及基于指定物联网安全监测区域内的物联网设备拓扑结构图和物联网设备对应的各预设预警指标的特征值，确定各物联网设备的网络安全值，基于该网络安全值识别目标物联网设备是否存在安全问题，从而达到对物联网设备的网络安全进行监测的目的，这样无需在网络入口处设置用于监测物联网安全的多余的硬件设备，从而降低了物联网安全监测成本，提高了物联网安全监测方法的适用范围。
44.图2为本发明实施例提供的物联网设备的安全监测方法的第一种流程示意图，图2中的方法能够由图1中的云端服务器执行，如图2所示，该方法至少包括以下步骤：
45.s201，获取多个目标物联网设备分别上传的物联网流量数据；其中，该物联网流量数据包括设备流量日志中用于表征物联网设备的安全性运行状态的数据；
46.具体的，针对某一物联网安全监测区域内的多个物联网设备，每个物联网设备均按照预设时间间隔采集各自的物联网流量数据，并将采集到的物联网流量数据上传至云端服务器；其中，该物联网安全监测区域内可以是日常家居、公司办公室、或者单位会议厅等小型物联网应用场所，也可以是智能工厂等大型物联网应用场所。
47.s202，针对每个目标物联网设备，基于该目标物联网设备的物联网流量数据，确定各预设预警指标的特征值；
48.其中，上述预设预警指标包括：dns失败率、tcp丢包率、tcp建立失败率、tcp建立实验失败率，tcp重传率、http失败率中至少一项；
49.具体的，对于每个目标物联网设备而言，针对每个预设预警指标，基于获取到的目标物联网设备的物联网流量数据，确定该预设预警指标的当前实际取值；可以将该当前实际取值确定为预警指标的特征值；进一步的，考虑到由于不同预警指标其物理意义不同，不具有可比性，基于此，将各预设预警指标的取值进行归一化处理，得到各预设预警指标的特征值，具体的，不仅确定该预设预警指标的当前实际取值，还获取在预设历史时间段内该预设预警指标的历史实际取值的最大值和最小值；其中，各预设预警指标的历史实际取值是基于目标物联网设备在预设历史时间段内上传的物联网流量数据所确定的；
50.具体的，针对每个目标物联网设备，在确定出该目标物联网设备的某一预设预警指标的当前实际取值和历史实际取值的最大值和最小值后，根据该预设阈值指标在预设历史时间段内的最大值、最小值、以及该预设预警指标的当前实际取值，确定该预设预警指标的特征值；
51.具体的，以预设阈值指标ai为例，预设其中，ai表示预设预警指标ai的当前实际取值，表示预设预警指标ai的历史实际取值的最小值，表示预设预警指标ai的历史实际取值的最大值。
52.其中，考虑到由于不同预警指标其物理意义不同，不具有可比性，基于此，将各预
设预警指标的取值进行归一化处理，得到各预设预警指标的特征值，即利用上述公式得到的预设预警指标的特征值为归一化的值，因此，不同预警指标之间基于上述归一化处理得到的特征值具有了可比性。
53.s203，获取包含各目标物联网设备的拓扑结构图；其中，该拓扑结构图包括多个物联网设备节点和多个边，每个边为具有预设连接关系的两个目标物联网设备对应的物联网设备节点的连线；
54.其中，获取针对待安全监测的物联网应用场景所构建的拓扑结构图，该拓扑结构图用于表征指定物联网安全监测区域内的多个物联网设备的物理架构，该拓扑结构图可以是一个无向图，其中，若两个物联网设备之间建立网络连接，则在拓扑结构图中，将该两个物联网设备对应的两个设备节点之间连接一条边；其中，该拓扑结构图中还可以包括预先拆分得到的多个拓扑结构子图；另外，若指定物联网安全监测区域内的多个物联网设备的物理架构发生变化，对应的，针对某一指定物联网安全监测区域所构建的拓扑结构图发生变化，则重新对变化后的拓扑结构图进行拆分，得到新的多个拓扑结构子图。
55.s204，基于获取到的拓扑结构图和各目标物联网设备的预设预警指标的特征值，确定各目标物联网设备的网络安全值；
56.具体的，在确定物联网应用场景的物联网安全性的过程中，不仅参考该物联网应用场景中所包含的目标物联网设备的预设预警指标的特征值，还参考针对该物联网应用场景所构建的拓扑结构图，这样能够提高目标物联网设备的网络安全值的识别准确度。
