CN109600363A - 一种物联网终端网络画像及异常网络访问行为检测方法 - Google Patents
一种物联网终端网络画像及异常网络访问行为检测方法 Download PDFInfo
- Publication number
- CN109600363A CN109600363A CN201811430789.9A CN201811430789A CN109600363A CN 109600363 A CN109600363 A CN 109600363A CN 201811430789 A CN201811430789 A CN 201811430789A CN 109600363 A CN109600363 A CN 109600363A
- Authority
- CN
- China
- Prior art keywords
- network
- terminal
- portrait
- value
- level index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种物联网终端网络画像及异常网络访问行为检测方法,包括如下步骤:(1)统计网络流量特征信息;(2)构建物联网终端的网络画像;(3)将建立的网络画像与终端自身的历史画像进行比对以检测异常,若有明显差异,判断终端网络访问异常;(4)将建立的网络画像与同类终端的网络画像进行比对以检测异常,若有明显差异,判断终端网络访问异常;否则,判断终端的网络访问行为正常。本发明专利以物联网终端产生的网络流量整体为考察对象,并将单条网络流量的异常分析结果作为一个参考因素,因而可以实现物联网终端异常网络访问行为的准确检测。
Description
技术领域
本发明属于网络安全、物联网终端安全防护等领域,具体涉及一种物联网终端网络画像及异常网络访问行为检测方法。
背景技术
物联网通过组合信息传感设备、智能通讯系统以及大数据分析技术,把全球范围内的物理实体、信息系统和人有机连接起来,提供丰富的智能化服务。伴随着物联网的产生和发展,各种物联网智能终端设备也越来越多地出现在人们的日常生活当中,如智能手表/手环、智能电表、智能门锁、扫地机器人等。
然而在物联网终端设备大规模普及的同时,也给物联网的网络安全保护带来了巨大的挑战。现有物联网终端侧重于功能实现,在设计上普遍忽略安全问题,因而黑客可轻易利用物联网终端的安全漏洞,使其成为传统网络攻击的新工具。如2016年10月,黑客借助主要由智能摄像头组成的Mirai僵尸网络发动DDoS攻击,使得美国东海岸地区遭受大面积网络瘫痪。
由于物联网终端大多功能、资源有限,难以在终端设备上部署传统的杀毒软件等工具进行安全防护。因此,对物联网终端产生的网络流量进行建模分析,进而检测出异常的网络访问行为,增强物联网的网络安全防护,具有重要意义。
中国专利申请CN 108270620 A公开了一种基于画像技术的网络异常检测方法,该方法包括:获取网络中的设备的相关数据信息;根据相关数据信息构造设备向量;计算设备向量与设备对应的设备画像间的设备偏差;计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差;在设备偏差和/或类型偏差超过设定阈值时,发出告警,以实现网络异常检测。该方法在实施过程中存在网络异常检测特征考虑不足、异常检测方法单一等问题,异常检测效果欠佳。
发明内容
本发明解决的技术问题是如何检测物联网终端的异常网络访问行为,提高网络安全。
为解决上述技术问题,本发明提供了一种物联网终端网络画像及异常网络访问行为检测方法,包括如下步骤:
(1)统计一定时间范围内物联网终端产生的网络流量特征信息;
(2)基于统计的流量特征信息,构建物联网终端的网络画像;
(3)将建立的网络画像与终端自身的历史画像进行比对以检测异常,若有明显差异,判断终端网络访问异常;
(4)将建立的网络画像与同类终端的网络画像进行比对以检测异常,若有明显差异,判断终端网络访问异常;否则,判断终端的网络访问行为正常。
具体的,所述步骤(1)具体包括如下步骤:
(1-1)设定时间范围区间,记为T;
(1-2)从网络报文中提取终端的IP地址和MAC地址,分别记为Aip和Amac。以<Aip,Amac>组合为物联网终端标记,执行步骤(1-3)至(1-11)进行该终端的网络流量特征分析统计;
