一种工业互联网数据异常的检测方法、系统和设备

1.本发明涉及工业互联网安全技术领域，具体为一种工业互联网数据异常的检测方法、系统和设备。


背景技术：

2.在工业发展的浪潮中，互联网安全是影响工业互联网广泛使用的重要因素之一。事实上，工业互联网平台数据的安全性通常很差，很容易成为攻击者的目标。工业互联网是传统工业控制系统和互联网技术的结合，互联网技术在为工控系统提供便利的同时，也打破了传统的工业信息安全防护模式，不可避免地会将互联网自身固有的网络安全风险引入到工业互联网中。相较于传统互联网，工业互联网的特点更加错综复杂，其所涉及的设备种类众多，网点分布更加密集，协议相对较为脆弱，这也导致了更多的安全风险。
3.近年来，工业互联网安全事件屡见不鲜，若工业互联网数据安全可信交换共享综合服务平台遭受异常攻击，则将不仅对工业生产的正常运转产生严重的影响，还可能引发重大的安全事故，对整个工业领域造成巨大的经济损失和严重的社会影响。因此，加强工业互联网安全防护，及时发现和处理网络中的异常行为，对于保障工业互联网的健康运行至关重要。
4.在工业互联网中，由于网络数据的海量、高维、非线性特征提取需求，传统的网络异常行为发现技术已经变得不再适用。这种技术的主要问题是准确率低、误报率高、漏报率高等问题。传统基于规则的检测方法也不再实用，因为需要专业的安全人员对数据进行分析和特征提取，并且无法应对未知的安全风险。此外，专家系统知识库主要依赖于专家认知的变化来不断完善，因此该方法还将受到专家水平的限制，难以适应当前的工业互联网环境。基于统计方法的异常行为发现方法虽然不需要不断更新和维护，但其不能进行实时的异常行为发现，而且在数据量较大的情况下，计算较为复杂，所以耗时较多。虽然现有的异常检测技术可针对部分数据库进行检测，但尚未有能够应对遭到数据攻击等安全风险的有效解检测及解决方案。


技术实现要素：

5.本发明提供了一种工业互联网数据异常的检测方法、系统和设备。
6.本发明技术方案如下：
7.一种工业互联网数据异常的检测方法，包括如下操作：
8.s1获取节点的数据，将所述数据转换为异质图；基于所述异质图，得到拓扑图；
9.s2基于所述拓扑图中的初始特征，经特征处理后，得到聚合特征；平衡所述聚合特征和初始特征的差异性，得到自适应参数；所述自适应参数结合聚合特征和初始特征，得到正常节点特征；
10.s3对比所述正常节点特征与初始特征，得到特征差权重占比；对比所述特征差权重占比与阈值的大小，得到所述节点的异常数据风险等级；
11.s4基于所述异常数据风险等级，更新对应节点的交流权限。
12.如上所述的检测方法，所述s2中得到聚合特征的操作具体为：
13.将所述拓扑图中节点的初始特征，以及邻域节点的特征，进行迭代更新，得到所述聚合特征。
14.如上所述的检测方法，所述s2中得到自适应参数的操作具体为：获取所述聚合特征和初始特征的特征偏差，所述特征偏差结合步长与平衡参数，得到所述自适应参数。
15.如上所述的检测方法，所述s2中得到正常节点特征的操作具体为：基于所述自适应参数，对所述聚合特征和初始特征进行加权处理，得到所述正常节点特征。
16.如上所述的检测方法，所述s3中得到节点的异常数据风险等级的操作具体为：
17.若所述特征差权重占比小于第一阈值，则对应节点的异常数据风险等级为第一风险等级；
18.若所述特征差权重占比不小于第一阈值且不大于第二阈值，则对应节点的异常数据风险等级为第二风险等级；
19.若所述特征差权重占比大于第二阈值且小于第三阈值，则对应节点的异常数据风险等级为第三风险等级；
20.若所述特征差权重占不小于第三阈值，则对应节点的异常数据风险等级为第四风险等级。
21.其中，若所述节点的异常数据风险等级为第一风险等级，开放对应节点的全部交流权限；