57.s205，根据各目标物联网设备的网络安全值，确定网络安全不达标的目标物联网设备；
58.具体的，在分别确定出各目标物联网设备的网络安全值后，若某一目标物联网设备的安全值满足预设预警条件，则确定该目标物联网设备的网络安全不达标，该目标物联网设备所在的物联网不安全，对该物联网设备进行安全预警，进而实现物联网安全预警，其中，该预设预警条件可以是物联网设备的安全值大于预设安全阈值。
59.本发明提供的实施例中，通过物联网设备采集各自的物联网流量数据，并将该物联网流量数据上传至云端服务器，再由云端服务器基于该物联网流量数据得到各预设预警指标的特征值；以及基于指定物联网安全监测区域内的物联网设备拓扑结构图和物联网设备对应的各预设预警指标的特征值，确定各物联网设备的网络安全值，基于该网络安全值识别目标物联网设备是否存在安全问题，从而达到对物联网设备的网络安全进行监测的目的，这样无需在网络入口处设置用于监测物联网安全的多余的硬件设备，从而降低了物联网安全监测成本，提高了物联网安全监测方法的适用范围。
60.其中，针对目标物联网设备的网络安全值的确定过程，如图3所示，上述s204，基于获取到的拓扑结构图和各目标物联网设备的预设预警指标的特征值，确定各目标物联网设备的网络安全值，具体包括：
61.s2041，基于获取到的拓扑结构图，确定各目标物联网设备的网络安全权重；
62.其中，针对基于拓扑结构图确定物联网设备的安全权重的过程，可以预先将拓扑结构图划分为多个拓扑结构子图，以及针对拓扑结构图中各设备节点对应的物联网设备设定安全等级，再基于目标物联网设备所在的拓扑结构子图的总边数和各类别安全等级的节点数量，确定物联网设备的安全权重。
63.s2042，基于确定出的网络安全权重和各目标物联网设备的预设预警指标的特征值，确定各目标物联网设备的网络安全值。
64.其中，上述拓扑结构图包括：多个拓扑结构子图，每个物联网设备节点对应一个安全等级，每个拓扑结构子图中包含的关键设备节点的数量小于预设阈值，该关键设备节点对应的物联网设备的安全等级高于预设安全等级；
65.对应的，如图4所示，上述s2041，基于获取到的拓扑结构图，确定各目标物联网设备的网络安全权重，具体包括：
66.s20411，针对每个目标物联网设备，确定在上述拓扑结构图中该目标物联网设备对应的物联网设备节点所在的目标拓扑结构子图；
67.具体的，预先针对待安全监测的物联网应用场景所构建的拓扑结构图，基于该拓扑结构图中各设备节点对应的物联网设备的安全等级，对该拓扑结构图进行拆分，得到多个拓扑结构子图，以及，存储拓扑结构子图的标识信息与该拓扑结构子图中包含的多个物联网设备的标识信息之间的对应关系，这样在针对物联网设备进行安全监测的过程中，可以基于该对应关系，确定在相应的拓扑结构图中目标物联网设备所在的目标拓扑结构子图，以便基于该目标拓扑结构子图，确定目标物联网设备的网络安全权重。
68.s20412，确定上述目标拓扑结构子图中所包含的边数量和属于各种类别的安全等级的设备节点数量；
69.s20413，根据各类别安全等级对应的设备节点数量、预设的影响系数和确定出的边数量，确定目标物联网设备的网络安全权重；
70.具体的，以物联网设备的安全等级分为高级、中级、低级这三种类别为例，针对任一物联网设备j，该物联网设备j的安全权重wj＝物联网设备j所属安全等级对应的预设的影响系数*(p1*安全等级为高级的物联网设备对应的节点数 p2*安全等级为中级的物联网设备对应的节点数 p3*安全等级为低级的物联网设备对应的节点数)*目标拓扑结构子图中的总边数，其中，p1表示安全等级为高级对应的预设的影响系数，p2表示安全等级为中级对应的预设的影响系数，p1表示安全等级为低级对应的预设的影响系数；其中，考虑到物联网设备的安全等级越高，其被恶意攻击后，对物联网信息安全所造成的不良影响越大，因此，预设的影响系数p1＞p2＞p3。