(1-3)统计T时间范围内终端产生的网络流量数量,记为N;
(1-4)统计T时间范围内终端产生的所有TCP和UPD流量数量;
(1-5)在T时间范围内,针对终端产生的N条网络流量,分别统计其上行和下行流量的报文长度的总和值,分别记为Bu(i)和Bd(i),i表示第i条网络流量;
(1-6)分别计算T时间范围内所有上行流量和下行流量的报文长度的总和值,分别记为Su和Sd,Su计算为Sd计算为
(1-7)在T时间范围内,针对终端产生的N条网络流量,统计其持续时长,记为c(i),i表示第i条网络流量,将第i条网络流量中最后一个报文的出现时间减去第一个报文的出现时间,即为持续时长c(i);
(1-8)计算T时间范围内网络流量持续的总时长值,记为C,C计算为
(1-9)在T时间范围内,提取与终端交互的所有目标IP地址,记第j个目标地址为IPdst(j);
(1-10)统计T时间范围内出现的目标IP地址的数量,记为D;
(1-11)在T时间范围内,针对终端产生的每一条网络流量i,分析其是否异常,并统计异常流量的数量,记为M。
优选的,在步骤(1-1)中,可根据具体业务特点设定时间范围T的值。如物联网终端产生的流量较少,T可设置为一个星期;若物联网终端产生的流量较多,T值可设置为一天等。在实际应用中,可多次调整T的值以检验异常网络访问行为的检测效果,从而确定最优的T值。
优选的,在步骤(1-2)中,针对不同的物联网终端,可同时执行步骤(1-3)至(1-11),从而加快网络流量的分析处理速度。
优选的,在步骤(1-3)中,以五元组<源IP地址,目标IP地址,源端口,目标端口,上层协议>表示一条网络流量。其中,源IP地址即为物联网终端所配置的IP地址Aip,上层协议为传输层协议,如TCP、UDP等。
优选的,在步骤(1-5)中,上行表示网络报文由物联网终端发往目标地址,下行表示网络报文由目标地址发往物联网终端。将网络流量i中所有上行报文的长度进行相加,即为Bu(i);将网络流量i中所有下行报文的长度进行相加,即为Bd(i)。报文的长度仅指数据的长度,不包括报文头部的长度。
优选的,在步骤(1-9)中,重复的目标地址只记录一次。
优选的,在步骤(1-11)中,可使用Snort、Bro等工具确定网络流量i是否异常,也可采用其它新的方法,如单类支持向量机等异常检测算法等确定网络流量i是否异常。
具体的,所述步骤(2)具体包括如下步骤:
(2-1)设定终端网络画像的一级指标;本发明专利以基本属性、网络流量统计属性以及网络流量异常属性为三个一级指标。
(2-2)设定终端网络画像的二级指标;针对一级指标基本属性,包含的二级指标包括物联网终端的IP地址和MAC地址;针对网络流量统计属性,包含的二级指标包括网络流量数量N、上行流量报文长度的总和值Su、下行流量报文长度的总和值Sd、网络流持续的总时间长度值C以及目标IP地址的数量D;针对网络流量异常属性,包含的二级指标为异常流量的数量M。
(2-3)设定终端网络画像的三级指标。对于二级指标网络流量数量N,包含的三级指标为TCP流量数量和UPD流量数量;对于二级指标上行流量报文长度的总和值Su,包含的三级指标为网络流量i的上行报文长度的总和值Bu(i),i=1,2,…,N;对于二级指标下行流量报文长度的总和值Sd,包含的三级指标为网络流量i下行的报文长度的总和值Bd(i),i=1,2,…,N;对于二级指标网络流持续的总时间长度值C,包含的三级指标为网络流量的持续时长c(i),i=1,2,…,N;对于二级指标目标IP地址的数量D,包含的三级指标为目标地址IPdst(j),j=1,2,…,D。
具体的,所述步骤(3)具体包括如下步骤:
(3-1)设定历史窗口大小值w,选择终端最近w个画像作为比较数据集。记终端当前画像为Pt,下标t表示当前时刻,选择的最近w个历史画像分别记为Pt-T,Pt-2T,…,Pt-wT,即每一个画像的秩序时间均为T,、wT表示w和T的乘积;
(3-2)若当前画像Pt中IP或MAC地址同Pt-T中的IP或MAC地址至少一个不一致,则产生告警,表明可能存在更换硬件设备风险并进行步骤(3-3);若完全一致则进行步骤(4);
(3-3)计算Pt-T,Pt-2T,…,Pt-wT中的各二级指标,包括:网络流量数量、上行流量报文长度的总和值、下行流量报文长度的总和值、网络流持续的总时间长度值、目标IP地址的数量、异常流量的数量的均值;将Pt-T,Pt-2T,…,Pt-wT中各指标的值相加,然后除以数字w,即为各指标的均值;
