设备行为控制方法及装置、系统、存储介质转让专利
申请号 : CN201811641383.5
文献号 : CN111385126B
文献日 : 2021-08-13
发明人 : 张妮 , 普杰
申请人 : 华为技术有限公司
摘要 :
本申请实施例公开了一种设备行为控制方法及装置、系统、存储介质,属于物联网技术领域。该方法用于智能边缘IoT系统中的中心管理设备,智能边缘IoT系统包括中心管理设备、由中心管理设备管理的多个边缘管理设备以及由每个边缘管理设备管理的多个物联网设备,该方法包括:获取目标设备的行为数据,目标设备为智能边缘物联网系统中的任一边缘设备,边缘设备包括边缘管理设备或物联网设备;根据目标设备的行为数据,判断目标设备的行为是否为异常行为;根据判断结果,以设备为控制粒度对目标设备进行行为控制。本申请实施例可以提高对边缘设备进行行为控制的控制精度。
权利要求 :
1.一种设备行为控制方法,其特征在于,用于智能边缘物联网系统中的中心管理设备,所述智能边缘物联网系统包括所述中心管理设备、由所述中心管理设备管理的多个边缘管理设备以及由每个所述边缘管理设备管理的多个物联网设备,所述方法包括:获取目标设备的行为数据,所述目标设备为所述智能边缘物联网系统中的任一边缘设备,所述边缘设备包括所述边缘管理设备或所述物联网设备;
根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为;
根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,其中,所述行为矫正方案包括每个所述边缘设备的设备状态和控制策略标识的关联关系,所述控制策略标识指示基于设备的权限访问控制策略,所述控制策略方案包括每个所述边缘设备的设备标识、每个所述边缘设备的设备状态以及基于设备的权限访问控制策略的关联关系。
2.根据权利要求1所述的方法,其特征在于,在根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为之前,所述方法还包括:
获取所述智能边缘物联网系统中的每个所述边缘设备在多个时间段内的行为数据;
根据所述智能边缘物联网系统中的所有所述边缘设备在所述多个时间段内的行为数据,建立目标行为识别模型;
所述根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为,包括:根据所述目标设备的行为数据和所述目标行为识别模型,判断所述目标设备的行为是否为异常行为。
3.根据权利要求1所述的方法,其特征在于,在所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,所述方法还包括:接收用户配置的所述行为矫正方案;
接收用户配置的所述控制策略方案。
4.根据权利要求1所述的方法,其特征在于,所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,包括:根据判断结果确定所述目标设备的设备状态;
根据所述目标设备的设备状态,从所述行为矫正方案中确定与所述目标设备的设备状态关联的目标控制策略标识;
根据所述目标设备的设备标识、所述目标设备的设备状态和所述目标控制策略标识,从所述控制策略方案中确定由所述目标控制策略标识指示且与所述目标设备的设备标识和所述目标设备的设备状态关联的目标权限访问控制策略;
根据所述目标权限访问控制策略,对所述目标设备进行行为控制。
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标权限访问控制策略,对所述目标设备进行行为控制,包括:根据所述目标权限访问控制策略,更新所述目标设备的权限访问控制策略;
执行所述目标权限访问控制策略。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:向所述智能边缘物联网系统中的每个所述边缘管理设备发送所述目标行为识别模型、所述行为矫正方案和所述控制策略方案。
7.一种设备行为控制方法,其特征在于,用于智能边缘物联网系统中的目标边缘管理设备,所述智能边缘物联网系统包括中心管理设备、由所述中心管理设备管理的多个边缘管理设备以及由每个所述边缘管理设备管理的多个物联网设备,所述目标边缘管理设备为所述多个边缘管理设备中的任一边缘管理设备,所述方法包括:获取目标设备的行为数据,所述目标设备为所述智能边缘物联网系统中的任一边缘设备,所述边缘设备包括所述边缘管理设备或所述物联网设备;
根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为;
根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,其中,所述行为矫正方案包括每个所述边缘设备的设备状态和控制策略标识的关联关系,所述控制策略标识指示基于设备的权限访问控制策略,所述控制策略方案包括每个所述边缘设备的设备标识、每个所述边缘设备的设备状态以及基于设备的权限访问控制策略的关联关系。
8.根据权利要求7所述的方法,其特征在于,在根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为之前,所述方法还包括:接收所述中心管理设备发送的目标行为识别模型;
所述根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为,包括:根据所述目标设备的行为数据和所述目标行为识别模型,判断所述目标设备的行为是否为异常行为。
9.根据权利要求7所述的方法,其特征在于,在根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,所述方法还包括:接收所述中心管理设备发送的所述行为矫正方案和所述控制策略方案。
10.根据权利要求7所述的方法,其特征在于,所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,包括:根据判断结果确定所述目标设备的设备状态;
根据所述目标设备的设备状态,从所述行为矫正方案中确定与所述目标设备的设备状态关联的目标控制策略标识;
根据所述目标设备的设备标识、所述目标设备的设备状态和所述目标控制策略标识,从所述控制策略方案中确定由所述目标控制策略标识指示且与所述目标设备的设备标识和所述目标设备的设备状态关联的目标权限访问控制策略;
根据所述目标权限访问控制策略,对所述目标设备进行行为控制。
11.根据权利要求10所述的方法,其特征在于,所述根据所述目标权限访问控制策略,对所述目标设备进行行为控制,包括:根据所述目标权限访问控制策略,更新所述目标设备的权限访问控制策略;
执行所述目标权限访问控制策略。
12.一种设备行为控制装置,其特征在于,用于智能边缘物联网系统中的中心管理设备,所述智能边缘物联网系统包括所述中心管理设备、由所述中心管理设备管理的多个边缘管理设备以及由每个所述边缘管理设备管理的多个物联网设备,所述装置包括:探测模块,用于获取目标设备的行为数据,所述目标设备为所述智能边缘物联网系统中的任一边缘设备,所述边缘设备包括所述边缘管理设备或所述物联网设备;
识别模块,用于根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为;
矫正模块,用于根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,其中,所述行为矫正方案包括每个所述边缘设备的设备状态和控制策略标识的关联关系,所述控制策略标识指示基于设备的权限访问控制策略,所述控制策略方案包括每个所述边缘设备的设备标识、每个所述边缘设备的设备状态以及基于设备的权限访问控制策略的关联关系。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:训练模块,用于在根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为之前,获取所述智能边缘物联网系统中的每个所述边缘设备在多个时间段内的行为数据;根据所述智能边缘物联网系统中的所有所述边缘设备在所述多个时间段内的行为数据,建立目标行为识别模型;
所述识别模块,用于根据所述目标设备的行为数据和所述目标行为识别模型,判断所述目标设备的行为是否为异常行为。
14.根据权利要求13所述的装置,其特征在于,所述矫正模块,用于在所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,接收用户配置的所述行为矫正方案;
所述装置还包括:基于设备的权限访问控制模块,用于在所述根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,接收用户配置的所述控制策略方案。
15.根据权利要求12所述的装置,其特征在于,所述矫正模块,用于:根据判断结果确定所述目标设备的设备状态;
根据所述目标设备的设备状态,从所述行为矫正方案中确定与所述目标设备的设备状态关联的目标控制策略标识;
根据所述目标设备的设备标识、所述目标设备的设备状态和所述目标控制策略标识,从所述控制策略方案中确定由所述目标控制策略标识指示且与所述目标设备的设备标识和所述目标设备的设备状态关联的目标权限访问控制策略;
根据所述目标权限访问控制策略,对所述目标设备进行行为控制。
16.根据权利要求15所述的装置,其特征在于,所述矫正模块,用于:根据所述目标权限访问控制策略,更新所述目标设备的权限访问控制策略;
执行所述目标权限访问控制策略。
17.根据权利要求14所述的装置,其特征在于,所述训练模块,还用于向所述智能边缘物联网系统中的每个所述边缘管理设备发送所述目标行为识别模型;
所述矫正模块,还用于向所述智能边缘物联网系统中的每个所述边缘管理设备发送所述行为矫正方案;
所述基于设备的权限访问控制模块,还用于向所述智能边缘物联网系统中的每个所述边缘管理设备发送所述控制策略方案。
18.一种设备行为控制装置,其特征在于,用于智能边缘物联网系统中的目标边缘管理设备,所述智能边缘物联网系统包括中心管理设备、由所述中心管理设备管理的多个边缘管理设备以及由每个所述边缘管理设备管理的多个物联网设备,所述目标边缘管理设备为所述多个边缘管理设备中的任一边缘管理设备,所述装置包括:探测模块,用于获取目标设备的行为数据,所述目标设备为所述智能边缘物联网系统中的任一边缘设备,所述边缘设备包括所述边缘管理设备或所述物联网设备;
识别模块,用于根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为;
矫正模块,用于根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制,其中,所述行为矫正方案包括每个所述边缘设备的设备状态和控制策略标识的关联关系,所述控制策略标识指示基于设备的权限访问控制策略,所述控制策略方案包括每个所述边缘设备的设备标识、每个所述边缘设备的设备状态以及基于设备的权限访问控制策略的关联关系。
19.根据权利要求18所述的装置,其特征在于,所述识别模块,还用于在根据所述目标设备的行为数据,判断所述目标设备的行为是否为异常行为之前,接收所述中心管理设备发送的目标行为识别模型;
所述识别模块,用于根据所述目标设备的行为数据和所述目标行为识别模型,判断所述目标设备的行为是否为异常行为。
20.根据权利要求18所述的装置,其特征在于,所述矫正模块,还用于在根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对所述目标设备进行行为控制之前,接收所述中心管理设备发送的所述行为矫正方案;
所述装置还包括:基于设备的权限访问控制模块,用于在根据判断结果,以设备为控制粒度对所述目标设备进行行为控制之前,接收所述中心管理设备发送的所述控制策略方案。
21.根据权利要求18所述的装置,其特征在于,所述矫正模块,用于:根据判断结果确定所述目标设备的设备状态;
根据所述目标设备的设备状态,从所述行为矫正方案中确定与所述目标设备的设备状态关联的目标控制策略标识;
