针对物联网的设备类型识别及网络入侵检测方法与流程

本发明涉及互联网技术领域，具体涉及一种针对物联网的设备类型识别及网络入侵检测方法。

背景技术：

近年来，随着物联网技术兴起，越来越多的智能家居等电子设备进入人们视线，给人们生活提供更多便利，无处不在地改变着人们的生活，各大厂家各种生产的基于物联网的产品也与日俱增。然而，目前生产的物联网产品质量参差不齐，标准不统一，而且厂家在设计生产产品时往往忽视了安全性的问题，物联网也成为信息安全保护的重灾区。为保证安全性，需要针对物联网的安全防护系统，目前的常见解决方案可以划分为两种：升级受影响的设备固件与入侵检测系统。相这两类方法在识别新型攻击时效率低下，只有供应商更新才能检测新型攻击,而这可能导致重大延时、造成安全损失，无法很好应对高速增长的物联网市场。而基于物联网特点，设计的系统常面对以下问题：每天都有大量新物联网产品问世，而其中很大部分存在安全隐患。入侵者也针对这些设备漏洞的随时开发恶意软件，因而保证物联网设备的安全性所需的资源、精力是动态增长变化的；物联网设备可用存储空间、计算资源、电源能力有限，因而不适用传统针对设备上的入侵检测；物联网设备具有异质性，设备个体的特征分布比较分散，不同种类的设备之间各方面都有较大差别，而且每类设备功能相对有限；对比其他高端设备，物联网设备产生的网络流量较少，而且其中大多数是不定期的用户访问查询。

技术实现要素：

本发明的目的在于针对现有技术的缺陷和不足，提供一种针对物联网的设备类型识别及网络入侵检测方法，采用网关来监听网络内所有物联网设备的通信情况，使所有物联网设备直接或间接地连到网关，从而可检测它们到因特网的所有通信与物联网设备间的本地通信，通过性能更强的网关进行本地数据处理，避免物联网设变资源紧缺。

为实现上述目的，本发明采用的技术方案是：它包含设备类型识别匹配系统及异常检测系统；设备类型识别匹配系统中设有设备指纹识别模块；异常检测系统中设有异常检测模块；在局域网内，所有的物联网设备与个人电脑、智能手机应用直接或间接连接到安全网关接入因特网，安全网关中的设备指纹识别模块监测物联网设备所有的通信行为并提取通信行为的数学特征，再将特征发送至异常检测模块和中央物联网服务中心的正常通信行为特征数据集；安全网关中的异常检测模块在数据训练阶段，基于正常通信行为特征数据集生成异常检测数学模型，并将异常检测数学模型上传至安全服务中心备份；在实时检测阶段，异常检测模块使用异常检测数学模型基于当前通信行为的数学特征对当前通信行为是否异常做出判定，并对异常行为实时触发警报。

进一步地，针对物联网络的设备类型检测方法包含如下步骤：

一、提取物联网设备流量的通信周期：根据物联网设备网络通信流量的周期性特点，分析其通信特征，找出周期，为进一步提取特征提供预处理数据；安全网关通过解包数据链路层提供的mac地址识别不同的设备，对mac地址不同的设备分别处理；安全网关根据设备网络流量提取其周期采用傅里叶变换与求自相关函数两种数学方法；

提取物联网设备流量的通信周期的方法包含如下步骤：

a、监听设备在(0～d)s内的通信情况，由于网络流量统计数据格式不尽相同，为统一格式，首先以秒为单位对流量信息进行离散化处理，具体做法为根据设备在第i个时间段内是否有通信定义该时刻段内输出yi是否为1(如取1s为单位，yi表示is至(i+1)s内该设备是否有通信行为)；以下公式以时间段为1s定义；

b、根据公式一对yi做离散傅里叶变化:

公式一：其中

设ymax为频域内的最大值，记录频域内取值大于0.8*ymax的所有频率值，记为ki，作为候选频率，根据得出预选周期；首先，为提高计算速度、增强识别能力，忽略过短与过长的周期；其次，为确定预选周期yi能否衡量通信的周期性，根据公式二计算y(n)在每个候选周期处的自相关函数值：