71.具体的，由于目标拓扑结构子图的边数越多，说明该拓扑结构子图越复杂，该拓扑结构子图中任一物联网设备节点被攻击后，通过该物联网设备节点的边攻击其他设备节点的可能性就会增加，因此，目标物联网设备的网络安全权重与目标拓扑结构子图中的总边数成正比；以及由于安全等级越高的物联网设备被攻击后，对物联网信息安全所造成的不良影响越大，因此，针对不同安全等级设置的影响系数不同，安全等级与对应的影响系数正相关；
72.在本技术实施例中，在确定各目标物联网设备的网络安全权重的过程中，同时参考物联网设备所在的目标拓扑结构子图的总边数和物联网设备的安全等级，也就是说，既考虑了物联网设备所在的目标拓扑结构子图的复杂性，又考虑了物联网设备本身对物联网信息的攻击影响程度，这样能够提高目标物联网设备的网络安全权重的确定准确度。
73.其中，上述s2042，基于确定出的网络安全权重和各目标物联网设备的预设预警指标的特征值，确定各目标物联网设备的网络安全值，具体包括：
74.步骤一，基于确定出的网络安全权重和各目标物联网设备的预设预警指标的特征值，确定目标物联网设备的安全向量；
75.具体的，针对任一物联网设备j，具体的，针对任一物联网设备j，其中，该预警指标特征值向量为该物联网设备j的多个预设预警指标ai的特征值的集合。
76.步骤二，根据确定出的安全向量中各元素的取值之和、该安全向量中元素的数量，确定目标物联网设备的网络安全值；
77.具体的，针对任一物联网设备j，该物联网设备j的网络安全值＝该物联网设备j的安全向量中各元素的之和/安全向量中元素的数量。
78.其中，针对基于拓扑结构图确定物联网设备的安全权重的过程，基于目标物联网设备所在的拓扑结构子图的总边数和各类别安全等级的节点数量，确定物联网设备的安全权重，因此，还需要基于拓扑结构图中各设备节点对应的安全等级，将拓扑结构图划分为多个拓扑结构子图，如图5所示，在s20411，针对每个目标物联网设备，确定该目标物联网设备对应的物联网设备节点所在的目标拓扑结构子图之前，还包括：
79.s206，确定各目标物联网设备的安全等级；其中，该安全等级是根据物联网设备上的数据保密级别所确定的；
80.其中，上述安全等级与数据保密级别正相关，即物联网设备的数据保密级别越高，其安全等级越高，一旦发生安全风险其威胁越大，在具体实施时，可以将物联网设备的安全等级分为高级、中级、低级这三种类别，对应的，将数据保密级别最高的物联网设备的安全等级设置为高级，将数据保密级别最低的物联网设备的安全等级设置为低级。
81.s207，根据各目标物联网设备的安全等级，对对应的拓扑结构图进行拆分，得到多个拓扑结构子图。
82.其中，考虑到物联网设备的安全等级越高，其被恶意攻击后，对物联网信息安全所造成的不良影响越大，因此，在对当前安全监测的物联网应用场景对应的拓扑结构图进行拆分得到多个拓扑结构子图的过程中，确保划分得到的每个拓扑结构子图中包含的安全等级高于预设安全等级的关键设备节点的数量小于预设阈值，例如，预设安全等级为高级，预设阈值为2，对应的，每个拓扑结构子图中最多包含的一个安全等级为高级的关键设备节点。
83.其中，若上述拓扑结构图包括至少一个安全等级为第一等级的物联网设备节点；该第一等级为最高安全等级；
84.对应的，如图6所示，上述s207，根据各目标物联网设备的安全等级，对对应的拓扑结构图进行拆分，得到多个拓扑结构子图，具体包括：
85.s2071，在针对当前安全监测的物联网应用场景所构建的拓扑结构图中，随机选取一个安全等级为第一等级的关键设备节点；
86.其中，若确定当前安全监测的物联网应用场景对应的拓扑结构图中包含至少一个安全等级为最高安全等级的物联网设备节点，则需要将该拓扑结构图划分为多个拓扑结构子图；具体的，依次选取安全等级为最高安全等级的物联网设备节点作为中心节点，识别与该物联网设备节点划分至同一拓扑结构子图的其他物联网设备节点。
