【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种物联网僵尸网络的检测方法及设备。
技术介绍
1、随着物联网技术的迅猛发展,智能家居、智能穿戴、车联网、工业物联网等物联网设备数量激增。与传统主机相比,物联网设备更容易因为缺乏安全防护而被僵尸网络攻击和利用。
2、现有技术中,对僵尸网络的检测方法是基于流量数据,利用有监督学习进行僵尸网络通信的检测,然而,由于某些公网ip与物联网设备之间是多对多的关系,因此,基于流量数据进行僵尸网络通信的检测难以直接定位被僵尸网络的感染的物联网设备。
3、因此,如何设计一个合适的僵尸网络检测算法,以直接定位被僵尸网络感染的物联网设备成为一个亟需解决的问题。
技术实现思路
1、本申请提供一种物联网僵尸网络的检测方法及设备,用以定位被僵尸网络感染的物联网设备。
2、第一方面,本申请提供一种物联网僵尸网络的检测方法,包括:
3、获取预设时间窗口内的物联网设备的日志记录,其中,所述日志记录包括所述物联网设备访问的网站的域名和所述物联网设备接入的网站的ip地址的记录;
4、针对每个日志记录,根据所述日志记录,获取所述物联网设备标识与域名和ip地址以及域名之间、ip地址之间的关联关系;
5、根据多个日志记录对应的所述关联关系,获取相似性矩阵,其中,所述相似度矩阵为n*n的矩阵,所述n代表物联网设备的数量,所述相似性矩阵中的元素指示了不同物联网设备之间的相似性;
6、基于已知标签的物联网设备标识,通过
7、根据所述分类结果,获取被僵尸网络感染的物联网设备标识。
8、在一种可能的设计中,所述根据所述日志记录,获取所述物联网设备标识与域名和ip地址以及域名之间、ip地址之间的关联关系,包括:
9、根据物联网设备、域名和ip地址,确定网络异质信息图中的实体节点;
10、根据所述物联网设备对域名的访问关系、所述物联网设备对ip地址的接入关系以及具有相似关系的域名、临近的ip地址,构建实体节点之间的边;
11、根据所述实体节点之间的构建的边,确定所述关联关系。
12、在一种可能的设计中,所述根据多个日志记录对应的所述关联关系,获取相似性矩阵,包括:
13、基于所述关联关系获取每种关联关系对应的邻接矩阵;
14、根据每种邻接矩阵和所述网络异质信息图中的元路径,获取每种元路径对应的交换矩阵;其中,所述多种元路径包括请求了同一个域名的物联网设备的第一路径、接入了同一个ip地址的物联网设备的第二路径、请求了相似域名的物联网设备的第三路径、请求了邻接ip地址的物联网设备的第四路径;所述交换矩阵用于指示路径传递关系;
15、根据所述交换矩阵获取不同元路径对应的权重;
16、根据所述交换矩阵和权重获取相似性矩阵。
17、在一种可能的设计中,所述根据所述交换矩阵获取不同元路径对应的权重,包括:
18、根据每种元路径的交换矩阵获取张量t,其中,所述张量t的表达式为:tk,i,j=mk(i,j),其中,所述mk为第k种元路径对应的交换矩阵,所述i代表交换矩阵中的行元素,所述j代表交换矩阵中的列元素;
19、根据所述张量t获取表示矩阵w,其中,所述表示矩阵w的表达式为wk,i=∑jtk,i,j;
20、将所述表示矩阵w输入拉普拉斯分数算法,获取不同元路径对应的权重。
21、在一种可能的设计中,所述根据每种邻接矩阵和所述网络异质信息图中的元路径,获取每种元路径对应的交换矩阵,包括:
22、根据所述邻接矩阵获取邻接矩阵的转置矩阵;
23、若所述元路径为第一路径或第二路径,则根据域名与物联网设备的邻接矩阵或ip地址与物联网设备的邻接矩阵及对应的转置矩阵,获取所述交换矩阵;
24、若所述元路径为第三路径,则根据域名与物联网设备的邻接矩阵、相似域名邻接矩阵、以及域名与物联网设备的邻接矩阵的转置矩阵,获取所述交换矩阵;
25、若所述元路径为第四路径,则根据ip地址与物联网设备的邻接矩阵、相邻ip地址邻接矩阵、以及ip地址与物联网设备的邻接矩阵的转置矩阵,获取所述交换矩阵。
26、在一种可能的设计中,所述基于已知标签的物联网设备标识,通过相似性矩阵,使所述已知标签在物联网设备标识中扩散,得到未知标签的物联设备的分类结果,包括:
27、根据已知标签的物联网设备标识和相似性矩阵,对所述未知标签的物联网设备进行转导推理,获取未知标签的物联网设备的类别,所述转导推理用于实现所述已知标签在所述物联网设备中进行传播。
