设备行为控制方法及装置、系统、存储介质转让专利
申请号 : CN201811641383.5
文献号 : CN111385126B
文献日 : 2021-08-13
发明人 : 张妮 , 普杰
申请人 : 华为技术有限公司
摘要 :
权利要求 :
1.一种设备行为控制方法,其特征在于,用于智能边缘物联网系统中的中心管理设备,所述智能边缘物联网系统包括所述中心管理设备、由所述中心管理设备管理的多个边缘管理设备以及由每个所述边缘管理设备管理的多个物联网设备,所述方法包括:获取目标设备的行为数据,所述目标设备为所述智能边缘物联网系统中的任一边缘设备,所述边缘设备包括所述边缘管理设备或所述物联网设备;
根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为;
根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,其中,所述行为矫正方案包括每个所述边缘设备的设备状态和控制策略标识的关联关系,所述控制策略标识指示基于设备的权限访问控制策略,所述控制策略方案包括每个所述边缘设备的设备标识、每个所述边缘设备的设备状态以及基于设备的权限访问控制策略的关联关系。
2.根据权利要求1所述的方法,其特征在于,在根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为之前,所述方法还包括:
获取所述智能边缘物联网系统中的每个所述边缘设备在多个时间段内的行为数据;
根据所述智能边缘物联网系统中的所有所述边缘设备在所述多个时间段内的行为数据,建立目标行为识别模型;
所述根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为,包括:根据所述目标设备的行为数据和所述目标行为识别模型,判断所述目标设备的行为是否为异常行为。
3.根据权利要求1所述的方法,其特征在于,在所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,所述方法还包括:接收用户配置的所述行为矫正方案;
接收用户配置的所述控制策略方案。
4.根据权利要求1所述的方法,其特征在于,所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,包括:根据判断结果确定所述目标设备的设备状态;
根据所述目标设备的设备状态,从所述行为矫正方案中确定与所述目标设备的设备状态关联的目标控制策略标识;
根据所述目标设备的设备标识、所述目标设备的设备状态和所述目标控制策略标识,从所述控制策略方案中确定由所述目标控制策略标识指示且与所述目标设备的设备标识和所述目标设备的设备状态关联的目标权限访问控制策略;
根据所述目标权限访问控制策略,对所述目标设备进行行为控制。
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标权限访问控制策略,对所述目标设备进行行为控制,包括:根据所述目标权限访问控制策略,更新所述目标设备的权限访问控制策略;
执行所述目标权限访问控制策略。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:向所述智能边缘物联网系统中的每个所述边缘管理设备发送所述目标行为识别模型、所述行为矫正方案和所述控制策略方案。
7.一种设备行为控制方法,其特征在于,用于智能边缘物联网系统中的目标边缘管理设备,所述智能边缘物联网系统包括中心管理设备、由所述中心管理设备管理的多个边缘管理设备以及由每个所述边缘管理设备管理的多个物联网设备,所述目标边缘管理设备为所述多个边缘管理设备中的任一边缘管理设备,所述方法包括:获取目标设备的行为数据,所述目标设备为所述智能边缘物联网系统中的任一边缘设备,所述边缘设备包括所述边缘管理设备或所述物联网设备;
根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为;
根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,其中,所述行为矫正方案包括每个所述边缘设备的设备状态和控制策略标识的关联关系,所述控制策略标识指示基于设备的权限访问控制策略,所述控制策略方案包括每个所述边缘设备的设备标识、每个所述边缘设备的设备状态以及基于设备的权限访问控制策略的关联关系。
8.根据权利要求7所述的方法,其特征在于,在根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为之前,所述方法还包括:接收所述中心管理设备发送的目标行为识别模型;
所述根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为,包括:根据所述目标设备的行为数据和所述目标行为识别模型,判断所述目标设备的行为是否为异常行为。