87.s2072，确定与当前选取的关键设备节点相连的多个相邻设备节点；具体的，针对每个当前选取的关键设备节点，在拓扑结构图中确定与该关键设备节点相连的多个相邻设备节点，进而判断该关键设备节点的相邻设备节点是否划分至该关键设备节点所在的拓扑结构子图。
88.s2073，根据确定出的各相邻设备节点的安全等级和/或节点度数，将该相邻设备节点划分至当前选取的关键设备节点所在的拓扑结构子图或者另一拓扑结构子图；其中，另一拓扑结构子图是指与当前选取的关键设备节点所在的拓扑结构子图不同的拓扑结构子图；并且，可以将当前选取的关键设备节点与被划分至另一拓扑结构子图的相邻设备节点之间的边断开；
89.其中，上述相邻设备节点的节点度数是指与该相邻设备节点关联的所有边的关联次数之和为该相邻设备节点的度数；具体的，在对当前安全监测的物联网应用场景对应的拓扑结构图进行拆分得到多个拓扑结构子图的过程中，将安全等级均为最高等级两个物联网设备节点划分至不同的拓扑结构子图中，以及将安全等级为最高等级的物联网设备节点、安全等级为次高等级且节点度数大于该最高等级的物联网设备节点的物联网设备节点划分至不同的拓扑结构子图中。
90.s2074，判断在上述拓扑结构图中是否存在未被选取的关键设备节点；具体的，在针对当前选取的关键设备节点，确定与其连接的相邻设备节点是否与该关键设备节点划分至同一拓扑结构子图后，继续在与其连接的相邻设备节点相连接的相邻设备节点中确定是否存在安全等级为最高等级的物联网设备节点，若存在，则将该物联网设备节点确定为下一个当前选取的关键设备节点。
91.若是，则s2075，在未被选取的关键设备节点中选取下一个关键设备节点，并返回上述s2072，直到确定不存在未被选取的关键设备节点且每个关键设备节点均被划分至相应的拓扑结构子图；具体的，在选取出下一个关键设备节点后，仍基于上述s2072至s2073的步骤确定拓扑结构子图；
92.具体的，在分别针对拓扑结构图中每个安全等级为第一等级的关键设备节点，将该关键设备节点作为一个中心节点，形成一个拓扑结构子图，并将与该关键设备节点连接的相邻设备节点划分至该关键设备节点所在的拓扑结构子图或者另一拓扑结构子图后，对于其余安全等级低于第一等级的待划分的物联网设备节点，将该物联网设备节点划分至与其直接或间接连接的已划分的物联网设备节点所在的拓扑结构子图。
93.其中，针对基于物联网设备节点的安全等级和/或节点度数，对拓扑结构图进行划分的具体过程，上述s2073，根据确定出的各相邻设备节点的安全等级和/或节点度数，将上述相邻设备节点划分至当前选取的关键设备节点所在的拓扑结构子图或者另一拓扑结构子图，具体包括：
94.若确定出的相邻设备节点对应的安全等级为第一等级，则将该相邻设备节点划分至另一拓扑结构子图；
95.其中，由于每个拓扑结构子图中仅允许最多包含一个安全等级为第一等级的物联网设备节点，因此，若与当前选取的关键设备节点相连的物联网设备节点的安全等级也为第一等级，则将该关键设备节点与该物联网设备节点之间的连线断开，以将该物联网设备节点划分至另一拓扑结构子图，并且该物联网设备节点也将被选取为下一个关键设备节
点。
96.若确定出的相邻设备节点对应的安全等级为第二等级，则判断该相邻设备节点的节点度数是否大于当前选取的关键设备节点的节点度数；其中，该第二等级为次高安全等级；
97.具体的，针对与当前选取的关键设备节点连接的相邻设备节点的安全等级为第二等级的情况，需要基于该相邻设备节点的节点度数与当前选取的关键设备节点的节点度数之间的大小关系，来确定该相邻设备节点与该关键设备节点是否划分至同一拓扑结构子图。
98.若大于，则将确定出的相邻设备节点划分至另一拓扑结构子图，并将该相邻设备节点标记为一个准中心节点；其中，该准中心节点作为无关键设备节点的拓扑结构子图中的中心节点，以及该准中心节点作为有关键设备节点的拓扑结构子图中的普通节点；其中，另一拓扑结构子图是指与当前选取的关键设备节点所在的拓扑结构子图不同的拓扑结构子图，并且，可以将当前选取的关键设备节点与被划分至另一拓扑结构子图的相邻设备节点之间的边断开；其中，该相邻设备节点将被划分至其最终连接的关键设备节点所在的拓扑结构子图、或者以该相邻设备节点为中心节点的拓扑结构子图。
