一种基于物联网设备的网络安全运行方法及系统

技术领域

本发明涉及通信领域，更具体的，涉及一种基于物联网设备的网络安全运行方法及系统。

背景技术

目前，在物联网安全防护技术领域中，存在大量不同的设备接入到同一局域网络中的现状。因产品特性存在区别，各大物联网设备厂家之间存在技术因素的差异，会导致各类物联网设备同时采用不同的通信协议或通讯方式接入到网络中。例如，目前采用的通信协议就包括私有协议、ZigBee、802.15.4e、SigFox、LoRa和802.11x等，这些安全无线协议因自身都不太安全。

对于这些物联设备的网络防护，现有的物联网安全技术大多采用如下几种关键技术：数据处理与安全技术、密钥管理机制技术、安全路由协议技术、认证与访问控制技术、入侵检测和容错机制技术、安全分析和交付机制技术、接口保护技术、物联网设备指纹技术等。目前，大量的物联网设备所在的网络都是通过这些底层基础防护技术，再结合上层应用的流量监测，行为分析等技术，实现设备的资产管理、安全准入和防护功能。

因此，通常来说，物联网设备在接入网络的过程中，首先需要通过公共标准协议进行网络对接，或者通过厂家协议实现网络对接，随后再接入中央管理平台软件进行数据读取和监控等。通常识别设备唯一性的方法是将接入的设备在应用层上生成一个唯一ID，但这种方式存在相当大的可仿冒性和可替换性。

另外，近年来，对物联网设备接入网络的安全防护通常可以采用物联网设备指纹技术。其核心原理是通过设备的操作系统、厂商ID、MAC地址、端口号、IP地址、协议报文种类等属性生成一系列固定、且与每个设备相关的私有信息，以达到识别设备的唯一性。物联网平台通过设备指纹库识别设备，对于非指纹库内的设备可进行阻断和报警，通过设备指纹标识设备的唯一性，可以降低设备的可仿冒性和可替换性。但是，这种技术尚未充分有效的应用至物联网中。

同时，上述技术仍然存在较大程度的局限性。例如，为了准确的采用物联网设备指纹技术，就需要物联网设备在并网的过程中准确的输入设备的相关指纹信息，如设备的操作系统、厂商ID、MAC地址、端口号、IP地址等。对于物联网设备的初始并网管理过程需要消耗大量的人力物力，同时仍然难以避免人为的误差。

除此之外，物联网设备通过不同的网络协议实现网络的并入，目前大部分的网络中只允许物联网设备单向的上行通信，而部分电力系统的新业务则逐渐允许以物联网设备本身作为控制端实现业务的下发和共享。但是，在这种情况下，当设备接入网络后，在没有提前人为干预下，默认该设备对应的全端口可以使用，设备流量可随意去到它能访问的网络，但没有任何预警和限制，这样存在很大的安全隐患。而如果存在人为干预，则也同时存在着仿冒的问题，人为干预的效率不足的问题，同时因物联网设备数量庞大存在着业务权限定义消耗大量人力管理的问题存在。

更进一步的，为了确保网络的正常运行，防止数据端口流量过载，则更加需要投入专业的网络运维人员对各个设备的流量进行人为限制。这种人为的限制会导致各种不恰当的情况发生，不仅会对设备、网络造成安全隐患，也极大的降低了网络设备资源的运行效率。

针对上述问题，亟需一种基于物联网设备的网络安全运行方法。

发明内容

为解决现有技术中存在的不足，本发明提供一种基于物联网设备的网络安全运行方法及系统，通过定义物联网设备的类型和业务权限，采用卷积神经网络，依据设备的实时数据流量自动判定设备数据的合法性，从而对物联网设备实现通信层面的管理。

本发明采用如下的技术方案。

本发明第一方面，涉及一种基于物联网设备的网络安全运行方法，方法包括以下步骤：步骤1，基于物联网设备的运行规则定义物联网设备的设备类型和业务权限；步骤2，对当前物联网设备的数据流量进行实时监控，当发现当前物联网设备的数据流量与设备类型、业务权限不符时，针对当前物联网设备发出通信警报，以及对于当前物联网设备的通信端口实施禁用。

