基于模糊逻辑的物联网威胁轻量协同探测方法及装置

文献发布时间：2024-04-18 19:53:33

技术领域

本申请涉及物联网领域，尤其涉及基于模糊逻辑的物联网（IOT）威胁轻量协同探测方法及装置。

背景技术

物联网应用中，由于物联网设备比如传感器等本身有限的存储能力和处理能力，以及物联网本身架构的"隔离"特性，导致大多数物联网设备无法支持正常运行防病毒方案或其他安全补丁来抵御风险。而物联网设备本身能力比如存储能力、处理能力等不支持物联网设备正常运行防病毒方案或其他安全补丁来抵御风险，则会导致物联网设备成为网络攻击者的目标，导致物联网面临很多潜在威胁和攻击。

发明内容

本申请实施例提供一种基于模糊逻辑的物联网威胁轻量协同探测方法及装置，以实现及时探测出物联网设备是否被攻击，避免物联网设备被攻击引起的安全风险。

本申请实施例提供一种基于模糊逻辑的物联网威胁轻量协同探测方法，所述方法应用于雾节点，包括：

在本雾节点被云端确定为可信雾节点的前提下，确定本雾节点相关联的边缘节点组；所述边缘节点组包括至少一个待进行威胁探测的边缘节点，所述边缘节点组中各边缘节点满足本雾节点对应的边缘节点组创建条件；其中，若一边缘节点具有移动特性，则当该边缘节点基于所述移动特性满足至少两个不同雾节点对应的边缘节点组创建条件，则该边缘节点处于该至少两个不同雾节点相关联的边缘节点组中；

获得本雾节点对应的威胁探测能力；所述威胁探测能力是由云端基于本雾节点原本被配置的业务计算所需资源之外的冗余资源确定的；

基于本雾节点对应的威胁探测能力、以及本雾节点相关联的边缘节点组中每一边缘节点原本被配置的业务计算所需资源之外的冗余资源，确定本雾节点相关联的边缘节点组中每一边缘节点的威胁探测能力；

针对本雾节点相关联的边缘节点组中每一边缘节点，在当前探测时间段按照该边缘节点的威胁探测能力，向该边缘节点发送威胁探测包；按照在当前探测时间段内向该边缘节点发送威胁探测包之后收到的威胁探测响应包的情况，确定该边缘节点是否为恶意节点。

本申请实施例提供一种基于模糊逻辑的物联网威胁轻量协同探测系统，所述系统包括：云端、至少一个雾节点、至少一个边缘节点；

所述云端，确定各雾节点的信任值，在依据任一雾节点的信任值确定出该雾节点为可信雾节点的前提下，向雾节点发送通知；

任一雾节点，在基于所述通知确定本雾节点为可信雾节点的前提下，依据本雾节点对应的边缘节点组创建条件创建本雾节点相关联的边缘节点组；所述边缘节点组包括至少一个待进行威胁探测的边缘节点；若一边缘节点具有移动特性，则当该边缘节点基于所述移动特性满足至少两个不同雾节点对应的边缘节点组创建条件，则该边缘节点处于该至少两个不同雾节点相关联的边缘节点组中；

所述云端，进一步针对每一可信的雾节点，基于该雾节点原本被配置的业务计算之外的冗余资源确定该雾节点对应的威胁探测能力，并通知给该可信的雾节点；

任一雾节点，获得被通知的本雾节点对应的威胁探测能力，基于本雾节点对应的威胁探测能力、以及本雾节点相关联的边缘节点组中每一边缘节点原本被配置的业务计算之外的冗余资源，确定本雾节点相关联的边缘节点组中每一边缘节点的威胁探测能力；并针对本雾节点相关联的边缘节点组中每一边缘节点，在当前探测时间段按照该边缘节点的威胁探测能力，向该边缘节点发送威胁探测包；按照在当前探测时间段内向该边缘节点发送威胁探测包之后收到的威胁探测响应包的情况，确定该边缘节点是否为恶意节点。