99.若不大于或者确定出的相邻设备节点低于第二等级，则将该相邻设备节点划分至以当前选取的关键设备节点为中心节点的拓扑结构子图。
100.在具体实施时，以物联网设备的安全等级分为高级、中级、低级这三种类别，上述第一等级为高级，上述第二等级为中级，低于第二等级的安全等级为低级。
101.在具体实施时，如图7所示，在针对当前安全监测的物联网应用场景所构建的拓扑结构图中，随机选取一个安全等级为第一等级的关键设备节点b；其中，该第一等级为最高安全等级；
102.确定与当前选取的关键设备节点b相连的多个相邻设备节点有：c1、c2、c3、c4、c5、e；
103.根据各相邻设备节点c1、c2、c3、c4、c5、e的安全等级和/或节点度数，将各相邻设备节点划分至当前选取的关键设备节点b所在的拓扑结构子图或者另一拓扑结构子图；
104.具体的，若相邻设备节点e对应的安全等级为第一等级，则将该相邻设备节点划分至另一拓扑结构子图，具体的，可以断开该关键设备节点b与该相邻设备节点e之间的边；
105.若相邻设备节点c1、c2对应的安全等级为第二等级，则判断该相邻设备节点c1、c2的节点度数是否大于当前选取的关键设备节点b的节点度数；其中，该第二等级为次高安全等级；
106.若相邻设备节点c2的节点度数大于关键设备节点b的节点度数，则将相邻设备节点c2划分至另一拓扑结构子图，并将该相邻设备节点c2标记为一个准中心节点；以及，可以断开该关键设备节点b与该相邻设备节点c2之间的边；
107.若相邻设备节点c1的节点度数小于或等于关键设备节点b的节点度数，则将该相邻设备节点c1划分至以关键设备节点b为中心节点的拓扑结构子图；
108.若相邻设备节点c3、c4、c5对应的安全等级低于第二等级，则将该相邻设备节点c3、c4、c5划分至以关键设备节点b为中心节点的拓扑结构子图；
109.进一步的，在未被选取的关键设备节点中选取下一个关键设备节点d，具体的，可
以是判断与关键设备节点b的相邻设备节点c1、c2、c3、c4、c5、e相连接的相邻设备节点中是否存在安全等级为第一等级的物联网设备节点，若存在，则将该物联网设备节点作为下一个关键设备节点；或者，在未被选取的关键设备节点中选取下一个关键设备节点e，具体的，也可以先将与关键设备节点b的边断开的相邻设备节点e作为下一个关键设备节点，再将关键设备节点d下一个关键设备节点；
110.然后，继续确定与当前选取的关键设备节点d或者关键设备节点e相连的多个相邻设备节点；并根据各相邻设备节点的安全等级和/或节点度数，将各相邻设备节点划分至当前选取的关键设备节点d或者关键设备节点e所在的拓扑结构子图或者另一拓扑结构子图；类似地，直到确定不存在未被选取的关键设备节点且每个关键设备节点均被划分至相应的拓扑结构子图；
111.另外，在每个关键设备节点均被划分至相应的拓扑结构子图后，未被划分的安全等级低于第一等级的物联网设备节点将被划分至其直接或间接连接的中心节点或准中心节点所在的拓扑结构子图。
112.本发明实施例中的物联网设备的安全监测方法，通过物联网设备采集各自的物联网流量数据，并将该物联网流量数据上传至云端服务器，再由云端服务器基于该物联网流量数据得到各预设预警指标的特征值；以及基于指定物联网安全监测区域内的物联网设备拓扑结构图和物联网设备对应的各预设预警指标的特征值，确定各物联网设备的网络安全值，基于该网络安全值识别目标物联网设备是否存在安全问题，从而达到对物联网设备的网络安全进行监测的目的，这样无需在网络入口处设置用于监测物联网安全的多余的硬件设备，从而降低了物联网安全监测成本，提高了物联网安全监测方法的适用范围。
113.对应上述实施例提供的物联网设备的安全监测方法，基于相同的技术构思，本发明实施例还提供了一种物联网设备的安全监测装置，图8为本发明实施例提供的物联网设备的安全监测装置的模块组成示意图，该物联网设备的安全监测装置设置于云端服务器，该装置用于执行图1至图7描述的物联网设备的安全监测方法，如图8所示，该物联网设备的安全监测装置包括：