优选的，预先为当前物联网设备分配设备类型；其中，当对当前物联网设备的数据流量进行实时监控时，首次发现当前物联网设备，则基于当前物联网设备的当前数据流量判定当前物联网设备的设备类型。

优选的，基于当前物联网设备的当前数据流量判定当前物联网设备的设备类型还包括：从当前数据流量中提取二进制文件中的特征数据，将特征数据有序组合为多个张量；构建卷积神经网络，并以多个张量为输入对卷积神经网络进行求解；基于卷积神经网络的输出特征实现对当前物联网的设备类型的判定。

优选的，卷积神经网络为预先构建的；并且，卷积神经网络中的训练集、验证集、测试集是基于物联网设备的历史数据流量获取的；历史数据流量中包括物联网设备的正确设备类型。

优选的，物联网设备的设备类型包括IPC设备、NVR设备、门禁设备、发电控制设备、传感器设备；物联网设备的业务权限是基于具备不同设备类型的物联网设备之间的许可通信规则、限制通信规则或禁止通信规则定义的。

优选的，许可通信规则，允许所述设备类型相同或不同的两个设备之间通信；限制通信规则，允许设备类型相同或不同的两个设备之间以特定的方向、特定的数据流量通信；禁止通信规则，禁止设备类型相同或不同的两个设备之间通信。

优选的，对当前物联网设备的数据流量进行实时监控，并基于当前数据流量判定所述当前物联网设备的设备类型、目标地址；调取当前物联网设备预先分配的设备类型、业务权限，将设备类型与预先分配的设备类型进行比较，将目标地址与业务权限进行比较；若发现比较结果中存在不一致，则针对当前物联网设备发出通信报警。

优选的，在发出通信报警的同时，记录所述当前物联网设备存在的非法数据流量的累积数据量；当累积数据量超过设定阈值时，禁用当前物联网设备的上行数据端口。

优选的，将目标地址与业务权限进行比较还包括：基于目标地址的设备类型，确认当前物联网设备与目标物联网设备之间的业务权限；判定当前数据流量是否符合当前物联网设备与目标物联网设备之间的业务权限的约束。

本发明第二方面，涉及一种基于物联网设备的网络安全运行系统，系统用于实现本发明第一方面方法中的步骤；并且，系统包括权限分配模块和监控预警模块；其中，权限分配模块，用于基于物联网设备的运行规则定义物联网设备的设备类型和业务权限；监控预警模块，用于对当前物联网设备的数据流量进行实时监控，当发现当前物联网设备的数据流量与设备类型、业务权限不符时，针对当前物联网设备发出通信警报，以及对于当前物联网设备的通信端口实施禁用。

本发明的有益效果在于，与现有技术相比，本发明中的一种基于物联网设备的网络安全运行方法及系统，通过定义物联网设备的类型和业务权限，采用卷积神经网络，依据设备的实时数据流量自动判定设备数据的合法性，从而对物联网设备实现通信层面的管理。本发明方法有效可靠，充分利用了物联网设备自身数据的特有属性，利用智能算法实现设备类型和数据内容之间的关联，实现了网络端口、业务流量、业务权限等的实时监控，实现了物联网完整的安全防护。

本发明的有益效果还包括：

1、本发明通过对接入设备产生的数据进行分析处理、并自动识别设备的类型，从而实现设备相关网络权限功能分配，保证物联设备在网络下的安全运行的目的。利用深度学习技术自动识别设备类型，根据类型自动化的实现设备类型识别和网络权限分配，大大提高了效率和准确率，减少了人工干预的成本和时间，保证网络的安全性和稳定性。

2、本发明中的监控预警模块能够及时发现和处理网络安全问题，保障了网络的实时性和可靠性，实现了自动网络区域权限限制的网络阻断技术。

附图说明

图1为本发明一种基于物联网设备的网络安全运行方法的步骤示意图；

图2为本发明一种基于物联网设备的网络安全运行方法的业务实施示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清晰，下面将结合本发明实施例中的附图，对本发明的技术方案进行清楚、完整地描述。本发明所描述的实施例仅仅是本发明一部分的实施例，而不是全部实施例。基于本发明精神，本领域普通技术人员在没有做出创造性劳动的前提下，根据本发明中记载的实施例而获得的所有其它本发明中未记载的实施例，都应当属于本发明的保护范围。