根据所述目标设备的设备标识、所述目标设备的设备状态和所述目标控制策略标识,从所述控制策略方案中确定由所述目标控制策略标识指示且与所述目标设备的设备标识和所述目标设备的设备状态关联的目标权限访问控制策略;
根据所述目标权限访问控制策略,对所述目标设备进行行为控制。
22.根据权利要求21所述的装置,其特征在于,所述矫正模块,用于:根据所述目标权限访问控制策略,更新所述目标设备的权限访问控制策略;
执行所述目标权限访问控制策略。
23.一种设备行为控制装置,其特征在于,所述设备行为控制装置包括:至少一个处理器、至少一个接口、存储器和至少一个通信总线,所述处理器用于执行所述存储器中存储的程序,以实现权利要求1至6任一项所述的设备行为控制方法。
24.一种设备行为控制装置,其特征在于,所述设备行为控制装置包括:至少一个处理器、至少一个接口、存储器和至少一个通信总线,所述处理器用于执行所述存储器中存储的程序,以实现权利要求7至11任一项所述的设备行为控制方法。
25.一种计算机可读 存储介质,其特征在于,所述存储介质中存储有指令,当所述指令在计算机的处理器上运行时,使得所述处理器执行权利要求1至11任一项所述的设备行为控制方法。
26.一种芯片,其特征在于,所述芯片包括可编程逻辑电路和/或程序指令,当所述芯片运行时用于实现如权利要求1至11任一项所述的设备行为控制方法。
说明书 :
设备行为控制方法及装置、系统、存储介质
技术领域
[0001] 本申请实施例涉及物联网技术领域,特别涉及一种设备行为控制方法及装置、系统、存储介质。
背景技术
[0002] 智能边缘物联网(internet of things,IoT)系统是一种典型的IoT系统,其包括中心管理设备,由该中心管理设备所管理的多个边缘管理设备,以及,由每个边缘管理设备
所管理的多个IoT设备,不同的边缘管理设备管理的IoT设备不同。为了避免智能边缘IoT系
统受到网络攻击,需要对智能边缘IoT系统中的边缘设备(包括边缘管理设备和IoT设备)进
行行为控制。
所管理的多个IoT设备,不同的边缘管理设备管理的IoT设备不同。为了避免智能边缘IoT系
统受到网络攻击,需要对智能边缘IoT系统中的边缘设备(包括边缘管理设备和IoT设备)进
行行为控制。
[0003] 相关技术中,中心管理设备存储有基于角色的权限访问控制(role‑based access control,RBAC)策略,以及与多个边缘管理设备一一对应的多个行为识别模型,每个行为识
别模型是中心管理设备根据相应的边缘管理设备以及由该边缘管理设备管理的IoT设备的
行为数据建立的。在对边缘设备进行行为控制时,边缘管理设备向中心管理设备发送该边
缘设备的行为数据,中心管理设备根据该边缘设备的行为数据以及该边缘管理设备对应的
行为识别模型,判断该边缘设备的行为是否为异常行为,若该边缘设备的行为为异常行为,
则中心管理设备确定该边缘设备的目标角色,根据RBAC策略,以角色(role)为控制粒度对
智能边缘IoT系统中具有该目标角色的所有边缘设备进行行为控制。例如,对具有该目标角
色的所有边缘设备的访问权限进行降级(如减少具有该目标角色的所有边缘设备能够访问
的业务数或禁止具有该目标角色的所有边缘设备访问某个业务等)。
别模型是中心管理设备根据相应的边缘管理设备以及由该边缘管理设备管理的IoT设备的
行为数据建立的。在对边缘设备进行行为控制时,边缘管理设备向中心管理设备发送该边
缘设备的行为数据,中心管理设备根据该边缘设备的行为数据以及该边缘管理设备对应的
行为识别模型,判断该边缘设备的行为是否为异常行为,若该边缘设备的行为为异常行为,
则中心管理设备确定该边缘设备的目标角色,根据RBAC策略,以角色(role)为控制粒度对
智能边缘IoT系统中具有该目标角色的所有边缘设备进行行为控制。例如,对具有该目标角
色的所有边缘设备的访问权限进行降级(如减少具有该目标角色的所有边缘设备能够访问
的业务数或禁止具有该目标角色的所有边缘设备访问某个业务等)。
[0004] 但是,相关技术中,中心管理设备以角色为控制粒度对边缘设备进行行为控制,因此中心管理设备对边缘设备进行行为控制的控制粒度较大,控制精度较低。
发明内容
[0005] 本申请实施例提供了一种设备行为控制方法及装置、系统、存储介质,可以提高设备行为的控制精度。所述技术方案如下:
[0006] 第一方面,提供了一种设备行为控制方法,用于智能边缘物联网系统中的中心管理设备,该智能边缘物联网系统包括中心管理设备、由中心管理设备管理的多个边缘管理
设备以及由每个边缘管理设备管理的多个物联网设备,该方法包括:
设备以及由每个边缘管理设备管理的多个物联网设备,该方法包括:
[0007] 获取目标设备的行为数据,目标设备为智能边缘物联网系统中的任一边缘设备,边缘设备包括边缘管理设备或物联网设备;
[0008] 根据目标设备的行为数据,判断目标设备的行为是否为异常行为;
[0009] 根据判断结果,以设备为控制粒度对目标设备进行行为控制。
[0010] 本申请实施例提供的方案,由于以设备为控制粒度对目标设备进行行为控制的,因此对目标设备进行行为控制的控制粒度较小,控制精度较高,控制更为灵活。
[0011] 可选地,在根据目标设备的行为数据,判断目标设备的行为是否为异常行为之前,该方法还包括:
[0012] 获取智能边缘物联网系统中的每个边缘设备在多个时间段内的行为数据;
[0013] 根据智能边缘物联网系统中的所有边缘设备在多个时间段内的行为数据,建立目标行为识别模型;
[0014] 根据目标设备的行为数据,判断目标设备的行为是否为异常行为,包括:根据目标设备的行为数据和目标行为识别模型,判断目标设备的行为是否为异常行为。
[0015] 本申请实施例提供的方案,由于目标行为识别模型是中心管理设备根据智能边缘IoT系统中的所有边缘设备在多个时间段内的行为数据建立的,因此根据目标行为识别模
型判断目标设备的行为是否为异常行为的可靠性较高、准确性更高。
型判断目标设备的行为是否为异常行为的可靠性较高、准确性更高。
[0016] 可选地,在根据判断结果,以设备为控制粒度对目标设备进行行为控制之前,该方法还包括:
[0017] 接收用户配置的行为矫正方案,行为矫正方案包括每个边缘设备的设备状态和控制策略标识的关联关系,控制策略标识指示基于设备的权限访问控制策略;
[0018] 接收用户配置的控制策略方案,控制策略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及基于设备的权限访问控制策略的关联关系;
[0019] 根据判断结果,以设备为控制粒度对目标设备进行行为控制,包括:根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行为控制。
[0020] 可选地,根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行为控制,包括:
[0021] 根据判断结果确定目标设备的设备状态;
[0022] 根据目标设备的设备状态,从行为矫正方案中确定与目标设备的设备状态关联的目标控制策略标识;
[0023] 根据目标设备的设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案中确定由目标控制策略标识指示且与目标设备的设备标识和目标设备的设备状态
关联的目标权限访问控制策略;
关联的目标权限访问控制策略;
[0024] 根据目标权限访问控制策略,对目标设备进行行为控制。
[0025] 可选地,根据目标权限访问控制策略,对目标设备进行行为控制,包括:
[0026] 根据目标权限访问控制策略,更新目标设备的权限访问控制策略;
[0027] 执行目标权限访问控制策略。
[0028] 本申请实施例提供的方案,由于能够更新目标设备的权限访问控制策略,而权限访问控制策略可以记录边缘设备的访问权限,因此可以动态地修改边缘设备的权限。
[0029] 可选地,该方法还包括:向智能边缘物联网系统中的每个边缘管理设备发送目标行为识别模型、行为矫正方案和控制策略方案。
[0030] 本申请实施例提供的方案,通过向边缘管理设备发送目标行为识别模型、行为矫正方案和控制策略方案,可以使边缘管理设备对边缘设备进行行为控制,从而设备行为控
制可以在中心管理设备和边缘管理设备同时进行。
制可以在中心管理设备和边缘管理设备同时进行。
[0031] 第二方面,提供一种设备行为控制方法,用于智能边缘物联网系统中的目标边缘管理设备,智能边缘物联网系统包括中心管理设备、由中心管理设备管理的多个边缘管理
设备以及由每个边缘管理设备管理的多个物联网设备,目标边缘管理设备为多个边缘管理
设备中的任一边缘管理设备,该方法包括:
设备以及由每个边缘管理设备管理的多个物联网设备,目标边缘管理设备为多个边缘管理
设备中的任一边缘管理设备,该方法包括:
[0032] 获取目标设备的行为数据,目标设备为智能边缘物联网系统中的任一边缘设备,边缘设备包括边缘管理设备或物联网设备;
[0033] 根据目标设备的行为数据,判断目标设备的行为是否为异常行为;
[0034] 根据判断结果,以设备为控制粒度对目标设备进行行为控制。
[0035] 可选地,在根据目标设备的行为数据,判断目标设备的行为是否为异常行为之前,该方法还包括:
[0036] 接收中心管理设备发送的目标行为识别模型;
[0037] 根据目标设备的行为数据,判断目标设备的行为是否为异常行为,包括:
[0038] 根据目标设备的行为数据和目标行为识别模型,判断目标设备的行为是否为异常行为。
[0039] 可选地,在根据判断结果,以设备为控制粒度对目标设备进行行为控制之前,该方法还包括:
[0040] 接收中心管理设备发送的行为矫正方案和控制策略方案,行为矫正方案包括每个边缘设备的设备状态和控制策略标识的关联关系,控制策略标识指示基于设备的权限访问
控制策略,控制策略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及基
于设备的权限访问控制策略的关联关系;
控制策略,控制策略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及基
于设备的权限访问控制策略的关联关系;
[0041] 根据判断结果,以设备为控制粒度对目标设备进行行为控制,包括:
[0042] 根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行为控制。
[0043] 可选地,根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行为控制,包括:
[0044] 根据判断结果确定目标设备的设备状态;
[0045] 根据目标设备的设备状态,从行为矫正方案中确定与目标设备的设备状态关联的目标控制策略标识;
[0046] 根据目标设备的设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案中确定由目标控制策略标识指示且与目标设备的设备标识和目标设备的设备状态
关联的目标权限访问控制策略;
关联的目标权限访问控制策略;
[0047] 根据目标权限访问控制策略,对目标设备进行行为控制。
[0048] 可选地,根据目标权限访问控制策略,对目标设备进行行为控制,包括:
[0049] 根据目标权限访问控制策略,更新目标设备的权限访问控制策略;
[0050] 执行目标权限访问控制策略。
[0051] 该第二方面提供的方案具有与上述第一方面提供的方案相同的技术效果,因此不再赘述。
[0052] 第三方面,提供一种设备行为控制装置,用于智能边缘物联网系统中的中心管理设备,智能边缘物联网系统包括中心管理设备、由中心管理设备管理的多个边缘管理设备
以及由每个边缘管理设备管理的多个物联网设备,该装置包括:至少一个模块,该至少一个
模块用于实现第一方面或第一方面的任一可选方式所提供的设备行为控制方法。
以及由每个边缘管理设备管理的多个物联网设备,该装置包括:至少一个模块,该至少一个
模块用于实现第一方面或第一方面的任一可选方式所提供的设备行为控制方法。