114.流量数据获取模块801，用于获取多个目标物联网设备分别上传的物联网流量数据；
115.指标特征值确定模块802，用于针对每个所述目标物联网设备，基于该目标物联网设备的所述物联网流量数据，确定各预设预警指标的特征值；
116.拓扑结构图获取模块803，用于获取包含各所述目标物联网设备的拓扑结构图；其中，所述拓扑结构图包括多个物联网设备节点和多个边，每个所述边为具有网络连接关系的两个所述目标物联网设备对应的物联网设备节点的连线；
117.网络安全值确定模块804，用于基于所述拓扑结构图和各所述目标物联网设备的所述预设预警指标的特征值，确定各所述目标物联网设备的网络安全值；
118.设备安全识别模块805，用于根据各所述目标物联网设备的所述网络安全值，确定网络安全不达标的目标物联网设备。
119.本发明实施例中，通过物联网设备采集各自的物联网流量数据，并将该物联网流量数据上传至云端服务器，再由云端服务器基于该物联网流量数据得到各预设预警指标的特征值；以及基于指定物联网安全监测区域内的物联网设备拓扑结构图和物联网设备对应
的各预设预警指标的特征值，确定各物联网设备的网络安全值，基于该网络安全值识别目标物联网设备是否存在安全问题，从而达到对物联网设备的网络安全进行监测的目的，这样无需在网络入口处设置用于监测物联网安全的多余的硬件设备，从而降低了物联网安全监测成本，提高了物联网安全监测方法的适用范围。
120.可选地，所述网络安全值确定模块804，用于：
121.基于所述拓扑结构图，确定各所述目标物联网设备的网络安全权重；
122.基于所述网络安全权重和各所述目标物联网设备的所述预设预警指标的所述特征值，确定各所述目标物联网设备的网络安全值。
123.可选地，所述拓扑结构图包括：多个拓扑结构子图，每个所述物联网设备节点对应一个安全等级，每个所述拓扑结构子图中包含的关键设备节点的数量小于预设阈值，所述关键设备节点对应的物联网设备的安全等级高于预设安全等级；
124.所述网络安全值确定模块804，用于：
125.针对每个所述目标物联网设备，确定该目标物联网设备对应的物联网设备节点所在的目标拓扑结构子图；
126.确定所述目标拓扑结构子图中所包含的边数量和属于各种类别的安全等级的设备节点数量；
127.根据各类别安全等级对应的所述设备节点数量、预设的影响系数和所述边数量，确定所述目标物联网设备的网络安全权重。
128.可选地，所述网络安全值确定模块804，用于：
129.基于所述网络安全权重和各所述目标物联网设备的所述预设预警指标的所述特征值，确定所述目标物联网设备的安全向量；
130.根据所述安全向量中各元素的取值之和、所述安全向量中元素的数量，确定所述目标物联网设备的网络安全值。
131.可选地，所述装置还包括：拓扑子图划分模块，用于：
132.确定各目标物联网设备的安全等级；其中，所述安全等级是根据物联网设备上的数据保密级别所确定的；
133.根据所述安全等级，对所述拓扑结构图进行拆分，得到多个拓扑结构子图。
134.可选地，若所述拓扑结构图包括至少一个安全等级为第一等级的物联网设备节点；所述第一等级为最高安全等级；
135.所述拓扑子图划分模块，用于：
136.在所述拓扑结构图中，随机选取一个安全等级为第一等级的关键设备节点；
137.确定与当前选取的所述关键设备节点相连的多个相邻设备节点；
138.根据各所述相邻设备节点的安全等级和/或节点度数，将所述相邻设备节点划分至所述关键设备节点所在的拓扑结构子图或者另一拓扑结构子图；
139.判断在所述拓扑结构图中是否存在未被选取的关键设备节点；
140.若是，则在未被选取的关键设备节点中选取下一个关键设备节点，直到不存在未被选取的关键设备节点。
141.可选地，所述拓扑子图划分模块，用于：
142.若所述相邻设备节点对应的安全等级为第一等级，则将所述相邻设备节点划分至