9.根据权利要求7所述的方法,其特征在于,在根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,所述方法还包括:接收所述中心管理设备发送的所述行为矫正方案和所述控制策略方案。
10.根据权利要求7所述的方法,其特征在于,所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,包括:根据判断结果确定所述目标设备的设备状态;
根据所述目标设备的设备状态,从所述行为矫正方案中确定与所述目标设备的设备状态关联的目标控制策略标识;
根据所述目标设备的设备标识、所述目标设备的设备状态和所述目标控制策略标识,从所述控制策略方案中确定由所述目标控制策略标识指示且与所述目标设备的设备标识和所述目标设备的设备状态关联的目标权限访问控制策略;
根据所述目标权限访问控制策略,对所述目标设备进行行为控制。
11.根据权利要求10所述的方法,其特征在于,所述根据所述目标权限访问控制策略,对所述目标设备进行行为控制,包括:根据所述目标权限访问控制策略,更新所述目标设备的权限访问控制策略;
执行所述目标权限访问控制策略。
12.一种设备行为控制装置,其特征在于,用于智能边缘物联网系统中的中心管理设备,所述智能边缘物联网系统包括所述中心管理设备、由所述中心管理设备管理的多个边缘管理设备以及由每个所述边缘管理设备管理的多个物联网设备,所述装置包括:探测模块,用于获取目标设备的行为数据,所述目标设备为所述智能边缘物联网系统中的任一边缘设备,所述边缘设备包括所述边缘管理设备或所述物联网设备;
识别模块,用于根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为;
矫正模块,用于根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,其中,所述行为矫正方案包括每个所述边缘设备的设备状态和控制策略标识的关联关系,所述控制策略标识指示基于设备的权限访问控制策略,所述控制策略方案包括每个所述边缘设备的设备标识、每个所述边缘设备的设备状态以及基于设备的权限访问控制策略的关联关系。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:训练模块,用于在根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为之前,获取所述智能边缘物联网系统中的每个所述边缘设备在多个时间段内的行为数据;根据所述智能边缘物联网系统中的所有所述边缘设备在所述多个时间段内的行为数据,建立目标行为识别模型;
所述识别模块,用于根据所述目标设备的行为数据和所述目标行为识别模型,判断所述目标设备的行为是否为异常行为。
14.根据权利要求13所述的装置,其特征在于,所述矫正模块,用于在所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,接收用户配置的所述行为矫正方案;
所述装置还包括:基于设备的权限访问控制模块,用于在所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,接收用户配置的所述控制策略方案。
15.根据权利要求12所述的装置,其特征在于,所述矫正模块,用于:根据判断结果确定所述目标设备的设备状态;
根据所述目标设备的设备状态,从所述行为矫正方案中确定与所述目标设备的设备状态关联的目标控制策略标识;
根据所述目标设备的设备标识、所述目标设备的设备状态和所述目标控制策略标识,从所述控制策略方案中确定由所述目标控制策略标识指示且与所述目标设备的设备标识和所述目标设备的设备状态关联的目标权限访问控制策略;
根据所述目标权限访问控制策略,对所述目标设备进行行为控制。
16.根据权利要求15所述的装置,其特征在于,所述矫正模块,用于:根据所述目标权限访问控制策略,更新所述目标设备的权限访问控制策略;
执行所述目标权限访问控制策略。
17.根据权利要求14所述的装置,其特征在于,所述训练模块,还用于向所述智能边缘物联网系统中的每个所述边缘管理设备发送所述目标行为识别模型;
所述矫正模块,还用于向所述智能边缘物联网系统中的每个所述边缘管理设备发送所述行为矫正方案;
所述基于设备的权限访问控制模块,还用于向所述智能边缘物联网系统中的每个所述边缘管理设备发送所述控制策略方案。
18.一种设备行为控制装置,其特征在于,用于智能边缘物联网系统中的目标边缘管理设备,所述智能边缘物联网系统包括中心管理设备、由所述中心管理设备管理的多个边缘管理设备以及由每个所述边缘管理设备管理的多个物联网设备,所述目标边缘管理设备为所述多个边缘管理设备中的任一边缘管理设备,所述装置包括:探测模块,用于获取目标设备的行为数据,所述目标设备为所述智能边缘物联网系统中的任一边缘设备,所述边缘设备包括所述边缘管理设备或所述物联网设备;
识别模块,用于根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为;