(3-4)若Pt中的二级指标:网络流量数量、上行流量报文长度的总和值、下行流量报文长度的总和值、网络流持续的总时间长度值、目标IP地址的数量、异常流量的数量,同历史画像的均值相比,至少一个超过设定的阈值,则可能存在异常网络访问,继续执行步骤(3-5)进行判断,否则执行步骤(4)内容;
(3-5)对Pt,Pt-T,Pt-2T,…,Pt-wT中的三级指标进行预处理,然后使用孤立森林等机器学习方法进行异常检测。若检测结果为异常,则产生告警。否则,执行步骤(4)内容;使用机器学习方法对终端画像的三级指标进行异常检测。即步骤(3-3)和(3-4)为初步判断,而步骤(3-5)为进一步的分析检测。
优选的,在步骤(3-4)中,可使用欧式距离比较Pt同历史画像间的差别。记步骤(3-3)中算出的网络流量数量的均值为上行流量报文长度的总和值的均值为下行流量报文长度的总和值的均值为网络流持续的总时间长度值的均值为目标IP地址的数量的均值为异常流量的数量的均值为则欧式距离d(w)计算为:
设定的阈值为τ,若d(w)>τ,则可能存在异常,执行步骤(3-5)。否则,执行步骤(4)内容。
优选的,在步骤(3-4)中,还可以采用其它距离计算方法,如马氏距离、夹角余弦、切比雪夫距离等。
在步骤(3-4)中,在距离计算时,可预先对各参数进行归一化处理。
优选的,在步骤(3-5)中,当使用孤立森林异常检测算法时,数据预处理只需将目标地址IPdst(j)表示为十进制数字即可。
在步骤(3-5)中,当使用孤立森林异常检测算法时,将历史画像Pt-T,Pt-2T,…,Pt-wT中的三级指标作为训练样本,对孤立森林算法进行训练,建立异常检测模型。
在步骤(3-5)中,使用Pt中的三级指标作为输入,对建立的异常检测模型进行测试。若检测为反列(计算结果为-1),则判定终端网络访问行为异常。
在步骤(3-5)中,可根据实际的物联网终端和网络情况选择不同的机器学习方法,数据预处理过程也可发生相应变化。
具体的,所述步骤(4)具体包括如下步骤:
(4-1)选择h个同类终端,记选择的同类终端的当前画像为Pt(z),z=1,2,…h;
(4-2)计算Pt(1),Pt(2),…,Pt(h)中的各二级指标,包括:网络流量数量、上行流量报文长度的总和值、下行流量报文长度的总和值、网络流持续的总时间长度值、目标IP地址的数量、异常流量的数量各二级指标的均值,将Pt(1),Pt(2),…,Pt(h)中各指标的值相加,然后除以数字h,即为各指标的均值;
(4-3)若Pt中的二级指标:网络流量数量、上行流量报文长度的总和值、下行流量报文长度的总和值、网络流持续的总时间长度值、目标IP地址的数量、异常流量的数量各二级指标的均值,同同类终端的指标均值相比,超过设定的阈值,则可能存在异常网络访问,继续执行步骤(4-4),否则结束执行,判定终端网络访问行为正常;
(4-4)对Pt,Pt(1),Pt(2),…,Pt(h)中的三级指标进行预处理,然后使用孤立森林等机器学习方法进行异常检测。若检测结果为异常,则产生告警。否则,判定终端网络访问行为正常。
优选的,在步骤(4-1)中,可根据具体物联网应用场景选择同类终端,如农场中部署的多个温度传感器、街道上安装的多个摄像头等。其总体原则可概括为选择在同一应用部署中的同一业务类型终端。
优选的,在步骤(4-3)中,可使用欧式距离比较Pt同同类终端画像间的差别。记步骤(4-2)中算出的网络流量数量的均值为上行流量报文长度的总和值的均值为下行流量报文长度的总和值的均值为网络流持续的总时间长度值的均值为目标IP地址的数量的均值为异常流量的数量的均值为则欧式距离d(h)计算为:
设定的阈值为ω,若d(h)>ω,则可能存在异常,执行步骤(4-4)。否则,判定终端网络访问行为正常。
优选的,在步骤(4-3)中,还可以采用其它距离计算方法,如马氏距离、夹角余弦、切比雪夫距离等。
在步骤(4-3)中,在距离计算时,可预先对各参数进行归一化处理。
优选的,在步骤(4-4)中,当使用孤立森林异常检测算法时,数据预处理只需将三级指标中的目标地址IPdst表示为十进制数字即可。
在步骤(4-4)中,当使用孤立森林异常检测算法时,将同类终端画像Pt(1),Pt(2),…,Pt(h)中的三级指标作为训练样本,对孤立森林算法进行训练,建立异常检测模型。
