CN108076053A

CN108076053A - 一种面向无线物联网的实时流量侦听与异常预警系统及方法

Info

Publication number: CN108076053A
Application number: CN201711189228.XA
Authority: CN
Inventors: 李洁; 张国强; 崔洁; 陈亮; 林永峰; 石伟; 王剑锋; 项添春; 李国栋; 谢浩; 殷博; 李志斌; 黄刚; 李玉进; 王劲松; 丁月民; 薛玉岱
Original assignee: State Grid Corp of China SGCC; State Grid Tianjin Electric Power Co Ltd; Tianjin University of Technology; Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Tianjin Electric Power Co Ltd; Tianjin University of Technology; Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd
Priority date: 2017-11-24
Filing date: 2017-11-24
Publication date: 2018-05-25

Abstract

本发明涉及一种面向无线物联网的实时流量侦听与异常预警系统及方法，其技术特点在于：包括多个监听节点、边界设备和上位机；所述多个监听节点的输出端依次连接，用于对无线物联网数据流量在线实时侦听与收集；该多个监听节点的输出端分别与边界设备相连接，用于将各监听节点所侦听到的无线物联网数据流量实时输出至边界设备；所述边界设备的输出端与上位机相连接，用于通过边界设备将无线物联网数据流量输出至上位机，用于对被侦听无线物联网数据流量的实时在线分析与处理。本发明可实现对无线物联网网络流量的在线实时分析处理，可实时发现无线物联网的网络异常与恶意入侵事件，对于保障无线物联网的系统完整性与信息安全性具有重要意义。

Description

一种面向无线物联网的实时流量侦听与异常预警系统及方法

技术领域

本发明属于无线物联网技术领域，涉及无线物联网的实时流量侦听与异常预警，尤其是一种面向无线物联网的实时流量侦听与异常预警系统及方法。

背景技术

近年来，随着无线通信技术与电子信息技术的快速发展，无线物联网技术取得了重大突破。无线物联网作为现代互联网的延伸与拓展，按照一定的网络通信协议，将数据通信与信息交换的主体扩展到物品与物品之间，以构造普通物体之间的互联互通网络。鉴于其在设备智能、终端互联以及普适服务等方面的优势，目前无线物联网已被广泛应用于智能家居、智能建筑、智能安防以及智能工业等领域。

但是，受限于其技术特点与现阶段复杂的网络安全环境，无线物联网在运行过程中仍存在一定的信息安全风险。一方面，无线通信信道具有开放性的特点，不能像互联网一样划分严格的网络边界，因此难以进行严格的边界安全防护，从而在一定程度上降低了网络数据窃听、网络欺骗攻击以及拒绝服务攻击等恶意入侵事件的技术门槛。另一方面，无线物联网终端节点普遍具有有限的计算能力，难以实施复杂的信息安全加密、身份认证以及访问控制等信息安全措施，使得无线物联网数据在采集、传输、汇聚、以及决策与控制过程中都存在被窃取、篡改等信息安全风险。

发明内容

本发明的目的在于提供一种能够有效防范网络数据窃听、网络欺骗攻击以及网络数据被窃取和篡改等信息安全风险的面向无线物联网的实时流量侦听与异常预警系统及方法。

本发明解决其现实问题是采取以下技术方案实现的：

一种面向无线物联网的实时流量侦听与异常预警系统，包括多个监听节点、边界设备和上位机；所述多个监听节点的输出端依次连接，构成独立于无线物联网的数据侦听网络，用于对无线物联网数据流量在线实时侦听与收集；该多个监听节点的输出端分别与边界设备相连接，用于将各监听节点所侦听到的无线物联网数据流量实时输出至边界设备；所述边界设备的输出端与上位机相连接，用于完成对数据侦听网络的配置管理以及数据侦听网络与上位机之间的通信协议转换，并通过边界设备将无线物联网数据流量输出至上位机，用于对被侦听无线物联网数据流量的实时在线分析与处理。

