物联网异常实时检测方法、装置、终端及可读存储介质制造方法及图纸

本发明专利技术公开了一种物联网异常实时检测方法，包括：对途径交换机的数据流进行过滤，得到异常流ID，并将异常流ID报告给服务器防火墙，同时将包含异常流ID的镜像流量发送给服务器；服务器从镜像流量中分析异常流ID，并得到异常流的包序列；对得到的包序列进行高精度异常检测，并根据高精度异常检测结果进行判断，得到一个判断信息，根据判断信息更新交换机的黑名单；本发明专利技术提前将孤立森林转换成规则并部署在交换机上，实现了在交换机上通过无监督学习算法来对互联网进行恶意流量的检测，在交换机上设计使用了双哈希算法特征提取方案，降低了延迟和资源占用，设置非对称的自动编码器模型，在交换机初步检测流量后进一步检测，提高了检测高精度。测高精度。测高精度。

Real time anomaly detection method, device, terminal and readable storage medium of Internet of things

【技术实现步骤摘要】
物联网异常实时检测方法、装置、终端及可读存储介质


[0001]本专利技术涉及网络异常检测领域，尤其涉及的是一种物联网异常实时检测 方法和装置、可读存储介质。

技术介绍

[0002]随着科技的进步，智慧城市的理念逐渐深入人心，随着智慧城市的发展， 物联网的总连接量正在急剧增加。然而，大多数物联网设备都受到其硬件性 能的限制，这使得物联网设备容易受到黑客的攻击。更糟糕的是，在智慧城 市场景中，大多数物联网设备(如摄像头、灯光等)都暴露在室外，使黑客 更容易通过物理访问访问物联网局域网进行攻击。另外，由于城市监控摄像 头设备数量众多，难以实现对海量物联网流量的低成本实时检测。
[0003]因此，现有技术还有待改进。