另一拓扑结构子图；
143.若所述相邻设备节点对应的安全等级为第二等级，则判断所述相邻设备节点的节点度数是否大于当前选取的所述关键设备节点的节点度数；其中，所述第二等级为次高安全等级；
144.若大于，则将所述相邻设备节点划分至另一拓扑结构子图，并将所述相邻设备节点标记为一个准中心节点；其中，所述准中心节点作为无关键设备节点的拓扑结构子图中的中心节点；
145.若不大于或者所述相邻设备节点低于所述第二等级，则将所述相邻设备节点划分至以当前选取的所述关键设备节点为中心节点的拓扑结构子图。
146.本发明实施例中的物联网设备的安全监测装置，通过物联网设备采集各自的物联网流量数据，并将该物联网流量数据上传至云端服务器，再由云端服务器基于该物联网流量数据得到各预设预警指标的特征值；以及基于指定物联网安全监测区域内的物联网设备拓扑结构图和物联网设备对应的各预设预警指标的特征值，确定各物联网设备的网络安全值，基于该网络安全值识别目标物联网设备是否存在安全问题，从而达到对物联网设备的网络安全进行监测的目的，这样无需在网络入口处设置用于监测物联网安全的多余的硬件设备，从而降低了物联网安全监测成本，提高了物联网安全监测方法的适用范围。
147.本发明实施例提供的物联网设备的安全监测装置能够实现上述物联网设备的安全监测方法对应的实施例中的各个过程，为避免重复，这里不再赘述。
148.需要说明的是，本发明实施例提供的物联网设备的安全监测装置与本发明实施例提供的物联网设备的安全监测方法基于同一发明构思，因此该实施例的具体实施可以参见前述物联网设备的安全监测方法的实施，重复之处不再赘述。
149.对应上述实施例提供的物联网设备的安全监测方法，基于相同的技术构思，本发明实施例还提供了一种计算机设备，该设备用于执行上述的物联网设备的安全监测方法，图9为实现本发明各个实施例的一种计算机设备的结构示意图，如图9所示。计算机设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上的处理器901和存储器902，存储器902中可以存储有一个或一个以上存储应用程序或数据。其中，存储器902可以是短暂存储或持久存储。存储在存储器902的应用程序可以包括一个或一个以上模块(图示未示出)，每个模块可以包括对计算机设备中的一系列计算机可执行指令。更进一步地，处理器901可以设置为与存储器902通信，在计算机设备上执行存储器902中的一系列计算机可执行指令。计算机设备还可以包括一个或一个以上电源903，一个或一个以上有线或无线网络接口904，一个或一个以上输入输出接口905，一个或一个以上键盘906。
150.具体在本实施例中，计算机设备包括有处理器、通信接口、存储器和通信总线；其中，处理器、通信接口以及存储器通过总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行存储器上所存放的程序，实现以下方法步骤：
151.获取多个目标物联网设备分别上传的物联网流量数据；
152.针对每个所述目标物联网设备，基于该目标物联网设备的所述物联网流量数据，确定各预设预警指标的特征值；
153.获取包含各所述目标物联网设备的拓扑结构图；其中，所述拓扑结构图包括多个物联网设备节点和多个边，每个所述边为具有预设连接关系的两个所述目标物联网设备对
应的物联网设备节点的连线；
154.基于所述拓扑结构图和各所述目标物联网设备的所述预设预警指标的特征值，确定各所述目标物联网设备的网络安全值；
155.根据各所述目标物联网设备的所述网络安全值，确定网络安全不达标的目标物联网设备。
156.本发明实施例中的计算机设备，通过物联网设备采集各自的物联网流量数据，并将该物联网流量数据上传至云端服务器，再由云端服务器基于该物联网流量数据得到各预设预警指标的特征值；以及基于指定物联网安全监测区域内的物联网设备拓扑结构图和物联网设备对应的各预设预警指标的特征值，确定各物联网设备的网络安全值，基于该网络安全值识别目标物联网设备是否存在安全问题，从而达到对物联网设备的网络安全进行监测的目的，这样无需在网络入口处设置用于监测物联网安全的多余的硬件设备，从而降低了物联网安全监测成本，提高了物联网安全监测方法的适用范围。
