一种基于指纹识别技术的物联网设备异常检测方法技术

技术编号:27692951 阅读:30 留言:0更新日期:2021-03-17 04:55
本发明专利技术公开了一种基于指纹识别技术的物联网设备异常检测方法。其中该方法包括如下步骤:物联网设备连入网关,网关根据接入设备的数据包提取特征,得到所述设备的指纹特征;依据指纹特征利用设备分类模型识别设备类型;实时采集所述设备的流量数据,结合设备类型使用异常检测模型判别该设备是否存在异常状态;若是,则向用户发出告警,并记录下该设备的流量数据;若否,则判定设备正常运行。本发明专利技术结合物联网设备的多元信息组成指纹特征,且结合设备类别和指纹特征判断设备的运行状态,能有效保证异常检测的正确性。

【技术实现步骤摘要】
一种基于指纹识别技术的物联网设备异常检测方法
本专利技术属于物联网
,具体涉及一种基于指纹识别技术的物联网设备异常检测方法。
技术介绍
随着物联网设备的迅速普及以及物联网技术的快速应用,智能家居、智慧医疗、智能交通、智能楼宇、智慧城市等应用场景不断涌现。物联网设备在给人类生活带来便利的同时,也给网络安全带来了新的威胁。物联网设备安全的研究是保护物联网安全的重中之重,研究网络空间物联网设备能够对保障关键信息基础设施安全起到重要的作用。物联网具备以下特点:1)物联网设备资源受限,如存储、电量以及运算能力不足;2)物联网设备的流量模式都比较简单、固定,且相似设备流量模式相近,不同设备之间的流量模式差异性很大;3)物联网设备数量庞大,种类繁多;4)物联网设备产生流量的模式跟用户的行为习惯有很大关系,不同时间段的流量模式差异性较大。考虑到物联网特点,传统的异常检测方法已无法满足物联网的安全需求,因此需要更加智能、准确、有效的处理方法,进一步提高物联网的安全检测能力。
技术实现思路
本专利技术的目的在于提供一种基于指纹识别技术的物联网设备异常检测方法以解决现有技术中物联网的安全检测能力水平不足的问题。为实现以上目的的技术解决方案如下:一种基于指纹识别技术的物联网设备异常检测方法,包括以下步骤:步骤1:物联网设备连入网关,网关根据接入设备的数据包生成指纹特征数据,得到所述设备的指纹特征数据;步骤2:依据指纹特征数据利用设备分类模型识别设备类型;步骤3:实时采集所述设备的流量数据,结合设备类型使用异常检测模型判别该设备是否存在异常状态,若是,则向用户发出告警,并记录下该设备的流量数据;若否,则判定设备正常运行。进一步地,所述步骤1具体包括以下步骤:步骤1.1:将所述设备的源mac地址和目标mac地址分别拆分为6组数字,并将16进制数转换为10进制,生成12个特征数据T1;将所述设备的协议源端口、协议目的端口、协议长度和协议类型作为特征数据T2;步骤1.2:特征数据T1和特征数据T2组合得到设备的指纹特征数据,并处理成4×4的指纹特征矩阵。进一步地,所述步骤2具体包括以下步骤:所述指纹特征数据作为输入量输入设备分类模型,所述设备分类模型输出设备类型,所述设备分类模型为预先训练好的CNN网络分类。进一步地,所述步骤3中的使用异常检测模型判别该设备是否存在异常状态,包括以下步骤:步骤3.1:选取4个不同的时间窗口,实时产生流量随时间变化的流量特征;上述流量特征由每个时间窗口产生,包括源IP产生的流量、源IP与目的IP之间传输的流量、源TCP/UDP套接字、目的TCP/UDP套接字之间的流量以及单位时间流量信息;步骤3.2:基于所述流量特征,利用主成分分析法对物联网设备的流量特征进行降维,选择贡献率90%以上的主成分,用于异常流量检测;步骤3.3:将降维之后的流量特征,输入预先训练好的异常检测模型,判别该设备是否存在异常状态。进一步地,所述步骤3.1中的4个不同的时间窗口为100ms、500ms、1s、100s的时间窗口。进一步地,预先训练好的异常检测模型为一个基于XGBOOST的分类模型。与现有技术相比,本专利技术的有益效果是:本专利技术提供了一种基于指纹识别的物联网设备异常检测方法,综合设备的数据包等多元信息组成指纹特征,且结合设备类别和指纹特征判断设备的运行状态,有效保证异常检测的正确性,如果设备的运行状态或者流量数据发生异常,则发出设备可能异常运行的报警信息,提醒相关人员查看并确认处理;若设备流量信息与平时无异,则认为该设备运行正常,对设备的异常检测综合数据包、流量、设备类型等多元素性信息,且运行中的数据可存储由人工标记为训练数据增量训练设备检测模型和异常检测模型,提高检测精度。附图说明图1:本专利技术的监控系统整体架构图。图2:本专利技术基于指纹识别技术的物联网设备异常检测流程图。图3:本专利技术基于指纹识别技术的物联网设备异常检测模型更新流程图。具体实施方式下面结合附图对本专利技术作进一步的详细描述。本专利技术提供了一种基于指纹识别技术的物联网设备异常检测方法,如图2所示,包括以下步骤:物联网设备连入网关,根据该设备的数据包生成指纹特征数据。上述指纹特征数据包括以下信息:协议源端口、协议目的端口、协议长度、协议类型、源mac地址和目标mac地址信息。在设备开始通信网关时,将源mac地址和目标mac地址拆分为6组数字,并将16进制数转换为10进制,生成12个特征数据,加上协议源端口、协议目的端口、协议长度、协议类型一共16个指纹特征数据。将指纹特征数据转化为4×4的指纹特征矩阵,输入已训练好的CNN网络分类,CNN网络输出该连入网关的物联网设备的类别信息。设备连入后,异常监测服务实时监测设备的流量数据进行异常流量检测。此处需要说明的是,为全面刻画流量随时间变化的统计特征,设备需要有几个不同的时间窗口用于采集流量特征数据,单个时间窗口产生10个统计特征。其中,选取100ms、500ms、1s、100s的时间窗口,每个时间窗口产生4个流量特征:源IP产生的流量、源IP与目的IP之间传输的流量、源TCP/UDP套接字、目的TCP/UDP套接字之间的流量以及单位时间流量信息。4个时间窗口的16个流量特征加上设备的类别信息一共产生17个统计特征。基于采集的流量特征,利用主成分分析法对智能物联网设备的流量特征数据进行降维,选择贡献率在90%以上的主成分,用于异常流量检测。此处需要说明的是,异常监测服务中包含基于XGBOOST的分类模型,降维后的流量特征通过不同类型设备的异常监测服务判别出异常状态并告警。本专利技术实例的基于指纹识别技术的物联网设备异常检测系统架构如图1所示,异常监测服务为本系统的监测核心,负责监测物联网终端的实时流量是否存在异常,其与通讯网关进行实时的流量数据交互,同时可人工干预监测服务,提供监测设备的黑白名单,黑名单设备直接拒绝接入系统,白名单设备不监控流量。此处需要说明的是,监控网关对新接入设备进行设备类型的识别并判断设备是否异常,设备的实时流量传输给异常监测服务进行实时流量的异常检测,监控网关还与云服务远程通讯,接受云端对物联网设备的控制。本专利技术实例的物联网设备指纹识别与异常检测模型更新流程如图3所示,监控网关对物联网设备中的指纹特征数据,使用关系型数据库存储起来,保存数据经过标准化处理,标准化数据供设备类型识别模型与异常流量检测模型的训练:1、抽取设备指纹识别特征数据,人工标注设备类型,处理后的数据用于设备类型识别模型训练;2、抽取异常流量检测特征数据,人工标注是否异常,利用主成分分析法对异常流量检测特征数据进行降维,获取选择达到贡献率90%以上的主成分,处理后的数据用于异常流量检测模型训练。上述训练数据用于设备类型识本文档来自技高网...