本申请实施例提供一种基于模糊逻辑的物联网威胁轻量协同探测装置，所述装置应用于雾节点，包括：

创建单元，用于在本雾节点被云端确定为可信雾节点的前提下，依据本雾节点对应的边缘节点组创建条件创建本雾节点相关联的边缘节点组；所述边缘节点组包括至少一个待进行威胁探测的边缘节点；若一边缘节点具有移动特性，则当该边缘节点基于所述移动特性满足至少两个不同雾节点对应的边缘节点组创建条件，则该边缘节点处于该至少两个不同雾节点相关联的边缘节点组中；

获得单元，用于获得本雾节点对应的威胁探测能力；所述威胁探测能力是由云端基于本雾节点原本被配置的业务计算之外的冗余资源确定的；

探测单元，用于基于本雾节点对应的威胁探测能力、以及本雾节点相关联的边缘节点组中每一边缘节点原本被配置的业务计算之外的冗余资源，确定本雾节点相关联的边缘节点组中每一边缘节点的威胁探测能力；以及，

本申请实施例提供一种电子设备，该电子设备包括：处理器、机器可读存储介质；

所述机器可读存储介质上存储有若干计算机指令，所述计算机指令被处理器执行时，以实现如上方法中的步骤。

本申请实施例提供的技术方案可以包括以下有益效果：

本实施例中，通过雾节点与云节点（也称云端）相互协同比如由云端先确定雾节点为可信雾节点后触发雾节点开启探测边缘节点是否为恶意节点，以及雾节点在开启探测边缘节点是否为恶意节点的过程中，与云端交互以获得本雾节点对应的威胁探测能力等，而基于这种雾节点与云节点（也称云端）相互协同来探测边缘节点是否为恶意节点的方式，能够及时探测出物联网设备是否被攻击，避免物联网设备被攻击引起的安全风险。

进一步地，在本实施例中，在探测边缘节点是否为恶意节点前，需要先基于雾节点原本被配置的业务计算所需资源之外的冗余资源确定雾节点对应的威胁探测能力，之后基于雾节点对应的威胁探测能力、以及雾节点相关联的边缘节点组中每一边缘节点原本被配置的业务计算所需资源之外的冗余资源，确定本雾节点相关联的边缘节点组中每一边缘节点的威胁探测能力；最后基于边缘节点的威胁探测能力探测该边缘节点是否为恶意节点，其这种借助冗余资源来探测的方式不管是对雾节点还是对边缘节点，带来的压力很低，相当于实现了轻量级的威胁探测，同时也能保证雾节点、边缘节点原本的业务计算，具备可扩展性；

进一步地，本实施例中，本雾节点相关联的边缘节点组是动态的，其会因为边缘节点基于本身的移动特性而动态变化，实现了移动的边缘节点的威胁探测；

再进一步地，本实施例中，云节点（也称云端）在不确定物联网（具体是不确定是否存在恶意节点的物联网中）的环境中，对各雾节点进行威胁判定以确定出可信雾节点，这相当于基于模糊逻辑实现了可信雾节点的确定，再结合上文的雾节点与云节点（也称云端）相互协同来探测边缘节点是否为恶意节点的方式，以及上述的轻量级的威胁探测描述，最终实现了基于模糊逻辑的物联网威胁轻量协同探测。

附图说明

图1是本申请实施例提供的方法流程图；

图2是本申请实施例提供的雾节点的目标信任值确定流程图；

图3是本申请实施例提供的系统结构图；

图4是本申请实施例提供的装置结构图；

图5是本申请实施例示出的电子设备结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

参见图1，图1为本申请实施例提供的方法流程图。作为一个实施例，该流程可应用于雾节点。在物联网应用中，这里的雾节点处于云端和边缘节点之间，为边缘节点和云端架起一座桥梁。相比云端，雾节点更接近终端设备侧（记为边缘节点），其近距离为终端设备提供计算、存储以及网络等服务。