[0053] 第四方面,提供一种设备行为控制装置,用于智能边缘物联网系统中的中心管理设备,智能边缘物联网系统包括中心管理设备、由中心管理设备管理的多个边缘管理设备
以及由每个边缘管理设备管理的多个物联网设备,该装置包括:至少一个模块,该至少一个
模块用于实现第二方面或第二方面的任一可选方式所提供的设备行为控制方法。
以及由每个边缘管理设备管理的多个物联网设备,该装置包括:至少一个模块,该至少一个
模块用于实现第二方面或第二方面的任一可选方式所提供的设备行为控制方法。
[0054] 第五方面,提供一种设备行为控制装置,该设备行为控制装置包括:至少一个处理器、至少一个接口、存储器和至少一个通信总线,该处理器用于执行存储器中存储的程序,
以实现第一方面或第一方面的任一可选方式所提供的设备行为控制方法。
以实现第一方面或第一方面的任一可选方式所提供的设备行为控制方法。
[0055] 第六方面,提供一种设备行为控制装置,该设备行为控制装置包括:至少一个处理器、至少一个接口、存储器和至少一个通信总线,该处理器用于执行存储器中存储的程序,
以实现第二方面或第二方面的任一可选方式所提供的设备行为控制方法。
以实现第二方面或第二方面的任一可选方式所提供的设备行为控制方法。
[0056] 第七方面,提供一种存储介质,该存储介质中存储有指令,当该指令在计算机的处理器上运行时,使得处理器执行上述设备行为控制方法。
[0057] 第八方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机的处理器上运行时,使得处理器执行上述设备行为控制方法。
[0058] 第九方面,提供一种芯片,该芯片包括可编程逻辑电路和/或程序指令,当该芯片运行时用于实现如上述设备行为控制方法。
[0059] 本申请实施例提供的技术方案带来的有益效果是:
[0060] 本申请实施例提供的设备行为控制方法及装置、系统、存储介质,获取目标设备的行为数据之后,根据目标设备的行为数据,判断目标设备的行为是否为异常行为,根据判断
结果以设备为控制粒度对目标设备进行行为控制。由于是以设备为控制粒度对目标设备进
行行为控制的,因此对目标设备进行行为控制的控制粒度较小,控制精度较高。此外,根据
目标设备的行为数据判断目标设备的行为是否为异常行为时,使用的目标行为识别模型是
中心管理设备根据智能边缘IoT系统中的所有边缘设备在多个时间段内的行为数据建立
的,因此判断目标设备的行为是否为异常行为的可靠性较高。
结果以设备为控制粒度对目标设备进行行为控制。由于是以设备为控制粒度对目标设备进
行行为控制的,因此对目标设备进行行为控制的控制粒度较小,控制精度较高。此外,根据
目标设备的行为数据判断目标设备的行为是否为异常行为时,使用的目标行为识别模型是
中心管理设备根据智能边缘IoT系统中的所有边缘设备在多个时间段内的行为数据建立
的,因此判断目标设备的行为是否为异常行为的可靠性较高。
附图说明
[0061] 图1是一种传统的IoT系统的结构示意图;
[0062] 图2是本申请实施例所涉及的一种实施环境的结构示意图;
[0063] 图3是图2所示的实施环境中各个设备之间的关系图;
[0064] 图4是本申请实施例提供的一种设备行为控制装置的逻辑结构示意图;
[0065] 图5是本申请实施例提供的另一种设备行为控制装置的逻辑结构示意图;
[0066] 图6是本申请实施例提供的一种通信设备的硬件结构示意图;
[0067] 图7是本申请实施例提供的一种设备行为控制方法的方法流程图。
具体实施方式
[0068] 传统的IoT系统包括中心管理设备以及由中心管理设备管理的多个IoT设备。
[0069] 请参考图1,其示出了一种传统的IoT系统的结构示意图,该IoT系统包括中心管理设备01以及由中心管理设备管理的多个IoT设备02,中心管理设备01与IoT设备02通过局域
网通信。中心管理设备01位于IoT系统的数据中心,相对于中心管理设备01而言,IoT设备02
位于IoT系统的边缘,因此,在一些实施场景中,中心管理设备01也称为数据中心管理设备、
数据中心设备或云端设备等,IoT设备02也称为边缘设备或边缘端设备。
网通信。中心管理设备01位于IoT系统的数据中心,相对于中心管理设备01而言,IoT设备02
位于IoT系统的边缘,因此,在一些实施场景中,中心管理设备01也称为数据中心管理设备、
数据中心设备或云端设备等,IoT设备02也称为边缘设备或边缘端设备。
[0070] 在如图1所示的IoT系统中,每个IoT设备02可以采集业务数据,并向中心管理设备01发送业务数据,中心管理设备01对每个IoT设备02发送的业务数据进行处理,并根据处理
的结果生成操作指令,向相应的IoT设备02发送操作指令,IoT设备02通过执行操作指令获
得用户需要的结果。
的结果生成操作指令,向相应的IoT设备02发送操作指令,IoT设备02通过执行操作指令获
得用户需要的结果。
[0071] 但是,在该IoT系统中,所有IoT设备02都需要与中心管理设备01通信才能获得用户需要的结果,这使得IoT设备02与中心管理设备01通信的延迟较大,更有可能因为网络等
原因导致该IoT系统的可用性降低,并且对IoT系统的网络带宽提出了更高的要求;中心管
理设备01需要对每个IoT设备02发送的业务数据进行处理,这对中心管理设备01的存储容
量提出了更高的要求且加大了中心管理设备的处理负担;此外,该IoT系统智在中心管理设
备(即数据中心),而不在IoT设备(即边缘设备),该IoT系统的智能程度完全取决于中心管
理设备,IoT设备只具备简单的业务数据采集、传输以及执行操作指令的功能,因此一旦IoT
设备02与中心管理设备01的网络通信中断,整个IoT系统都可能会瘫痪而处于无法使用的
状态。
原因导致该IoT系统的可用性降低,并且对IoT系统的网络带宽提出了更高的要求;中心管
理设备01需要对每个IoT设备02发送的业务数据进行处理,这对中心管理设备01的存储容
量提出了更高的要求且加大了中心管理设备的处理负担;此外,该IoT系统智在中心管理设
备(即数据中心),而不在IoT设备(即边缘设备),该IoT系统的智能程度完全取决于中心管
理设备,IoT设备只具备简单的业务数据采集、传输以及执行操作指令的功能,因此一旦IoT
设备02与中心管理设备01的网络通信中断,整个IoT系统都可能会瘫痪而处于无法使用的
状态。
[0072] 随着物联网技术的发展,出现了一种智能边缘IoT系统,其通过在传统的IoT系统的中心管理设备与IoT设备之间部署边缘管理设备,边缘管理设备在中心管理设备的管理
下,通过智能边缘计算对IoT设备进行管理。
下,通过智能边缘计算对IoT设备进行管理。
[0073] 智能边缘IoT系统包括中心管理设备、由中心管理设备管理的多个边缘管理设备,以及由该多个边缘管理设备管理的多个IoT设备,每个边缘管理设备管理的IoT设备不同,
中心管理设备与边缘管理设备通过因特网通信,边缘管理设备与IoT设备通过局域网通信。
中心管理设备位于智能边缘IoT系统的数据中心,相对于中心管理设备而言,边缘管理设备
和IoT设备均位于智能边缘IoT系统的边缘,因此,在一些实施场景中,中心管理设备也称为
数据中心管理设备、数据中心设备或云端设备等,边缘管理设备和IoT设备均可以称为边缘
设备或边缘端设备。
中心管理设备与边缘管理设备通过因特网通信,边缘管理设备与IoT设备通过局域网通信。
中心管理设备位于智能边缘IoT系统的数据中心,相对于中心管理设备而言,边缘管理设备
和IoT设备均位于智能边缘IoT系统的边缘,因此,在一些实施场景中,中心管理设备也称为
数据中心管理设备、数据中心设备或云端设备等,边缘管理设备和IoT设备均可以称为边缘
设备或边缘端设备。
[0074] 在智能边缘IoT系统中,每个IoT设备可以采集业务数据,并向相应的边缘管理设备发送业务数据,边缘管理设备可以对IoT设备发送的业务数据进行处理,并根据处理的结
果生成操作指令,向相应的IoT设备发送操作指令,IoT设备通过执行操作指令获得用户需
要的结果。当边缘管理设备发现IoT设备发送的业务数据出现较大异常时,可以联系中心管
理设备,并根据中心管理设备的反馈对该业务数据进行处理;进一步地,若边缘管理设备足
够智能,即使边缘管理设备发现IoT设备发送的业务数据出现较大异常,也无需联系中心管
理设备就可以对业务数据进行处理。以智能边缘IoT系统为温度监控系统,IoT设备为温度
传感器为例,在该温度监控系统中,温度传感器不需要持续不断将温度数据发送给中心管
理设备,而是由边缘管理设备对温度数据进行处理。在智能边缘IoT系统中,边缘管理设备
具备数据采集、分析计算、通信等能力,同时,智能边缘IoT系统可以利用中心管理设备(即
云)来大规模的进行安全配置、部署和管理边缘设备(包括IoT设备和边缘管理设备),并且
能够根据边缘设备的设备类型和场景为边缘管理设备分配智能的能力,使智能在智能边缘
IoT系统的云端与边缘端之间流动,获得两全其美的结果。
果生成操作指令,向相应的IoT设备发送操作指令,IoT设备通过执行操作指令获得用户需
要的结果。当边缘管理设备发现IoT设备发送的业务数据出现较大异常时,可以联系中心管
理设备,并根据中心管理设备的反馈对该业务数据进行处理;进一步地,若边缘管理设备足
够智能,即使边缘管理设备发现IoT设备发送的业务数据出现较大异常,也无需联系中心管
理设备就可以对业务数据进行处理。以智能边缘IoT系统为温度监控系统,IoT设备为温度
传感器为例,在该温度监控系统中,温度传感器不需要持续不断将温度数据发送给中心管
理设备,而是由边缘管理设备对温度数据进行处理。在智能边缘IoT系统中,边缘管理设备
具备数据采集、分析计算、通信等能力,同时,智能边缘IoT系统可以利用中心管理设备(即
云)来大规模的进行安全配置、部署和管理边缘设备(包括IoT设备和边缘管理设备),并且
能够根据边缘设备的设备类型和场景为边缘管理设备分配智能的能力,使智能在智能边缘
IoT系统的云端与边缘端之间流动,获得两全其美的结果。
[0075] 不难理解,在智能边缘IoT系统中,IoT设备与中心管理设备的通信较少,甚至IoT设备可以无需与中心管理设备通信,这样一来,可以降低IoT设备与中心管理设备通信的延
迟较大,提高系统的可用性,降低对系统的网络带宽以及对中心管理设备的存储容量的要
求,降低中心管理设备的处理负担,此外,在智能边缘IoT系统中,即使IoT设备与中心管理
设备的网络通信中断,也可以由边缘管理设备对IoT设备的业务数据进行处理,因此整个智
能边缘IoT系统也能够正常使用。智能边缘IoT系统利用边缘管理设备的运算和处理能力直
接就近处理物联网业务,不仅可以降低中心管理设备工作负担,还可以更及时准确地对IoT
设备的业务数据进行处理。
迟较大,提高系统的可用性,降低对系统的网络带宽以及对中心管理设备的存储容量的要
求,降低中心管理设备的处理负担,此外,在智能边缘IoT系统中,即使IoT设备与中心管理
设备的网络通信中断,也可以由边缘管理设备对IoT设备的业务数据进行处理,因此整个智
能边缘IoT系统也能够正常使用。智能边缘IoT系统利用边缘管理设备的运算和处理能力直
接就近处理物联网业务,不仅可以降低中心管理设备工作负担,还可以更及时准确地对IoT
设备的业务数据进行处理。
[0076] 智能边缘IoT系统容易受到网络攻击,为了避免智能边缘IoT系统受到网络攻击,需要对智能边缘IoT系统中的边缘设备(包括边缘管理设备和IoT设备)进行行为控制。目
前,中心管理设备存储有RBAC(在RBAC中,权限与角色相关联,用户通过成为适当角色的成
员而得到这些角色的权限,角色可依新的需求和系统的合并而赋予新的权限,而权限也可
根据需要而从某角色中回收,角色与角色的关系可以建立起来以囊括更广泛的客观情况)
策略以及与多个边缘管理设备一一对应的多个行为识别模型,每个行为识别模型是中心管
理设备根据相应的边缘管理设备以及该边缘管理设备管理的IoT设备的行为数据建立的。
对某一边缘设备进行行为控制时,边缘管理设备向中心管理设备发送该边缘设备的行为数
据,中心管理设备根据该边缘设备的行为数据以及该边缘管理设备对应的行为识别模型,