技术实现思路

[0004]本专利技术要解决的技术问题在于，针对现有技术缺陷，本专利技术提供一种物 联网异常实时检测方法和装置、可读存储介质，以解决在现有物联网设备流 量日益增长的情况下，导致现有检测系统难以实现高精度的实时检测的问题。
[0005]本专利技术解决技术问题所采用的技术方案如下：
[0006]一种物联网异常实时检测方法，所述物联网异常实时检测方法包括：
[0007]对途径交换机的数据流进行过滤，得到异常流ID，并将所述异常流ID报 告给服务器防火墙，同时将包含所述异常流ID的镜像流量发送给服务器；
[0008]所述服务器从所述镜像流量中分析所述异常流ID，并得到所述异常流的 包序列；
[0009]所述服务器对得到的所述包序列进行高精度异常检测，并根据高精度异 常检测结果进行判断，得到一个判断信息，根据所述判断信息更新所述交换 机的黑名单。
[0010]作为进一步的改进技术方案，所述对途径交换机的数据流进行过滤包括：
[0011]提前将孤立森林转换成规则并部署在所述交换机上；
[0012]对途径所述交换机的数据流进行特征提取，得到流特征；
[0013]采用所述孤立森林转换的规则对所述流特征进行识别判断，得到一个识 别判断信息，根据识别判断信息确定异常流。
[0014]作为进一步的改进技术方案，所述将孤立森林转换成规则包括：
[0015]记录每个孤立树的分支值；
[0016]通过所述分支值将所述孤立森林的特征子空间域划分为多个细粒度的 域，并枚举所述细粒度的域的值。
[0017]作为进一步的改进技术方案，所述特征提取包括：
[0018]在所述交换机入口的第一个管道中采用双哈希算法计算五元组的索引， 并根据双哈希表算法计算数据存储的位置；
[0019]根据所述数据存储的位置读写流特征，得到流特征的数据包；
[0020]对所述流特征的数据包进行压缩，得到压缩包；
[0021]通过使用所述交换机的重新提交功能，将所述压缩包发送到所述交换机 入口的第二个管道内。
[0022]作为进一步的改进技术方案，所述将所述压缩包发送到所述交换机入口 的第二个管道内后，通过所述孤立森林转换成规则对异常进行识别，识别到 异常流后得到异常流的特征，此时所述交换机封装一个原始包头，并将异常 流特征添加到所述原始包头中，再将含有所述原始包头的数据包发送到所述 服务器。
[0023]作为进一步的改进技术方案，所述服务器从所述镜像流量中分析所述异 常流ID，并得到所述异常流的包序列包括：
[0024]所述服务器根据所述镜像流量和所述异常流ID匹配历史报文，得到匹配 结果；
[0025]根据所述匹配结果对所述异常流进行特征提取，得到所述异常流的包序 列。
[0026]作为进一步的改进技术方案，所述高精度异常检测通过构建一个深度检 测模型进行，所述深度检测模型包括自动编码器，所述自动编码器为非对称 的自动编码器模型。
[0027]作为进一步的改进技术方案，所述非对称的自动编码器模型采用可分离 卷积代替普通卷积层、采用扩张卷积代替原来的卷积操作及采用模型量化对 模型进行压缩。
[0028]作为进一步的改进技术方案，所述模型量化包括：
[0029]模型数据从浮点表示转换为较低精度的表示；
[0030]采用尺度量化的不对称变体来转换模型数据。
[0031]作为进一步的改进技术方案，所述深度检测模型和孤立森林的模型需要 在服务器上进行更新训练，所述更新训练包括：
[0032]重新训练所述孤立森林模型并部署到所述交换机上；
[0033]重新训练所述深度检测模型并部署到所述服务器上。
[0034]一种物联网异常实时检测装置，所述装置包括：
[0035]异常初筛模块，用于对途径交换机的数据流进行过滤，得到异常流ID， 并将所述异常流ID报告给服务器防火墙，同时将包含所述异常流ID的镜像 流量发送给服务器；
[0036]分析模块，用于从所述镜像流量中分析所述异常流ID，并得到所述异常 流的包序列；
[0037]高精度检测模块，用于对得到的所述包序列进行高精度异常检测，并根 据高精度异常检测结果进行判断，得到一个判断信息，根据所述判断信息更 新所述交换机的黑名单。
[0038]一种终端，所述终端包括：存储器及处理器，所述存储器存储有物联网 异常实时检测程序，所述物联网异常实时检测程序被处理器执行时用于实现 以下步骤：对途径交换机的数据流进行过滤，得到异常流ID，并将所述异常 流ID报告给服务器防火墙，同时将包含所述异常流ID的镜像流量发送给服 务器；所述服务器从所述镜像流量中分析所述异常流ID，并得到所述异常流 的包序列；所述服务器对得到的所述包序列进行高精度异常检测，并根据高 精度异常检测结果进行判断，得到一个判断信息，根据所述判断信息更新所 述交换机的黑名单。
[0039]一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被 处理器执行时实现以下步骤：
[0040]对途径交换机的数据流进行过滤，得到异常流ID，并将所述异常流ID报 告给服务器防火墙，同时将包含所述异常流ID的镜像流量发送给服务器；所 述服务器从所述镜像流量中分析所述异常流ID，并得到所述异常流的包序列； 所述服务器对得到的所述包序列进行高精度异常检测，并根据高精度异常检 测结果进行判断，得到一个判断信息，根据所述判断信息更新所述交换机的 黑名单。
[0041]本专利技术采用上述技术方案具有以下效果：
[0042]本专利技术通过提前将孤立森林转换成规则并部署在所述交换机上，实现了 在交换机上通过无监督学习算法来对互联网进行恶意流量的检测，降低了成 本的同时提高了检测速率和精准度，通过在交换机上设计使用了双哈希算法 特征提取方案，降低了延迟和资源占用，提高了异常召回率，通过设置非对 称的自动编码器模型，可以在交换机初步检测流量后进一步检测，提高了检测 高精度，通过采用可分离卷积和扩张卷积及模型量化操作，使得模型能够每 秒处理百万个包。
附图说明
[0043]为了更清楚地说明本专利技术实施例或现有技术中的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种物联网异常实时检测方法，其特征在于，所述物联网异常实时检测方法包括：对途径交换机的数据流进行过滤，得到异常流ID，并将所述异常流ID报告给服务器防火墙，同时将包含所述异常流ID的镜像流量发送给服务器；所述服务器从所述镜像流量中分析所述异常流ID，并得到所述异常流的包序列；所述服务器对得到的所述包序列进行高精度异常检测，并根据高精度异常检测结果进行判断，得到一个判断信息，根据所述判断信息更新所述交换机的黑名单。2.根据权利要求1所述的物联网异常实时检测方法，其特征在于，所述对途径交换机的数据流进行过滤包括：提前将孤立森林转换成规则并部署在所述交换机上；对途径所述交换机的数据流进行特征提取，得到流特征；采用所述孤立森林转换的规则对所述流特征进行识别判断，得到一个识别判断信息，根据识别判断信息确定异常流。3.根据权利要求2所述的一种物联网异常实时检测方法，其特征在于，所述将孤立森林转换成规则包括：记录每个孤立树的分支值；通过所述分支值将所述孤立森林的特征子空间域划分为多个细粒度的域，并枚举所述细粒度的域的值。4.根据权利要求3所述的一种物联网异常实时检测方法，其特征在于，所述特征提取包括：在所述交换机入口的第一个管道中采用双哈希算法计算五元组的索引，并根据双哈希表算法计算数据存储的位置；根据所述数据存储的位置读写流特征，得到流特征的数据包；对所述流特征的数据包进行压缩，得到压缩包；通过使用所述交换机的重新提交功能，将所述压缩包发送到所述交换机入口的第二个管道内。5.根据权利要求4所述的一种物联网异常实时检测方法，其特征在于，所述将所述压缩包发送到所述交换机入口的第二个管道内后，通过所述孤立森林转换成规则对异常进行识别，识别到异常流后得到异常流的特征，此时所述交换机封装一个原始包头，并将异常流特征添加到所述原始包头中，再将含有所述原始包头的数据包发送到所述服务器。6.根据权利要求5所述的一种物联网异常实时检测方法，其特征在于，所述服务器从所述镜像流量中分析所述异常流ID，并得到所述异常流的包序列包括：...

【专利技术属性】
技术研发人员：李清，董宇韬，李克军，江勇，夏树涛，
申请(专利权)人：鹏城实验室，
类型：发明
国别省市：