22.若所述节点的异常数据风险等级为第二风险等级，对应节点仅能和第一风险等级的节点进行交流；
23.若所述节点的异常数据风险等级为第三风险等级，延迟对应节点进入工业互联网的时间，并在预设周期内将所述对应节点进行多次检测；
24.若所述节点的异常数据风险等级为第四风险等级，将对应节点从工业互联网中剔除。
25.如上所述的检测方法，所述s1中将数据转换为异质图的操作之前，还包括对所述数据进行预处理，所述预处理包括对数据依次进行数值化、标准化、归一化和标签化。
26.一种工业互联网数据异常的检测系统，包括：
27.拓扑图生成模块，用于获取节点的数据，将所述数据转换为异质图；基于所述异质图，得到拓扑图；
28.正常节点特征生成模块，用于基于所述拓扑图中的初始特征，经特征处理后，得到聚合特征；平衡所述聚合特征和初始特征的差异性，得到自适应参数；所述自适应参数结合聚合特征和初始特征，得到正常节点特征；
29.异常数据风险等级生成模块，用于对比所述正常节点特征与初始特征，得到特征差权重占比；对比所述特征差权重占比与阈值的大小，得到所述节点的异常数据风险等级；
30.交流权限更新模块，用于基于所述异常数据风险等级，更新对应节点的交流权限。
31.一种基于区块链的工业互联网平台运行设备，包括处理器和存储器，其中，所述处理器执行所述存储器中保存的计算机程序时实现上述的一种工业互联网数据异常的检测方法。
32.一种计算机可读存储介质，用于存储计算机程序，其中，所述计算机程序被处理器执行时实现上述的一种工业互联网数据异常的检测方法。
33.本发明的有益效果在于：
34.本发明提供一种工业互联网数据异常的检测系统，从工业互联网中获取节点数据，将节点数据转化为拓扑图，并将从拓扑图中提取的初始特征进行聚合处理，获得关联性强的聚合特征，同时为避免聚合特征过度关联，基于聚合特征和初始特征的特征偏差，得到自适应参数，并使用自适应参数对聚合特征和初始特征进行加权处理，得到表达性能更好，关联性更强的正常节点特征，通过对比正常节点特征与初始特征的关联性强弱，得到能够反应节点中异常数据含量的特征差权重占比，根据特征差权重占比，获得对应节点不同的风险等级，工业互联网平台立即作出不同交流权限处理，以维持工业互联网的安全。
附图说明
35.通过阅读下文优选实施方式的详细描述，本技术的方案和优点对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。
36.在附图中：
37.图1为实施例中检测方法的流程示意图；
38.图2为实施例中检测系统的结构示意图；
39.图3为实施例中检测设备的结构示意图。
具体实施方式
40.下面将结合附图更详细地描述本公开的示例性实施方式。
41.本实施例提供一种工业互联网数据异常的检测方法，参见图1，包括如下操作：
42.s1获取节点的数据，将所述数据转换为异质图；基于所述异质图，得到拓扑图；
43.s2基于所述拓扑图中的初始特征，经特征处理后，得到聚合特征；平衡所述聚合特征和初始特征的差异性，得到自适应参数；所述自适应参数结合聚合特征和初始特征，得到正常节点特征；
44.s3对比所述正常节点特征与初始特征，得到特征差权重占比；对比所述特征差权重占比与阈值的大小，得到所述节点的异常数据风险等级；
45.s4基于所述异常数据风险等级，更新对应节点的交流权限。
46.s1获取节点的数据，将数据转换为异质图；基于异质图，得到拓扑图。
47.从公开的工业互联网平台获取节点的数据，图构建处理数据得到异质图，将异质图经数据映射转换成拓扑图。通过转换成能够让神经网络模型识别的拓扑图，在保证数据信息不丢失的情况下，便于数据处理，提高计算效率。