判断该边缘设备的行为是否为异常行为,若该边缘设备的行为为异常行为,则中心管理设
备确定该边缘设备的目标角色,并根据RBAC策略,以角色为控制粒度对智能边缘IoT系统中
具有该目标角色的所有边缘设备进行行为控制。
前,中心管理设备存储有RBAC(在RBAC中,权限与角色相关联,用户通过成为适当角色的成
员而得到这些角色的权限,角色可依新的需求和系统的合并而赋予新的权限,而权限也可
根据需要而从某角色中回收,角色与角色的关系可以建立起来以囊括更广泛的客观情况)
策略以及与多个边缘管理设备一一对应的多个行为识别模型,每个行为识别模型是中心管
理设备根据相应的边缘管理设备以及该边缘管理设备管理的IoT设备的行为数据建立的。
对某一边缘设备进行行为控制时,边缘管理设备向中心管理设备发送该边缘设备的行为数
据,中心管理设备根据该边缘设备的行为数据以及该边缘管理设备对应的行为识别模型,
判断该边缘设备的行为是否为异常行为,若该边缘设备的行为为异常行为,则中心管理设
备确定该边缘设备的目标角色,并根据RBAC策略,以角色为控制粒度对智能边缘IoT系统中
具有该目标角色的所有边缘设备进行行为控制。
[0077] 但是,目前以角色为控制粒度对边缘设备进行行为控制,控制粒度较大,控制精度较低,无法针对边缘设备独立进行行为控制,对行为异常的边缘设备的访问权限进行降级
时,与该异常的边缘设备角色相同的所有边缘设备的访问权限都会被降级,严重影响系统
业务的处理。例如,自动驾驶场景下,有数据采集车和量产车,数据采集车和量产车的角色
相同,数据采集车会采集业务数据而量产车不会采集业务数据,以角色为控制粒度对该自
动驾驶场景下的车辆进行控制时,同时对数据采集车和量产车进行行为控制,而无法对数
据采集车和量产车分别进行行为控制。此外,目前在对边缘设备进行行为控制时,每个边缘
管理设备对应一个行为识别模型,每个行为识别模型是中心管理设备根据相应的边缘管理
设备以及该边缘管理设备管理的IoT设备的行为数据建立的(也即是行为识别模型是针对
单个边缘管理设备建立的),在建立行为识别模型时,没有考虑不同边缘管理设备之间的关
系以及不同IoT设备之间的关系,因此根据该行为识别模型判断边缘设备的行为是否为异
常行为的可靠性较低。此外,在智能边缘IoT系统这种分层、跨internet(因特网)、海量变换
设备接入的场景下,目前无法同时在云端和边缘端对边缘设备进行行为控制。
时,与该异常的边缘设备角色相同的所有边缘设备的访问权限都会被降级,严重影响系统
业务的处理。例如,自动驾驶场景下,有数据采集车和量产车,数据采集车和量产车的角色
相同,数据采集车会采集业务数据而量产车不会采集业务数据,以角色为控制粒度对该自
动驾驶场景下的车辆进行控制时,同时对数据采集车和量产车进行行为控制,而无法对数
据采集车和量产车分别进行行为控制。此外,目前在对边缘设备进行行为控制时,每个边缘
管理设备对应一个行为识别模型,每个行为识别模型是中心管理设备根据相应的边缘管理
设备以及该边缘管理设备管理的IoT设备的行为数据建立的(也即是行为识别模型是针对
单个边缘管理设备建立的),在建立行为识别模型时,没有考虑不同边缘管理设备之间的关
系以及不同IoT设备之间的关系,因此根据该行为识别模型判断边缘设备的行为是否为异
常行为的可靠性较低。此外,在智能边缘IoT系统这种分层、跨internet(因特网)、海量变换
设备接入的场景下,目前无法同时在云端和边缘端对边缘设备进行行为控制。
[0078] 本申请实施例提供一种设备行为控制方法及装置、系统、存储介质,可以以设备为控制粒度对边缘设备进行行为控制,缩小控制粒度,提高控制精度;此外,可以根据智能边
缘IoT系统中的所有边缘设备(包括边缘管理设备和IoT设备)的行为数据建立目标行为识
别模型,并根据边缘设备的行为数据和目标行为识别模型判断边缘设备的行为是否为异常
行为,在建立该目标行为识别模型时,考虑了不同边缘管理设备以及不同IoT设备之间的关
系,因此根据该目标行为识别模型判断边缘设备的行为是否为异常行为的可靠性较高,并
且本申请实施例提供的方案可以同时在云端和边缘端对边缘设备进行行为控制。本申请的
详细方案请参考下述实施例的描述。
缘IoT系统中的所有边缘设备(包括边缘管理设备和IoT设备)的行为数据建立目标行为识
别模型,并根据边缘设备的行为数据和目标行为识别模型判断边缘设备的行为是否为异常
行为,在建立该目标行为识别模型时,考虑了不同边缘管理设备以及不同IoT设备之间的关
系,因此根据该目标行为识别模型判断边缘设备的行为是否为异常行为的可靠性较高,并
且本申请实施例提供的方案可以同时在云端和边缘端对边缘设备进行行为控制。本申请的
详细方案请参考下述实施例的描述。
[0079] 请参考图2,其示出了本申请实施例所涉及的一种实施环境的示意图,该实施环境提供一种智能边缘IoT系统,图3是该智能边缘IoT系统中的中心管理设备、边缘管理设备以
及IoT设备的关系图,参见图2和图3,该智能边缘IoT系统包括中心管理设备11、由中心管理
设备11管理的多个边缘管理设备12,以及由该多个边缘管理设备12管理的多个IoT设备13,
每个边缘管理设备12管理的IoT设备13不同,例如,边缘管理设备121管理IoT设备131至IoT
设备13m这m个IoT设备,边缘管理设备122管理IoT设备131至IoT设备13k这k个IoT设备,边
缘管理设备12n管理IoT设备131至IoT设备13p这p个IoT设备,n、m、k和p均为大于或等于1的
整数。中心管理设备11与边缘管理设备12通过因特网通信,边缘管理设备12与IoT设备13通
过局域网通信,中心管理设备11位于智能边缘IoT系统的数据中心,边缘管理设备12和IoT
设备13位于智能边缘IoT系统的边缘,在一些实施场景中,中心管理设备11也称为数据中心
管理设备、数据中心设备或云端设备等,边缘管理设备12和IoT设备13均可以称为边缘设备
或边缘端设备。其中,中心管理设备11可以是一台服务器,或者由若干服务器组成的服务器
集群,或者一个云计算服务中心;边缘管理设备12可以是基站、交换机、路由器、网关、服务
器等设备;IoT设备13可以是手机、电视机、智能插座、摄像头、相机、汽车或传感器等物联网
设备。每个IoT设备13可以采集业务数据,并向相应的边缘管理设备12发送业务数据,边缘
管理设备12可以对IoT设备13发送的业务数据进行处理,并根据处理的结果生成操作指令,
向相应的IoT设备13发送操作指令,IoT设备13通过执行操作指令获得用户需要的结果。
及IoT设备的关系图,参见图2和图3,该智能边缘IoT系统包括中心管理设备11、由中心管理
设备11管理的多个边缘管理设备12,以及由该多个边缘管理设备12管理的多个IoT设备13,
每个边缘管理设备12管理的IoT设备13不同,例如,边缘管理设备121管理IoT设备131至IoT
设备13m这m个IoT设备,边缘管理设备122管理IoT设备131至IoT设备13k这k个IoT设备,边
缘管理设备12n管理IoT设备131至IoT设备13p这p个IoT设备,n、m、k和p均为大于或等于1的
整数。中心管理设备11与边缘管理设备12通过因特网通信,边缘管理设备12与IoT设备13通
过局域网通信,中心管理设备11位于智能边缘IoT系统的数据中心,边缘管理设备12和IoT
设备13位于智能边缘IoT系统的边缘,在一些实施场景中,中心管理设备11也称为数据中心
管理设备、数据中心设备或云端设备等,边缘管理设备12和IoT设备13均可以称为边缘设备
或边缘端设备。其中,中心管理设备11可以是一台服务器,或者由若干服务器组成的服务器
集群,或者一个云计算服务中心;边缘管理设备12可以是基站、交换机、路由器、网关、服务
器等设备;IoT设备13可以是手机、电视机、智能插座、摄像头、相机、汽车或传感器等物联网
设备。每个IoT设备13可以采集业务数据,并向相应的边缘管理设备12发送业务数据,边缘
管理设备12可以对IoT设备13发送的业务数据进行处理,并根据处理的结果生成操作指令,
向相应的IoT设备13发送操作指令,IoT设备13通过执行操作指令获得用户需要的结果。
[0080] 在该智能边缘IoT系统中,中心管理设备11可以获取该智能边缘IoT系统中的每个边缘设备在多个时间段内的行为数据,根据该智能边缘IoT系统中的所有边缘设备在多个
时间段内的行为数据,建立目标行为识别模型,且用户还可以在中心管理设备11上配置行
为矫正方案和控制策略方案,行为矫正方案包括该智能边缘IoT系统中的每个边缘设备的
设备状态和控制策略标识的关联关系,该控制策略标识指示基于设备的权限访问控制
(device‑based access control,DBAC)策略,控制策略方案包括该智能边缘IoT系统中的
每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关系。中心管理
设备11可以将目标行为识别模型推送给各个边缘管理设备,且将矫正方案和控制策略方案
同步给各个边缘管理设备。在该图2所示的智能边缘IoT系统中,对边缘设备的行为控制可
以在中心管理设备(云端)和边缘管理设备(边缘端)同时进行,且边缘管理设备之间也可以
进行行为控制。中心管理设备和边缘管理设备中的任一管理设备对目标设备(智能边缘IoT
系统中的任一边缘设备)进行行为控制可以包括:获取目标设备的行为数据,根据目标设备
的行为数据判断目标设备的行为是否为异常行为,根据判断结果,以设备为控制粒度对目
标设备进行行为控制。其中,根据目标设备的行为数据判断目标设备的行为是否为异常行
为可以包括:根据目标设备的行为数据和目标行为识别模型,判断目标设备的行为是否为
异常行为。可选地,根据判断结果,以设备为控制粒度对所述目标设备进行行为控制,可以
包括:根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行
为控制。具体可以为:根据判断结果确定目标设备的设备状态;根据目标设备的设备状态,
从行为矫正方案中确定与目标设备的设备状态关联的目标控制策略标识;根据目标设备的
设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案中确定由目标控制
策略标识指示且与目标设备的设备标识和目标设备的设备状态关联的目标权限访问控制
策略;根据目标权限访问控制策略,更新目标设备的权限访问控制策略;执行目标权限访问
控制策略。
时间段内的行为数据,建立目标行为识别模型,且用户还可以在中心管理设备11上配置行
为矫正方案和控制策略方案,行为矫正方案包括该智能边缘IoT系统中的每个边缘设备的
设备状态和控制策略标识的关联关系,该控制策略标识指示基于设备的权限访问控制
(device‑based access control,DBAC)策略,控制策略方案包括该智能边缘IoT系统中的
每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关系。中心管理
设备11可以将目标行为识别模型推送给各个边缘管理设备,且将矫正方案和控制策略方案
同步给各个边缘管理设备。在该图2所示的智能边缘IoT系统中,对边缘设备的行为控制可
以在中心管理设备(云端)和边缘管理设备(边缘端)同时进行,且边缘管理设备之间也可以
进行行为控制。中心管理设备和边缘管理设备中的任一管理设备对目标设备(智能边缘IoT
系统中的任一边缘设备)进行行为控制可以包括:获取目标设备的行为数据,根据目标设备
的行为数据判断目标设备的行为是否为异常行为,根据判断结果,以设备为控制粒度对目
标设备进行行为控制。其中,根据目标设备的行为数据判断目标设备的行为是否为异常行
为可以包括:根据目标设备的行为数据和目标行为识别模型,判断目标设备的行为是否为
异常行为。可选地,根据判断结果,以设备为控制粒度对所述目标设备进行行为控制,可以
包括:根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行
为控制。具体可以为:根据判断结果确定目标设备的设备状态;根据目标设备的设备状态,