在步骤(4-4)中,使用Pt中的三级指标作为输入,对建立的异常检测模型进行测试。若检测为反列(计算结果为-1),则判定终端网络访问行为异常。
在步骤(4-4)中,可根据实际的物联网终端和网络情况选择不同的机器学习方法,数据预处理过程也可发生相应变化。
本发明的有益效果
(1)以物联网终端产生的整体流量为考察对象,异常网络访问行为的检测更加准确;
(2)在进行异常网络访问行为检测时,先进行二级指标值的初步判定,若有异常,再对三级指标进行进一步的机器学习方法判定,检测更加高效;
(3)通过同终端自身的历史画像数据和同类终端的画像数据进行比对,能有效检测出不同类型的恶意攻击行为。如:恶意代码嵌入(网络行为与同类终端不一致)、黑客入侵(网络行为与自身历史数据以及同类终端均不一致)、伪冒终端(如窃取合法终端的SIM卡,然后使用黑客自身设备接入物联网中。此时,终端的网络行为与自身历史数据以及同类终端均不一致)等。
附图说明
图1为本发明终端网络访问行为的画像内容。
图2为实施例中终端网络画像示例图。
图3为实施例中终端历史画像示例图。
图4为实施例中同类终端的画像示例图。
具体实施方式
下面结合实施例对本发明作进一步说明,但本发明的保护范围不限于此:
我们假设某芯片工厂建设有工业物联网,通过在生产车间中部署温度-湿度传感器,对芯片生产环境进行监控。温度-湿度传感器通过无线网络,如WiFi,定时(每30分钟)将监测数据发送至后台服务器。为了方便描述,下面假设某一温度-湿度传感器A在部署过程中,被竞争对手嵌入恶意模块,窃取芯片生产车间内的环境参数,并发送至恶意服务器供竞争对手分析使用。本发明专利提供的方法部署在无线网络网关处,对温度-湿度传感器的网络行为进行异常检测分析。同时,在无线网络网关处部署传统的防火墙和入侵检测系统,对流量内容进行攻击检测,产生单条流量的异常告警。
(1),根据图1所示的画像内容,时间范围T设为2小时,统计T时间范围内温度-湿度传感器A产生的网络流量特征信息;
(2)基于步骤(1)获得的网络流量特征信息的,构建温度-湿度传感器A的网络访问行为画像Pt,如图2所示。
(3),将画像Pt同其历史画像进行比较,历史窗口大小值w设定为3,设定的阈值τ为50。历史画像如图3所示。首先比较IP地址和MAC地址,没有变化。其次,计算历史画像选定二级指标的平均值,计算结果如下:
网络流量数量的均值
上行流量报文长度的总和值的均值为字节;
下行流量报文长度的总和值的均值为字节;
网络流持续的总时间长度值的均值为秒;
目标IP地址的数量的均值为
异常流量的数量的均值为
欧式距离d(w)=32.5,小于设定的阈值50,执行步骤(4)。
(4),将画像Pt同其同类终端的网络访问行为画像进行比较,同类终端数量h设定为3,设定的阈值ω为100。同类终端的网络访问行为画像如图4所示。计算同类终端画像选定二级指标的平均值,计算结果如下:
网络流量数量的均值为
上行流量报文长度的总和值的均值为字节;
下行流量报文长度的总和值的均值为字节;
网络流持续的总时间长度值的均值为秒;
目标IP地址的数量的均值为
异常流量的数量的均值为
欧式距离d(h)=522.2,大于设定的阈值100,可能存在异常,则使用机器学习方法进行异常检测。
本实施例中采用孤立森林的方法,以同类终端的三级指标为训练样本,对孤立森林算法进行训练,得出孤立森林异常检测模型。然后以Pt中的三级指标为测试样本,使用训练得出的孤立森林异常检测模型进行判定。判定结果为-1,则产生告警,成功检测出异常的温度-湿度传感器A。当基于sklearn实现孤立森林异常检测时,核心代码如下:
from sklearn.ensemble import IsolationForest
iFExp=IsolationForest(max_samples=100*2,random_state=rng)
y_train=iFExp.predict(X_train)
y_outliers=iFExp.predict(X_outliers)
其中,X_train保存训练样本,X_outliers报文测试样本。y_outliers结果为-1,表明测试样本异常。