图1为本发明一种基于物联网设备的网络安全运行方法的步骤示意图。如图1所示，本发明第一方面，涉及一种基于物联网设备的网络安全运行方法，方法包括步骤1与步骤2。

步骤1，基于物联网设备的运行规则定义物联网设备的设备类型和业务权限。

本发明中，考虑到物联网设备所在网络的实际需求，以对于各个种类的物联网设备的通信方式进行权限的控制，需要首先根据实际需求定义物联网设备的设备类型和权限信息。

优选的，物联网设备的设备类型包括IPC设备、NVR设备、门禁设备、发电控制设备、传感器设备；物联网设备的业务权限是基于具备不同设备类型的物联网设备之间的许可通信规则、限制通信规则或禁止通信规则定义的。

本发明一实施例中，该物联网可以应用在发电厂网络中，例如可以是一个火力发电厂中。

具体来说，本发明中的IPC(IP Camera)设备为网络摄像机类设备，NVR(NetworkVideo Recorder)设备则为网络视频录像机，能够用来实现网络视频监控的存储与转发。门禁设备可以包括用于控制发电厂等门口的通行。发电控制设备则可以包括各种控制和监控发电的相关设备，传感器设备则指用于采集火电厂各种数据的传感器设备，如温度传感器、压力传感器、流量传感器等。

当然，与本申请类似的物联网也可以应用于各种行业和各类业务中，提供类似或不同的功能。因此，物联网设备的设备类型与业务权限也可以根据这些功能，按照实际的需求进行合理的改进或定义。

而物联网设备的业务权限，则可以根据处于通信状态的任意两个物联网设备各自的设备类型实现定义。这里的业务权限可以包括两个设备之间直接或间接的通信连接，并不局限于物联网设备与上行网络之间的通信。

具体的，许可通信规则，允许设备类型相同或不同的两个设备之间通信；限制通信规则，允许设备类型相同或不同的两个设备之间以特定的方向、特定的数据流量通信；禁止通信规则，禁止设备类型相同或不同的两个设备之间通信。

可以理解的是，本发明一实施例中，IPC类设备和NVR类设备可以互相通信，IPC类设备、NVR类设备和某些门禁类设备可以通信，IPC类设备、NVR类设备和发电控制类设备、传感器类设备不能通信。现有技术中还可以根据设备的厂家、设备类型和私有特性，识别其应该可以使用的端口、协议类型等，从而进一步的定义其允许和禁止的通信方式、通信流量等。

上文中提及的特定的方向，可以为一个设备类型能够向另一个设备类型发送数据，而反向则无法支持通信。特定的数据流量通信，可以为两个设备之间单向通信的流量受到一定的限制，例如，在设定的时间段内，只能够支持一定数量的数据包，或一定长度的数据包的发送。

本申请中，可以通过权限分配模块来实现上述规则的定义。这里的权限分配模块可以是基于一个网络管理平台来实现的，例如可以通过面向用户的网络管理平台，基于网络管理员的需求，向平台中录入特定的规则，从而控制某类设备只能和其它某些设备类通信，或者控制某个设备只能和指定的设备通信。

步骤2，对当前物联网设备的数据流量进行实时监控，当发现当前物联网设备的数据流量与设备类型、业务权限不符时，针对当前物联网设备发出通信警报，以及对于当前物联网设备的通信端口实施禁用。

本发明中，在定义了确定的设备运行规则后，就可以基于全自动化的方式来实现对网络中每一个物联网设备的数据流量的实时监控了。具体来说，这种监控方式可以通过采集交换机或者物联网设备本身的数据传输端口，例如采用Wireshark等的协议分析软件进行数据报文的捕获、过滤和分析。通过这种软件，本发明能够在网络上抓取各种数据包，从而对于数据包进行合理的分析。图2为本发明一种基于物联网设备的网络安全运行方法的业务实施示意图。如图2所示，数据采集模块就可以是用于实现上述抓包功能，从而实现各种数据流量的捕获。本发明一实施例中，数据流量可以为根据各类通信协议所实现的数据包的形式。