在具体实现时，相比云端可以提供强大的集中计算和资源存储能力，雾节点提供有限的计算能力、存储能力。在应用中，雾节点相当于一个小型的云端服务器。

如图1所示，该流程可包括以下步骤：

步骤101，在本雾节点被云端确定为可信雾节点的前提下，确定本雾节点相关联的边缘节点组。

在具体应用中，恶意节点有时表现正常，以欺骗邻居节点来规避检测；有时表现异常，以攻击邻居节点。也即，恶意节点（也称攻击者）的行为表现出不确定性或不规则性。在此前提下，在不确定物联网（具体是不确定是否存在恶意节点的物联网中）的环境中，云端对物联网进行安全检测监控以识别出可信雾节点，这相当于使用模糊逻辑在恶意节点不确定的物联网中构建信任管理机制来识别出可信雾节点。下文会举例描述云端如何识别出可信雾节点，这里暂不赘述。

当云端识别出可信雾节点后，作为一个实施例，云端会触发可信雾节点构建相关联的边缘节点组（也称局部异常检测群组），以最终实现本步骤101描述的确定本雾节点相关联的边缘节点组。在本实施例中，边缘节点组包括至少一个待进行威胁探测的边缘节点，当然，其也可囊括本可信雾节点。

在物联网环境中，有的雾节点是静止的，有的雾节点是可移动的（也即具有移动性），比如无人机等。同样，对于边缘节点，有的边缘节点是静止的，有的便于节点是可移动的（也即具有移动性），比如机器人等。在此前提下，假若一边缘节点具有移动特性，则当该边缘节点基于自身的移动特性进行移动后满足至少两个不同雾节点对应的边缘节点组创建条件，则该边缘节点处于该至少两个不同雾节点相关联的边缘节点组中。当然，当该边缘节点基于自身的移动特性进行移动后仅满足一个雾节点对应的边缘节点组创建条件，则该边缘节点处于该一个雾节点相关联的边缘节点组中。也即，在本实施例中，同一边缘节点在某一时间点可以仅属于一个边缘节点组，也可以同时属于多个边缘节点组。

在本实施例中，任一雾节点对应的边缘节点组创建条件是指如何为该雾节点选择相关联的边缘节点组中成员（比如边缘节点）的条件。比如，本雾节点对应的边缘节点组创建条件包括指定网络域、和/或、与本雾节点的跳数为设定跳数；则上述依据本雾节点对应的边缘节点组创建条件创建本雾节点相关联的边缘节点组包括：依据本雾节点对应的边缘节点组创建条件，确定满足本雾节点对应的边缘节点组创建条件的边缘节点，将满足本雾节点对应的边缘节点组创建条件的各边缘节点组织至本雾节点相关联的边缘节点组。

比如，以指定网络域为同一局域网为例，则本雾节点可选择与本雾节点处于同一局域网的各边缘节点，将该各边缘节点组织至本雾节点相关联的边缘节点组中。

再比如，以指定网络域为指定距离范围比如100米内为例，则本雾节点可选择距离本雾节点在指定距离范围比如100米内的各边缘节点，将该各边缘节点组织至本雾节点相关联的边缘节点组中。

需要说明的是，以上只是举例描述边缘节点组创建条件，并非用于限定。

作为另一个实施例，本实施例也可由云端按照上述创建边缘节点组的方式为雾节点创建相关联的边缘节点组，以最终实现步骤101描述的确定本雾节点相关联的边缘节点组。

步骤102，获得本雾节点对应的威胁探测能力。

在本实施例中，本雾节点对应的威胁探测能力是通过与云端交互从云端获得的，其具体是由云端基于本雾节点原本被配置的业务计算所需资源之外的冗余资源确定的。这里，本雾节点原本被配置的业务计算所需资源，预先被设置好，也称业务资源。对应地，上述冗余资源是指除该预先设置的业务资源之外的资源比如存储资源、计算资源、CPU资源等，本实施例并不具体限定。

可选地，在本实施例中，本雾节点对应的威胁探测能力至少包括：本雾节点待采用的至少一种威胁探测方式；任一威胁探测方式在被采用进行威胁探测时要求有对应的资源支持，本雾节点的冗余资源满足本雾节点待采用的各种威胁探测方式所要求的资源。比如，假若本雾节点的冗余资源满足端口探测所需的资源（比如交换端口所需的资源、成功传输端口探测包所需的资源等）、操作系统探测所需的资源（比如交换操作系统所需的资源、成功传输操作系统探测包所需的资源等），则可确定本雾节点待采用的威胁探测方式包括端口探测方式、操作系统探测方式。