由此可见,区别于背景技术中的专利申请CN 108270620 A,本申请通过步骤(2-1)中考虑终端基本属性(IP地址、MAC地址),能识别终端伪冒攻击;通过考虑步骤(2-1)中的网络流量异常属性,使得本方法可以和已有网络安全工具如Snort或Bro等进行组合使用,使得检测效果更加精准;使得检测速度得到提高,检测结果更加精确、误检率低。
需要声明的是,本发明内容及具体实施方式意在证明本发明所提供技术方案的实际应用,不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理启发下,可作各种修改、等同替换、或改进。但这些变更或修改均在申请待批的保护范围内。
本文中所描述的具体实施例仅仅是对本发明精神做举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
Claims (10)
1.一种物联网终端网络画像及异常网络访问行为检测方法,其特征在于,所述方法包括如下步骤:
(1)统计一定时间范围内物联网终端产生的网络流量特征信息;
(2)基于统计的流量特征信息,构建物联网终端的网络画像;
(3)将建立的网络画像与终端自身的历史画像进行比对以检测异常,判断终端网络访问是否异常:若判断终端网络访问无异常则进行步骤(4)进一步判断;
(4)将建立的网络画像与同类终端的网络画像进行比对以检测异常,判断终端网络访问是否异常:若判断终端网络访问无异常则认定终端的网络访问行为正常。
2.根据权利要求1所述的方法,其特征在于,所述步骤(1)包括如下步骤:
(1-1)设定时间范围区间,记为T;
(1-2)从网络报文中提取终端的IP地址和MAC地址,分别记为Aip和Amac,以<Aip,Amac>组合为物联网终端标记,执行步骤(1-3)至(1-11)进行该终端的网络流量特征分析统计;
(1-3)统计T时间范围内终端产生的网络流量数量,记为N;
(1-4)统计T时间范围内终端产生的所有TCP和UPD流量数量;
(1-5)在T时间范围内,针对终端产生的N条网络流量,分别统计其上行和下行流量的报文长度的总和值,分别记为Bu(i)和Bd(i),i表示第i条网络流量;
(1-6)分别计算T时间范围内所有上行流量和下行流量的报文长度的总和值,分别记为Su和Sd;
(1-7)在T时间范围内,针对终端产生的N条网络流量,统计其持续时长,记为c(i),i表示第i条网络流量;
(1-8)计算T时间范围内网络流量持续的总时长值,记为C;
(1-9)在T时间范围内,提取与终端交互的所有目标IP地址,记第j个目标地址为IPdst(j);
(1-10)统计T时间范围内出现的目标IP地址的数量,记为D;
(1-11)在T时间范围内,针对终端产生的每一条网络流量,分析其是否异常,并统计异常流量的数量,记为M。
3.根据权利要求2所述的方法,其特征在于,在步骤(1-1)中,根据具体业务特点设定时间范围T的值。
4.根据权利要求2所述的方法,其特征在于,在步骤(1-2)中,同时执行步骤(1-3)至(1-11),从而加快网络流量的分析处理速度。
5.根据权利要求2所述的方法,其特征在于,在步骤(1-11)中,使用Snort或Bro工具,或使用单类支持向量机的异常检测算法确定网络流量是否异常。
6.根据权利要求1所述的方法,其特征在于,所述步骤(2)包括如下步骤:
(2-1)设定终端网络画像的一级指标,以基本属性、网络流量统计属性以及网络流量异常属性为三个一级指标;
(2-2)设定终端网络画像的二级指标,针对一级指标基本属性,包含的二级指标包括物联网终端的IP地址和MAC地址;针对网络流量统计属性,包含的二级指标包括网络流量数量N、上行流量报文长度的总和值、下行流量报文长度的总和值、网络流持续的总时间长度值以及目标IP地址的数量;针对网络流量异常属性,包含的二级指标为异常流量的数量;
(2-3)设定终端网络画像的三级指标,对于二级指标网络流量数量N,包含的三级指标为TCP流量数量和UPD流量数量;对于二级指标上行流量报文长度的总和值,包含的三级指标为第i条网络流量的上行报文长度的总和值Bu(i),i=1,2,…,N;对于二级指标下行流量报文长度的总和值,包含的三级指标为第i条网络流量下行的报文长度的总和值Bd(i),i=1,2,…,N;对于二级指标网络流持续的总时间长度值,包含的三级指标为网络流量的持续时长c(i),i=1,2,…,N;对于二级指标目标IP地址的数量,包含的三级指标为目标地址IPdst(j),j=1,2,…,D。
7.根据权利要求1所述的方法,其特征在于,所述步骤(3)包括如下步骤:
