基于SDN驱动的集成学习访问控制方法及装置与流程
- 国知局
- 2024-08-02 14:42:47
本申请涉及物联网安全,尤其涉及一种基于sdn(software definednetwork,软件定义网络)驱动的集成学习访问控制方法及装置。
背景技术:
1、物联网(internet of things,简称iot)是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术,实时采集任何需要连接、互动的物体或过程,采集声、光、热、电、力学、化学、生物、位置等信息,通过各类可能的网络接入,实现物与物、物与人的泛在连接,实现对物品和过程的智能化感知、识别和管理。物联网是基于互联网、电信网等信息承载体,让所有能够被独立寻址的普通物理对象形成互联互通的网络。
2、物联网中的所有设备均可以为物联网设备(即物联网终端),物联网设备可以包括智能家居设备(如智能音箱、智能扫地机器人、智能家居网关)、工业智能网关、生命安全设备、车联网设备、ipc(网络摄像机)等。
3、物联网设备可以访问后端设备,即物联网设备向后端设备发送数据流,接收后端设备返回的数据流。然而,在物联网设备访问后端设备时,若物联网设备向后端设备发送攻击数据流,则会对后端设备进行攻击。比如说,获取后端设备的权限、重启后端设备、破坏后端设备的正常运行等。
技术实现思路
1、本申请提供一种基于sdn驱动的集成学习访问控制方法,应用于物联网设备与后端设备之间的可编程网络设备,所述可编程网络设备包括数据平面和控制平面,所述控制平面部署异常访问检测模型,所述方法包括:
2、在通过所述数据平面接收到所述物联网设备发送的数据流之后,确定所述数据平面是否已记录所述数据流的流标识对应的检测类别;
3、若是,且所述检测类别是攻击类别,则通过所述数据平面丢弃所述数据流;若否,则通过所述数据平面将所述数据流发送给所述控制平面;
4、在通过所述控制平面接收到所述数据流之后,将所述数据流输入给所述异常访问检测模型,得到所述数据流对应的检测类别;其中,所述异常访问检测模型包括双向lstm模型和gru模型,且所述双向lstm模型包括前向lstm和后向lstm;其中,获取所述数据流对应的第一特征向量;将所述第一特征向量输入给所述前向lstm,得到第一时序特征,将所述第一特征向量的转置特征向量输入给所述后向lstm,得到第二时序特征,对所述第一时序特征和所述第二时序特征进行并集去重操作得到第三时序特征,基于所述第三时序特征确定第二特征向量;将所述第二特征向量输入给所述gru模型得到第三特征向量;基于所述第三特征向量确定所述数据流对应的检测类别;
5、若所述检测类别是正常类别,则通过所述控制平面向所述数据平面下发第一指令,以使所述数据平面将所述数据流转发给所述后端设备;
6、若所述检测类别是攻击类别,则通过所述控制平面向所述数据平面下发第二指令,所述第二指令包括所述数据流的流标识和攻击类别,以使所述数据平面丢弃所述数据流,记录所述数据流的流标识与攻击类别的映射关系;其中,攻击类别的数据流能够对所述后端设备进行攻击。
7、本申请提供一种基于sdn驱动的集成学习访问控制装置,应用于物联网设备与后端设备之间的可编程网络设备,所述可编程网络设备包括数据平面和控制平面,所述控制平面部署异常访问检测模型,所述装置包括:
8、数据平面管理模块,用于在通过所述数据平面接收到所述物联网设备发送的数据流之后,确定所述数据平面是否已记录所述数据流的流标识对应的检测类别;若是,且所述检测类别是攻击类别,则通过所述数据平面丢弃所述数据流;若否,则通过所述数据平面将所述数据流发送给所述控制平面;
9、控制平面管理模块,用于在通过所述控制平面接收到所述数据流之后,将所述数据流输入给所述异常访问检测模型,得到所述数据流对应的检测类别;其中,所述异常访问检测模型包括双向lstm模型和gru模型,所述双向lstm模型包括前向lstm和后向lstm;其中,获取所述数据流对应的第一特征向量;将所述第一特征向量输入给所述前向lstm,得到第一时序特征,将所述第一特征向量的转置特征向量输入给所述后向lstm,得到第二时序特征,对所述第一时序特征和所述第二时序特征进行并集去重操作得到第三时序特征,基于所述第三时序特征确定第二特征向量;将所述第二特征向量输入给所述gru模型得到第三特征向量;基于所述第三特征向量确定所述数据流对应的检测类别;