而且，所述多个监听节点的输出端依次通过有线或无线的通信方式相连接，每个监听节点的覆盖范围抽象成六边形节点监听区，多个六边形节点监听区相互无缝对接，构成覆盖整个无线物联网传输范围的监听区域。

而且，所述监听节点为实时网络流量侦听装置，该监听节点由无线物联网流量接收模块、第一嵌入式处理模块、第一侦听网络通信模块和第一供电模块构成；所述无线物联网流量接收模块的输出端与第一嵌入式处理模块相连接，用于完成对该监听节点覆盖区域范围内无线物联网数据流量的实时在线侦听；所述第一嵌入式处理模块与第一侦听网络通信模块相连接，

该第一侦听网络通信模块采用有线或无线的通信方式实现多个监听节点间的组网功能，并将所侦听到的无线物联网数据流量传输到边界设备；所述第一供电模块的输出端分别与无线物联网流量接收模块、第一嵌入式处理模块和第一侦听网络通信模块相连接并为其供电。

而且，所述边界设备由第二侦听网络通信模块、第二嵌入式处理模块、上位机通信模块和第二供电模块构成；所述第二侦听网络通信模块与第二嵌入式处理模块相连接，用于实现边界设备与监听节点之间的通信功能；所述第二嵌入式处理模块与上位机通信模块相连接，该上位机通信模块相连接用于实现边界设备与上位机之间的通信功能；所述第二供电模块的输出端分别与第二侦听网络通信模块、第二嵌入式处理模块和上位机通信模块相连接并为其供电。

而且，所述上位机包括无线物联网流量实时收集模块、深度数据包分析模块、无线物联网拓扑结构分析模块、无线物联网特征提取模块、无线物联网异常预警模块、恶意入侵预警模块和可视化展示模块。

一种面向无线物联网的实时流量侦听与异常预警方法为上位机3上所执行的操作方法，包括以下步骤：

步骤1、建立监听节点、边界设备和上位机之间的实时通信功能，由监听节点进行无线物联网流量实时收集及预处理；

步骤2、由深度数据包分析模块进行深度数据包分析；

步骤3、由物联网拓扑结构分析模块进行无线物联网拓扑结构分析；

步骤4、由物联网网络特征提取模块进行无线物联网特征提取；

步骤5、由网络异常预警模块进行无线物联网异常预警；

步骤6、由恶意入侵预警模块进行恶意入侵预警；

步骤7、由可视化展示模块进行可视化展示。

而且，所述步骤1的具体方法为：建立监听节点、边界设备和上位机之间的实时通信功能，由物联网流量实时收集模块获得由监听节点在线收集的实时无线物联网数据包；同时，对收集的无线物联网数据包进行数据预处理，过滤掉由多个监听节点重复收集的冗余无线物联网数据包；

所述步骤2的具体方法为：由深度数据包分析模块对无线物联网的流量进行在线实时解析与分析处理；同时，根据无线物联网通信规约，对无线物联网流量的通信合法性进行实时分析验证；

所述步骤3的具体方法为：由物联网拓扑结构分析模块根据无线物联网数据包中的源地址、目的地址、网络地址、网络路由在内的信息，对无线物联网的网络拓扑结构进行实时在线分析识别；

所述步骤4的具体方法为：由物联网网络特征提取模块根据步骤3得到的物联网拓扑结构分析结果，对无线物联网的节点数目、数据流量、节点位置分布、应用数据内容在内的关键网络特征进行实时在线分析与提取识别；

所述步骤5的具体方法为：由网络异常预警模块根据无线物联网关键特征，对无线物联网的网络流量异常情况进行在线识别与实时预警，主要包括物联网拓扑结构异常、节点位置异常、传输数据异常、网络丢包率异常、传输时延异常；