矫正模块,用于根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,其中,所述行为矫正方案包括每个所述边缘设备的设备状态和控制策略标识的关联关系,所述控制策略标识指示基于设备的权限访问控制策略,所述控制策略方案包括每个所述边缘设备的设备标识、每个所述边缘设备的设备状态以及基于设备的权限访问控制策略的关联关系。
19.根据权利要求18所述的装置,其特征在于,所述识别模块,还用于在根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为之前,接收所述中心管理设备发送的目标行为识别模型;
所述识别模块,用于根据所述目标设备的行为数据和所述目标行为识别模型,判断所述目标设备的行为是否为异常行为。
20.根据权利要求18所述的装置,其特征在于,所述矫正模块,还用于在根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,接收所述中心管理设备发送的所述行为矫正方案;
所述装置还包括:基于设备的权限访问控制模块,用于在根据判断结果,以设备为控制粒度对所述目标设备进行行为控制之前,接收所述中心管理设备发送的所述控制策略方案。
21.根据权利要求18所述的装置,其特征在于,所述矫正模块,用于:根据判断结果确定所述目标设备的设备状态;
根据所述目标设备的设备状态,从所述行为矫正方案中确定与所述目标设备的设备状态关联的目标控制策略标识;
根据所述目标设备的设备标识、所述目标设备的设备状态和所述目标控制策略标识,从所述控制策略方案中确定由所述目标控制策略标识指示且与所述目标设备的设备标识和所述目标设备的设备状态关联的目标权限访问控制策略;
根据所述目标权限访问控制策略,对所述目标设备进行行为控制。
22.根据权利要求21所述的装置,其特征在于,所述矫正模块,用于:根据所述目标权限访问控制策略,更新所述目标设备的权限访问控制策略;
执行所述目标权限访问控制策略。
23.一种设备行为控制装置,其特征在于,所述设备行为控制装置包括:至少一个处理器、至少一个接口、存储器和至少一个通信总线,所述处理器用于执行所述存储器中存储的程序,以实现权利要求1至6任一项所述的设备行为控制方法。
24.一种设备行为控制装置,其特征在于,所述设备行为控制装置包括:至少一个处理器、至少一个接口、存储器和至少一个通信总线,所述处理器用于执行所述存储器中存储的程序,以实现权利要求7至11任一项所述的设备行为控制方法。
25.一种计算机可读 存储介质,其特征在于,所述存储介质中存储有指令,当所述指令在计算机的处理器上运行时,使得所述处理器执行权利要求1至11任一项所述的设备行为控制方法。
26.一种芯片,其特征在于,所述芯片包括可编程逻辑电路和/或程序指令,当所述芯片运行时用于实现如权利要求1至11任一项所述的设备行为控制方法。
说明书 :
设备行为控制方法及装置、系统、存储介质
技术领域
背景技术
所管理的多个IoT设备,不同的边缘管理设备管理的IoT设备不同。为了避免智能边缘IoT系
统受到网络攻击,需要对智能边缘IoT系统中的边缘设备(包括边缘管理设备和IoT设备)进
行行为控制。
别模型是中心管理设备根据相应的边缘管理设备以及由该边缘管理设备管理的IoT设备的
行为数据建立的。在对边缘设备进行行为控制时,边缘管理设备向中心管理设备发送该边
缘设备的行为数据,中心管理设备根据该边缘设备的行为数据以及该边缘管理设备对应的
行为识别模型,判断该边缘设备的行为是否为异常行为,若该边缘设备的行为为异常行为,
则中心管理设备确定该边缘设备的目标角色,根据RBAC策略,以角色(role)为控制粒度对
智能边缘IoT系统中具有该目标角色的所有边缘设备进行行为控制。例如,对具有该目标角
色的所有边缘设备的访问权限进行降级(如减少具有该目标角色的所有边缘设备能够访问
的业务数或禁止具有该目标角色的所有边缘设备访问某个业务等)。
发明内容
设备以及由每个边缘管理设备管理的多个物联网设备,该方法包括:
型判断目标设备的行为是否为异常行为的可靠性较高、准确性更高。
关联的目标权限访问控制策略;
制可以在中心管理设备和边缘管理设备同时进行。
设备以及由每个边缘管理设备管理的多个物联网设备,目标边缘管理设备为多个边缘管理
设备中的任一边缘管理设备,该方法包括:
控制策略,控制策略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及基
于设备的权限访问控制策略的关联关系;
关联的目标权限访问控制策略;
以及由每个边缘管理设备管理的多个物联网设备,该装置包括:至少一个模块,该至少一个
模块用于实现第一方面或第一方面的任一可选方式所提供的设备行为控制方法。
以及由每个边缘管理设备管理的多个物联网设备,该装置包括:至少一个模块,该至少一个
模块用于实现第二方面或第二方面的任一可选方式所提供的设备行为控制方法。
以实现第一方面或第一方面的任一可选方式所提供的设备行为控制方法。
以实现第二方面或第二方面的任一可选方式所提供的设备行为控制方法。