10、控制平面管理模块,用于若所述检测类别是正常类别,则通过所述控制平面向所述数据平面下发第一指令;若所述检测类别是攻击类别,则通过所述控制平面向所述数据平面下发第二指令,所述第二指令包括所述数据流的流标识和攻击类别;其中,攻击类别的数据流能够对所述后端设备进行攻击;
11、数据平面管理模块,用于在接收到所述第一指令时,通过所述数据平面将所述数据流转发给所述后端设备;或者,在接收到所述第二指令时,通过所述数据平面丢弃所述数据流,记录所述数据流的流标识与攻击类别的映射关系。
12、由以上技术方案可见,本申请实施例中,可以在物联网设备与后端设备之间的可编程网络设备部署异常访问检测模型,可编程网络设备是支持sdn驱动的网络设备,基于sdn驱动功能,能够在可编程网络设备的控制平面部署异常访问检测模型。这样,针对物联网设备向后端设备发送的数据流,可以基于异常访问检测模型对数据流进行检测,以确定数据流是否为攻击数据流。若数据流是攻击数据流,则丢弃数据流,禁止将数据流转发给后端设备,从而避免对后端设备进行攻击。通过异常访问检测模型确定数据流是否为攻击数据流,能够在有效检测物联网设备非法访问接入的同时,进一步提升检测进度。
技术特征:1.一种基于sdn驱动的集成学习访问控制方法,其特征在于,应用于物联网设备与后端设备之间的可编程网络设备,所述可编程网络设备包括数据平面和控制平面,所述控制平面部署异常访问检测模型,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述确定所述数据平面是否已记录所述数据流的流标识对应的检测类别之后,所述方法还包括:若是,且所述检测类别是探测类别,则通过所述数据平面将所述数据流发送给所述控制平面;其中,探测类别的数据流能够收集所述后端设备的设备信息;
3.根据权利要求1所述的方法,其特征在于,
4.根据权利要求1所述的方法,其特征在于,所述确定所述数据平面是否已记录所述数据流的流标识对应的检测类别之前,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,
7.根据权利要求1所述的方法,其特征在于,所述双向lstm模型包括k个blstm层,k为大于1的正整数,每个blstm层包括一个前向lstm和一个后向lstm,所述将所述第一特征向量输入给所述前向lstm,得到第一时序特征,将所述第一特征向量的转置特征向量输入给所述后向lstm,得到第二时序特征,对所述第一时序特征和所述第二时序特征进行并集去重操作得到第三时序特征,基于所述第三时序特征确定第二特征向量,包括:
8.一种基于sdn驱动的集成学习访问控制装置,其特征在于,应用于物联网设备与后端设备之间的可编程网络设备,所述可编程网络设备包括数据平面和控制平面,所述控制平面部署异常访问检测模型,所述装置包括:
9.根据权利要求8所述的装置,其特征在于,所述数据平面管理模块,还用于在确定所述数据平面是否已记录所述数据流的流标识对应的检测类别之后,若是,且所述检测类别是探测类别,则通过所述数据平面将所述数据流发送给所述控制平面;其中,探测类别的数据流能够收集后端设备的设备信息;
10.根据权利要求8或9所述的装置,其特征在于,所述双向lstm模型包括k个blstm层,k为大于1的正整数,每个blstm层包括一个前向lstm和一个后向lstm,所述控制平面管理模块,还用于:
技术总结本申请提供一种基于SDN驱动的集成学习访问控制方法及装置,该方法包括:在通过数据平面接收到数据流后,确定数据平面是否已记录数据流的流标识对应的检测类别;若是,且检测类别是攻击类别,通过数据平面丢弃数据流;若否,通过数据平面将数据流发送给控制平面;在通过控制平面接收到数据流后,将数据流输入给异常访问检测模型得到数据流对应的检测类别;若检测类别是正常类别,通过控制平面向数据平面下发第一指令,以使数据平面将数据流转发给后端设备;若检测类别是攻击类别,通过控制平面向数据平面下发第二指令,第二指令包括数据流的流标识和攻击类别,以使数据平面丢弃数据流。通过本申请的技术方案,能够避免对后端设备进行攻击。技术研发人员:王滨,周少鹏,王旭,毕志城,朱伟康,张峰受保护的技术使用者:杭州海康威视数字技术股份有限公司技术研发日:技术公布日:2024/7/29本文地址:https://www.jishuxx.com/zhuanli/20240801/243723.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 YYfuon@163.com 举报,一经查实,本站将立刻删除。
下一篇
返回列表