公式二：

若ryy(ti)在区间[0.9*ti,1.1*ti]内可以在li处取到最大值,则判定周期内存在周期，并将ti更新为li；

c、定义ri与rni：安全网关通过公式三及公式四衡量周期ti的准确度：

公式三：

公式四：

其中ri表示周期为ti的信号在(0～d)s出现的频率，稳定的周期通信应当满足ri＝1；rni计算ti及与它相邻的周期在0～ds内出现频率，稳定的周期通信应当满足ri≈rni≈1；

从而，可以将(0～d)s采集的通信信息转化为{(t1,r1,rn1),(t2,r2,rn2),…,(tn,rn,rnn)}。

二、提取周期特征：为了进一步提高数据的利用率，测算第一步得出的周期的统计特性，安全网关将一段周期分为若干段，重复利用根据由流量转换而来的{(t1,r1,rn1),(t2,r2,rn2),…,(tn,rn,rnn)}数据，提取的特征分为四类，分别为：(1)周期基本信息；(2)周期推断准确度，由于将周期分为了多个小段，安全网关计算从每个小段得出的均值、方差、标准差等统计信息来衡量计算的周期是否足够稳定、精确；(3)周期持续时间，将计算的周期划分到相应的区间范围中，便于之后聚类模型测算不同物联网设备的差别，方便分类，提高辨别准确度；(4)推断周期的统计上的稳定度，安全网关计算各段的ri,rni，用ri、rni所处的区间范围进行衡量；

三、对提取的特征分类汇总，获得具体分类：对周期提取特征后，利用knn算法将采集的不同设备的特征进行分类；具体方法如下：

安全网关检测设备流量后，提取其特征并传送到物联网安全服务汇总处理；物联网安全服务通过欧式距离衡量多个安全网关提供的不同物联网设备的特征之间的差距，利用knn算法将设备分类；在接收到分布安全网关提供的特征时，物联网安全服务计算它与已有特征的欧氏距离来衡量差距，若该特征匹配与该设备的特征欧氏距离最接近的k个设备中大多数所属于的类型，则将它归于此类，并用于加强该类型识别训练，否则将它记录为新的类型；新的类型为聚类算法得出的虚拟类型；若该特征不匹配某一已知类型，则将其标注，而当某区域内的样例足够多时，将该区域内的设备标注为新的设备类型；物联网安全服务中心在做出判断后，将判决结果与knn训练结果回传给本地网关；随时间累积，模型学习更多的特征类型，物联网安全服务可识别的设备数目也随之增加，鉴别也更精确。

进一步地，步骤二中的周期基本信息包含检测到的周期数目、是否为单周期、所用通信协议、源端口是否发生变化与变化的频率；

进一步地，针对物联网络的设备类型检测方法包含如下步骤：

一、正常数据收集阶段：系统部署初期，安全网关监听物联网设备正常通信；安全网关将初期获取的正常数据包流量<pkt1,pkt2,…,pktn>转化为符号序列<s1,s2,…,sn>，通过提取特征，pkti被映射为si，安全网关根据设备类型标记，分别提取特征，不同的设备类型将对应不同的gru训练识别模型；安全网关将<pkt1,pkt2,…,pktn>提取特征，转化为符号序列<s1,s2,…,sn>，供针对相应类型的gru模型学习训练；

提取的特征包含流量方向、通信的源端口与目的端口、通信数据的长度、流量传输层tcp协议head中flag的值、具体采用的协议类型、数据包的产生间隔；

二、正常数据训练：

本地安全网关利用提取的特征<s1,s2,…,sn>，训练本地gru神经网络，而后将训练结果上传到物联网安全服务中心，服务中心汇总来自多个局域网安全网关的训练结果并统一整合，形成整合全体数据的gru神经网络，再将整合结果下发到各个本地网关，作为进一步的判决模型；