48.异质图采用g表示，g＝(v,e)，v表示异质图中的节点集合，节点集合v中的节点包括正常特征的节点和异常特征的节点，e表示异质图中节点之间所形成的边集合。
49.嵌入处理的操作之前还包括对节点的数据进行预处理，预处理包括对节点的数据依次进行数值化、标准化、归一化和标签化。依次数值化、标准化、归一化后使得数据便于处理，提高计算效率，标签化后的数据可以有效地描述业务实体数据形式，例如可以清楚描述
含有文本，图像，音频等特征的正常数据和异常数据。
50.s2基于拓扑图中的初始特征，经特征处理后，得到聚合特征；平衡聚合特征和初始特征的差异性，得到自适应参数；自适应参数结合聚合特征和初始特征，得到正常节点特征。
51.得到聚合特征的操作具体为：将拓扑图中节点的初始特征，以及邻域节点的特征，进行迭代更新，得到聚合特征。
52.具体公式为：
[0053][0054]
为聚合特征，为初始特征，为节点i的领域节点特征，update
l
(
·
)为迭代更新函数，l为聚合层层数。在工业互联网平台中，节点中异常特征占比通常较小，使得节点的正常特征具有关联性强的特点，所以节点的正常特征越多，与其他节点之间存在的边数越多，关联性越强，通过多次迭代的方式，聚合邻域节点特征，使得节点的正常特征具有更好的相关性，会保持高度异质性，利用这一特性，能够精准的去识别节点的异常数据含量。
[0055]
由于特征聚合能够有助于在异常特征环境下提高正常特征聚合的性能，但是若在增加模型层数，预想提升训练精度的情况下，特征聚合将会性能很差；而残差连接通过层数的增加能够有效的提高正常特征的性能，避免由于层数过多特征聚合性能下降的弊端，但是异常特征的存在容易降低残差连接的性能，为降低聚合层与残差层相互关联时的差异性，避免聚合特征过度关联，对聚合特征和初始特征进行平衡，得到既不减弱节点中异常特征显示能力，又能提升正常特征关联性的自适应参数。
[0056]
得到自适应参数的操作具体为：获取聚合特征和初始特征的特征偏差，特征偏差结合步长与平衡参数，得到自适应参数。
[0057]
具体公式为：
[0058][0059]
εi为自适应参数，δ为步长，γ为平衡参数，γ∈[0,1]，为聚合特征，(x
in
)i为初始特征，为特征偏差。利用平衡参数，防止聚合特征和初始特征之间的差异性过大，防止聚合特征中正常特征关联性过强，影响结果的准确性。
[0060]
得到正常节点特征的操作具体为：基于自适应参数，对聚合特征和初始特征进行加权处理，得到正常节点特征。
[0061]
具体公式为：
[0062][0063]
x'i为平衡掉工业互联网异常数据表达后的正常节点特征，εi为自适应参数，(x
in
)i为初始特征，为聚合特征，i为节点。采用输入特征和聚合特征的线性组合，基于节点残差自适应参数，加权节点特征，根据图结构数据的同质性假设，正常特征的特征表示应该比异常特征更符合局部邻居的特征表示，因此将分配更多的残差，由此可以得到表达性能
更好，关联性更强的正常节点特征。
[0064]
上述节点的特征是使用图嵌入的操作从拓扑图中提取得到的，通过图嵌入将拓扑图中的节点映射到低维向量空间，保留节点之间的关系和相似性，便于处理结果的准确性。
[0065]
s3对比正常节点特征与初始特征，得到特征差权重占比；对比特征差权重占比与阈值的大小，得到节点的异常数据风险等级。
[0066]
将正常节点特征与初始特征中的正常特征进行对比，得到特征差，计算特征差占初始特征的比重，得到特征差权重占比。特征差越大，表明初始特征中的正常特征与正常节点特征之间的差异越大，表明初始特征中的正常特征关联性强度低，异常数据较多，危险工业互联网安全的可能性越大。
[0067]
对比特征差权重占比与阈值的大小，得到节点的异常数据风险等级，具体为：