从行为矫正方案中确定与目标设备的设备状态关联的目标控制策略标识;根据目标设备的
设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案中确定由目标控制
策略标识指示且与目标设备的设备标识和目标设备的设备状态关联的目标权限访问控制
策略;根据目标权限访问控制策略,更新目标设备的权限访问控制策略;执行目标权限访问
控制策略。
[0081] 需要说明的是,图2所示的智能边缘IoT系统仅用于举例,并非用于限制本申请实施例的技术方案。本领域的技术人员应当明白,在具体实现过程中,智能边缘IoT系统还可
能包括其他设备,同时也可以根据具体需要来配置IoT设备、中心管理设备以及边缘管理设
备的数量。。此外,在本申请实施例中,术语“系统”和“网络”可以相互替换。
能包括其他设备,同时也可以根据具体需要来配置IoT设备、中心管理设备以及边缘管理设
备的数量。。此外,在本申请实施例中,术语“系统”和“网络”可以相互替换。
[0082] 请参考图4,其示出了本申请实施例提供的一种设备行为控制装置400的逻辑结构示意图,该设备行为控制装置400可以为图2所示的智能边缘IoT系统中的中心管理设备11,
或者是该中心管理设备11中的功能单元。参见图4,该设备行为控制装置400可以包括:
或者是该中心管理设备11中的功能单元。参见图4,该设备行为控制装置400可以包括:
[0083] 探测模块410,用于获取目标设备的行为数据,目标设备为智能边缘物联网系统中的任一边缘设备,边缘设备包括边缘管理设备或物联网设备;
[0084] 识别模块420,用于根据目标设备的行为数据,判断目标设备的行为是否为异常行为;
[0085] 矫正模块430,用于根据判断结果,以设备为控制粒度对目标设备进行行为控制。
[0086] 进一步地,该设备行为控制装置400还包括:
[0087] 训练模块440,用于在根据目标设备的行为数据,判断目标设备的行为是否为异常行为之前,获取智能边缘物联网系统中的每个边缘设备在多个时间段内的行为数据;根据
智能边缘物联网系统中的所有边缘设备在多个时间段内的行为数据,建立目标行为识别模
型;
智能边缘物联网系统中的所有边缘设备在多个时间段内的行为数据,建立目标行为识别模
型;
[0088] 相应地,识别模块420,用于根据目标设备的行为数据和目标行为识别模型,判断目标设备的行为是否为异常行为。
[0089] 可选地,矫正模块430,用于在根据判断结果,以设备为控制粒度对目标设备进行行为控制之前,接收用户配置的行为矫正方案,行为矫正方案包括每个边缘设备的设备状
态和控制策略标识的关联关系,控制策略标识指示DBAC策略;
态和控制策略标识的关联关系,控制策略标识指示DBAC策略;
[0090] 进一步地,该设备行为控制装置400还包括:DBAC模块450,用于在根据判断结果,以设备为控制粒度对目标设备进行行为控制之前,接收用户配置的控制策略方案,控制策
略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关
系;
略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关
系;
[0091] 相应地,矫正模块430,用于根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行为控制。
[0092] 可选地,矫正模块430,用于:
[0093] 根据判断结果确定目标设备的设备状态;
[0094] 根据目标设备的设备状态,从行为矫正方案中确定与目标设备的设备状态关联的目标控制策略标识;
[0095] 根据目标设备的设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案中确定由目标控制策略标识指示且与目标设备的设备标识和目标设备的设备状态
关联的目标权限访问控制策略;
关联的目标权限访问控制策略;
[0096] 根据目标权限访问控制策略,对目标设备进行行为控制。
[0097] 可选地,矫正模块430,用于:根据目标权限访问控制策略,更新目标设备的权限访问控制策略;执行目标权限访问控制策略。
[0098] 可选地,训练模块440,还用于向智能边缘物联网系统中的每个边缘管理设备发送目标行为识别模型;
[0099] 矫正模块430,还用于向智能边缘物联网系统中的每个边缘管理设备发送行为矫正方案;
[0100] DBAC模块450,还用于向智能边缘物联网系统中的每个边缘管理设备发送控制策略方案。
[0101] 其中,关于探测模块410、识别模块420、矫正模块430、训练模块440和DBAC模块450,这些模块的功能将在下文进行详细的描述。在具体实现过程中,探测模块410、识别模
块420、矫正模块430、训练模块440和DBAC模块450可以通过下文将要描述的通信设备600中
的处理器602来实现,或者通过通信设备600中的处理器602和存储器604来实现,或者通过
通信设备600中的处理器602、存储器604和通信接口606来实现,当然也可以采用其他实现
方式。
块420、矫正模块430、训练模块440和DBAC模块450可以通过下文将要描述的通信设备600中
的处理器602来实现,或者通过通信设备600中的处理器602和存储器604来实现,或者通过
通信设备600中的处理器602、存储器604和通信接口606来实现,当然也可以采用其他实现
方式。
[0102] 综上所述,本申请实施例提供的设备行为控制装置,探测模块获取目标设备的行为数据,识别模块根据探测模块获取的目标设备的行为数据,判断目标设备的行为是否为
异常行为,矫正模块根据识别模块的判断结果,以设备为控制粒度对目标设备进行行为控
制。由于矫正模块是以设备为控制粒度对目标设备进行行为控制的,因此对目标设备进行
行为控制的控制粒度较小,控制精度较高。此外,识别模块根据目标设备的行为数据判断目
标设备的行为是否为异常行为时,使用的目标行为识别模型是训练模块根据智能边缘IoT
系统中的所有边缘设备在多个时间段内的行为数据建立的,因此识别模块判断目标设备的
行为是否为异常行为的可靠性较高。
异常行为,矫正模块根据识别模块的判断结果,以设备为控制粒度对目标设备进行行为控
制。由于矫正模块是以设备为控制粒度对目标设备进行行为控制的,因此对目标设备进行
行为控制的控制粒度较小,控制精度较高。此外,识别模块根据目标设备的行为数据判断目
标设备的行为是否为异常行为时,使用的目标行为识别模型是训练模块根据智能边缘IoT
系统中的所有边缘设备在多个时间段内的行为数据建立的,因此识别模块判断目标设备的
行为是否为异常行为的可靠性较高。
[0103] 请参考图5,其示出了本申请实施例提供的另一种设备行为控制装置500的逻辑结构示意图,该设备行为控制装置500可以为目标边缘管理设备,或者是目标边缘管理设备中
的功能单元,该目标边缘管理设备可以为图2所示的智能边缘IoT系统中的任一边缘管理设
备。参见图5,该设备行为控制装置500可以包括:
的功能单元,该目标边缘管理设备可以为图2所示的智能边缘IoT系统中的任一边缘管理设
备。参见图5,该设备行为控制装置500可以包括:
[0104] 探测模块510,用于获取目标设备的行为数据,目标设备为智能边缘物联网系统中的任一边缘设备,边缘设备包括边缘管理设备或物联网设备;
[0105] 识别模块520,用于根据目标设备的行为数据,判断目标设备的行为是否为异常行为;
[0106] 矫正模块530,用于根据判断结果,以设备为控制粒度对目标设备进行行为控制。
[0107] 可选地,识别模块520,还用于在根据目标设备的行为数据,判断目标设备的行为是否为异常行为之前,接收中心管理设备发送的目标行为识别模型;
[0108] 识别模块520,用于根据目标设备的行为数据和目标行为识别模型,判断目标设备的行为是否为异常行为。
[0109] 可选地,矫正模块530,还用于在根据判断结果,以设备为控制粒度对目标设备进行行为控制之前,接收中心管理设备发送的行为矫正方案,行为矫正方案包括每个边缘设
备的设备状态和控制策略标识的关联关系,控制策略标识指示DBAC策略;
备的设备状态和控制策略标识的关联关系,控制策略标识指示DBAC策略;
[0110] 进一步地,该设备行为控制装置500还包括:DBAC模块540,用于在根据判断结果,以设备为控制粒度对目标设备进行行为控制之前,接收中心管理设备发送的控制策略方
案,控制策略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略
的关联关系;
案,控制策略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略
的关联关系;
[0111] 相应地,矫正模块530,用于根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行为控制。
[0112] 可选地,矫正模块530,用于:
[0113] 根据判断结果确定目标设备的设备状态;
[0114] 根据目标设备的设备状态,从行为矫正方案中确定与目标设备的设备状态关联的目标控制策略标识;
[0115] 根据目标设备的设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案中确定由目标控制策略标识指示且与目标设备的设备标识和目标设备的设备状态
关联的目标权限访问控制策略;
关联的目标权限访问控制策略;
[0116] 根据目标权限访问控制策略,对目标设备进行行为控制。
[0117] 可选地,矫正模块530,用于:
[0118] 根据目标权限访问控制策略,更新目标设备的权限访问控制策略;
[0119] 执行目标权限访问控制策略。
[0120] 其中,关于探测模块510、识别模块520、矫正模块530和DBAC模块540,这些模块的功能将在下文进行详细的描述。在具体实现过程中,探测模块510、识别模块520、矫正模块
530和DBAC模块540可以通过下文将要描述的通信设备600中的处理器602来实现,或者通过
通信设备600中的处理器602和存储器604来实现,或者通过通信设备600中的处理器602、存
储器604和通信接口606来实现,当然也可以采用其他实现方式。
530和DBAC模块540可以通过下文将要描述的通信设备600中的处理器602来实现,或者通过
通信设备600中的处理器602和存储器604来实现,或者通过通信设备600中的处理器602、存
储器604和通信接口606来实现,当然也可以采用其他实现方式。
[0121] 综上所述,本申请实施例提供的设备行为控制装置,探测模块获取目标设备的行为数据,识别模块根据探测模块获取的目标设备的行为数据,判断目标设备的行为是否为
异常行为,矫正模块根据识别模块的判断结果,以设备为控制粒度对目标设备进行行为控
制。由于矫正模块是以设备为控制粒度对目标设备进行行为控制的,因此对目标设备进行
行为控制的控制粒度较小,控制精度较高。此外,识别模块根据目标设备的行为数据判断目
标设备的行为是否为异常行为时,使用的目标行为识别模型是中心管理设备根据智能边缘
IoT系统中的所有边缘设备在多个时间段内的行为数据建立的,因此识别模块判断目标设
备的行为是否为异常行为的可靠性较高。
异常行为,矫正模块根据识别模块的判断结果,以设备为控制粒度对目标设备进行行为控
制。由于矫正模块是以设备为控制粒度对目标设备进行行为控制的,因此对目标设备进行
行为控制的控制粒度较小,控制精度较高。此外,识别模块根据目标设备的行为数据判断目
标设备的行为是否为异常行为时,使用的目标行为识别模型是中心管理设备根据智能边缘
IoT系统中的所有边缘设备在多个时间段内的行为数据建立的,因此识别模块判断目标设
备的行为是否为异常行为的可靠性较高。
[0122] 请参考图6,其示出了本申请实施例提供的一种通信设备600的硬件结构示意图。该通信设备600可以为图2所示实施环境中的中心管理设备11或任一边缘管理设备12。参见
图6,该通信设备600包括处理器602、存储器604、通信接口606和总线608,处理器602、存储