步骤103，基于本雾节点对应的威胁探测能力、以及本雾节点相关联的边缘节点组中每一边缘节点原本被配置的业务计算所需资源之外的冗余资源，确定本雾节点相关联的边缘节点组中每一边缘节点的威胁探测能力。

具体地，在本实施例中，本雾节点相关联的边缘节点组中每一边缘节点原本被配置的业务计算所需资源之外的冗余资源可预先配置或外部输入至本雾节点，也可由本雾节点动态获得。

比如，本雾节点动态获得相关联的边缘节点组中每一边缘节点原本被配置的业务计算所需资源之外的冗余资源可包括：对于相关联的边缘节点组中每一边缘节点，向该边缘节点发送冗余资源测试数据包。示例性地，在本实施例中，冗余资源测试数据包的数量可以为一个，也可以为多个，本申请实施例并不具体限定；之后，依据该边缘节点基于每一次冗余资源测试数据包所反馈的冗余资源响应数据包的时间确定该边缘节点的冗余资源，比如将各时间以及冗余资源测试数据包的传输次数映射出对应的资源以得到冗余资源；或者，作为另一个实施例，直接依据该边缘节点基于冗余资源测试数据包所反馈的冗余资源响应数据包携带的冗余资源，确定该边缘节点的冗余资源。以上只是举例描述如何本雾节点如何动态获得相关联的边缘节点组中每一边缘节点原本被配置的业务计算所需资源之外的冗余资源，并非用于限定。

在本实施例中，当本雾节点获得相关联的边缘节点组中每一边缘节点原本被配置的业务计算所需资源之外的冗余资源后，其即可基于本雾节点对应的威胁探测能力、以及本雾节点相关联的边缘节点组中每一边缘节点原本被配置的业务计算所需资源之外的冗余资源，确定本雾节点相关联的边缘节点组中每一边缘节点的威胁探测能力。

比如，针对本雾节点待采用的每一种威胁探测方式，执行以下步骤：针对本雾节点相关联的边缘节点组中每一边缘节点，检查该边缘节点的冗余资源是否满足该威胁探测方式所要求的资源，如果是，确定该边缘节点的威胁探测能力为支持该威胁探测方式；任一该边缘节点的威胁探测能力为支持一威胁探测方式时，表示采用该支持的威胁探测方式对该边缘节点进行威胁探测。

可以看出，在本实施例中，本雾节点相关联的边缘节点组中每一边缘节点的威胁探测能力，与本雾节点的威胁探测能力相同或者为本雾节点的威胁探测能力的子集。任一边缘节点的威胁探测能力可包括该边缘节点支持的至少一种威胁探测方式。任一威胁探测方式在被采用进行威胁探测时要求有对应的资源支持，边缘节点的冗余资源满足本节点支持的威胁探测方式所要求的资源。

步骤104，针对本雾节点相关联的边缘节点组中每一边缘节点，在当前探测时间段按照该边缘节点的威胁探测能力，向该边缘节点发送威胁探测包；按照在当前探测时间段内向该边缘节点发送威胁探测包之后收到的威胁探测响应包的情况，确定该边缘节点是否为恶意节点。

可选地，在本实施例中，上述在当前探测时间段内向该边缘节点发送威胁探测包之后收到的威胁探测响应包的情况至少包括：

当前探测时间段向该边缘节点发送威胁探测包之后未收到威胁探测响应包、或者，

当前探测时间段向该边缘节点发送威胁探测包之后收到的威胁探测响应包的数据包长度、和/或当前探测时间段发送的威胁探测包的数量和收到的威胁探测响应包的数量、和/或基于当前探测时间段向该边缘节点发送的威胁探测包的丢包率、和/或收到的威胁探测响应包携带的探测属性。探测属性在下文会有描述，这里暂不赘述。

在本实施例中，假若当前探测时间段向该边缘节点发送至少一个威胁探测包之后并未收到威胁探测响应包，则说明此时该边缘节点可能资源已被用尽，其已被攻击，此时可直接认为该边缘节点为恶意节点。