[0068]
若特征差权重占比小于第一阈值，则对应节点的异常数据风险等级为第一风险等级；
[0069]
若特征差权重占比不小于第一阈值且不大于第二阈值，则对应节点的异常数据风险等级为第二风险等级；
[0070]
若特征差权重占比大于第二阈值且小于第三阈值，则对应节点的异常数据风险等级为第三风险等级；
[0071]
若特征差权重占不小于第三阈值，则对应节点的异常数据风险等级为第四风险等级。
[0072]
第一阈值为0.2，第二阈值为0.4，第三阈值为0.7，第一风险等级为低风险，第二风险等级为中风险，第三风险等级为中高风险，第四风险等级为高风险。s4基于异常数据风险等级，更新对应节点的交流权限。
[0073]
若节点的异常数据风险等级为第一风险等级，开放对应节点的全部交流权限；
[0074]
若节点的异常数据风险等级为第二风险等级，对应节点仅能和第一风险等级的节点进行交流；
[0075]
若节点的异常数据风险等级为第三风险等级，延迟对应节点进入工业互联网的时间，并在预设周期内将所述对应节点进行多次检测；延迟时间为5min，预设周期为15分钟，检测次数为2次。
[0076]
若节点的异常数据风险等级为第四风险等级，将对应节点从工业互联网中剔除。
[0077]
本实施例提供一种工业互联网数据异常的检测系统，参见图2，包括：
[0078]
拓扑图生成模块，用于获取节点的数据，将数据转换为异质图；基于异质图，得到拓扑图；
[0079]
正常节点特征生成模块，用于基于拓扑图中的初始特征，经特征处理后，得到聚合特征；平衡聚合特征和初始特征的差异性，得到自适应参数；自适应参数结合聚合特征和初始特征，得到正常节点特征；
[0080]
异常数据风险等级生成模块，用于对比正常节点特征与初始特征，得到特征差权重占比；对比特征差权重占比与阈值的大小，得到节点的异常数据风险等级；
[0081]
交流权限更新模块，用于基于异常数据风险等级，更新对应节点的交流权限。
[0082]
本实施例提供一种基于区块链的工业互联网平台运行设备，参见图3，包括处理器和存储器，其中，所述处理器执行所述存储器中保存的计算机程序时实现上述的一种工业
互联网数据异常的检测方法。
[0083]
本实施例提供一种计算机可读存储介质，用于存储计算机程序，其中，所述计算机程序被处理器执行时实现上述的一种工业互联网数据异常的检测方法。
[0084]
本实施例提供一种工业互联网数据异常的检测系统，从工业互联网中获取节点数据，将节点数据转化为拓扑图，并将从拓扑图中提取的初始特征进行聚合处理，获得关联性强的聚合特征，同时为避免聚合特征过度关联，基于聚合特征和初始特征的特征偏差，得到自适应参数，并使用自适应参数对聚合特征和初始特征进行加权处理，得到表达性能更好，关联性更强的正常节点特征，通过对比正常节点特征与初始特征的关联性强弱，得到能够反应节点中异常数据含量的特征差权重占比，根据特征差权重占比，获得对应节点不同的风险等级，工业互联网平台立即作出不同交流权限处理，以维持工业互联网的安全。

技术特征：
1.一种工业互联网数据异常的检测方法，其特征在于，包括如下操作：s1获取节点的数据，将所述数据转换为异质图；基于所述异质图，得到拓扑图；s2基于所述拓扑图中的初始特征，经特征处理后，得到聚合特征；平衡所述聚合特征和初始特征的差异性，得到自适应参数；所述自适应参数结合聚合特征和初始特征，得到正常节点特征；s3对比所述正常节点特征与初始特征，得到特征差权重占比；对比所述特征差权重占比与阈值的大小，得到所述节点的异常数据风险等级；s4基于所述异常数据风险等级，更新对应节点的交流权限。2.根据权利要求1所述的检测方法，其特征在于，所述s2中得到聚合特征的操作具体为：将所述拓扑图中节点的初始特征，以及邻域节点的特征，进行迭代更新，得到所述聚合特征。