结果以设备为控制粒度对目标设备进行行为控制。由于是以设备为控制粒度对目标设备进
行行为控制的,因此对目标设备进行行为控制的控制粒度较小,控制精度较高。此外,根据
目标设备的行为数据判断目标设备的行为是否为异常行为时,使用的目标行为识别模型是
中心管理设备根据智能边缘IoT系统中的所有边缘设备在多个时间段内的行为数据建立
的,因此判断目标设备的行为是否为异常行为的可靠性较高。
附图说明
具体实施方式
网通信。中心管理设备01位于IoT系统的数据中心,相对于中心管理设备01而言,IoT设备02
位于IoT系统的边缘,因此,在一些实施场景中,中心管理设备01也称为数据中心管理设备、
数据中心设备或云端设备等,IoT设备02也称为边缘设备或边缘端设备。
的结果生成操作指令,向相应的IoT设备02发送操作指令,IoT设备02通过执行操作指令获
得用户需要的结果。
原因导致该IoT系统的可用性降低,并且对IoT系统的网络带宽提出了更高的要求;中心管
理设备01需要对每个IoT设备02发送的业务数据进行处理,这对中心管理设备01的存储容
量提出了更高的要求且加大了中心管理设备的处理负担;此外,该IoT系统智在中心管理设
备(即数据中心),而不在IoT设备(即边缘设备),该IoT系统的智能程度完全取决于中心管
理设备,IoT设备只具备简单的业务数据采集、传输以及执行操作指令的功能,因此一旦IoT
设备02与中心管理设备01的网络通信中断,整个IoT系统都可能会瘫痪而处于无法使用的
状态。
下,通过智能边缘计算对IoT设备进行管理。
中心管理设备与边缘管理设备通过因特网通信,边缘管理设备与IoT设备通过局域网通信。
中心管理设备位于智能边缘IoT系统的数据中心,相对于中心管理设备而言,边缘管理设备
和IoT设备均位于智能边缘IoT系统的边缘,因此,在一些实施场景中,中心管理设备也称为
数据中心管理设备、数据中心设备或云端设备等,边缘管理设备和IoT设备均可以称为边缘
设备或边缘端设备。
果生成操作指令,向相应的IoT设备发送操作指令,IoT设备通过执行操作指令获得用户需
要的结果。当边缘管理设备发现IoT设备发送的业务数据出现较大异常时,可以联系中心管
理设备,并根据中心管理设备的反馈对该业务数据进行处理;进一步地,若边缘管理设备足
够智能,即使边缘管理设备发现IoT设备发送的业务数据出现较大异常,也无需联系中心管
理设备就可以对业务数据进行处理。以智能边缘IoT系统为温度监控系统,IoT设备为温度
传感器为例,在该温度监控系统中,温度传感器不需要持续不断将温度数据发送给中心管
理设备,而是由边缘管理设备对温度数据进行处理。在智能边缘IoT系统中,边缘管理设备
具备数据采集、分析计算、通信等能力,同时,智能边缘IoT系统可以利用中心管理设备(即
云)来大规模的进行安全配置、部署和管理边缘设备(包括IoT设备和边缘管理设备),并且
能够根据边缘设备的设备类型和场景为边缘管理设备分配智能的能力,使智能在智能边缘
IoT系统的云端与边缘端之间流动,获得两全其美的结果。
迟较大,提高系统的可用性,降低对系统的网络带宽以及对中心管理设备的存储容量的要
求,降低中心管理设备的处理负担,此外,在智能边缘IoT系统中,即使IoT设备与中心管理
设备的网络通信中断,也可以由边缘管理设备对IoT设备的业务数据进行处理,因此整个智
能边缘IoT系统也能够正常使用。智能边缘IoT系统利用边缘管理设备的运算和处理能力直
接就近处理物联网业务,不仅可以降低中心管理设备工作负担,还可以更及时准确地对IoT
设备的业务数据进行处理。
前,中心管理设备存储有RBAC(在RBAC中,权限与角色相关联,用户通过成为适当角色的成
员而得到这些角色的权限,角色可依新的需求和系统的合并而赋予新的权限,而权限也可
根据需要而从某角色中回收,角色与角色的关系可以建立起来以囊括更广泛的客观情况)
策略以及与多个边缘管理设备一一对应的多个行为识别模型,每个行为识别模型是中心管
理设备根据相应的边缘管理设备以及该边缘管理设备管理的IoT设备的行为数据建立的。
对某一边缘设备进行行为控制时,边缘管理设备向中心管理设备发送该边缘设备的行为数
据,中心管理设备根据该边缘设备的行为数据以及该边缘管理设备对应的行为识别模型,
判断该边缘设备的行为是否为异常行为,若该边缘设备的行为为异常行为,则中心管理设
备确定该边缘设备的目标角色,并根据RBAC策略,以角色为控制粒度对智能边缘IoT系统中
具有该目标角色的所有边缘设备进行行为控制。
时,与该异常的边缘设备角色相同的所有边缘设备的访问权限都会被降级,严重影响系统
业务的处理。例如,自动驾驶场景下,有数据采集车和量产车,数据采集车和量产车的角色
相同,数据采集车会采集业务数据而量产车不会采集业务数据,以角色为控制粒度对该自
动驾驶场景下的车辆进行控制时,同时对数据采集车和量产车进行行为控制,而无法对数
据采集车和量产车分别进行行为控制。此外,目前在对边缘设备进行行为控制时,每个边缘
管理设备对应一个行为识别模型,每个行为识别模型是中心管理设备根据相应的边缘管理