假若当前探测时间段向该边缘节点发送至少一个威胁探测包之后会收到威胁探测响应包，假若威胁探测响应包的数据包长度大于通常的长度（也即指定长度阈值），此时直接认为该边缘节点为恶意节点。原因是：经过多次实践发现，恶意节点（也称攻击者）其一般会攻击指挥控制中心，并且在攻击时，发送的数据包的长度比较大。借鉴于该特点，故本实施例在发现该边缘节点返回的威胁探测响应包的数据包长度大于指定长度阈值时，确定该边缘节点为恶意节点。

另外，在本实施例中，经过实践发现，恶意节点在攻击时常会发送很多数据包，或者为达到恶意欺骗不发送数据包，借鉴于此，本实施例还可基于当前探测时间段发送的威胁探测包的数量和收到的威胁探测响应包的数量，确定该边缘节点是否为恶意节点。比如，当前探测时间段向该边缘节点发送的威胁探测包与收到的该边缘节点返回的威胁探测响应包的数据包比不满足设定数据包比要求（比如数据包比非常小，小于第一设定阈值，或者，数据包比非常大，大于第二设定阈值等），则确定该边缘节点为恶意节点。这里，第一设定阈值、第二设定阈值是基于正常流量的特点设置的。

另外，在本实施例中，在发送威胁探测包后还可能会存在丢包的可能，此时，本步骤104也可基于当前探测时间段向该边缘节点发送的威胁探测包探测到的丢包率确定该边缘节点是否为恶意节点。比如，基于当前探测时间段向该边缘节点发送的威胁探测包探测到的丢包率不满足丢包率要求，则确定该边缘节点为恶意节点。这里，丢包率要求可根据实际需求设置，本实施例并不具体限定。

另外，在本实施例中，还可基于威胁探测响应包携带的探测属性确定该边缘节点是否为恶意节点。比如，基于威胁探测响应包携带的探测属性确定不满足属性要求，则确定该边缘节点为恶意节点。

在具体实现时，若上述探测属性为：基于当前探测时间段向该边缘节点发送的威胁探测包探测到该边缘节点已访问的目标设备的设备标识，则探测属性确定不满足属性要求是指：对各目标设备的设备标识进行设定处理得到处理结果，所述处理结果不满足设定结果要求。以设备标识为设备序列号为例，这里，设定处理比如为计算设备序列号平均值，处理结果不满足设定结果要求是指设备序列号平均值不满足设定平均值。

作为一个实施例，若上述探测属性为：该边缘节点的内部相似度和/或外部相似度，则探测属性确定不满足属性要求是指：内部相似度和/或外部相似度不满足对应的相似度要求。

作为一个实施例，内部相似度表示该边缘节点支持的物联网协议与目标协议组之间的相似度；这里，目标协议组由各威胁探测包所采用的物联网协议组成。比如，边缘节点原本被部署使用TCP提供传输层服务，此时威胁探测包所采用的物联网协议至少有TCP，而当该边缘节点返回的威胁探测响应包所采用的协议不为TCP，依次类推，若发现该边缘节点支持的物联网协议均不在目标协议组中，则可认为内部相似度为设定值比如0，一旦内部相似度为设定值比如0，则认为内部相似度不满足该内部相似度对应的相似度要求。当然，若内部相似度为其它值（比如低于设定内部相似度阈值），也会认为内部相似度不满足该内部相似度对应的相似度要求。

作为一个实施例，上述外部相似度表示该边缘节点开启的端口与目标端口组之间的相似度。这里，目标端口组由该物联网设备被允许开启的符合要求的外部端口组成。比如，边缘节点在物联网中，原本应开启端口55，结果经过探测发现该边缘节点开启端口40，依次类推，若发现该边缘节点开启的端口均不在目标端口组中，则可认为外部相似度为设定值比如0，一旦外部相似度为设定值比如0，则认为外部相似度不满足该外部相似度对应的相似度要求。当然，若外部相似度为其它值（比如低于设定外部相似度阈值），也会认为外部相似度不满足该外部相似度对应的相似度要求。

