The invention discloses a device type identification and network intrusion detection method for the Internet of Things. The intrusion detection system is composed of a device type identification matching system and an anomaly detection system. The type recognition system can extract device features according to the characteristics of periodic communication of devices, classify and summarize the devices according to the statistical characteristics of the period, and classify them into abstract types. The pattern recognition system based on GRU neural network can learn and memorize normal communication behavior to build normal behavior sequence model. Because GRU neural network is designed for each device type separately, the recognition accuracy is higher and the false alarm rate is greatly reduced. It uses gateway to monitor the communication situation of all Internet of Things devices in the network, so that all Internet of Things devices are directly or indirectly connected to the gateway. It can detect all the communications between them and the devices of the Internet of Things, and process the local data through the more powerful gateway, so as to avoid the shortage of resources in the Internet of Things.
【技术实现步骤摘要】
针对物联网的设备类型识别及网络入侵检测方法
本专利技术涉及互联网
,具体涉及一种针对物联网的设备类型识别及网络入侵检测方法。
技术介绍
近年来,随着物联网技术兴起,越来越多的智能家居等电子设备进入人们视线,给人们生活提供更多便利,无处不在地改变着人们的生活,各大厂家各种生产的基于物联网的产品也与日俱增。然而,目前生产的物联网产品质量参差不齐,标准不统一,而且厂家在设计生产产品时往往忽视了安全性的问题,物联网也成为信息安全保护的重灾区。为保证安全性,需要针对物联网的安全防护系统,目前的常见解决方案可以划分为两种:升级受影响的设备固件与入侵检测系统。相这两类方法在识别新型攻击时效率低下,只有供应商更新才能检测新型攻击,而这可能导致重大延时、造成安全损失,无法很好应对高速增长的物联网市场。而基于物联网特点,设计的系统常面对以下问题:每天都有大量新物联网产品问世,而其中很大部分存在安全隐患。入侵者也针对这些设备漏洞的随时开发恶意软件,因而保证物联网设备的安全性所需的资源、精力是动态增长变化的;物联网设备可用存储空间、计算资源、电源能力有限,因而不适用传统针对设备上的入侵检测;物联网设备具有异质性,设备个体的特征分布比较分散,不同种类的设备之间各方面都有较大差别,而且每类设备功能相对有限;对比其他高端设备,物联网设备产生的网络流量较少,而且其中大多数是不定期的用户访问查询。
技术实现思路
本专利技术的目的在于针对现有技术的缺陷和不足,提供一种针对物联网的设备类型识别及网络入侵检测方法,采用网关来监听网络内所有物联网设备的通信情况,使所有物联网设备直接或间接地连到网...
【技术保护点】
1.针对物联网的设备类型识别及网络入侵检测方法,其特征在于它包含设备类型识别匹配系统及异常检测系统;设备类型识别匹配系统中设有设备指纹识别模块;异常检测系统中设有异常检测模块;在局域网内,所有的物联网设备与个人电脑、智能手机应用直接或间接连接到安全网关接入因特网,安全网关中的设备指纹识别模块监测物联网设备所有的通信行为并提取通信行为的数学特征,再将特征发送至异常检测模块和中央物联网服务中心的正常通信行为特征数据集;安全网关中的异常检测模块在数据训练阶段,基于正常通信行为特征数据集生成异常检测数学模型,并将异常检测数学模型上传至安全服务中心备份;在实时检测阶段,异常检测模块使用异常检测数学模型基于当前通信行为的数学特征对当前通信行为是否异常做出判定,并对异常行为实时触发警报。
【技术特征摘要】
1.针对物联网的设备类型识别及网络入侵检测方法,其特征在于它包含设备类型识别匹配系统及异常检测系统;设备类型识别匹配系统中设有设备指纹识别模块;异常检测系统中设有异常检测模块;在局域网内,所有的物联网设备与个人电脑、智能手机应用直接或间接连接到安全网关接入因特网,安全网关中的设备指纹识别模块监测物联网设备所有的通信行为并提取通信行为的数学特征,再将特征发送至异常检测模块和中央物联网服务中心的正常通信行为特征数据集;安全网关中的异常检测模块在数据训练阶段,基于正常通信行为特征数据集生成异常检测数学模型,并将异常检测数学模型上传至安全服务中心备份;在实时检测阶段,异常检测模块使用异常检测数学模型基于当前通信行为的数学特征对当前通信行为是否异常做出判定,并对异常行为实时触发警报。2.根据权利要求1所述的针对物联网的设备类型识别及网络入侵检测方法,其特征在于针对物联网络的设备类型检测方法包含如下步骤:一、提取物联网设备流量的通信周期:根据物联网设备网络通信流量的周期性特点,分析其通信特征,找出周期,为进一步提取特征提供预处理数据;安全网关通过解包数据链路层提供的mac地址识别不同的设备,对mac地址不同的设备分别处理;安全网关根据设备网络流量提取其周期采用傅里叶变换与求自相关函数两种数学方法;提取物联网设备流量的通信周期的方法包含如下步骤:a、监听设备在(0~d)s内的通信情况,由于网络流量统计数据格式不尽相同,为统一格式,首先以秒为单位对流量信息进行离散化处理,具体做法为根据设备在第i个时间段内是否有通信定义该时刻段内输出yi是否为1(如取1s为单位,yi表示is至(i+1)s内该设备是否有通信行为);以下公式以时间段为1s定义;b、根据公式一对yi做离散傅里叶变化:公式一:其中设Ymax为频域内的最大值,记录频域内取值大于0.8*Ymax的所有频率值,记为ki,作为候选频率,根据得出预选周期;首先,为提高计算速度、增强识别能力,忽略过短与过长的周期;其次,为确定预选周期Yi能否衡量通信的周期性,根据公式二计算y(n)在每个候选周期处的自相关函数值:公式二:若Ryy(Ti)在区间[0.9*Ti,1.1*Ti]内可以在li处取到最大值,则判定周期内存在周期,并将Ti更新为li;C、定义ri与rni:安全网关通过公式三及公式四衡量周期Ti的准确度:公式三:公式四:其中ri表示周期为Ti的信号在(0~d)s出现的频率,稳定的周期通信应当满足ri=1;rni计算Ti及与它相邻的周期在0~ds内出现频率,稳定的周期通信应当满足ri≈rni≈1;从而,可以将(0~d)s采集的通信信息转化为{(T1,r1,rn1),(T2,r2,rn2),...,(Tn,rn,rnn)}。二、提取周期特征:为了进一步提高数据的利用率,测算第一步得出的周期的统计特性,安全网关将一段周期分为若干段,重复利用根据由流量转换而来的{(T1,r1,rn1),(T2,r2,rn2),...,(Tn,rn,rnn)}数据,提取的特征分为四类,分别为:(1)周期基本信息;(2)周期推断准确度,由于将周期分为了多个小段,安全网关计算从每个小段得出的均值、方差、标准差等统计信息来衡量计算的周期是否足够稳定、精确;(3)周期持续时间,将计算的周期划分到相应的区间范围中,便于之后聚类模型测算不同物联网设备的差别,方便分类,提高辨别准确度;(4)推断周期的统计上的稳定度,安全网关计算各段的ri,rni,用ri、rni所处的区间范围进行衡量;三、对提取的特征分类汇总,获得具体分类:对周期提取特征后,利用KNN算法将采集的不同设备的特征进行分类;具体方法如下:安全网关检测设备流量后,提取其特...
【专利技术属性】
技术研发人员:季文翀,王永斌,刘廉如,范文翰,张忠平,
申请(专利权)人:基本立子北京科技发展有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。