(3-1)设定历史窗口大小值w,选择终端最近w个画像作为比较数据集,记终端当前画像为Pt,下标t表示当前时刻,选择的最近w个历史画像分别记为Pt-T,Pt-2T,…,Pt-wT,即每一个画像的秩序时间均为T,、wT表示w和T的乘积;
(3-2)若当前画像Pt中IP或MAC地址同Pt-T中的IP或MAC地址至少一个不一致,则产生告警,表明可能存在更换硬件设备风险并进行步骤(3-3);若完全一致则进行步骤(4);
(3-3)计算Pt-T,Pt-2T,…,Pt-wT中的各二级指标,包括:网络流量数量、上行流量报文长度的总和值、下行流量报文长度的总和值、网络流持续的总时间长度值、目标IP地址的数量、异常流量的数量的均值;
(3-4)若Pt中的二级指标:网络流量数量、上行流量报文长度的总和值、下行流量报文长度的总和值、网络流持续的总时间长度值、目标IP地址的数量、异常流量的数量,同历史画像的均值相比,至少一个超过设定的阈值,则可能存在异常网络访问,继续执行步骤(3-5)进行判断,否则执行步骤(4)内容;
(3-5)对Pt,Pt-T,Pt-2T,…,Pt-wT中的三级指标进行预处理,然后使用机器学习方法进行异常检测:若检测结果为异常,则产生告警;否则,执行步骤(4)内容。
8.根据权利要求7所述的方法,其特征在于,在步骤(3-4)中,使用欧式距离、马氏距离、夹角余弦、切比雪夫距离中任一种距离计算方法来比较Pt同历史画像间的差别。
9.根据权利要求1所述的方法,其特征在于,所述步骤(4)具体包括如下步骤:
(4-1)选择h个同类终端,记选择的同类终端的当前画像为Pt(z),z=1,2,…h;
(4-2)计算Pt(1),Pt(2),…,Pt(h)中的各二级指标,包括:网络流量数量、上行流量报文长度的总和值、下行流量报文长度的总和值、网络流持续的总时间长度值、目标IP地址的数量、异常流量的数量各二级指标的均值;
(4-3)若Pt中的二级指标:网络流量数量、上行流量报文长度的总和值、下行流量报文长度的总和值、网络流持续的总时间长度值、目标IP地址的数量、异常流量的数量各二级指标的均值,同同类终端的指标均值相比,超过设定的阈值,则可能存在异常网络访问,继续执行步骤(4-4);否则结束执行,判定终端网络访问行为正常;
(4-4)对Pt,Pt(1),Pt(2),…,Pt(h)中的三级指标进行预处理,然后使用机器学习方法进行异常检测:若检测结果为异常,则产生告警;否则,判定终端网络访问行为正常。
10.根据权利要求9所述的方法,其特征在于,在步骤(4-3)中,使用欧式距离、马氏距离、夹角余弦、切比雪夫距离中任一种距离计算方法来比较Pt同同类终端画像间的差别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811430789.9A CN109600363B (zh) | 2018-11-28 | 2018-11-28 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811430789.9A CN109600363B (zh) | 2018-11-28 | 2018-11-28 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109600363A true CN109600363A (zh) | 2019-04-09 |
CN109600363B CN109600363B (zh) | 2020-01-21 |
Family
ID=65960389
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811430789.9A Active CN109600363B (zh) | 2018-11-28 | 2018-11-28 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109600363B (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110912904A (zh) * | 2019-11-27 | 2020-03-24 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