所述步骤6的具体方法为：由恶意入侵预警模块根据步骤5得到的无线物联网异常识别结果，同时根据无线物联网的公开信息安全漏洞与恶意入侵模式，对由黑客恶意入侵导致的无线物联网异常进行实时在线分析、识别以及预警，主要包括拒绝服务攻击、物联网欺骗攻击、污水池攻击、女巫攻击、蠕虫洞攻击、泛洪攻击、虚假路由信息等，以提高无线物联网的整体信息安全防护水平；

所述步骤7的具体方法为：由可视化展示模块将包括数据包列表、网络拓扑结构、节点数目、节点位置分布、数据流量统计图表、网络丢包率统计图表、网络异常事件、恶意入侵事件在内的内容进行可视化展示。

本发明的优点和有益效果：

1、本发明提出一种面向无线物联网的实时流量侦听与异常预警系统包括多个监听节点、边界设备和上位机；所述多个监听节点之间相互连接，且该多个监听节点的输出端分别与边界设备相连接，所述边界设备的输出端与上位机相连接。本发明提供的面向无线物联网的实时流量侦听与异常预警系统及方法通过搭建独立于无线物联网的数据侦听网络，可实现对无线物联网网络流量的在线实时收集、传输与分析处理，以便实时发现无线物联网的网络异常与恶意入侵事件，对于保障无线物联网的系统完整性与信息安全性具有重要意义。

2、本发明提供的面向无线物联网的实时流量侦听与异常预警系统及方法通过部署一定数量的监听节点，通过自组织的方式构成数据侦听网络，以实现对无线物联网覆盖范围内无线数据的全方位在线实时监听与收集。同时，通过侦听网络与边界设备，将所收集的无线物联网数据传输到上位机，进行在线实时数据分析处理，以实时发现无线物联网的网络异常、恶意入侵等信息安全事件，并采取相应的信息安全防护措施，从而保证无线物联网的系统完整性与信息安全性，进而提升无线物联网的安全防护水平。

附图说明

图1为本发明的图的面向无线物联网的实时流量侦听与异常预警系统结构示意图；

图2为本发明的监听节点的组成框图；

图3为本发明的边界设备的组成框图；

图4为本发明的上位机的功能框图；

图5为本发明提供的面向无线物联网的实时流量侦听与异常预警方法处理流程图。

具体实施方式

以下结合附图对本发明实施例作进一步详述：

一种面向无线物联网的实时流量侦听与异常预警系统，如图1所示，包括多个监听节点1、边界设备2和上位机3；所述多个监听节点的输出端依次连接，构成独立于无线物联网的数据侦听网络，用于对无线物联网数据流量在线实时侦听与收集；该多个监听节点的输出端分别与边界设备相连接，用于将各监听节点1所侦听到的无线物联网数据流量实时输出至边界设备2；所述边界设备的输出端与上位机相连接，用于完成对数据侦听网络的配置管理以及数据侦听网络与上位机之间的通信协议转换，并通过边界设备2将无线物联网数据流量输出至上位机3，用于对被侦听无线物联网数据流量的实时在线分析与处理。

在本实施例中，所述多个监听节点1的输出端依次通过有线或无线的通信方式相连接，每个监听节点的覆盖范围抽象成六边形节点监听区4，多个六边形节点监听区4相互无缝对接，构成覆盖整个无线物联网传输范围5的监听区域。

在本实施例中，所述监听节点为实时网络流量侦听装置，该监听节点由无线物联网流量接收模块、第一嵌入式处理模块、第一侦听网络通信模块和第一供电模块构成；所述无线物联网流量接收模块的输出端与第一嵌入式处理模块相连接，用于完成对该监听节点覆盖区域范围内无线物联网数据流量的实时在线侦听；所述第一嵌入式处理模块与第一侦听网络通信模块相连接，该第一侦听网络通信模块采用有线或无线的通信方式实现多个监听节点间的组网功能，并将所侦听到的无线物联网数据流量传输到边界设备；所述第一供电模块的输出端分别与无线物联网流量接收模块、第一嵌入式处理模块和第一侦听网络通信模块相连接并为其供电。