设备以及该边缘管理设备管理的IoT设备的行为数据建立的(也即是行为识别模型是针对
单个边缘管理设备建立的),在建立行为识别模型时,没有考虑不同边缘管理设备之间的关
系以及不同IoT设备之间的关系,因此根据该行为识别模型判断边缘设备的行为是否为异
常行为的可靠性较低。此外,在智能边缘IoT系统这种分层、跨internet(因特网)、海量变换
设备接入的场景下,目前无法同时在云端和边缘端对边缘设备进行行为控制。
缘IoT系统中的所有边缘设备(包括边缘管理设备和IoT设备)的行为数据建立目标行为识
别模型,并根据边缘设备的行为数据和目标行为识别模型判断边缘设备的行为是否为异常
行为,在建立该目标行为识别模型时,考虑了不同边缘管理设备以及不同IoT设备之间的关
系,因此根据该目标行为识别模型判断边缘设备的行为是否为异常行为的可靠性较高,并
且本申请实施例提供的方案可以同时在云端和边缘端对边缘设备进行行为控制。本申请的
详细方案请参考下述实施例的描述。
及IoT设备的关系图,参见图2和图3,该智能边缘IoT系统包括中心管理设备11、由中心管理
设备11管理的多个边缘管理设备12,以及由该多个边缘管理设备12管理的多个IoT设备13,
每个边缘管理设备12管理的IoT设备13不同,例如,边缘管理设备121管理IoT设备131至IoT
设备13m这m个IoT设备,边缘管理设备122管理IoT设备131至IoT设备13k这k个IoT设备,边
缘管理设备12n管理IoT设备131至IoT设备13p这p个IoT设备,n、m、k和p均为大于或等于1的
整数。中心管理设备11与边缘管理设备12通过因特网通信,边缘管理设备12与IoT设备13通
过局域网通信,中心管理设备11位于智能边缘IoT系统的数据中心,边缘管理设备12和IoT
设备13位于智能边缘IoT系统的边缘,在一些实施场景中,中心管理设备11也称为数据中心
管理设备、数据中心设备或云端设备等,边缘管理设备12和IoT设备13均可以称为边缘设备
或边缘端设备。其中,中心管理设备11可以是一台服务器,或者由若干服务器组成的服务器
集群,或者一个云计算服务中心;边缘管理设备12可以是基站、交换机、路由器、网关、服务
器等设备;IoT设备13可以是手机、电视机、智能插座、摄像头、相机、汽车或传感器等物联网
设备。每个IoT设备13可以采集业务数据,并向相应的边缘管理设备12发送业务数据,边缘
管理设备12可以对IoT设备13发送的业务数据进行处理,并根据处理的结果生成操作指令,
向相应的IoT设备13发送操作指令,IoT设备13通过执行操作指令获得用户需要的结果。
时间段内的行为数据,建立目标行为识别模型,且用户还可以在中心管理设备11上配置行
为矫正方案和控制策略方案,行为矫正方案包括该智能边缘IoT系统中的每个边缘设备的
设备状态和控制策略标识的关联关系,该控制策略标识指示基于设备的权限访问控制
(device‑based access control,DBAC)策略,控制策略方案包括该智能边缘IoT系统中的
每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关系。中心管理
设备11可以将目标行为识别模型推送给各个边缘管理设备,且将矫正方案和控制策略方案
同步给各个边缘管理设备。在该图2所示的智能边缘IoT系统中,对边缘设备的行为控制可
以在中心管理设备(云端)和边缘管理设备(边缘端)同时进行,且边缘管理设备之间也可以
进行行为控制。中心管理设备和边缘管理设备中的任一管理设备对目标设备(智能边缘IoT
系统中的任一边缘设备)进行行为控制可以包括:获取目标设备的行为数据,根据目标设备
的行为数据判断目标设备的行为是否为异常行为,根据判断结果,以设备为控制粒度对目
标设备进行行为控制。其中,根据目标设备的行为数据判断目标设备的行为是否为异常行
为可以包括:根据目标设备的行为数据和目标行为识别模型,判断目标设备的行为是否为
异常行为。可选地,根据判断结果,以设备为控制粒度对所述目标设备进行行为控制,可以
包括:根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行
为控制。具体可以为:根据判断结果确定目标设备的设备状态;根据目标设备的设备状态,
从行为矫正方案中确定与目标设备的设备状态关联的目标控制策略标识;根据目标设备的
设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案中确定由目标控制
策略标识指示且与目标设备的设备标识和目标设备的设备状态关联的目标权限访问控制
策略;根据目标权限访问控制策略,更新目标设备的权限访问控制策略;执行目标权限访问
控制策略。
能包括其他设备,同时也可以根据具体需要来配置IoT设备、中心管理设备以及边缘管理设
备的数量。。此外,在本申请实施例中,术语“系统”和“网络”可以相互替换。
或者是该中心管理设备11中的功能单元。参见图4,该设备行为控制装置400可以包括:
