【技术实现步骤摘要】
基于设备角色的物联网设备异常检测方法、系统及装置
[0001]本申请涉及物联网,特别涉及基于设备角色的物联网设备异常检测方法、系统及装置。
技术介绍
[0002]目前,域名系统(DNS:Domain Name System)解析出的异常都是基于规则库或者规则表实现的,比如:通过规则库或者规则表识别恶意的域名或者可疑的IP地址等,则认为异常。但目前这种基于规则库或者规则表解析出异常的方式,常会因为规则库或者规则表配置延迟而导致不能及时发现异常比如被攻击的设备等,同时配置规则库或者规则表也会加大工作量。
技术实现思路
[0003]本申请实施例提供了基于角色的物联网设备检测方法、系统及装置,以实现基于设备角色进行物联网设备检测,防止现有基于规则库或者规则表解析异常带来的技术问题。
[0004]本申请实施例提供了一种基于设备角色的物联网设备检测方法,该方法应用于电子设备,该方法包括:获得第一指定时间段内经由物联网核心交换机的域名系统DNS报文;所述DNS报文包括DNS请求和DNS响应;依据已获得的第一指定时间段内的DNS报文,确定至少一个目标物联网设备的目标特征向量;所述目标特征向量至少包括:所述目标物联网设备发起的DNS请求的DNS请求数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析的信息;计算目标物联网设备的目标特征向量分别与已训练出的检测模型中各类别标签对应的中心特征向量之间的距离;依 ...
【技术保护点】
【技术特征摘要】
1.一种基于设备角色的物联网设备检测方法,其特征在于,该方法应用于电子设备,该方法包括:获得第一指定时间段内经由物联网核心交换机的域名系统DNS报文;所述DNS报文包括DNS请求和DNS响应;依据已获得的第一指定时间段内的DNS报文,确定至少一个目标物联网设备的目标特征向量;所述目标特征向量至少包括:所述目标物联网设备发起的DNS请求的DNS请求数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析的信息;计算目标物联网设备的目标特征向量分别与已训练出的检测模型中各类别标签对应的中心特征向量之间的距离;依据目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别,所述目标类别为所述检测模型中一个类别标签对应的类别或者为未知异常,所述检测模型中的类别标签至少包括:正常业务设备标签、DNS服务器标签、异常业务设备标签。2.根据权利要求1所述的方法,其特征在于,所述依据已获得的第一指定时间段内的DNS报文,确定至少一个物联网设备对应的物联网设备特征向量包括:当DNS报文为DNS请求时,将所述DNS请求中源IP地址对应的目标物联网设备的DNS请求数量增加设定值,将所述DNS请求中目的IP地址对应的目标物联网设备的DNS响应数量增加设定值;当DNS报文为DNS响应时,将所述DNS响应中源IP地址对应的目标物联网设备的DNS响应数量增加设定值,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS请求数量增加设定值,并识别DNS响应中携带的DNS解析结果,当所述DNS解析结果包含表示DNS解析成功的标识时,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS解析成功数量增加设定值;在所述第一指定时间段结束时,针对每一目标物联网设备,依据该目标物联网设备的DNS解析成功数量确定该目标物联网设备的DNS解析成功信息,将该目标物联网设备的DNS请求数量、该目标物联网设备的DNS响应数量、以及该目标物联网设备的DNS解析成功信息确定为该目标物联网设备的特征向量。3.根据权利要求1所述的方法,其特征在于,所述检测模型通过以下方式训练:基于第二指定时间段内经由所述物联网核心交换机的DNS报文,确定样本物联网设备的样本特征向量,所述样本特征向量至少包括:所述样本物联网设备发起的DNS请求的DNS请求数量、发向所述样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS解析成功信息是指所述样本物联网设备发起的DNS请求中的域名被成功解析的信息;所述第二指定时间段不同于所述第一指定时间段;依据各个样本物联网设备的样本特征向量对各个样本物联网设备进行分类;确定每一类别对应的类别标签,依据每一类别标签以及该类别标签对应的中心特征向量训练得到所述检测模型,所述类别标签对应的中心特征向量是基于所述类别标签对应的类别中的各样本物联网设备的样本特征向量确定。4.根据权利要求3所述的方法,其特征在于,所述基于第二指定时间段内经由所述物联
网核心交换机的DNS报文,确定样本物联网设备的样本特征向量包括:当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS请求时,将该DNS请求中源IP地址对应的样本物联网设备的DNS请求数量增加设定值,将该DNS请求中目的IP地址对应的样本物联网设备的DNS响应数量增加设定值;当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS响应时,将该DNS响应中源IP地址对应的样本物联网设备的DNS响应数量增加设定值,将该DNS响应中目的IP地址对应的样本物联网设备的DNS请求数量增加设定值,并识别该DNS响应携带的DNS解析结果,当DNS解析结果包含DNS解析成功的标识时,将该DNS响应中目的IP地址对应的样本物联网设备的DNS解析成功数量增加设定值;在第二指定时间段结束时,针对每一样本物联网设备,依据该样本物联网设备的DNS解析成功数量确定该样本物联网设备的DNS解析成功信息,将该样本物联网设备的DNS解析成功信息、该样本物联网设备的DNS请求数量、以及该样本物联网设备的DNS响应数量确定为该样本物联网设备的样本特征向量。5.根据权利要求3所述的方法,其特征在于,所述确定每一类别对应的类别标签包括:针对每一类别,依据该类别中各样本物联网设备的样本特征向量,确定该类别对应的类别标签分析参数,所述类别标签分析参数至少包括:DNS报文总数量;所述DNS报文总数量依据该类别中各样本物联网设备的DN...
【专利技术属性】
技术研发人员:张峰,王滨,郭明,刘松,赵海涛,李超豪,闫琛,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。