器604和通信接口606通过总线608连接。存储器604可以用于存储指令6042和数据6044。需
要说明的是,图6所示的处理器602、存储器604和通信接口606之间的连接方式仅仅是示例
性的,在具体实现过程中,处理器602、存储器604和通信接口606也可以采用除了总线608之
外的其他连接方式彼此通信连接。
图6,该通信设备600包括处理器602、存储器604、通信接口606和总线608,处理器602、存储
器604和通信接口606通过总线608连接。存储器604可以用于存储指令6042和数据6044。需
要说明的是,图6所示的处理器602、存储器604和通信接口606之间的连接方式仅仅是示例
性的,在具体实现过程中,处理器602、存储器604和通信接口606也可以采用除了总线608之
外的其他连接方式彼此通信连接。
[0123] 其中,处理器602可以是通用处理器,通用处理器可以是通过读取并执行存储器(例如存储器604)中存储的指令(例如指令6042)来执行特定步骤和/或操作的处理器,通用
处理器在执行上述步骤和/或操作的过程中可能用到存储在存储器(例如存储器604)中的
数据(例如数据6044)。通用处理器可以是,例如但不限于,中央处理器(central
processing unit,CPU)。此外,处理器602也可以是专用处理器,专用处理器可以是专门设
计的用于执行特定步骤和/或操作的处理器,该专用处理器可以是,例如但不限于,数字信
号处理器(digital signal processor,DSP)、应用专用集成电路(application specific
integrated circuit,ASIC)和现场可编程门阵列(field programmable gate array,
FPGA)等。此外,处理器602还可以是多个处理器的组合,例如多核处理器。处理器602可以包
括至少一个电路,以执行下述实施例中的设备行为控制方法的步骤。
处理器在执行上述步骤和/或操作的过程中可能用到存储在存储器(例如存储器604)中的
数据(例如数据6044)。通用处理器可以是,例如但不限于,中央处理器(central
processing unit,CPU)。此外,处理器602也可以是专用处理器,专用处理器可以是专门设
计的用于执行特定步骤和/或操作的处理器,该专用处理器可以是,例如但不限于,数字信
号处理器(digital signal processor,DSP)、应用专用集成电路(application specific
integrated circuit,ASIC)和现场可编程门阵列(field programmable gate array,
FPGA)等。此外,处理器602还可以是多个处理器的组合,例如多核处理器。处理器602可以包
括至少一个电路,以执行下述实施例中的设备行为控制方法的步骤。
[0124] 存储器604可以是各种类型的存储介质,例如随机存取存储器(random access memory,RAM)、ROM、非易失性RAM(non‑volatile RAM,NVRAM)、可编程ROM(programmable
ROM,PROM)、可擦除PROM(erasable PROM,EPROM)、电可擦除PROM(electrically Erasable
PROM,EEPROM)、闪存、光存储器和寄存器等。存储器604具体用于存储指令6042和数据6044,
当处理器602为通用处理器时,处理器602可以通过读取并执行存储器604中存储的指令
6042,来执行特定步骤和/或操作,在执行上述步骤和/或操作的过程中可能需要用到数据
6044。
ROM,PROM)、可擦除PROM(erasable PROM,EPROM)、电可擦除PROM(electrically Erasable
PROM,EEPROM)、闪存、光存储器和寄存器等。存储器604具体用于存储指令6042和数据6044,
当处理器602为通用处理器时,处理器602可以通过读取并执行存储器604中存储的指令
6042,来执行特定步骤和/或操作,在执行上述步骤和/或操作的过程中可能需要用到数据
6044。
[0125] 根据通信设备的不同,通信接口606可以包括收发器、多根天线或I/O(输入/输出,input/output)接口等,I/O接口用于接收来自外围设备的指令和/或数据,以及向外围设备
输出指令和/或数据。天线与收发器连接,收发器通过与其连接的至少一根天线来收发信
号。
输出指令和/或数据。天线与收发器连接,收发器通过与其连接的至少一根天线来收发信
号。
[0126] 在具体实现过程中,处理器602可以用于进行,例如但不限于,基带相关处理,收发器可以用于进行,例如但不限于,射频收发。上述器件可以分别设置在彼此独立的芯片上,
也可以至少部分的或者全部的设置在同一块芯片上。例如,处理器602可以进一步划分为模
拟基带处理器和数字基带处理器,其中模拟基带处理器可以与收发器集成在同一块芯片
上,数字基带处理器可以设置在独立的芯片上。随着集成电路技术的不断发展,可以在同一
块芯片上集成的器件越来越多,例如,数字基带处理器可以与多种应用处理器(例如但不限
于图形处理器,多媒体处理器等)集成在同一块芯片之上。这样的芯片可以称为系统芯片
(System on Chip)。将各个器件独立设置在不同的芯片上,还是整合设置在一个或者多个
芯片上,往往取决于产品设计的具体需要。本申请实施例对上述器件的具体实现形式不做
限定。
也可以至少部分的或者全部的设置在同一块芯片上。例如,处理器602可以进一步划分为模
拟基带处理器和数字基带处理器,其中模拟基带处理器可以与收发器集成在同一块芯片
上,数字基带处理器可以设置在独立的芯片上。随着集成电路技术的不断发展,可以在同一
块芯片上集成的器件越来越多,例如,数字基带处理器可以与多种应用处理器(例如但不限
于图形处理器,多媒体处理器等)集成在同一块芯片之上。这样的芯片可以称为系统芯片
(System on Chip)。将各个器件独立设置在不同的芯片上,还是整合设置在一个或者多个
芯片上,往往取决于产品设计的具体需要。本申请实施例对上述器件的具体实现形式不做
限定。
[0127] 需要说明的是,图6所示的通信设备600仅仅是示例性的,在具体实现过程中,通信设备600还可以包括其他硬件器件,本文不再一一列举。通信设备600中硬件器件的具体作
用将在下文进行详细的描述。
用将在下文进行详细的描述。
[0128] 请参考图7,其示出了本申请实施例提供的一种设备行为控制方法的方法流程图,该设备行为控制方法可以用于如图2所示的智能边缘IoT系统,该设备行为控制方法包括:
[0129] 步骤701、中心管理设备向智能边缘IoT系统中所有边缘管理设备推送目标行为识别模型。
[0130] 在本申请实施例中,中心管理设备可以先建立目标行为识别模型,然后向智能边缘IoT系统中的所有边缘管理设备推送目标行为识别模型。
[0131] 其中,中心管理设备建立目标行为识别模型可以包括:中心管理设备获取智能边缘IoT系统中的每个边缘设备在多个时间段内的行为数据,根据智能边缘IoT系统中的所有
边缘设备在多个时间段内的行为数据,建立目标行为识别模型。智能边缘IoT系统中的边缘
设备包括边缘管理设备和IoT设备。
边缘设备在多个时间段内的行为数据,建立目标行为识别模型。智能边缘IoT系统中的边缘
设备包括边缘管理设备和IoT设备。
[0132] 可选地,每个边缘管理设备可以收集自身及其所管理的每个IoT设备等边缘设备在多个时间段内的行为数据,然后将自身及其所管理的每个IoT设备等边缘设备在多个时
间段内的行为数据发送至中心管理设备,以使得中心管理设备能够获取该边缘管理设备及
其所管理的所有IoT设备在多个时间段内的行为数据,中心管理设备接收到智能边缘IoT系
统中的所有边缘管理设备发送的行为数据后,即可获取到智能边缘IoT系统中的每个边缘
设备在多个时间段内的行为数据,之后中心管理设备根据智能边缘IoT系统中的所有边缘
设备在多个时间段内的行为数据,建立目标行为识别模型。可选地,中心管理设备通过机器
学习(machine learnent,ML)算法对智能边缘IoT系统中的所有边缘设备在多个时间段内
的行为数据进行训练得到目标行为识别模型。
间段内的行为数据发送至中心管理设备,以使得中心管理设备能够获取该边缘管理设备及
其所管理的所有IoT设备在多个时间段内的行为数据,中心管理设备接收到智能边缘IoT系
统中的所有边缘管理设备发送的行为数据后,即可获取到智能边缘IoT系统中的每个边缘
设备在多个时间段内的行为数据,之后中心管理设备根据智能边缘IoT系统中的所有边缘
设备在多个时间段内的行为数据,建立目标行为识别模型。可选地,中心管理设备通过机器
学习(machine learnent,ML)算法对智能边缘IoT系统中的所有边缘设备在多个时间段内
的行为数据进行训练得到目标行为识别模型。
[0133] 其中,中心管理设备向智能边缘IoT系统中的所有边缘管理设备推送目标行为识别模型可以包括:中心管理设备向智能边缘IoT系统中的所有边缘管理设备发送推送消息,
该推送消息携带该目标行为识别模型。
该推送消息携带该目标行为识别模型。
[0134] 可选地,中心管理设备与边缘管理设备通过因特网连接,中心管理设备可以通过因特网向智能边缘IoT系统中的所有边缘管理设备发送推送消息。其中,中心管理设备可以
以广播的方式向边缘管理设备发送推送消息,也可以以组播的方式向边缘管理设备发送推
送消息,或者,还可以以其他方式向边缘管理设备发送推送消息,本申请实施例不对中心管
理设备向边缘管理设备发送推送消息的方式进行限定,只要能够将目标行为识别模型推送
至边缘管理设备即可。
以广播的方式向边缘管理设备发送推送消息,也可以以组播的方式向边缘管理设备发送推
送消息,或者,还可以以其他方式向边缘管理设备发送推送消息,本申请实施例不对中心管
理设备向边缘管理设备发送推送消息的方式进行限定,只要能够将目标行为识别模型推送
至边缘管理设备即可。
[0135] 需要说明的是,中心管理设备可以包括训练模块,边缘管理设备可以包括识别(identify)模块,该步骤701可以由训练模块执行,中心管理设备向边缘管理设备推送目标
行为识别模型可以是中心管理设备的训练模块向边缘管理设备的识别模块推送目标行为
识别模型。
行为识别模型可以是中心管理设备的训练模块向边缘管理设备的识别模块推送目标行为
识别模型。
[0136] 步骤702、中心管理设备与智能边缘IoT系统中所有边缘管理设备同步行为矫正方案。
[0137] 在本申请实施例中,行为矫正方案可以是用户在中心管理设备上配置的,行为矫正方案包括每个边缘设备的设备状态和控制策略标识的关联关系,控制策略标识指示DBAC
策略。中心管理设备可以接收用户配置的行为矫正方案,然后向智能边缘IoT系统中所有边
缘管理设备发送携带该行为矫正方案的第一同步消息,以与边缘管理设备同步行为矫正方
案。
策略。中心管理设备可以接收用户配置的行为矫正方案,然后向智能边缘IoT系统中所有边
缘管理设备发送携带该行为矫正方案的第一同步消息,以与边缘管理设备同步行为矫正方
案。
[0138] 可选地,中心管理设备可以为用户提供配置界面或配置接口,用户通过配置界面或配置接口在中心管理设备上配置行为矫正方案。中心管理设备可以通过因特网向智能边
缘IoT系统中的所有边缘管理设备发送第一同步消息。其中,中心管理设备可以以广播的方
式向边缘管理设备发送第一同步消息,也可以以组播的方式向边缘管理设备发送第一同步
消息,或者,还可以以其他方式向边缘管理设备发送第一同步消息,本申请实施例不对中心
管理设备向边缘管理设备发送第一同步消息的方式进行限定,只要能够使中心管理设备与
边缘管理设备同步行为矫正方案即可。
缘IoT系统中的所有边缘管理设备发送第一同步消息。其中,中心管理设备可以以广播的方
式向边缘管理设备发送第一同步消息,也可以以组播的方式向边缘管理设备发送第一同步
消息,或者,还可以以其他方式向边缘管理设备发送第一同步消息,本申请实施例不对中心
管理设备向边缘管理设备发送第一同步消息的方式进行限定,只要能够使中心管理设备与
边缘管理设备同步行为矫正方案即可。
