基于设备角色的物联网设备异常检测方法、系统及装置制造方法及图纸

本申请提供了基于设备角色的物联网设备异常检测方法、系统及装置。本实施例中，通过一定时间段内物联网设备在DNS解析过程中的设备角色（比如DNS请求角色（用于发起DNS请求）、DNS响应角色（用于响应接收的DNS请求）、DNS服务器（用于域名解析）等）发起的行为比如发起DNS请求、响应DNS请求、域名解析等，借助该行为（经由物联网核心交换机的DNS报文）构建物联网设备的特征向量，最后基于该特征向量与检测模型中已训练出的各类别标签对应的中心特征向量之间的距离确定物联网设备所属的类别，不再依赖于规则库或者规则表，实现了基于设备角色的物联网设备检测。联网设备检测。联网设备检测。

【技术实现步骤摘要】
基于设备角色的物联网设备异常检测方法、系统及装置


[0001]本申请涉及物联网，特别涉及基于设备角色的物联网设备异常检测方法、系统及装置。

技术介绍

[0002]目前，域名系统（DNS：Domain Name System）解析出的异常都是基于规则库或者规则表实现的，比如：通过规则库或者规则表识别恶意的域名或者可疑的IP地址等，则认为异常。但目前这种基于规则库或者规则表解析出异常的方式，常会因为规则库或者规则表配置延迟而导致不能及时发现异常比如被攻击的设备等，同时配置规则库或者规则表也会加大工作量。