作为一个实施例，若上述探测属性为：该边缘节点的信噪比，探测属性确定不满足属性要求是指：信噪比不满足信噪比要求。这里，信噪比要求可根据实际需求设置，本实施例并不具体限定。可选地，作为一个实施例，在本实施例中，该边缘节点的信噪比是指该边缘节点执行的除该边缘节点被允许执行的操作（合法操作）之外的其它操作（非合法操作）的数量与该合法操作的数量的比例。

需要说明的是，在本实施例中，上述虽然可以确定边缘节点为恶意节点，但并不确定该边缘节点被执行了何种攻击，相当于该被确定为恶意节点的边缘节点被进行了未知攻击，其也可称为未知攻击节点。

至此，完成图1所示流程。

通过图1所示流程可以看出，本实施例中，雾节点与云端（也称云节点）相互协同比如由云端先确定雾节点为可信雾节点后触发雾节点开启探测边缘节点是否为恶意节点，以及雾节点在开启探测边缘节点是否为恶意节点的过程中，与云端交互以获得本雾节点对应的威胁探测能力等，而基于这种雾节点与云节点（也称云端）相互协同来探测边缘节点是否为恶意节点的方式，能够及时探测出物联网设备是否被攻击，避免物联网设备被攻击引起的安全风险。

下面对云端如何确定雾节点的目标信任值进行描述：

参见图2，图2为本申请实施例提供的雾节点的目标信任值的确定流程图。如图2所示，该流程可包括以下步骤：

步骤201，确定雾节点的直接信任值、间接信任值以及历史信任值。

在本实施例中，雾节点的直接信任值根据当前设定时间段内本雾节点与云端进行交互的数据行为确定。比如，预设任一雾节点的直接信任值为初始值比如50，每当当前设定时间段内出现一次符合第一异常条件的异常数据行为时，该雾节点的直接信任值减少设定值比如1，而当当前设定时间段内出现一次符合第一正常条件的正常数据行为时，该雾节点的直接信任值增加设定值比如1；依次类推，最终会基于当前设定时间段内本雾节点与云端进行交互的数据行为，最终确定出雾节点的直接信任值。在本实施例中，第一异常条件、第一正常条件可根据雾节点之间交互的情况设置，本实施例并不具体限定。

在本实施例中，雾节点的间接信任值根据当前设定时间段内本雾节点与其它雾节点、以及本雾节点与各边缘节点之间交互的数据行为确定。比如，预设任一雾节点的间接信任值为初始值比如50，每当当前设定时间段内出现一次符合第二异常条件的异常数据行为时，该雾节点的间接信任值减少设定值比如1，而当当前设定时间段内出现一次符合第二正常条件的正常数据行为时，该雾节点的间接信任值增加设定值比如1；依次类推，最终会基于当前设定时间段内本雾节点与其它雾节点、以及本雾节点与各边缘节点之间交互的数据行为，最终确定出雾节点的间接信任值。在本实施例中，第二异常条件、第二正常条件可根据雾节点与其它雾节点、以及本雾节点与各边缘节点之间交互的情况设置，本实施例并不具体限定。

在本实施例中，雾节点的历史信任值是指本雾节点在历史设定时间段内的数据行为确定，这里的历史时间段可为距离当前设定时间段最近的历史时间段。历史时间段的时长与当前设定时间段的时长相同或不同，本申请实施例并不具体限定。

可选地，在本实施例中，历史设定时间段内的数据行为可包括：历史设定时间段内本雾节点与云端进行交互的数据行为；和/或，本雾节点与其它雾节点、以及本雾节点与各边缘节点之间交互的数据行为确定。假若历史设定时间段内的数据行为为历史设定时间段内本雾节点与云端进行交互的数据行为，则雾节点的历史信任值为该历史设定时间段内该雾节点的直接信任值，假若历史设定时间段内的数据行为为历史设定时间段内本雾节点与其它雾节点、以及本雾节点与各边缘节点之间交互的数据行为，则雾节点的历史信任值为该历史设定时间段内该雾节点的间接信任值；假若历史设定时间段内的数据行为为历史设定时间段内本雾节点与云端进行交互的数据行为；以及本雾节点与其它雾节点、以及本雾节点与各边缘节点之间交互的数据行为，则雾节点的历史信任值依据历史设定时间段内该雾节点的直接信任值和间接信任值确定，比如，直接信任值和间接信任值求平均或者加权计算等，本实施例并不具体限定。