[0139] 可选地,在本申请实施例中,行为矫正方案可以采用以下代码来表示,其中,tps表示每秒访问业务的次数,tps是一种设备状态,policy表示控制策略标识。
[0140] Service1:
[0141] Serviceapi1:tps>1000,degrade//当边缘设备以每秒大于1000的访问次数通过Serviceapi1指示的接口访问Service1指示的业务时,对该边缘设备的访问权限进行降级
[0142] Serviceapi2:tps>1000,degrade//当边缘设备以每秒大于1000的访问次数通过Serviceapi2指示的接口访问Service1指示的业务时,对该边缘设备的访问权限进行降级
[0143] Service2:
[0144] Serviceapi1:tps>1000,policy3////当边缘设备以每秒大于1000的访问次数通过Serviceapi1指示的接口访问Service2指示的业务时,采用policy3指示的DBAC策略对该
边缘设备进行行为控制
边缘设备进行行为控制
[0145] 需要说明的是,中心管理设备和边缘管理设备均可以包括矫正(corrector)模块,中心管理设备与边缘管理设备同步行为矫正方案可以是中心管理设备的矫正模块与边缘
管理设备的矫正模块同步行为矫正方案。
管理设备的矫正模块同步行为矫正方案。
[0146] 步骤703、中心管理设备与智能边缘IoT系统中所有边缘管理设备同步控制策略方案。
[0147] 在本申请实施例中,控制策略方案可以是用户在中心管理设备上配置的,控制策略方案包括每个边缘设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关
系,设备标识指示边缘设备。中心管理设备可以接收用户配置的控制策略方案,然后向智能
边缘IoT系统中所有边缘管理设备发送携带该行为控制策略方案的第二同步消息,以与边
缘管理设备同步控制策略方案。
系,设备标识指示边缘设备。中心管理设备可以接收用户配置的控制策略方案,然后向智能
边缘IoT系统中所有边缘管理设备发送携带该行为控制策略方案的第二同步消息,以与边
缘管理设备同步控制策略方案。
[0148] 可选地,中心管理设备可以为用户提供配置界面或配置接口,用户通过配置界面或配置接口在中心管理设备上配置控制策略方案。中心管理设备可以通过因特网向智能边
缘IoT系统中的所有边缘管理设备发送第二同步消息。其中,中心管理设备可以以广播的方
式向边缘管理设备发送第二同步消息,也可以以组播的方式向边缘管理设备发送第二同步
消息,或者,还可以以其他方式向边缘管理设备发送第二同步消息,本申请实施例不对中心
管理设备向边缘管理设备发送第二同步消息的方式进行限定,只要能够使中心管理设备与
边缘管理设备同步控制策略方案即可。
缘IoT系统中的所有边缘管理设备发送第二同步消息。其中,中心管理设备可以以广播的方
式向边缘管理设备发送第二同步消息,也可以以组播的方式向边缘管理设备发送第二同步
消息,或者,还可以以其他方式向边缘管理设备发送第二同步消息,本申请实施例不对中心
管理设备向边缘管理设备发送第二同步消息的方式进行限定,只要能够使中心管理设备与
边缘管理设备同步控制策略方案即可。
[0149] 可选地,在本申请实施例中,控制策略方案可以采用策略代码、标识代码以及关联代码这三段代码来表示,关联代码用于将策略代码与标识代码关联,其中,tps表示每秒访
问业务的次数,tps是一种设备状态,policy表示控制策略标识,E1~E5均表示边缘设备的
设备标识。
问业务的次数,tps是一种设备状态,policy表示控制策略标识,E1~E5均表示边缘设备的
设备标识。
[0150] 其中,策略代码如下:
[0151]
[0152]
[0153] 其中,标识代码如下:
[0154]
[0155] 其中,关联代码如下:
[0156] Edgegourp1{service1:policy0;service2:policy2}//Edgegourp1指示的边缘组以policy0指示的DBAC策略访问service1指示的业务,且以policy2指示的DBAC策略访问
service2指示的业务
service2指示的业务
[0157] Edgesubgourp1{service3:policy2}//Edgesubgourp1指示的边缘子组以policy2指示的DBAC策略访问service3指示的业务
[0158] 需要说明的是,上述代码对边缘设备进行了分组,每个边缘组可以包括至少一个边缘子组,每个边缘子组可以包括至少一个边缘设备,该至少一个边缘设备可以包括边缘
管理设备和/或IoT设备等。此外,中心管理设备和边缘管理设备均可以包括DBAC模块,中心
管理设备与边缘管理设备同步控制策略方案可以是中心管理设备的DBAC模块与边缘管理
设备的DBAC模块同步控制策略方案。
管理设备和/或IoT设备等。此外,中心管理设备和边缘管理设备均可以包括DBAC模块,中心
管理设备与边缘管理设备同步控制策略方案可以是中心管理设备的DBAC模块与边缘管理
设备的DBAC模块同步控制策略方案。
[0159] 步骤704、中心管理设备获取目标设备的行为数据。
[0160] 可选地,中心管理设备可以采集和记录目标设备在多个时间段内设备的业务数据,对目标设备在多个时间段内设备的业务数据进行处理得到目标设备的行为数据。或者,
边缘管理设备可以采集和记录目标设备在多个时间段内设备的业务数据,对目标设备在多
个时间段内设备的业务数据进行处理得到目标设备的行为数据,然后向中心管理设备发送
目标设备的行为数据,以便于中心管理设备获取目标设备的行为数据。其中,目标设备的业
务数据可以包括目标设备收发的数据包的数量、数据包的类型、目标设备访问的业务以及
目标设备访问业务的频率等数据,目标设备为智能边缘IoT系统中的任一边缘设备,边缘设
备可以为边缘管理设备或物联网设备。
边缘管理设备可以采集和记录目标设备在多个时间段内设备的业务数据,对目标设备在多
个时间段内设备的业务数据进行处理得到目标设备的行为数据,然后向中心管理设备发送
目标设备的行为数据,以便于中心管理设备获取目标设备的行为数据。其中,目标设备的业
务数据可以包括目标设备收发的数据包的数量、数据包的类型、目标设备访问的业务以及
目标设备访问业务的频率等数据,目标设备为智能边缘IoT系统中的任一边缘设备,边缘设
备可以为边缘管理设备或物联网设备。
[0161] 需要说明的是,中心管理设备可以包括探测模块,该步骤704可以由该探测模块执行。
[0162] 步骤705、中心管理设备根据目标设备的行为数据和目标行为识别模型,判断目标设备的行为是否为异常行为。
[0163] 可选地,目标行为识别模型可以记录行为数据与行为的算法关系,中心管理设备可以将目标设备的行为数据输入至目标行为识别模型,目标行为识别模型根据行为数据与
行为的算法关系对目标设备的行为数据进行计算分析后,输出目标设备的行为,进而中心
管理设备判断目标设备的行为是否为异常行为,或者,目标行为识别模型根据行为数据与
行为的算法关系对目标设备的行为数据进行计算分析后输出目标设备的行为是否为异常
行为的结果,也即是,输出判断结果。
行为的算法关系对目标设备的行为数据进行计算分析后,输出目标设备的行为,进而中心
管理设备判断目标设备的行为是否为异常行为,或者,目标行为识别模型根据行为数据与
行为的算法关系对目标设备的行为数据进行计算分析后输出目标设备的行为是否为异常
行为的结果,也即是,输出判断结果。
[0164] 需要说明的是,中心管理设备可以包括识别模块,该步骤705可以由该识别模块执行。
[0165] 步骤706、中心管理设备根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行为控制。
[0166] 在本申请实施例中,中心管理设备根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行为控制,可以包括:中心管理设备根据判断结果确定
目标设备的设备状态,根据目标设备的设备状态,从行为矫正方案中确定与目标设备的设
备状态关联的目标控制策略标识,根据目标设备的设备标识、目标设备的设备状态和目标
控制策略标识,从控制策略方案中确定由目标控制策略标识指示且与目标设备的设备标识
和目标设备的设备状态关联的目标权限访问控制策略,根据目标权限访问控制策略,对目
标设备进行行为控制。
目标设备的设备状态,根据目标设备的设备状态,从行为矫正方案中确定与目标设备的设
备状态关联的目标控制策略标识,根据目标设备的设备标识、目标设备的设备状态和目标
控制策略标识,从控制策略方案中确定由目标控制策略标识指示且与目标设备的设备标识
和目标设备的设备状态关联的目标权限访问控制策略,根据目标权限访问控制策略,对目
标设备进行行为控制。
[0167] 其中,设备状态包括异常状态、正常状态、每秒访问的业务数、每秒访问业务的次数或与其他设备的交互速度等,当设备状态为异常状态或正常状态,可以直接根据步骤705
的判断结果确定目标设备的设备状态,当设备状态为每秒访问的业务数、每秒访问业务的
次数或与其他设备的交互速度等时,在执行步骤706的过程中即可确定出设备状态。
的判断结果确定目标设备的设备状态,当设备状态为每秒访问的业务数、每秒访问业务的
次数或与其他设备的交互速度等时,在执行步骤706的过程中即可确定出设备状态。
[0168] 可选地,根据步骤702的描述可知,行为矫正方案包括每个边缘设备的设备状态和控制策略标识的关联关系,根据步骤703的描述可知,控制策略方案包括每个边缘设备的设
备标识、每个边缘设备的设备状态以及DBAC策略的关联关系,因此中心管理设备确定出目
标设备的设备状态后,可以根据目标设备的设备状态,从行为矫正方案记录的每个边缘设
备的设备状态和控制策略标识的关联关系中确定出目标控制策略标识,然后根据目标设备
的设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案记录的每个边缘
设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关系,确定出目标权限访
问控制策略,该目标权限访问控制策略也即是目标DBAC策略。
备标识、每个边缘设备的设备状态以及DBAC策略的关联关系,因此中心管理设备确定出目
标设备的设备状态后,可以根据目标设备的设备状态,从行为矫正方案记录的每个边缘设
备的设备状态和控制策略标识的关联关系中确定出目标控制策略标识,然后根据目标设备
的设备标识、目标设备的设备状态和目标控制策略标识,从控制策略方案记录的每个边缘
设备的设备标识、每个边缘设备的设备状态以及DBAC策略的关联关系,确定出目标权限访
问控制策略,该目标权限访问控制策略也即是目标DBAC策略。
[0169] 可选地,中心管理设备根据目标权限访问控制策略,对目标设备进行行为控制可以包括:中心管理设备根据目标权限访问控制策略,更新目标设备的权限访问控制策略,并
执行目标权限访问控制策略。在本申请实施例中,中心管理设备记录有目标设备的权限访
问控制策略,以便于中心管理设备能够对目标设备进行行为控制,为目标设备确定出新的
权限访问控制策略(也即是目标权限访问控制策略)后,中心管理设备可以采用目标权限访
问控制策略对目标设备的权限访问控制策略进行更新,以便于根据目标权限访问控制策略
对目标设备进行行为控制,其中,中心管理设备通过执行目标权限访问控制策略使该目标
权限访问控制策略生效。容易理解,由于能够更新目标设备的权限访问控制策略,而权限访
问控制策略可以记录边缘设备的访问权限,因此,本申请实施例提供的方案可以动态地修
改边缘设备的权限。
执行目标权限访问控制策略。在本申请实施例中,中心管理设备记录有目标设备的权限访
问控制策略,以便于中心管理设备能够对目标设备进行行为控制,为目标设备确定出新的
权限访问控制策略(也即是目标权限访问控制策略)后,中心管理设备可以采用目标权限访
问控制策略对目标设备的权限访问控制策略进行更新,以便于根据目标权限访问控制策略
对目标设备进行行为控制,其中,中心管理设备通过执行目标权限访问控制策略使该目标