【技术保护点】
1.一种基于指纹识别技术的物联网设备异常检测方法,其特征在于,包括以下步骤:/n步骤1:物联网设备连入网关,网关根据接入设备的数据包生成指纹特征数据,得到所述设备的指纹特征数据;/n步骤2:依据指纹特征数据利用设备分类模型识别设备类型;/n步骤3:实时采集所述设备的流量数据,结合设备类型使用异常检测模型判别该设备是否存在异常状态,/n若是,则向用户发出告警,并记录下该设备的流量数据;/n若否,则判定设备正常运行。/n

【技术特征摘要】
1.一种基于指纹识别技术的物联网设备异常检测方法,其特征在于,包括以下步骤:
步骤1:物联网设备连入网关,网关根据接入设备的数据包生成指纹特征数据,得到所述设备的指纹特征数据;
步骤2:依据指纹特征数据利用设备分类模型识别设备类型;
步骤3:实时采集所述设备的流量数据,结合设备类型使用异常检测模型判别该设备是否存在异常状态,
若是,则向用户发出告警,并记录下该设备的流量数据;
若否,则判定设备正常运行。


2.根据权利要求1所述的基于指纹识别技术的物联网设备异常检测方法,其特征在于,所述步骤1具体包括以下步骤:
步骤1.1:将所述设备的源mac地址和目标mac地址分别拆分为6组数字,并将16进制数转换为10进制,生成12个特征数据T1;
将所述设备的协议源端口、协议目的端口、协议长度和协议类型作为特征数据T2;
步骤1.2:特征数据T1和特征数据T2组合得到设备的指纹特征数据,并处理成4×4的指纹特征矩阵。


3.根据权利要求2所述的基于指纹识别技术的物联网设备异常检测方法,其特征在于,所述步骤2具体包括以下步骤:
所述指纹特征数据作为输入量输入设备分类模型,所述设备分类...

【专利技术属性】
技术研发人员:俞研张小娟邓芳伟苏铓
申请(专利权)人:南京理工大学
类型:发明
国别省市:江苏;32

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1