步骤202，依据雾节点的直接信任值、间接信任值以及历史信任值，确定雾节点的目标信任值。

示例性地，在本实施例中，依据该雾节点的直接信任值、间接信任值以及历史信任值确定该雾节点的目标信任值可以有很多方式，例如，为直接信任值、间接信任值以及过去信任值均设置一个权重（例如，直接信任值的权重设置为0.5、间接信任值的权重设置为0.3以及历史信任值的权重设置为0.2），利用加权平均方法依据该雾节点的直接信任值、间接信任值以及历史信任值确定该雾节点的目标信任值。上述0.5、0.3、0.2均为举例，并不用于限定本申请。可选地，在本实施例中，可按照以下原则设置上述权重：如果雾节点的直接信任值低、间接信任值低、历史信任值低，那么雾节点的目标信任值是低的（此时可设置雾节点的标签是恶意的），如果雾节点的直接信任值较高而间接信任值低、历史信任值低，那么雾节点的目标信任值也是低的（此时可设置雾节点的标签是恶意的）。

至此，完成图2所示流程。

通过图2所示流程最终实现了如何确定雾节点的目标信任值。

在确定出雾节点的目标信任值后，可基于各个雾节点的目标信任值从各个雾节点中确定出至少一个可信雾节点。

示例性地，在本实施例中，本步骤基于各个雾节点的目标信任值从各个雾节点中确定出至少一个可信雾节点有很多方式，例如，将目标信任值大于指定信任值（例如，70）的雾节点作为可信雾节点，再例如，对各个雾节点的目标信任值从大到小进行排序，依据排序结果选择前指定数量（例如，5）的雾节点作为可信雾节点，本申请实施例并不具体限定。

需要说明的是，上述指定信任值和指定数量均为举例，不用于限定本申请。

以上对本申请实施例提供的方法进行了描述，下面对本申请实施例提供的系统进行描述：

参见图3，图3为本申请实施例提供的系统结构图。所述系统包括：云端、至少一个雾节点、至少一个边缘节点。

所述云端，确定各雾节点的信任值，在依据任一雾节点的信任值确定出该雾节点为可信雾节点的前提下，向雾节点发送通知；

对应地，本实施例还提供了应用于图1所示流程的装置结构图。参见图4，图4为本申请实施例提供的装置结构图。所述装置应用于雾节点。如图4所示，该装置可包括：

获得单元，用于获得本雾节点对应的威胁探测能力；所述威胁探测能力是由云端基于本雾节点原本被配置的业务计算之外的冗余资源确定的；

可选地，本雾节点对应的边缘节点组创建条件包括指定网络域、和/或、与本雾节点的跳数为设定跳数；所述依据本雾节点对应的边缘节点组创建条件创建本雾节点相关联的边缘节点组包括：依据本雾节点对应的边缘节点组创建条件，确定满足本雾节点对应的边缘节点组创建条件的边缘节点，将满足本雾节点对应的边缘节点组创建条件的各边缘节点组织至本雾节点相关联的边缘节点组。

其中，本雾节点作为可信雾节点，具有的目标信任值大于或等于设定阈值；本雾节点的目标信任值基于本雾节点的直接信任值、间接信任值以及历史信任值确定；其中，所述直接信任值根据当前设定时间段内本雾节点与云端进行交互的数据行为确定；所述间接信任值根据当前设定时间段内本雾节点与其它雾节点、以及本雾节点与各边缘节点之间交互的数据行为确定；所述历史信任值基于本雾节点在历史设定时间段内的数据行为确定。

其中，所述本雾节点对应的威胁探测能力至少包括：本雾节点待采用的至少一种威胁探测方式；任一威胁探测方式在被采用进行威胁探测时要求有对应的资源支持，本雾节点的冗余资源满足本雾节点待采用的各种威胁探测方式所要求的资源。