权限访问控制策略生效。容易理解,由于能够更新目标设备的权限访问控制策略,而权限访
问控制策略可以记录边缘设备的访问权限,因此,本申请实施例提供的方案可以动态地修
改边缘设备的权限。
[0170] 示例地,假设目标设备的权限访问控制策略为E2:{service3:policy2},目标权限访问控制策略为E2:{service1:policy2}或{service1:policy3},则中心管理设备可以采
用E2:{service1:policy2}或{service1:policy3}更新E2:{service3:policy2},并执行
E2:{service1:policy2}或{service1:policy3}。
用E2:{service1:policy2}或{service1:policy3}更新E2:{service3:policy2},并执行
E2:{service1:policy2}或{service1:policy3}。
[0171] 需要说明的是,中心管理设备可以包括矫正模块,该步骤706可以由该矫正模块执行。
[0172] 步骤707、目标边缘管理设备获取目标设备的行为数据。
[0173] 可选地,目标边缘管理设备可以采集和记录目标设备在多个时间段内设备的业务数据,对目标设备在多个时间段内设备的业务数据进行处理得到目标设备的行为数据。或
者,目标边缘管理设备的邻居边缘管理设备可以采集和记录目标设备在多个时间段内设备
的业务数据,对目标设备在多个时间段内设备的业务数据进行处理得到目标设备的行为数
据,然后向目标边缘管理设备发送目标设备的行为数据,以便于目标边缘管理设备获取目
标设备的行为数据。其中,目标设备的业务数据可以包括目标设备收发的数据包的数量、数
据包的类型、目标设备访问的业务以及目标设备访问业务的频率等数据,目标设备为智能
边缘IoT系统中的任一边缘设备,该边缘设备可以为边缘管理设备或物联网设备。
者,目标边缘管理设备的邻居边缘管理设备可以采集和记录目标设备在多个时间段内设备
的业务数据,对目标设备在多个时间段内设备的业务数据进行处理得到目标设备的行为数
据,然后向目标边缘管理设备发送目标设备的行为数据,以便于目标边缘管理设备获取目
标设备的行为数据。其中,目标设备的业务数据可以包括目标设备收发的数据包的数量、数
据包的类型、目标设备访问的业务以及目标设备访问业务的频率等数据,目标设备为智能
边缘IoT系统中的任一边缘设备,该边缘设备可以为边缘管理设备或物联网设备。
[0174] 需要说明的是,目标边缘管理设备可以包括探测模块,该步骤707可以由探测模块执行。
[0175] 步骤708、目标边缘管理设备根据目标设备的行为数据和目标行为识别模型,判断目标设备的行为是否为异常行为。
[0176] 该步骤708的实现过程可以参考上述步骤705,在此不再赘述。需要说明的是,与步骤705不同的是,目标边缘管理设备在执行该步骤708之前,可以接收中心管理设备推送的
目标行为识别模型。此外,目标边缘管理设备可以检测该目标边缘管理设备与中心管理设
备的交互是否减速,根据该目标边缘管理设备与中心管理设备的交互是否减速,判断该目
标边缘管理设备的邻居边缘管理设备是否存储恶意行为(如大量占用带宽资源);目标边缘
管理设备还可以查看该目标边缘管理设备上安装的应用调用的系统函数的敏感特征与敏
感数据,并根据该系统函数的敏感特征与敏感数据,匹配恶意行为规则库中的函数和数据,
以判断该目标边缘管理设备的行为是否异常行为;目标边缘管理设备还可以检测目标边缘
管理设备收发数据包的情况,以对目标边缘管理设备进行行为识别,检测目标边缘管理设
备所管理的IoT设备收发数据包的情况,以对目标边缘管理设备所管理的IoT设备进行行为
识别,本申请实施例在此不再赘述。
目标行为识别模型。此外,目标边缘管理设备可以检测该目标边缘管理设备与中心管理设
备的交互是否减速,根据该目标边缘管理设备与中心管理设备的交互是否减速,判断该目
标边缘管理设备的邻居边缘管理设备是否存储恶意行为(如大量占用带宽资源);目标边缘
管理设备还可以查看该目标边缘管理设备上安装的应用调用的系统函数的敏感特征与敏
感数据,并根据该系统函数的敏感特征与敏感数据,匹配恶意行为规则库中的函数和数据,
以判断该目标边缘管理设备的行为是否异常行为;目标边缘管理设备还可以检测目标边缘
管理设备收发数据包的情况,以对目标边缘管理设备进行行为识别,检测目标边缘管理设
备所管理的IoT设备收发数据包的情况,以对目标边缘管理设备所管理的IoT设备进行行为
识别,本申请实施例在此不再赘述。
[0177] 需要说明的是,目标边缘管理设备可以包括识别模块,该步骤708可以由识别模块执行。
[0178] 步骤709、目标边缘管理设备根据判断结果、行为矫正方案和控制策略方案,以设备为控制粒度对目标设备进行行为控制。
[0179] 该步骤709的实现过程可以参考上述步骤706,在此不再赘述。与步骤706不同的是,目标边缘管理设备在执行该步骤709之前,可以接收中心管理设备发送的行为矫正方案
和控制策略方案,目标边缘管理设备包括矫正模块和DBAC模块,接收行为矫正方案的过程
可以由矫正模块执行,接收控制策略方案的过程可以由DBAC模块执行,此外,该步骤709由
矫正模块执行。
和控制策略方案,目标边缘管理设备包括矫正模块和DBAC模块,接收行为矫正方案的过程
可以由矫正模块执行,接收控制策略方案的过程可以由DBAC模块执行,此外,该步骤709由
矫正模块执行。
[0180] 根据以上对本申请实施例的描述不难理解,在本申请实施例中,中心管理设备和边缘管理设备可以同时进行设备行为控制,且中心管理设备和边缘管理设备可以并行对多
个边缘设备进行行为控制。此外,本申请实施例以设备为控制粒度对目标设备进行行为控
制的,控制粒度较小,控制精度较高,控制更为灵活,在对一个边缘设备进行行为控制时,不
会影响其他边缘设备的访问权限,因此该设备行为控制方法对系统的影响较小。在对目标
设备进行行为控制时,所使用的目标行为识别模型是中心管理设备根据智能边缘IoT系统
中的所有边缘设备在多个时间段内的行为数据建立的,该目标行为识别模型在建立时,考
虑了不同边缘设备之间的关系,使得判断目标设备的行为是否为异常行为不再局限于单个
设备,而是通过智能边缘IoT系统内部的设备之间的互相感知和协作,因此判断目标设备的
行为是否为异常行为的可靠性较高、准确性更高、设备行为控制更智能。此外,由于对目标
设备的行为控制可以在边缘管理设备(边缘端)进行,边缘管理设备距离目标设备较近,因
此可以及早发现问题并对目标设备进行控制,避免边缘设备异常对云端的安全冲击。在本
申请实施例中,识别模块、DBAC模块和矫正模块组合对边缘设备进行行为控制,识别模块、
DBAC模块和矫正模块同时部署在云端(中心管理设备)和边缘端(边缘管理设备),云端与边
缘端协同工作、综合分析,提供更为准确、更为智能的设备行为控制。
个边缘设备进行行为控制。此外,本申请实施例以设备为控制粒度对目标设备进行行为控
制的,控制粒度较小,控制精度较高,控制更为灵活,在对一个边缘设备进行行为控制时,不
会影响其他边缘设备的访问权限,因此该设备行为控制方法对系统的影响较小。在对目标
设备进行行为控制时,所使用的目标行为识别模型是中心管理设备根据智能边缘IoT系统
中的所有边缘设备在多个时间段内的行为数据建立的,该目标行为识别模型在建立时,考
虑了不同边缘设备之间的关系,使得判断目标设备的行为是否为异常行为不再局限于单个
设备,而是通过智能边缘IoT系统内部的设备之间的互相感知和协作,因此判断目标设备的
行为是否为异常行为的可靠性较高、准确性更高、设备行为控制更智能。此外,由于对目标
设备的行为控制可以在边缘管理设备(边缘端)进行,边缘管理设备距离目标设备较近,因
此可以及早发现问题并对目标设备进行控制,避免边缘设备异常对云端的安全冲击。在本
申请实施例中,识别模块、DBAC模块和矫正模块组合对边缘设备进行行为控制,识别模块、
DBAC模块和矫正模块同时部署在云端(中心管理设备)和边缘端(边缘管理设备),云端与边
缘端协同工作、综合分析,提供更为准确、更为智能的设备行为控制。
[0181] 需要说明的是,本申请实施例提供的设备行为控制方法步骤的先后顺序可以进行适当调整,步骤也可以根据情况进行相应增减,例如,步骤704至步骤706与步骤707至步骤
709相对独立,或者,步骤704与步骤707可以同执行,步骤705与步骤708可以同执行,步骤
706与步骤709可以同执行,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范
围内,可轻易想到变化的方法,都应涵盖在本申请的保护范围之内,因此不再赘述。
709相对独立,或者,步骤704与步骤707可以同执行,步骤705与步骤708可以同执行,步骤
706与步骤709可以同执行,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范
围内,可轻易想到变化的方法,都应涵盖在本申请的保护范围之内,因此不再赘述。
[0182] 综上所述,本申请实施例提供的设备行为控制方法,获取目标设备的行为数据之后,根据目标设备的行为数据,判断目标设备的行为是否为异常行为,根据判断结果以设备
为控制粒度对目标设备进行行为控制。由于是以设备为控制粒度对目标设备进行行为控制
的,因此对目标设备进行行为控制的控制粒度较小,控制精度较高。此外,根据目标设备的
行为数据判断目标设备的行为是否为异常行为时,使用的目标行为识别模型是中心管理设
备根据智能边缘IoT系统中的所有边缘设备在多个时间段内的行为数据建立的,因此判断
目标设备的行为是否为异常行为的可靠性较高。
为控制粒度对目标设备进行行为控制。由于是以设备为控制粒度对目标设备进行行为控制
的,因此对目标设备进行行为控制的控制粒度较小,控制精度较高。此外,根据目标设备的
行为数据判断目标设备的行为是否为异常行为时,使用的目标行为识别模型是中心管理设
备根据智能边缘IoT系统中的所有边缘设备在多个时间段内的行为数据建立的,因此判断
目标设备的行为是否为异常行为的可靠性较高。
[0183] 本申请实施例还提供了一种存储介质,该存储介质中存储有指令,当该指令在计算机的处理器上运行时,使得处理器执行上述设备行为控制方法。
[0184] 本申请实施例还提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机的处理器上运行时,使得处理器执行上述设备行为控制方法。
[0185] 本申请实施例还提供一种芯片,该芯片包括可编程逻辑电路和/或程序指令,当该芯片运行时用于实现如上述设备行为控制方法。
[0186] 需要说明的是:本申请实施例提供的设备行为控制装置在对边缘设备进行设备行为控制时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述
功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以
上描述的全部或者部分功能。另外,上述实施例提供的设备行为控制装置与设备行为控制
方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以
上描述的全部或者部分功能。另外,上述实施例提供的设备行为控制装置与设备行为控制
方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
[0187] 本申请实施例中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0188] 上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
[0189] 本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读
存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0190] 以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。