28、在一种可能的设计中,所述获取物联网设备的日志记录之后,所述方法还包括:
29、根据已知的合法域名和合法ip地址,删除所述日志记录中物联网设备请求的所述合法域名和所述物联网设备接入的合法ip地址。
30、第二方面,本申请提供一种物联网僵尸网络的检测设备,包括:
31、日志记录获取模块,用于获取预设时间窗口内的物联网设备的日志记录,其中,所述日志记录包括所述物联网设备访问的网站的域名和所述物联网设备接入的网站的ip地址的记录;
32、关联关系获取模块,用于针对每个日志记录,根据所述日志记录,获取所述物联网设备标识与域名和ip地址以及域名之间、ip地址之间的关联关系;
33、相似性矩阵计算模块,根据多个日志记录对应的所述关联关系,获取相似性矩阵,其中,所述相似度矩阵为n*n的矩阵,所述n代表物联网设备的数量,所述相似性矩阵中的元素指示了不同物联网设备之间的相似性;
34、标签扩散模块,用于基于已知标签的物联网设备标识,通过相似性矩阵,使所述已知标签在物联网设备标识中扩散,得到未知标签的物联设备的分类结果;其中,所述已知标签用于指示所述物联网设备是否被僵尸网络感染;
35、检测模块,用于根据所述分类结果,获取被僵尸网络感染的物联网设备标识。
36、在一种可能的设计中,所述关联关系获取模块具体用于:
37、根据物联网设备、域名和ip地址,确定网络异质信息图中的实体节点;
38、根据所述物联网设备对域名的访问关系、所述物联网设备对ip地址的接入关系以及具有相似关系的域名、临近的ip地址,构建实体节点之间的边;
39、根据所述实体节点之间的构建的边,确定所述关联关系。
40、在一种可能的设计中,所述相似性矩阵计算模块具体用于:
41、基于所述关联关系获取每种关联关系对应的邻接矩阵;
42、根据每种邻接矩阵和所述网络异质信息图中的元路径,获取每种元路径对应的交换矩阵;其中,所述多种元路径包括请求了同一个域名的物联网设本文档来自技高网...
【技术保护点】
1.一种物联网僵尸网络的检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述日志记录,获取所述物联网设备标识与域名和IP地址以及域名之间、IP地址之间的关联关系,包括:
3.根据权利要求2所述的方法,其特征在于,所述根据多个日志记录对应的所述关联关系,获取相似性矩阵,包括:
4.根据权利要求3所述的方法,其特征在于,所述根据所述交换矩阵获取不同元路径对应的权重,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据每种邻接矩阵和所述网络异质信息图中的元路径,获取每种元路径对应的交换矩阵,包括:
6.根据权利要求5所述的方法,其特征在于,所述基于已知标签的物联网设备标识,通过相似性矩阵,使所述已知标签在物联网设备标识中扩散,得到未知标签的物联设备的分类结果,包括:
7.根据权利要求1所述的方法,其特征在于,所述获取物联网设备的日志记录之后,所述方法还包括:
8.一种物联网僵尸网络的检测设备,其特征在于,包括:
9.一种物联网僵尸网络的检测设备,
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如权利要求1至7任一项所述的物联网僵尸网络的检测方法。
...【技术特征摘要】
1.一种物联网僵尸网络的检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述日志记录,获取所述物联网设备标识与域名和ip地址以及域名之间、ip地址之间的关联关系,包括:
3.根据权利要求2所述的方法,其特征在于,所述根据多个日志记录对应的所述关联关系,获取相似性矩阵,包括:
4.根据权利要求3所述的方法,其特征在于,所述根据所述交换矩阵获取不同元路径对应的权重,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据每种邻接矩阵和所述网络异质信息图中的元路径,获取每种元路径对应的交换矩阵,包括:
6.根据权利...
【专利技术属性】
技术研发人员:罗蒙,张建荣,马红兵,周凯,王鑫妍,于城,杜飞,刘金全,王智明,李川,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。