CN111277598A (zh) * | 2020-01-21 | 2020-06-12 | 北京天琴合创技术有限公司 | 一种基于流量的应用攻击识别方法及系统 |
CN111510443A (zh) * | 2020-04-07 | 2020-08-07 | 全球能源互联网研究院有限公司 | 基于设备画像的终端监测方法和终端监测装置 |
CN111507878A (zh) * | 2020-04-08 | 2020-08-07 | 北京信息科技大学 | 一种基于用户画像的网络犯罪嫌疑人侦查方法及系统 |
CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
CN111614614A (zh) * | 2020-04-14 | 2020-09-01 | 瑞数信息技术(上海)有限公司 | 应用于物联网的安全监测方法和装置 |
CN111669368A (zh) * | 2020-05-07 | 2020-09-15 | 宜通世纪科技股份有限公司 | 端到端网络感知异常检测及分析方法、系统、装置和介质 |
CN112583830A (zh) * | 2020-12-13 | 2021-03-30 | 北京哈工信息产业股份有限公司 | 一种物联网终端网络行为防护系统 |
CN112600792A (zh) * | 2020-11-23 | 2021-04-02 | 国网山东省电力公司青岛供电公司 | 一种物联网设备的异常行为检测方法及系统 |
CN112671724A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 一种终端安全检测分析方法、装置、设备及可读存储介质 |
CN112686462A (zh) * | 2021-01-06 | 2021-04-20 | 广州视源电子科技股份有限公司 | 基于学生画像的异常检测方法、装置、设备及存储介质 |
CN112953961A (zh) * | 2021-03-14 | 2021-06-11 | 国网浙江省电力有限公司电力科学研究院 | 配电房物联网中设备类型识别方法 |
CN113572768A (zh) * | 2021-07-23 | 2021-10-29 | 国家计算机网络与信息安全管理中心 | 僵尸网络的家族规模的异常检测方法和装置 |
CN113904812A (zh) * | 2021-09-18 | 2022-01-07 | 中标慧安信息技术股份有限公司 | 一种基于孤立森林的物联网入侵检测方法 |
CN114050922A (zh) * | 2021-11-05 | 2022-02-15 | 国网江苏省电力有限公司常州供电分公司 | 一种基于时空ip地址画像的网络流异常检测方法 |
CN114202817A (zh) * | 2021-11-30 | 2022-03-18 | 广州市凌特电子有限公司 | 一种etc无线电环境监测保障方法、系统、设备及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050286430A1 (en) * | 2004-06-24 | 2005-12-29 | Fujitsu Limited | Abnormal traffic eliminating apparatus |
CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
CN107733937A (zh) * | 2017-12-01 | 2018-02-23 | 广东奥飞数据科技股份有限公司 | 一种异常网络流量检测方法 |
CN108076053A (zh) * | 2017-11-24 | 2018-05-25 | 国网天津市电力公司电力科学研究院 | 一种面向无线物联网的实时流量侦听与异常预警系统及方法 |
CN108270620A (zh) * | 2018-01-15 | 2018-07-10 | 深圳市联软科技股份有限公司 | 基于画像技术的网络异常检测方法、装置、设备及介质 |
-
2018