三、实时异常检测：

物联网内的物联网设备若被恶意程序侵染，安全网关开始识别异常通信；安全网关监听物联网设备通信并提取特征<s1,s2,…,sn>，将符号序列作为输入，用物联网安全服务中心整合的gru神经网络进行鉴别，gru神经网络可输出相应符号的出现概率；为方便描述，做如下定义：

定义1：当由流量pkti映射的符号si的出现概率pi满足pi<δ时，称流量pkti是可疑流量，其中δ为设定的阈值；

定义2：对于流量序列<pkt1,pkt2,…,pktω>，ω为窗口长度；当其中可疑流量的数目超过阈值ω*γ时，称流量序列<pkt1,pkt2,…,pktω>是可疑的，即流量序列<pkt1,pkt2,…,pktω>是可疑的，当且仅当

经过第一步正常流量的训练，gru网络对正常流量的输出概率较高，而异常流量在第一步中未经过训练，gru给出的概率小；通过设定合适的阈值，安全网关可以鉴别出异常流量；鉴别后，若为正常流量，则本地网关利用它强化gru网络的训练；为了降低误报率，安全网关定义了异常流量序列，只有当窗口内有多个流量出现异常时才发出警报；由于物联网设备的异质性，不同局域网的通信特征有较大差异，故安全网关将识别结果上传到物联网安全服务中心，安全中心整合数据再次形成新的整体识别模型，下发到各个本地网关，提高识别能力。

采用上述方案后，本发明有益效果为：本发明所述的针对物联网的设备类型识别及网络入侵检测方法，可以高效地检测局域网内物联网设备类型并加以分类、监测网络通信并识别异常行为；入侵检测系统由设备类型识别匹配系统与异常检测系统两个子系统构成，类型识别系统能够根据设备周期性通信的特点提取设备特征，根据周期的统计特性等进行分类汇总，将设备分为抽象类型；异常检测系统基于gru神经网络的模式识别系统可学习记忆正常通信行为从而建立正常行为序列模型，由于gru神经网络针对每个设备类型分别设计，所以识别精度更高，误报率大大降低。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明的具体架构示意图。

具体实施方式

下面结合附图，对本发明作进一步的说明。

本具体实施方式采用的技术方案是：它包含设备类型识别匹配系统及异常检测系统；设备类型识别匹配系统中设有设备指纹识别模块；异常检测系统中设有异常检测模块；参看图1所示，在局域网内，所有的物联网设备与个人电脑、智能手机应用直接或间接连接到安全网关接入因特网，安全网关中的设备指纹识别模块监测物联网设备所有的通信行为并提取通信行为的数学特征，再将特征发送至异常检测模块和中央物联网服务中心的正常通信行为特征数据集；安全网关中的异常检测模块在数据训练阶段，基于正常通信行为特征数据集生成异常检测数学模型，并将异常检测数学模型上传至安全服务中心备份；在实时检测阶段，异常检测模块使用异常检测数学模型基于当前通信行为的数学特征对当前通信行为是否异常做出判定，并对异常行为实时触发警报。

针对物联网络的设备类型检测方法包含如下步骤：

一、提取物联网设备流量的通信周期：根据物联网设备网络通信流量的周期性特点，分析其通信特征，找出周期，为进一步提取特征提供预处理数据；安全网关通过解包数据链路层提供的mac地址识别不同的设备，对mac地址不同的设备分别处理；安全网关根据设备网络流量提取其周期采用傅里叶变换与求自相关函数两种数学方法；

提取物联网设备流量的通信周期的方法包含如下步骤：

a、监听设备在(0～d)s内的通信情况，由于网络流量统计数据格式不尽相同，为统一格式，首先以秒为单位对流量信息进行离散化处理，具体做法为根据设备在第i个时间段内是否有通信定义该时刻段内输出yi是否为1(如取1s为单位，yi表示is至(i+1)s内该设备是否有通信行为)；以下公式以时间段为1s定义；

b、根据公式一对yi做离散傅里叶变化:

公式一：其中

设ymax为频域内的最大值，记录频域内取值大于0.8*ymax的所有频率值，记为ki，作为候选频率，根据得出预选周期；首先，为提高计算速度、增强识别能力，忽略过短与过长的周期；其次，为确定预选周期yi能否衡量通信的周期性，根据公式二计算y(n)在每个候选周期处的自相关函数值：

公式二：

若ryy(ti)在区间[0.9*ti,1.1*ti]内可以在li处取到最大值,则判定周期内存在周期，并将ti更新为li；

c、定义ri与rni：安全网关通过公式三及公式四衡量周期ti的准确度：

公式三：

公式四：

其中ri表示周期为ti的信号在(0～d)s出现的频率，稳定的周期通信应当满足ri＝1；rni计算ti及与它相邻的周期在0～ds内出现频率，稳定的周期通信应当满足ri≈rni≈1；

从而，可以将(0～d)s采集的通信信息转化为{(t1,r1,rn1),(t2,r2,rn2),…,(tn,rn,rnn)}。

二、提取周期特征：为了进一步提高数据的利用率，测算第一步得出的周期的统计特性，安全网关将一段周期分为若干段，重复利用根据由流量转换而来的{(t1,r1,rn1),(t2,r2,rn2),…,(tn,rn,rnn)}数据，提取的特征分为四类，分别为：(1)周期基本信息，周期基本信息包含检测到的周期数目、是否为单周期、所用通信协议、源端口是否发生变化与变化的频率；(2)周期推断准确度，由于将周期分为了多个小段，安全网关计算从每个小段得出的均值、方差、标准差等统计信息来衡量计算的周期是否足够稳定、精确；(3)周期持续时间，将计算的周期划分到相应的区间范围中，便于之后聚类模型测算不同物联网设备的差别，方便分类，提高辨别准确度；(4)推断周期的统计上的稳定度，安全网关计算各段的ri,rni，用ri、rni所处的区间范围进行衡量；

三、对提取的特征分类汇总，获得具体分类：对周期提取特征后，利用knn算法将采集的不同设备的特征进行分类；具体方法如下：

安全网关检测设备流量后，提取其特征并传送到物联网安全服务汇总处理；物联网安全服务通过欧式距离衡量多个安全网关提供的不同物联网设备的特征之间的差距，利用knn算法将设备分类；在接收到分布安全网关提供的特征时，物联网安全服务计算它与已有特征的欧氏距离来衡量差距，若该特征匹配与该设备的特征欧氏距离最接近的k个设备中大多数所属于的类型，则将它归于此类，并用于加强该类型识别训练，否则将它记录为新的类型；新的类型为聚类算法得出的虚拟类型；若该特征不匹配某一已知类型，则将其标注，而当某区域内的样例足够多时，将该区域内的设备标注为新的设备类型；物联网安全服务中心在做出判断后，将判决结果与knn训练结果回传给本地网关；随时间累积，模型学习更多的特征类型，物联网安全服务可识别的设备数目也随之增加，鉴别也更精确。

针对物联网络的设备类型检测方法的原理为：物联网恶意程序在感染正常设备时会影响设备的正常工作，产生异常的通信流量，由于假设系统运行初期，物联网设备并未被感染，此时安全网关可以记录收集设备正常的流量特征进行学习；在工作时，安全网关记录物联网设备的通信特征并提取特征信息，进行判别是否出现异常。

安全网关将初期获取的正常数据包流量<pkt1,pkt2,…,pktn>转化为符号序列<s1,s2,…,sn>，通过提取特征，pkti被映射为si；

为解决单个局域网产生的通信流量少、不具备代表性的问题，在本地安全网关用以上<s1,s2,…,sn>符号集数据训练学习gru网络后，将训练结果上传到物联网安全服务中心，物联网安全服务对各个安全网关上传的训练结果进行汇总，并下发到各个本地网关系统以加强本地安全网关识别能力；gru学习由正常网络流量产生的符号序列建立正常流量序列模型；在实时检测时，序列模型可对当前流量的异常度进行测试，如果当前流量的多个连续序列的异常度超过阈值，就会被判决为异常流量并发出警报。

