一种成熟检测器集生成方法、入侵检测方法及装置制造方法及图纸

本发明专利技术实施例提供一种成熟检测器集生成方法、入侵检测方法及装置，应用于物联网感知层的入侵检测系统。所述方法包括：建立自体数据集；随机生成多个二进制字符串，多个随机生成的二进制字符串构成未成熟检测器集；根据第一预设规则，将未成熟检测器集中的每个二进制字符串分别与自体数据集中的每个二进制字符串进行匹配，若当前处理的未成熟检测器集中的二进制字符串与自体数据集中的任何一个二进制字符串均不匹配，则将其加入到成熟检测器集中，直至成熟检测器集中的二进制字符串个数达到预设阈值为止。当预设阈值设置合理时，所述方法可以检测到绝大多数新的未知的入侵行为，同时有效的避免了传统方法中建立准确的入侵模式的困难。

Mature detector set generation method, intrusion detection method and device

The embodiment of the invention provides a mature detector set generation method, an intrusion detection method and an apparatus, and is applied to the intrusion detection system of the Internet of things perception layer. The method includes: establishing autologous data set; randomly generated multiple binary strings, a plurality of randomly generated binary string composed of immature detector set; according to the first preset rules, each binary string of immature detector set respectively with each binary string matching data set with a binary string, if any current centralized immature detector the binary string and auto data set does not match, it will add to the mature detector set, until the mature detector set two hexadecimal string number reaches a preset threshold. When the default threshold setting is reasonable, the method can detect most new unknown intrusions, and effectively avoids the difficulties of establishing accurate intrusion patterns in traditional methods.