157.本发明实施例提供的计算机设备能够实现上述物联网设备的安全监测方法对应的实施例中的各个过程，为避免重复，这里不再赘述。
158.需要说明的是，本发明实施例提供的计算机设备与本发明实施例提供的物联网设备的安全监测方法基于同一发明构思，因此该实施例的具体实施可以参见前述物联网设备的安全监测方法的实施，重复之处不再赘述。
159.对应上述实施例提供的物联网设备的安全监测方法，基于相同的技术构思，本技术实施例还提供一种计算机可读存储介质，存储介质内存储有计算机程序，计算机程序被处理器执行时实现以下方法步骤：
160.获取多个目标物联网设备分别上传的物联网流量数据；
161.针对每个所述目标物联网设备，基于该目标物联网设备的所述物联网流量数据，确定各预设预警指标的特征值；
162.获取包含各所述目标物联网设备的拓扑结构图；其中，所述拓扑结构图包括多个物联网设备节点和多个边，每个所述边为具有预设连接关系的两个所述目标物联网设备对应的物联网设备节点的连线；
163.基于所述拓扑结构图和各所述目标物联网设备的所述预设预警指标的特征值，确定各所述目标物联网设备的网络安全值；
164.根据各所述目标物联网设备的所述网络安全值，确定网络安全不达标的目标物联网设备。
165.本发明实施例中的计算机可读存储介质，通过物联网设备采集各自的物联网流量数据，并将该物联网流量数据上传至云端服务器，再由云端服务器基于该物联网流量数据得到各预设预警指标的特征值；以及基于指定物联网安全监测区域内的物联网设备拓扑结构图和物联网设备对应的各预设预警指标的特征值，确定各物联网设备的网络安全值，基于该网络安全值识别目标物联网设备是否存在安全问题，从而达到对物联网设备的网络安全进行监测的目的，这样无需在网络入口处设置用于监测物联网安全的多余的硬件设备，从而降低了物联网安全监测成本，提高了物联网安全监测方法的适用范围。
166.本发明实施例提供的计算机可读存储介质能够实现上述物联网设备的安全监测方法对应的实施例中的各个过程，为避免重复，这里不再赘述。
167.需要说明的是，本发明实施例提供的计算机可读存储介质与本发明实施例提供的物联网设备的安全监测方法基于同一发明构思，因此该实施例的具体实施可以参见前述物联网设备的安全监测方法的实施，重复之处不再赘述。
168.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
169.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
170.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
171.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
172.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
173.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
174.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
175.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的
过程、方法、商品或者设备中还存在另外的相同要素。
176.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
177.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。