在本实施例中，所述边界设备由第二侦听网络通信模块、第二嵌入式处理模块、上位机通信模块和第二供电模块构成；所述第二侦听网络通信模块与第二嵌入式处理模块相连接，用于实现边界设备2与监听节点1之间的通信功能；所述第二嵌入式处理模块与上位机通信模块相连接，该上位机通信模块相连接用于实现边界设备与上位机之间的通信功能；所述第二供电模块的输出端分别与第二侦听网络通信模块、第二嵌入式处理模块和上位机通信模块相连接并为其供电。

在本实施例中，所述上位机包括无线物联网流量实时收集模块3.1、深度数据包分析模块3.2、无线物联网拓扑结构分析模块3.3、无线物联网特征提取模块3.4、无线物联网异常预警模块3.5、恶意入侵预警模块3.6和可视化展示模块3.7；

下面分别对本发明的面向无线物联网的实时流量侦听与异常预警系统内各设备的组成和功能进行详细说明：

(1)如图2所示，所述监听节点1为实时网络流量侦听装置，其主要完成对无线物联网数据流量的在线实时侦听与收集，多个监听节点1相互连接组成侦听网络；本发明将各监听节点1的覆盖范围抽象成六边形节点监听区4，多个监听节点1的节点监听区4相互无缝对接，构成覆盖整个无线物联网传输范围5的监听区域，以实现对无线物联网传输范围5的全方位覆盖与无缝侦听；同时，各监听节点1之间通过有线或无线的通信方式构成独立于无线物联网的数据侦听网络，并通过数据侦听网络将各监听节点1所侦听到的无线物联网数据流量实时传输到边界设备2，并通过边界设备2传送给上位机3。

所述监听节点1的无线物联网流量接收模块1.1用于完成对该监听节点1覆盖区域范围内无线物联网数据流量的实时在线侦听；第一侦听网络通信模块1.3采用有线或无线的通信方式实现多个监听节点1间的组网功能，并将所侦听到的无线物联网数据流量传输到边界设备2；第一嵌入式处理模块1.2完成对无线物联网流量接收模块1.1与侦听网络通信模块1.3的控制工作。

(2)如图3所示，所述边界设备2为侦听网络边界数据交换装置，主要完成对侦听网络的配置管理以及侦听网络与上位机3之间的通信协议转换工作，并将监听节点1收集的无线物联网数据流量上传到上位机3进行分析。

所述边界设备2的第二侦听网络通信模块2.1主要实现边界设备2与监听节点1之间的通信功能；上位机通信模块2.3主要实现边界设备2与上位机3之间的通信工作；第二嵌入式处理模块2.2完成对侦听网络通信模块2.1与上位机通信模块2.3的控制功能，实现侦听网络与上位机3之间的协议转换以及对侦听网络的配置与管理相关工作。

(3)如图4所示，所述上位机3与监听节点1、边界设备2协同工作，设置在本地或远程监控端，主要完成对被侦听无线物联网数据流量的实时在线分析与处理，以发现无线物联网的数据流量异常、恶意入侵等信息安全风险。

所述上位机3包括无线物联网流量实时收集模块3.1、深度数据包分析模块3.2、无线物联网拓扑结构分析模块3.3、无线物联网特征提取模块3.4、无线物联网异常预警模块3.5、恶意入侵预警模块3.6和可视化展示模块3.7；其中：

无线物联网流量实时收集模块3.1主要负责与边界设备2的实时通信功能，以获得由监听节点1在线收集的无线物联网数据包，并进行数据预处理操作，以过滤掉由多个监听节点1重复收集的冗余无线物联网数据包，作为后续数据流量分析处理工作的基础。

深度数据包分析模块3.2主要负责无线物联网数据流量的解析与分析处理工作，并根据无线物联网通信规约，对数据流量的通信合法性进行实时在线分析验证。

无线物联网拓扑结构分析模块3.3根据无线物联网数据流量中的源地址、目的地址、网络地址、网络路由在内的信息，对被侦听无线物联网的网络拓扑结构进行实时在线分析识别。

无线物联网特征提取模块3.4根据所收集的无线物联网数据包与通信规约，对无线物联网的节点数目、数据流量、节点位置分布、应用数据内容在内的关键网络特征进行实时在线分析与提取识别。