智能边缘物联网系统中的所有边缘设备在多个时间段内的行为数据,建立目标行为识别模
型;
态和控制策略标识的关联关系,控制策略标识指示DBAC策略;
略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关
系;
关联的目标权限访问控制策略;
块420、矫正模块430、训练模块440和DBAC模块450可以通过下文将要描述的通信设备600中
的处理器602来实现,或者通过通信设备600中的处理器602和存储器604来实现,或者通过
通信设备600中的处理器602、存储器604和通信接口606来实现,当然也可以采用其他实现
方式。
异常行为,矫正模块根据识别模块的判断结果,以设备为控制粒度对目标设备进行行为控
制。由于矫正模块是以设备为控制粒度对目标设备进行行为控制的,因此对目标设备进行
行为控制的控制粒度较小,控制精度较高。此外,识别模块根据目标设备的行为数据判断目
标设备的行为是否为异常行为时,使用的目标行为识别模型是训练模块根据智能边缘IoT
系统中的所有边缘设备在多个时间段内的行为数据建立的,因此识别模块判断目标设备的
行为是否为异常行为的可靠性较高。
的功能单元,该目标边缘管理设备可以为图2所示的智能边缘IoT系统中的任一边缘管理设
备。参见图5,该设备行为控制装置500可以包括:
备的设备状态和控制策略标识的关联关系,控制策略标识指示DBAC策略;
案,控制策略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略
的关联关系;
关联的目标权限访问控制策略;
530和DBAC模块540可以通过下文将要描述的通信设备600中的处理器602来实现,或者通过
通信设备600中的处理器602和存储器604来实现,或者通过通信设备600中的处理器602、存
储器604和通信接口606来实现,当然也可以采用其他实现方式。
异常行为,矫正模块根据识别模块的判断结果,以设备为控制粒度对目标设备进行行为控
制。由于矫正模块是以设备为控制粒度对目标设备进行行为控制的,因此对目标设备进行
行为控制的控制粒度较小,控制精度较高。此外,识别模块根据目标设备的行为数据判断目
标设备的行为是否为异常行为时,使用的目标行为识别模型是中心管理设备根据智能边缘
IoT系统中的所有边缘设备在多个时间段内的行为数据建立的,因此识别模块判断目标设
备的行为是否为异常行为的可靠性较高。
图6,该通信设备600包括处理器602、存储器604、通信接口606和总线608,处理器602、存储
器604和通信接口606通过总线608连接。存储器604可以用于存储指令6042和数据6044。需
要说明的是,图6所示的处理器602、存储器604和通信接口606之间的连接方式仅仅是示例
性的,在具体实现过程中,处理器602、存储器604和通信接口606也可以采用除了总线608之
外的其他连接方式彼此通信连接。
处理器在执行上述步骤和/或操作的过程中可能用到存储在存储器(例如存储器604)中的
数据(例如数据6044)。通用处理器可以是,例如但不限于,中央处理器(central
processing unit,CPU)。此外,处理器602也可以是专用处理器,专用处理器可以是专门设
计的用于执行特定步骤和/或操作的处理器,该专用处理器可以是,例如但不限于,数字信
号处理器(digital signal processor,DSP)、应用专用集成电路(application specific
integrated circuit,ASIC)和现场可编程门阵列(field programmable gate array,
FPGA)等。此外,处理器602还可以是多个处理器的组合,例如多核处理器。处理器602可以包
括至少一个电路,以执行下述实施例中的设备行为控制方法的步骤。
ROM,PROM)、可擦除PROM(erasable PROM,EPROM)、电可擦除PROM(electrically Erasable
PROM,EEPROM)、闪存、光存储器和寄存器等。存储器604具体用于存储指令6042和数据6044,
当处理器602为通用处理器时,处理器602可以通过读取并执行存储器604中存储的指令
6042,来执行特定步骤和/或操作,在执行上述步骤和/或操作的过程中可能需要用到数据
6044。
输出指令和/或数据。天线与收发器连接,收发器通过与其连接的至少一根天线来收发信
号。
也可以至少部分的或者全部的设置在同一块芯片上。例如,处理器602可以进一步划分为模
拟基带处理器和数字基带处理器,其中模拟基带处理器可以与收发器集成在同一块芯片
上,数字基带处理器可以设置在独立的芯片上。随着集成电路技术的不断发展,可以在同一
块芯片上集成的器件越来越多,例如,数字基带处理器可以与多种应用处理器(例如但不限
于图形处理器,多媒体处理器等)集成在同一块芯片之上。这样的芯片可以称为系统芯片
(System on Chip)。将各个器件独立设置在不同的芯片上,还是整合设置在一个或者多个