【技术实现步骤摘要】
一种成熟检测器集生成方法、入侵检测方法及装置
本专利技术涉及物联网安全领域，具体而言，涉及一种成熟检测器集生成方法、入侵检测方法及装置。
技术介绍
随着物联网感知层攻击技术的不断发展，入侵行为越发表现出不确定性、复杂性、多样性等特点。目前绝大多数的物联网感知层的入侵检测系统采用的方法都是根据已知的入侵行为的特征建立特定的入侵模式，所有的已知入侵模式构成了一个入侵模式库，将感知层设备采集到的数据与该入侵模式库进行对比，如果与该入侵模式库中某个入侵模式匹配成功，则判定该数据为入侵数据。但是由于物联网本身的复杂性、异构性等，很难通过特征提取建立准确的入侵模式，同时这种方式虽然能够准确地检测到已知的入侵数据，但是却无法检测到新的未知的入侵数据，这对于监测环境复杂多变的物联网感知层而言并不适用。
技术实现思路
有鉴于此，本专利技术实施例的目的在于提供一种成熟检测器集生成方法、入侵检测方法及装置，以解决上述问题。为了实现上述目的，本专利技术实施例采用的技术方案如下：第一方面，本专利技术实施例提供了一种成熟检测器集生成方法，所述方法包括：建立自体数据集，所述自体数据集中包括了与物联网感知层节点获取的所有非入侵数据相对应的一个或多个二进制字符串，所述自体数据集中的每个二进制字符串的长度均为L；随机生成多个二进制字符串，每个随机生成的二进制字符串的长度均为L，多个所述随机生成的二进制字符串构成未成熟检测器集；根据第一预设规则，将所述未成熟检测器集中的每个二进制字符串分别与所述自体数据集中的每个二进制字符串进行匹配，若当前处理的所述未成熟检测器集中的二进制字符串与所述自体数据集中的任何一个二进制字符串均不匹配，则将当前处理的所述未成熟检测器集中的二进制字符串加入到成熟检测器集中，直至所述成熟检测器集中的二进制字符串个数达到预设阈值为止。第二方面，本专利技术实施例提供了一种入侵检测方法，应用于物联网感知层的入侵检测系统，所述物联网感知层的入侵检测系统中预先存储根据所述成熟检测器集生成方法获取的成熟检测器集，所述方法包括：获取待检测数据集，所述待检测数据集中包括了与物联网感知层节点获取的待检测数据相对应的一个或多个二进制字符串，所述待检测数据集中的每个二进制字符串的长度均为L；根据第一预设规则，将所述待检测数据集中的每个二进制字符串分别与所述成熟检测器集中的各个二进制字符串进行匹配，若当前处理的所述待检测数据集中的二进制字符串与所述成熟检测器集中的任何一个二进制字符串匹配成功，则所述待检测数据集对应的所述待检测数据为入侵数据。第三方面，本专利技术实施例提供了一种成熟检测器集生成装置，所述装置包括：第一处理模块，用于建立自体数据集，所述自体数据集中包括了与物联网感知层节点获取的所有非入侵数据相对应的一个或多个二进制字符串，所述自体数据集中的每个二进制字符串的长度均为L；第二处理模块，用于随机生成多个二进制字符串，每个随机生成的二进制字符串的长度均为L，多个所述随机生成的二进制字符串构成未成熟检测器集；第三处理模块，用于根据第一预设规则，将所述未成熟检测器集中的每个二进制字符串分别与所述自体数据集中的每个二进制字符串进行匹配，若当前处理的所述未成熟检测器集中的二进制字符串与所述自体数据集中的任何一个二进制字符串均不匹配，则将当前处理的所述未成熟检测器集中的二进制字符串加入到成熟检测器集中，直至所述成熟检测器集中的二进制字符串个数达到预设阈值为止。第四方面，本专利技术实施例提供了一种入侵检测装置，应用于物联网感知层的入侵检测系统，所述物联网感知层的入侵检测系统中预先存储所述成熟检测器集，所述装置包括：第四处理模块，用于获取待检测数据集，所述待检测数据集中包括了与物联网感知层节点获取的待检测数据相对应的一个或多个二进制字符串，所述待检测数据集中的每个二进制字符串的长度均为L；第五处理模块，用于根据第一预设规则，将所述待检测数据集中的每个二进制字符串分别与所述成熟检测器集中的各个二进制字符串进行匹配，若当前处理的所述待检测数据集中的二进制字符串与所述成熟检测器集中的任何一个二进制字符串匹配成功，则所述待检测数据集对应的所述待检测数据为入侵数据。与现有技术相比，本专利技术实施例提供的一种成熟检测器集生成方法、入侵检测方法及装置，根据物联网感知层节点获取的所有非入侵数据建立了自体数据集，并根据所述自体数据集对随机生成的未成熟检测器集进行筛选，获取了成熟检测器集，通过将所述物联网感知层节点获取到的待检测数据对应的待检测数据集中的每个二进制字符串分别与成熟检测器集中的每个二进制字符串匹配即可检测出获取到的数据是否为入侵数据。由于用于检测入侵的成熟检测器集中的每个二进制字符串都是随机产生的，且可以根据预设阈值确定成熟检测器集中的二进制字符串个数，因此当预设阈值设置合理时，可以检测到绝大多数新的未知的入侵行为，同时有效的避免了传统方法中建立准确的入侵模式的困难。本专利技术的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术实施例了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1是本专利技术实施例提供的服务器的结构示意图。图2是本专利技术第一实施例提供的一种成熟检测器集生成方法的流程图。图3是本专利技术第一实施例提供的一种成熟检测器集生成方法中步骤S310的一种详细流程图。图4是本专利技术第一实施例提供的一种成熟检测器集生成方法中步骤S320的一种详细流程图。图5是本专利技术第二实施例提供的一种入侵检测方法的流程图。图6是本专利技术第三实施例提供的一种成熟检测器集生成装置500的结构框图。图7是本专利技术第四实施例提供的一种入侵检测装置600的结构框图。具体实施方式下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本专利技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。本专利技术实施例提供的成熟检测器集生成方法及入侵检测方法可以应用于服务器中。图1示出了服务器100的结构示意图，请参阅图1，所述服务器100包括存储器110、处理器120以及网络模块130。存储器110可用于存储软件程序以及模块，如本专利技术实施例中的成熟检测器集生成方法、入侵检测方法及装置对应的程序指令/模块，处理器12本文档来自技高网...