因此，针对物联网络的设备类型检测方法，包含如下步骤：

一、正常数据收集阶段：系统部署初期，安全网关监听物联网设备正常通信；安全网关将初期获取的正常数据包流量<pkt1,pkt2,…,pktn>转化为符号序列<s1,s2,…,sn>，通过提取特征，pkti被映射为si，安全网关根据设备类型标记，分别提取特征，不同的设备类型将对应不同的gru训练识别模型；安全网关将<pkt1,pkt2,…,pktn>提取特征，转化为符号序列<s1,s2,…,sn>，供针对相应类型的gru模型学习训练；

提取的特征包含流量方向、通信的源端口与目的端口、通信数据的长度、流量传输层tcp协议head中flag的值、具体采用的协议类型、数据包的产生间隔；

二、正常数据训练：

本地安全网关利用提取的特征<s1,s2,…,sn>，训练本地gru神经网络，而后将训练结果上传到物联网安全服务中心，服务中心汇总来自多个局域网安全网关的训练结果并统一整合，形成整合全体数据的gru神经网络，再将整合结果下发到各个本地网关，作为进一步的判决模型；

三、实时异常检测：

物联网内的物联网设备若被恶意程序侵染，安全网关开始识别异常通信；安全网关监听物联网设备通信并提取特征<s1,s2,…,sn>，将符号序列作为输入，用物联网安全服务中心整合的gru神经网络进行鉴别，gru神经网络可输出相应符号的出现概率；为方便描述，做如下定义：

定义1：当由流量pkti映射的符号si的出现概率pi满足pi<δ时，称流量pkti是可疑流量，其中δ为设定的阈值；

定义2：对于流量序列<pkt1,pkt2,…,pktω>，ω为窗口长度；当其中可疑流量的数目超过阈值ω*γ时，称流量序列<pkt1,pkt2,…,pktω>是可疑的，即流量序列<pkt1,pkt2,…,pktω>是可疑的，当且仅当

经过第一步正常流量的训练，gru网络对正常流量的输出概率较高，而异常流量在第一步中未经过训练，gru给出的概率小；通过设定合适的阈值，安全网关可以鉴别出异常流量；鉴别后，若为正常流量，则本地网关利用它强化gru网络的训练；为了降低误报率，安全网关定义了异常流量序列，只有当窗口内有多个流量出现异常时才发出警报；由于物联网设备的异质性，不同局域网的通信特征有较大差异，故安全网关将识别结果上传到物联网安全服务中心，安全中心整合数据再次形成新的整体识别模型，下发到各个本地网关，提高识别能力。

本具体实施方式所述的针对物联网的设备类型识别及网络入侵检测方法，具有以下优点：

1、设置了网关来监听网络内所有物联网设备的通信情况，使所有物联网设备直接或间接地连到网关，从而可检测它们到因特网的所有通信与物联网设备间的本地通信，通过性能更强的网关进行本地数据处理，避免物联网设变资源紧缺；

2、根据物联网设备异质性的特点，对每类设备进行建模，保证每个异常检测模型接受的输入基本有限而且相近，使得系统对异常变化的检测更为敏感，识别能力更强，降低错误报警率；

3、系统可以自动识别所需要的设备的通信数据并提取特征，然后用无监督的机器学习方法将设备特征分类，除特殊情况不需要人力，而且系统不需要初始数据，移植性强，适应高速增长的设备数量与种类；

4、采用中央物联网服务部分，整合多个网关提供的信息，并选用需要较少训练数据的神经网络算法gru，解决了物联网设备通信少的问题。

以上所述，仅用以说明本发明的技术方案,而非限制本领域普通技术人员对本发明的技术方案所做的其它修改或者等同替换，只要不脱离本发明技术方案的精神和范围，均应涵盖在本发明的权利要求范围当中。