3.根据权利要求1所述的检测方法，其特征在于，所述s2中得到自适应参数的操作具体为：获取所述聚合特征和初始特征的特征偏差，所述特征偏差结合步长与平衡参数，得到所述自适应参数。4.根据权利要求1所述的检测方法，其特征在于，所述s2中得到正常节点特征的操作具体为：基于所述自适应参数，对所述聚合特征和初始特征进行加权处理，得到所述正常节点特征。5.根据权利要求1所述的检测方法，其特征在于，所述s3中得到节点的异常数据风险等级的操作具体为：若所述特征差权重占比小于第一阈值，则对应节点的异常数据风险等级为第一风险等级；若所述特征差权重占比不小于第一阈值且不大于第二阈值，则对应节点的异常数据风险等级为第二风险等级；若所述特征差权重占比大于第二阈值且小于第三阈值，则对应节点的异常数据风险等级为第三风险等级；若所述特征差权重占不小于第三阈值，则对应节点的异常数据风险等级为第四风险等级。6.根据权利要求5所述的检测方法，其特征在于，若所述节点的异常数据风险等级为第一风险等级，开放对应节点的全部交流权限；若所述节点的异常数据风险等级为第二风险等级，对应节点仅能和第一风险等级的节点进行交流；若所述节点的异常数据风险等级为第三风险等级，延迟对应节点进入工业互联网的时间，并在预设周期内将所述对应节点进行多次检测；若所述节点的异常数据风险等级为第四风险等级，将对应节点从工业互联网中剔除。7.根据权利要求1所述的检测方法，其特征在于，所述s1中将数据转换为异质图的操作之前，还包括对所述数据进行预处理，所述预处理包括对数据依次进行数值化、标准化、归一化和标签化。8.一种工业互联网数据异常的检测系统，其特征在于，包括：
拓扑图生成模块，用于获取节点的数据，将所述数据转换为异质图；基于所述异质图，得到拓扑图；正常节点特征生成模块，用于基于所述拓扑图中的初始特征，经特征处理后，得到聚合特征；平衡所述聚合特征和初始特征的差异性，得到自适应参数；所述自适应参数结合聚合特征和初始特征，得到正常节点特征；异常数据风险等级生成模块，用于对比所述正常节点特征与初始特征，得到特征差权重占比；对比所述特征差权重占比与阈值的大小，得到所述节点的异常数据风险等级；交流权限更新模块，用于基于所述异常数据风险等级，更新对应节点的交流权限。9.一种基于区块链的工业互联网平台运行设备，其特征在于，包括处理器和存储器，其中，所述处理器执行所述存储器中保存的计算机程序时实现所述权利要求1-7中任一项所述的一种工业互联网数据异常的检测方法。10.一种计算机可读存储介质，其特征在于，用于存储计算机程序，其中，所述计算机程序被处理器执行时实现所述权利要求1-7中任一项所述的一种工业互联网数据异常的检测方法。

技术总结
本发明涉及工业互联网安全技术领域，具体为一种工业互联网数据异常的检测方法、系统和设备，从工业互联网中获取节点数据，将节点数据转化为拓扑图，并将从拓扑图中提取的初始特征进行聚合处理，获得关联性强的聚合特征，同时为避免聚合特征过度关联，基于聚合特征和初始特征的特征偏差，得到自适应参数，并使用自适应参数对聚合特征和初始特征进行加权处理，得到表达性能更好，关联性更强的正常节点特征，通过对比正常节点特征与初始特征的关联性强弱，得到能够反应节点中异常数据含量的特征差权重占比，根据特征差权重占比，获得对应节点不同的风险等级，工业互联网平台立即作出不同交流权限处理，以维持工业互联网的安全。以维持工业互联网的安全。以维持工业互联网的安全。


技术研发人员：刘兆伟 赵宗星 王莹洁 徐金东 阎维青 宋永超 赵相福 姜岸佐
受保护的技术使用者：烟台大学
技术研发日：2023.05.31
技术公布日：2023/8/23