【技术保护点】
一种成熟检测器集生成方法，其特征在于，所述方法包括：建立自体数据集，所述自体数据集中包括了与物联网感知层节点获取的所有非入侵数据相对应的一个或多个二进制字符串，所述自体数据集中的每个二进制字符串的长度均为L；随机生成多个二进制字符串，每个随机生成的二进制字符串的长度均为L，多个所述随机生成的二进制字符串构成未成熟检测器集；根据第一预设规则，将所述未成熟检测器集中的每个二进制字符串分别与所述自体数据集中的每个二进制字符串进行匹配，若当前处理的所述未成熟检测器集中的二进制字符串与所述自体数据集中的任何一个二进制字符串均不匹配，则将当前处理的所述未成熟检测器集中的二进制字符串加入到成熟检测器集中，直至所述成熟检测器集中的二进制字符串个数达到预设阈值为止。

【技术特征摘要】
1.一种成熟检测器集生成方法，其特征在于，所述方法包括：建立自体数据集，所述自体数据集中包括了与物联网感知层节点获取的所有非入侵数据相对应的一个或多个二进制字符串，所述自体数据集中的每个二进制字符串的长度均为L；随机生成多个二进制字符串，每个随机生成的二进制字符串的长度均为L，多个所述随机生成的二进制字符串构成未成熟检测器集；根据第一预设规则，将所述未成熟检测器集中的每个二进制字符串分别与所述自体数据集中的每个二进制字符串进行匹配，若当前处理的所述未成熟检测器集中的二进制字符串与所述自体数据集中的任何一个二进制字符串均不匹配，则将当前处理的所述未成熟检测器集中的二进制字符串加入到成熟检测器集中，直至所述成熟检测器集中的二进制字符串个数达到预设阈值为止。2.根据权利要求1所述的方法，其特征在于，所述第一预设规则为连续R位匹配规则。3.根据权利要求2所述的方法，其特征在于，所述根据第一预设规则，将所述未成熟检测器集中的每个二进制字符串分别与所述自体数据集中的每个二进制字符串进行匹配之前，所述方法还包括：根据长度L、第一预设匹配阈值R1以及预设检测失败概率Pf计算预设阈值。4.根据权利要求3所述的方法，其特征在于，所述根据长度L、第一预设匹配阈值R1以及预设检测失败概率Pf计算预设阈值，具体包括：根据所述连续R位匹配规则，确定第一预设匹配阈值R1及预设检测失败概率Pf的值；根据长度L及第一预设匹配阈值R1，获取所述未成熟检测器集中的任意一个二进制字符串与所述自体数据集中的任意一个二进制字符串在所述连续R位匹配规则下的第一匹配概率PM，其中根据所述预设检测失败概率Pf及所述第一匹配概率PM，获取预设阈值NR，其中5.根据权利要求1所述的方法，其特征在于，所述第一预设规则为海明距离匹配规则。6.根据权利要求5所述的方法，其特征在于，所述根据第一预设规则，将所述未成熟检测器集中的每个二进制字符串分别与所述自体数据集中的每个二进制字符串进行匹配之前，所述方法还包括：根据长度L、第二预设匹配阈值R2以及预设检测失败概率Pf计算预设阈值。7.根据权利要求6所述的方法，其特征在于，所述根据长度L、第二预设匹配阈值R2以及预设检测失败概率Pf计算预设阈值，具体包括：根据所述海明距离匹配规则，确定第二预设匹配阈值R2及预设检测失败概率Pf的值；根据长度L及第二预设匹配阈值R2，获取所述未成熟检测器集中的任意一个二进制字符串与所述自体数据集...

【专利技术属性】
技术研发人员：张淼，孙博文，李祺，张少东，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京,11