无线物联网异常预警模块3.5根据无线物联网拓扑结构与关键网络特征，对被侦听无线物联网的网络异常情况进行在线识别与实时预警，主要包括物联网拓扑结构异常、节点位置异常、传输数据异常、网络丢包率异常、传输时延异常等。

恶意入侵预警模块3.6根据无线物联网技术的公开信息、安全漏洞信息与恶意入侵模式，对无线物联网数据流量中的潜在入侵数据进行实时在线分析、识别以及预警，以提高无线物联网的信息安全防护水平，上述信息主要包括拒绝服务攻击、物联网欺骗攻击、污水池攻击、女巫攻击、蠕虫洞攻击、泛洪攻击、虚假路由信息等。

可视化展示模块3.7主要完成对所侦听无线物联网的实时可视化展示功能，主要展示内容包括数据包列表、网络拓扑结构、节点数目、节点位置分布、数据流量统计图表、网络丢包率统计图表、网络异常事件、恶意入侵事件等。

本发明提供的一种面向无线物联网的实时流量侦听与异常预警方法为上位机3上所执行的操作方法，如图5所示，包括以下步骤：

步骤1、建立监听节点1、边界设备2和上位机3之间的实时通信功能，由监听节点进行无线物联网流量实时收集及预处理；

所述步骤1的具体方法为：建立监听节点1、边界设备2和上位机之间的实时通信功能，由物联网流量实时收集模块3.1获得由监听节点1在线收集的实时无线物联网数据包；同时，对收集的无线物联网数据包进行数据预处理，过滤掉由多个监听节点1重复收集的冗余无线物联网数据包；

步骤2、由深度数据包分析模块进行深度数据包分析；

所述步骤2的具体方法为：由深度数据包分析模块3.2对无线物联网的流量进行在线实时解析与分析处理；同时，根据无线物联网通信规约，对无线物联网流量的通信合法性进行实时分析验证；

所述步骤3的具体方法为：

由物联网拓扑结构分析模块3.3根据无线物联网数据包中的源地址、目的地址、网络地址、网络路由在内的信息，对无线物联网的网络拓扑结构进行实时在线分析识别；

所述步骤4的具体方法为：由物联网网络特征提取模块3.4根据步骤3得到的物联网拓扑结构分析结果，对无线物联网的节点数目、数据流量、节点位置分布、应用数据内容在内的关键网络特征进行实时在线分析与提取识别；

步骤5、由网络异常预警模块进行无线物联网异常预警；

所述步骤5的具体方法为：由网络异常预警模块3.5根据无线物联网关键特征，对无线物联网的网络流量异常情况进行在线识别与实时预警，主要包括物联网拓扑结构异常、节点位置异常、传输数据异常、网络丢包率异常、传输时延异常；

步骤6、由恶意入侵预警模块进行恶意入侵预警；

所述步骤6的具体方法为：由恶意入侵预警模块3.6根据步骤5得到的无线物联网异常识别结果，同时根据无线物联网的公开信息安全漏洞与恶意入侵模式，对由黑客恶意入侵导致的无线物联网异常进行实时在线分析、识别以及预警，主要包括拒绝服务攻击、物联网欺骗攻击、污水池攻击、女巫攻击、蠕虫洞攻击、泛洪攻击、虚假路由信息等，以提高无线物联网的整体信息安全防护水平；

步骤7、由可视化展示模块进行可视化展示；

所述步骤7的具体方法为：由可视化展示模块3.7将包括数据包列表、网络拓扑结构、节点数目、节点位置分布、数据流量统计图表、网络丢包率统计图表、网络异常事件、恶意入侵事件在内的内容进行可视化展示。