芯片上,往往取决于产品设计的具体需要。本申请实施例对上述器件的具体实现形式不做
限定。
用将在下文进行详细的描述。
边缘设备在多个时间段内的行为数据,建立目标行为识别模型。智能边缘IoT系统中的边缘
设备包括边缘管理设备和IoT设备。
间段内的行为数据发送至中心管理设备,以使得中心管理设备能够获取该边缘管理设备及
其所管理的所有IoT设备在多个时间段内的行为数据,中心管理设备接收到智能边缘IoT系
统中的所有边缘管理设备发送的行为数据后,即可获取到智能边缘IoT系统中的每个边缘
设备在多个时间段内的行为数据,之后中心管理设备根据智能边缘IoT系统中的所有边缘
设备在多个时间段内的行为数据,建立目标行为识别模型。可选地,中心管理设备通过机器
学习(machine learnent,ML)算法对智能边缘IoT系统中的所有边缘设备在多个时间段内
的行为数据进行训练得到目标行为识别模型。
该推送消息携带该目标行为识别模型。
以广播的方式向边缘管理设备发送推送消息,也可以以组播的方式向边缘管理设备发送推
送消息,或者,还可以以其他方式向边缘管理设备发送推送消息,本申请实施例不对中心管
理设备向边缘管理设备发送推送消息的方式进行限定,只要能够将目标行为识别模型推送
至边缘管理设备即可。
行为识别模型可以是中心管理设备的训练模块向边缘管理设备的识别模块推送目标行为
识别模型。
策略。中心管理设备可以接收用户配置的行为矫正方案,然后向智能边缘IoT系统中所有边
缘管理设备发送携带该行为矫正方案的第一同步消息,以与边缘管理设备同步行为矫正方
案。
缘IoT系统中的所有边缘管理设备发送第一同步消息。其中,中心管理设备可以以广播的方
式向边缘管理设备发送第一同步消息,也可以以组播的方式向边缘管理设备发送第一同步
消息,或者,还可以以其他方式向边缘管理设备发送第一同步消息,本申请实施例不对中心
管理设备向边缘管理设备发送第一同步消息的方式进行限定,只要能够使中心管理设备与
边缘管理设备同步行为矫正方案即可。
边缘设备进行行为控制
管理设备的矫正模块同步行为矫正方案。
系,设备标识指示边缘设备。中心管理设备可以接收用户配置的控制策略方案,然后向智能
边缘IoT系统中所有边缘管理设备发送携带该行为控制策略方案的第二同步消息,以与边
缘管理设备同步控制策略方案。
缘IoT系统中的所有边缘管理设备发送第二同步消息。其中,中心管理设备可以以广播的方
式向边缘管理设备发送第二同步消息,也可以以组播的方式向边缘管理设备发送第二同步
消息,或者,还可以以其他方式向边缘管理设备发送第二同步消息,本申请实施例不对中心
管理设备向边缘管理设备发送第二同步消息的方式进行限定,只要能够使中心管理设备与
边缘管理设备同步控制策略方案即可。
问业务的次数,tps是一种设备状态,policy表示控制策略标识,E1~E5均表示边缘设备的
设备标识。
service2指示的业务
管理设备和/或IoT设备等。此外,中心管理设备和边缘管理设备均可以包括DBAC模块,中心
管理设备与边缘管理设备同步控制策略方案可以是中心管理设备的DBAC模块与边缘管理
设备的DBAC模块同步控制策略方案。
边缘管理设备可以采集和记录目标设备在多个时间段内设备的业务数据,对目标设备在多
个时间段内设备的业务数据进行处理得到目标设备的行为数据,然后向中心管理设备发送
目标设备的行为数据,以便于中心管理设备获取目标设备的行为数据。其中,目标设备的业
务数据可以包括目标设备收发的数据包的数量、数据包的类型、目标设备访问的业务以及
目标设备访问业务的频率等数据,目标设备为智能边缘IoT系统中的任一边缘设备,边缘设
备可以为边缘管理设备或物联网设备。
行为的算法关系对目标设备的行为数据进行计算分析后,输出目标设备的行为,进而中心
管理设备判断目标设备的行为是否为异常行为,或者,目标行为识别模型根据行为数据与
行为的算法关系对目标设备的行为数据进行计算分析后输出目标设备的行为是否为异常
行为的结果,也即是,输出判断结果。
目标设备的设备状态,根据目标设备的设备状态,从行为矫正方案中确定与目标设备的设
备状态关联的目标控制策略标识,根据目标设备的设备标识、目标设备的设备状态和目标
控制策略标识,从控制策略方案中确定由目标控制策略标识指示且与目标设备的设备标识
和目标设备的设备状态关联的目标权限访问控制策略,根据目标权限访问控制策略,对目
标设备进行行为控制。
的判断结果确定目标设备的设备状态,当设备状态为每秒访问的业务数、每秒访问业务的
次数或与其他设备的交互速度等时,在执行步骤706的过程中即可确定出设备状态。
备标识、每个边缘设备的设备状态以及DBAC策略的关联关系,因此中心管理设备确定出目
标设备的设备状态后,可以根据目标设备的设备状态,从行为矫正方案记录的每个边缘设
备的设备状态和控制策略标识的关联关系中确定出目标控制策略标识,然后根据目标设备
的设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案记录的每个边缘
设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关系,确定出目标权限访