具体来说，本发明可以采用一定的方法来预先为每一个物联网设备分配一个设备类型。这个设备类型信息可以与业务权限类似，被存储在物联网设备本地或者是与物联网设备实现连接的交换机上。在获取了设备的类型后，本发明的方法就支持对当前的数据流量进行截获，通过分析当前数据包中的特征信息，判断该数据包应当来自于哪种设备，并将该设备与预先分配的设备类型进行比较，从而判断当前数据包是否合法。

优选的，预先为当前物联网设备分配设备类型；其中，当对当前物联网设备的数据流量进行实时监控时，首次发现当前物联网设备，则基于当前物联网设备的当前数据流量判定当前物联网设备的设备类型。

可以理解的是，本发明中，如果发现了未注册的新设备，则也可以通过对于其数据流量进行分析的方法，辅助将其自动的注册至物联网中。通过这种方式，就不再需要运维人员手动的将该设备的所有指纹信息准确录入至管理平台中的步骤和程序了，通过这种方式也极大程度上的简化了物联网设备的管理。

可以理解的是，本发明中注册新设备的过程可以与判断当前数据流量的过程是类似的，具体的思路都是根据数据包中的特征信息，判断这些特征应当匹配至哪一种物联网设备。

优选的，基于当前物联网设备的当前数据流量判定当前物联网设备的设备类型还包括：从当前数据流量中提取二进制文件中的特征数据，将特征数据有序组合为多个张量；构建卷积神经网络，并以多个张量为输入对卷积神经网络进行求解；基于卷积神经网络的输出特征实现对当前物联网的设备类型的判定。

本发明中，如图2所示，设备类型识别模块能够对数据包进行分类，从而对产生数据的设备类型进行分类，并记录该设备的IP、MAC地址等信息是什么类设备。

具体来说，本发明可以从抓包软件中获取到二进制文件，并基于二级制文件的信息抽取其中重要的格式数据，从而能够得到二级制数据集。例如，二进制文件中可能会包括重要的物理层数据帧的概况、数据链路层以太网帧头部的信息、互联网层IP包头部信息，传输层的数据段头部信息、应用层的HTTP协议等各种信息。另外，二进制文件中还可能包括数据包的长度、类型、实际承载的数据内容等。而这些信息不仅能够用于分析出设备通信过程中所采用的通信协议、与网络的连接方式，也能够在缺乏设备类型的前提下根据数据内容本身定义出设备可能的类型信息。因此，本发明可以根据二进制文件的特定格式抽取其中重要的特定字段，并将这些字段组成二进制数据集。

本发明一实施例中，采用卷积神经网络实现对二进制数据集中信息的判别。因此，本发明中，这些二进制数据集中的每一项数据都可以被以合理的顺序组织为高维度的张量，也就是类似图像中的像素信息。通过这种方式，数据内容就被组织成为能够输入至卷积神经网络的输入数据的格式。

本发明中的卷积神经网络是预先定义的，卷积神经网络的初始数据集可以预先根据各种已知的设备类型和设备典型数据包来获得。通过多次的训练，卷积神经网络中的重要参数，可以根据现有技术中的内容确定，也可以在训练过程中进行改进。损失函数、优化器、评价指标等则可以根据现有技术中通用的内容进行定义。

本发明一实施例中，卷积神经网络为单通道的网络，其使用百度开源框架搭建。在该网络中，包括多个卷积层、池化层、全连接层，具体的构建方式可以根据训练的效果和设备分类的方式进行合理化改进。

优选的，卷积神经网络为预先构建的；并且，卷积神经网络中的训练集、验证集、测试集是基于物联网设备的历史数据流量获取的；历史数据流量中包括物联网设备的正确设备类型。

可以理解的是，卷积神经网络中的训练集可以用于对模型进行训练，调整模型参数，优化模型表现。验证集则用于对模型进行评估，选择表现最好的训练轮次。测试集则用于对模型进行测试，评估模型的性能和准确率。本申请中不仅模型是预先构建，并在训练好后部署到生产环境中，进行实际应用，训练集、测试集和验证集中的数据内容也可以是通过各种方式预先采集并确保数据的充分可靠的。

需要说明的是，历史数据流量可以是各种历史采集的数据包，为了实现模型的训练和验证，在验证集中，可以根据人工方式等来校准该数据包中数据内容本身的准确性，数据包的合法性，以及数据包所属于的物联网设备类型的准确性。可以理解的是，本发明利用深度学习技术自动识别设备类型，根据类型自动分配相关的网络权限，保证网络的安全性和稳定性。