需要强调的是，本发明所述实施例是说明性的，而不是限定性的，因此本发明包括并不限于具体实施方式中所述实施例，凡是由本领域技术人员根据本发明的技术方案得出的其他实施方式，同样属于本发明保护的范围。

Claims

1.一种面向无线物联网的实时流量侦听与异常预警系统，其特征在于：包括多个监听节点、边界设备和上位机；所述多个监听节点的输出端依次连接，构成独立于无线物联网的数据侦听网络，用于对无线物联网数据流量在线实时侦听与收集；该多个监听节点的输出端分别与边界设备相连接，用于将各监听节点所侦听到的无线物联网数据流量实时输出至边界设备；所述边界设备的输出端与上位机相连接，用于完成对数据侦听网络的配置管理以及数据侦听网络与上位机之间的通信协议转换，并通过边界设备将无线物联网数据流量输出至上位机，用于对被侦听无线物联网数据流量的实时在线分析与处理。

2.根据权利要求1所述的一种面向无线物联网的实时流量侦听与异常预警系统，其特征在于：所述多个监听节点的输出端依次通过有线或无线的通信方式相连接，每个监听节点的覆盖范围抽象成六边形节点监听区，多个六边形节点监听区相互无缝对接，构成覆盖整个无线物联网传输范围的监听区域。

3.根据权利要求1或2所述的一种面向无线物联网的实时流量侦听与异常预警系统，其特征在于：所述监听节点为实时网络流量侦听装置，该监听节点由无线物联网流量接收模块、第一嵌入式处理模块、第一侦听网络通信模块和第一供电模块构成；所述无线物联网流量接收模块的输出端与第一嵌入式处理模块相连接，用于完成对该监听节点覆盖区域范围内无线物联网数据流量的实时在线侦听；所述第一嵌入式处理模块与第一侦听网络通信模块相连接，该第一侦听网络通信模块采用有线或无线的通信方式实现多个监听节点间的组网功能，并将所侦听到的无线物联网数据流量传输到边界设备；所述第一供电模块的输出端分别与无线物联网流量接收模块、第一嵌入式处理模块和第一侦听网络通信模块相连接并为其供电。

4.根据权利要求1或2所述的一种面向无线物联网的实时流量侦听与异常预警系统，其特征在于：所述边界设备由第二侦听网络通信模块、第二嵌入式处理模块、上位机通信模块和第二供电模块构成；所述第二侦听网络通信模块与第二嵌入式处理模块相连接，用于实现边界设备与监听节点之间的通信功能；所述第二嵌入式处理模块与上位机通信模块相连接，该上位机通信模块相连接用于实现边界设备与上位机之间的通信功能；所述第二供电模块的输出端分别与第二侦听网络通信模块、第二嵌入式处理模块和上位机通信模块相连接并为其供电。

5.根据权利要求1或2所述的一种面向无线物联网的实时流量侦听与异常预警系统，其特征在于：所述上位机包括无线物联网流量实时收集模块、深度数据包分析模块、无线物联网拓扑结构分析模块、无线物联网特征提取模块、无线物联网异常预警模块、恶意入侵预警模块和可视化展示模块。

6.如权利要求1至5任一项权利要求所述的一种面向无线物联网的实时流量侦听与异常预警系统的实时流量侦听与异常预警方法，其特征在于：包括以下步骤：

步骤2、由深度数据包分析模块进行深度数据包分析；

步骤5、由网络异常预警模块进行无线物联网异常预警；

步骤6、由恶意入侵预警模块进行恶意入侵预警；

步骤7、由可视化展示模块进行可视化展示。

7.根据权利要求6所述的一种面向无线物联网的实时流量侦听与异常预警系统的实时流量侦听与异常预警方法，其特征在于：所述步骤1的具体方法为：建立监听节点、边界设备和上位机之间的实时通信功能，由物联网流量实时收集模块获得由监听节点在线收集的实时无线物联网数据包；同时，对收集的无线物联网数据包进行数据预处理，过滤掉由多个监听节点重复收集的冗余无线物联网数据包。