技术实现思路

[0003]本申请实施例提供了基于角色的物联网设备检测方法、系统及装置，以实现基于设备角色进行物联网设备检测，防止现有基于规则库或者规则表解析异常带来的技术问题。
[0004]本申请实施例提供了一种基于设备角色的物联网设备检测方法，该方法应用于电子设备，该方法包括：获得第一指定时间段内经由物联网核心交换机的域名系统DNS报文；所述DNS报文包括DNS请求和DNS响应；依据已获得的第一指定时间段内的DNS报文，确定至少一个目标物联网设备的目标特征向量；所述目标特征向量至少包括：所述目标物联网设备发起的DNS请求的DNS请求数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息；所述DNS解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析的信息；计算目标物联网设备的目标特征向量分别与已训练出的检测模型中各类别标签对应的中心特征向量之间的距离；依据目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离，确定目标物联网设备所属的目标类别，所述目标类别为所述检测模型中一个类别标签对应的类别或者为未知异常，所述检测模型中的类别标签至少包括：正常业务设备标签、DNS服务器标签、异常业务设备标签。
[0005]本申请实施例还提供了一种基于角色的物联网设备异常检测系统，该系统包括：物联网核心交换机、用于执行如上方法的电子设备；所述电子设备部署在物联网核心交换机的旁路或者独立于所述物联网核心交换机。
[0006]本申请实施例还提供了一种电子设备。该电子设备包括：处理器和机器可读存储介质；所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令；
所述处理器用于执行机器可执行指令，以实现上述公开的方法的步骤。
[0007]由以上技术方案可以看出，在本实施例中，通过一定时间段内物联网设备在DNS解析过程中的设备角色（比如DNS请求角色（用于发起DNS请求）、DNS响应角色（用于响应接收的DNS请求）、DNS服务器（用于域名解析）等）发起的行为比如发起DNS请求、响应DNS请求、域名解析等，借助该行为（经由物联网核心交换机的DNS报文）构建物联网设备的特征向量，最后基于该特征向量与检测模型中已训练出的各类别标签对应的中心特征向量之间的距离确定物联网设备所属的类别，不再依赖于规则库或者规则表，实现了基于设备角色的物联网设备检测。
[0008]进一步地，在本实施例中，在进行物联网设备检测时是依赖于一定时间段内物联网设备在DNS解析过程中的设备角色（比如DNS请求角色（用于发起DNS请求）、DNS响应角色（用于响应接收的DNS请求）、DNS服务器（用于域名解析）等）发起的行为比如发起DNS请求、响应DNS请求、域名解析等（ 最终会形成经由物联网核心交换机的DNS报文），不再依赖于物联网设备本身的基础信息比如进程、内存、网络等信息，不会对物联网设备产生影响或干扰。
附图说明
[0009]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
[0010]图1为本申请实施例提供的方法流程图；图2为本申请实施例提供的检测模型训练流程图；图3为本申请实施例提供的步骤203中确定类别标签的流程图；图4为本申请实施例提供的步骤104实现流程图；图5为本申请实施例提供的系统结构图；图6为本申请实施例提供的装置结构图；图7为本申请实施例提供的电子设备结构图。
具体实施方式
[0011]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0012]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。
[0013]在物联网应用中，域名解析具有如下特点，即：通过DNS请求发起域名解析的请求，通过DNS响应接收DNS服务器对域名解析的结果。正常情况下一次DNS请求必定有一次DNS响应。相应地，域名解析会涉及以下三个设备角色：DNS请求角色（用于发起DNS请求）、DNS响应角色（用于响应接收的DNS请求）、DNS服务器（用于域名解析）。在正常情况下，DNS服务器担任DNS响应角色，但是对于一些攻击，则常会导致DNS服务器与DNS响应角色不一致。
[0014]在具体应用中，域名解析涉及的以上三个设备角色具有以下特点：对于DNS服务器，DNS服务器收到的DNS请求的数量较多，发送的DNS响应的数量也较多，但DNS服务器通常不会发起DNS请求；对于DNS请求角色，假若担任DNS请求角色的业务设备（其之所以称为业务设备，是相比DNS服务器而言的，这里业务设备是指运行物联网相关业务的设备比如终端、服务器等）正常，则其发起DNS请求的数量较少，相应地，收到DNS响应的数量也较少；假若担任DNS请求角色的业务设备异常比如被攻击等，则其发起的DNS请求的数量很多、或者收到的DNS响应的数量很多，或者发起的DNS请求都得不到正常响应等。可选地，在本实施例中，上述的业务设备可举例为网络摄像机（IPC）、硬盘录像机（DNR）、网络录像机（NVR）等安防设备，本实施例并不具体限定。
[0015]基于上述域名解析的特点以及域名解析过程中涉及的物联网设备角色的特点，本申请提供了基于设备角色的物联网设备异常检测方法。为了使本领域技术人员更好地理解本申请实施例提供的技术方案，并使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。
[0016]参见图1，图1为本申请实施例提供的方法流程图。在一个例子中，该方法可应用于电子设备。
[0017]可选地，作为一个实施例，这里的电子设备可部署在物联网核心交换机上（具体是作为物联网核心交换机的其中一个逻辑模块）。或者，作为另一个实施例，这里的电子设备也可独立于物联网核心交换机，比如部署在物联网核心交换机的旁路等，本实施例并不具体限定。
[0018]如图1所示，该流程可包本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于设备角色的物联网设备检测方法，其特征在于，该方法应用于电子设备，该方法包括：获得第一指定时间段内经由物联网核心交换机的域名系统DNS报文；所述DNS报文包括DNS请求和DNS响应；依据已获得的第一指定时间段内的DNS报文，确定至少一个目标物联网设备的目标特征向量；所述目标特征向量至少包括：所述目标物联网设备发起的DNS请求的DNS请求数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息；所述DNS解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析的信息；计算目标物联网设备的目标特征向量分别与已训练出的检测模型中各类别标签对应的中心特征向量之间的距离；依据目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离，确定目标物联网设备所属的目标类别，所述目标类别为所述检测模型中一个类别标签对应的类别或者为未知异常，所述检测模型中的类别标签至少包括：正常业务设备标签、DNS服务器标签、异常业务设备标签。2.根据权利要求1所述的方法，其特征在于，所述依据已获得的第一指定时间段内的DNS报文，确定至少一个物联网设备对应的物联网设备特征向量包括：当DNS报文为DNS请求时，将所述DNS请求中源IP地址对应的目标物联网设备的DNS请求数量增加设定值，将所述DNS请求中目的IP地址对应的目标物联网设备的DNS响应数量增加设定值；当DNS报文为DNS响应时，将所述DNS响应中源IP地址对应的目标物联网设备的DNS响应数量增加设定值，将所述DNS响应中目的IP地址对应的目标物联网设备的DNS请求数量增加设定值，并识别DNS响应中携带的DNS解析结果，当所述DNS解析结果包含表示DNS解析成功的标识时，将所述DNS响应中目的IP地址对应的目标物联网设备的DNS解析成功数量增加设定值；在所述第一指定时间段结束时，针对每一目标物联网设备，依据该目标物联网设备的DNS解析成功数量确定该目标物联网设备的DNS解析成功信息，将该目标物联网设备的DNS请求数量、该目标物联网设备的DNS响应数量、以及该目标物联网设备的DNS解析成功信息确定为该目标物联网设备的特征向量。3.根据权利要求1所述的方法，其特征在于，所述检测模型通过以下方式训练：基于第二指定时间段内经由所述物联网核心交换机的DNS报文，确定样本物联网设备的样本特征向量，所述样本特征向量至少包括：所述样本物联网设备发起的DNS请求的DNS请求数量、发向所述样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息；所述DNS解析成功信息是指所述样本物联网设备发起的DNS请求中的域名被成功解析的信息；所述第二指定时间段不同于所述第一指定时间段；依据各个样本物联网设备的样本特征向量对各个样本物联网设备进行分类；确定每一类别对应的类别标签，依据每一类别标签以及该类别标签对应的中心特征向量训练得到所述检测模型，所述类别标签对应的中心特征向量是基于所述类别标签对应的类别中的各样本物联网设备的样本特征向量确定。4.根据权利要求3所述的方法，其特征在于，所述基于第二指定时间段内经由所述物联
网核心交换机的DNS报文，确定样本物联网设备的样本特征向量包括：当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS请求时，将该DNS请求中源IP地址对应的样本物联网设备的DNS请求数量增加设定值，将该DNS请求中目的IP地址对应的样本物联网设备的DNS响应数量增加设定值；当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS响应时，将该DNS响应中源IP地址对应的样本物联网设备的DNS响应数量增加设定值，将该DNS响应中目的IP地址对应的样本物联网设备的DNS请求数量增加设定值，并识别该DNS响应携带的DNS解析结果，当DNS解析结果包含DNS解析成功的标识时，将该DNS响应中目的IP地址对应的样本物联网设备的DNS解析成功数量增加设定值；在第二指定时间段结束时，针对每一样本物联网设备，依据该样本物联网设备的DNS解析成功数量确定该样本物联网设备的DNS解析成功信息，将该样本物联网设备的DNS解析成功信息、该样本物联网设备的DNS请求数量、以及该样本物联网设备的DNS响应数量确定为该样本物联网设备的样本特征向量。5.根据权利要求3所述的方法，其特征在于，所述确定每一类别对应的类别标签包括：针对每一类别，依据该类别中各样本物联网设备的样本特征向量，确定该类别对应的类别标签分析参数，所述类别标签分析参数至少包括：DNS报文总数量；所述DNS报文总数量依据该类别中各样本物联网设备的DN...

【专利技术属性】
技术研发人员：张峰，王滨，郭明，刘松，赵海涛，李超豪，闫琛，
申请(专利权)人：杭州海康威视数字技术股份有限公司，
类型：发明
国别省市：