优选的，对当前物联网设备的数据流量进行实时监控，并基于当前数据流量判定当前物联网设备的设备类型、目标地址；调取当前物联网设备预先分配的设备类型、业务权限，将设备类型与预先分配的设备类型进行比较，将目标地址与业务权限进行比较；若发现比较结果中存在不一致，则针对当前物联网设备发出通信报警。

可以理解的是，本发明中对当前物联网设备进行数据包采集时，就可以判定当前数据流量所对应的数据类型。如果设备是非初次接入，就监控数据包和记录的设备类型是否匹配，如果不匹配就发出报警。另外，如果设备的权限存在问题，例如当前设备的数据包虽然与设备类型能够匹配，但是数据包所对应的这种设备类型并不能够给发出给另一种类型的设备。则也可以通过识别目标地址的方式实现对于设备权限的检验。因此，这种方式也实现了设备权限分配的合理意义。

优选的，将目标地址与业务权限进行比较还包括：基于目标地址的设备类型，确认当前物联网设备与目标物联网设备之间的业务权限；判定当前数据流量是否符合当前物联网设备与目标物联网设备之间的业务权限的约束。

具体来说，本发明可以采用现有技术的各种手段来获取数据包的目标地址，或者与目标地址类似的其他相关信息，例如数据包中所承载的原始数据请求设备的信息等等。通过这种方式，方法就可以获得当前数据流量的发出地址和目的地址，通过两个地址所在设备的类型，则能够分析当前数据流量是否与业务权限相匹配。由此，监控预警模块实际上就可以在权限分配模块的基础上进行对数据包通信方式的一种监控预警了。

优选的，在发出通信报警的同时，记录当前物联网设备存在的非法数据流量的累积数据量；当累积数据量超过设定阈值时，禁用当前物联网设备的上行数据端口。

可以理解的是，如果非法的数据流量超过一定的阈值，则可以调用该设备起始端的交换机禁用该IP，从物理上阻断该设备的网络流量，从更根本上确保设备和网络的安全程度，更有效的防止了各类恶意的网络攻击。

本发明方法通过抓取流量数据，对于物联网设备的类型进行识别，从而生成自动网络区域权限限制的网络阻断，减少了人工干预的成本和时间，及时发现和处理网络安全问题，保障了网络的实时性和可靠性。

本发明第二方面，涉及一种基于物联网设备的网络安全运行系统，系统用于实现本发明第一方面中方法的步骤；并且，系统包括权限分配模块和监控预警模块；其中，权限分配模块，用于基于中物联网设备的运行规则定义物联网设备的设备类型和业务权限；监控预警模块，用于对当前物联网设备的数据流量进行实时监控，当发现当前物联网设备的数据流量与设备类型、业务权限不符时，针对当前物联网设备发出通信警报，以及对于当前物联网设备的通信端口实施禁用。

可以理解的是，网络安全运行系统为了实现上述本申请实施例提供的方法中的各功能，包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对网络安全运行系统进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

网络安全运行系统可以由一个或多个数据处理装置实现，装置包括至少一个处理器，总线系统以及至少一个通信接口。处理器由中央处理器、现场可编程逻辑门阵列、专用集成电路或其他硬件构成。存储器为只读存储器、随机存取存储器等构成。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。硬盘可以为机械盘或固态硬盘等。本发明实施例对此不作限定。上述实施例通常通过软件、硬件来实现。当使用软件程序实现时，可以以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。

在计算机上加载和执行计算机程序指令时，按照本发明中实施例所提供的流程来实现相应的功能。其中涉及的计算机程序指令可以是汇编指令、机器指令或者以编程语言实现编写的代码等等。

本发明的有益效果在于，与现有技术相比，本发明中的一种基于物联网设备的网络安全运行方法及系统，通过定义物联网设备的类型和业务权限，采用卷积神经网络，依据设备的实时数据流量自动判定设备数据的合法性，从而对物联网设备实现通信层面的管理。本发明方法有效可靠，充分利用了物联网设备自身数据的特有属性，利用智能算法实现设备类型和数据内容之间的关联，实现了网络端口、业务流量、业务权限等的实时监控，实现了物联网完整的安全防护。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。