问控制策略,该目标权限访问控制策略也即是目标DBAC策略。
执行目标权限访问控制策略。在本申请实施例中,中心管理设备记录有目标设备的权限访
问控制策略,以便于中心管理设备能够对目标设备进行行为控制,为目标设备确定出新的
权限访问控制策略(也即是目标权限访问控制策略)后,中心管理设备可以采用目标权限访
问控制策略对目标设备的权限访问控制策略进行更新,以便于根据目标权限访问控制策略
对目标设备进行行为控制,其中,中心管理设备通过执行目标权限访问控制策略使该目标
权限访问控制策略生效。容易理解,由于能够更新目标设备的权限访问控制策略,而权限访
问控制策略可以记录边缘设备的访问权限,因此,本申请实施例提供的方案可以动态地修
改边缘设备的权限。
用E2:{service1:policy2}或{service1:policy3}更新E2:{service3:policy2},并执行
E2:{service1:policy2}或{service1:policy3}。
者,目标边缘管理设备的邻居边缘管理设备可以采集和记录目标设备在多个时间段内设备
的业务数据,对目标设备在多个时间段内设备的业务数据进行处理得到目标设备的行为数
据,然后向目标边缘管理设备发送目标设备的行为数据,以便于目标边缘管理设备获取目
标设备的行为数据。其中,目标设备的业务数据可以包括目标设备收发的数据包的数量、数
据包的类型、目标设备访问的业务以及目标设备访问业务的频率等数据,目标设备为智能
边缘IoT系统中的任一边缘设备,该边缘设备可以为边缘管理设备或物联网设备。
目标行为识别模型。此外,目标边缘管理设备可以检测该目标边缘管理设备与中心管理设
备的交互是否减速,根据该目标边缘管理设备与中心管理设备的交互是否减速,判断该目
标边缘管理设备的邻居边缘管理设备是否存储恶意行为(如大量占用带宽资源);目标边缘
管理设备还可以查看该目标边缘管理设备上安装的应用调用的系统函数的敏感特征与敏
感数据,并根据该系统函数的敏感特征与敏感数据,匹配恶意行为规则库中的函数和数据,
以判断该目标边缘管理设备的行为是否异常行为;目标边缘管理设备还可以检测目标边缘
管理设备收发数据包的情况,以对目标边缘管理设备进行行为识别,检测目标边缘管理设
备所管理的IoT设备收发数据包的情况,以对目标边缘管理设备所管理的IoT设备进行行为
识别,本申请实施例在此不再赘述。
和控制策略方案,目标边缘管理设备包括矫正模块和DBAC模块,接收行为矫正方案的过程
可以由矫正模块执行,接收控制策略方案的过程可以由DBAC模块执行,此外,该步骤709由
矫正模块执行。
个边缘设备进行行为控制。此外,本申请实施例以设备为控制粒度对目标设备进行行为控
制的,控制粒度较小,控制精度较高,控制更为灵活,在对一个边缘设备进行行为控制时,不
会影响其他边缘设备的访问权限,因此该设备行为控制方法对系统的影响较小。在对目标
设备进行行为控制时,所使用的目标行为识别模型是中心管理设备根据智能边缘IoT系统
中的所有边缘设备在多个时间段内的行为数据建立的,该目标行为识别模型在建立时,考
虑了不同边缘设备之间的关系,使得判断目标设备的行为是否为异常行为不再局限于单个
设备,而是通过智能边缘IoT系统内部的设备之间的互相感知和协作,因此判断目标设备的
行为是否为异常行为的可靠性较高、准确性更高、设备行为控制更智能。此外,由于对目标
设备的行为控制可以在边缘管理设备(边缘端)进行,边缘管理设备距离目标设备较近,因
此可以及早发现问题并对目标设备进行控制,避免边缘设备异常对云端的安全冲击。在本
申请实施例中,识别模块、DBAC模块和矫正模块组合对边缘设备进行行为控制,识别模块、
DBAC模块和矫正模块同时部署在云端(中心管理设备)和边缘端(边缘管理设备),云端与边
缘端协同工作、综合分析,提供更为准确、更为智能的设备行为控制。
709相对独立,或者,步骤704与步骤707可以同执行,步骤705与步骤708可以同执行,步骤
706与步骤709可以同执行,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范
围内,可轻易想到变化的方法,都应涵盖在本申请的保护范围之内,因此不再赘述。
为控制粒度对目标设备进行行为控制。由于是以设备为控制粒度对目标设备进行行为控制
的,因此对目标设备进行行为控制的控制粒度较小,控制精度较高。此外,根据目标设备的
行为数据判断目标设备的行为是否为异常行为时,使用的目标行为识别模型是中心管理设
备根据智能边缘IoT系统中的所有边缘设备在多个时间段内的行为数据建立的,因此判断
目标设备的行为是否为异常行为的可靠性较高。
功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以
上描述的全部或者部分功能。另外,上述实施例提供的设备行为控制装置与设备行为控制
方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。