所述基于本雾节点对应的威胁探测能力、以及本雾节点相关联的边缘节点组中每一边缘节点原本被配置的业务计算之外的冗余资源，确定本雾节点相关联的边缘节点组中每一边缘节点的威胁探测能力包括：

针对本雾节点待采用的每一种威胁探测方式，执行以下步骤：

针对本雾节点相关联的边缘节点组中每一边缘节点，检查该边缘节点的冗余资源是否满足该威胁探测方式所要求的资源，如果是，确定该边缘节点的威胁探测能力为支持该威胁探测方式；任一该边缘节点的威胁探测能力为支持一威胁探测方式时，表示采用该支持的威胁探测方式对该边缘节点进行威胁探测。

可选地，所述在当前探测时间段内向该边缘节点发送威胁探测包之后收到的威胁探测响应包的情况至少包括：当前探测时间段向该边缘节点发送威胁探测包之后未收到威胁探测响应包、或者，

当前探测时间段向该边缘节点发送威胁探测包之后收到的威胁探测响应包的数据包长度、和/或当前探测时间段发送的威胁探测包的数量和收到的威胁探测响应包的数量、和/或基于当前探测时间段向该边缘节点发送的威胁探测包的丢包率、和/或收到的威胁探测响应包携带的探测属性。

可选地，所述按照在当前探测时间段内向该边缘节点发送威胁探测包之后收到的威胁探测响应包的情况，确定该边缘节点是否为恶意节点包括：若当前探测时间段未收到威胁探测响应包，则确定该边缘节点为恶意节点；或者，

若当前探测时间段收到威胁探测响应包，则：当收到的威胁探测响应包的数据包长度大于指定长度阈值；和/或，当前探测时间段向该边缘节点发送的威胁探测包与收到的该边缘节点返回的威胁探测响应包的数据包比不满足设定数据包比要求；和/或；基于当前探测时间段向该边缘节点发送的威胁探测包探测到的丢包率不满足丢包率要求；和/或；基于威胁探测响应包携带的探测属性确定不满足属性要求，则确定该边缘节点为恶意节点；

可选地，若所述探测属性为：基于当前探测时间段向该边缘节点发送的威胁探测包探测到该边缘节点已访问的目标设备的设备标识，则探测属性确定不满足属性要求是指：对各目标设备的设备标识进行设定处理得到处理结果，所述处理结果不满足设定结果要求；

若所述探测属性为：该边缘节点的内部相似度和/或外部相似度，则探测属性确定不满足属性要求是指：内部相似度和/或外部相似度不满足对应的相似度要求；其中，所述内部相似度表示该边缘节点支持的物联网协议与目标协议组之间的相似度；所述目标协议组由各威胁探测包所采用的物联网协议组成；外部相似度表示该边缘节点开启的端口与目标端口组之间的相似度，所述目标端口组由该物联网设备被允许开启的符合要求的外部端口组成；

若所述探测属性为：该边缘节点的信噪比，探测属性确定不满足属性要求是指：信噪比不满足信噪比要求。

至此，完成图4所示装置的结构描述。

对应地，本申请实施例还提供了图4所示装置的硬件结构图，具体如图5所示，该电子设备可以为上述实施方法的设备。如图5所示，该硬件结构包括：处理器和存储器。

其中，所述存储器，用于存储机器可执行指令；

所述处理器，用于读取并执行所述存储器存储的机器可执行指令，以实现如上所示的所对应的基于模糊逻辑的物联网威胁轻量协同探测的方法实施例。

作为一个实施例，存储器可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，存储器可以是：易失存储器、非易失性存储器或者类似的存储介质。具体地，存储器可以是RAM（Radom Access Memory，随机存取存储器）、闪存、存储驱动器（如硬盘驱动器）、固态硬盘、任何类型的存储盘（如光盘、DVD等），或者类似的存储介质，或者它们的组合。

至此，完成图3所示电子设备的描述。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本说明书的真正范围和精神由下面的权利要求指出。

应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

完整全部详细技术资料下载