- 2018-11-28 CN CN201811430789.9A patent/CN109600363B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050286430A1 (en) * | 2004-06-24 | 2005-12-29 | Fujitsu Limited | Abnormal traffic eliminating apparatus |
CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
CN108076053A (zh) * | 2017-11-24 | 2018-05-25 | 国网天津市电力公司电力科学研究院 | 一种面向无线物联网的实时流量侦听与异常预警系统及方法 |
CN107733937A (zh) * | 2017-12-01 | 2018-02-23 | 广东奥飞数据科技股份有限公司 | 一种异常网络流量检测方法 |
CN108270620A (zh) * | 2018-01-15 | 2018-07-10 | 深圳市联软科技股份有限公司 | 基于画像技术的网络异常检测方法、装置、设备及介质 |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110912904B (zh) * | 2019-11-27 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
CN110912904A (zh) * | 2019-11-27 | 2020-03-24 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
CN111277598A (zh) * | 2020-01-21 | 2020-06-12 | 北京天琴合创技术有限公司 | 一种基于流量的应用攻击识别方法及系统 |
CN111510443B (zh) * | 2020-04-07 | 2022-07-15 | 全球能源互联网研究院有限公司 | 基于设备画像的终端监测方法和终端监测装置 |
CN111510443A (zh) * | 2020-04-07 | 2020-08-07 | 全球能源互联网研究院有限公司 | 基于设备画像的终端监测方法和终端监测装置 |
CN111507878B (zh) * | 2020-04-08 | 2023-06-02 | 北京信息科技大学 | 一种基于用户画像的网络犯罪嫌疑人侦查方法及系统 |
CN111507878A (zh) * | 2020-04-08 | 2020-08-07 | 北京信息科技大学 | 一种基于用户画像的网络犯罪嫌疑人侦查方法及系统 |
CN111614614A (zh) * | 2020-04-14 | 2020-09-01 | 瑞数信息技术(上海)有限公司 | 应用于物联网的安全监测方法和装置 |
CN111614614B (zh) * | 2020-04-14 | 2022-08-05 | 瑞数信息技术(上海)有限公司 | 应用于物联网的安全监测方法和装置 |
CN111669368A (zh) * | 2020-05-07 | 2020-09-15 | 宜通世纪科技股份有限公司 | 端到端网络感知异常检测及分析方法、系统、装置和介质 |
CN111669368B (zh) * | 2020-05-07 | 2022-12-06 | 宜通世纪科技股份有限公司 | 端到端网络感知异常检测及分析方法、系统、装置和介质 |
CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
CN112600792A (zh) * | 2020-11-23 | 2021-04-02 | 国网山东省电力公司青岛供电公司 | 一种物联网设备的异常行为检测方法及系统 |
CN112671724A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 一种终端安全检测分析方法、装置、设备及可读存储介质 |
CN112583830B (zh) * | 2020-12-13 | 2021-08-10 | 北京哈工信息产业股份有限公司 | 一种物联网终端网络行为防护系统 |
CN112583830A (zh) * | 2020-12-13 | 2021-03-30 | 北京哈工信息产业股份有限公司 | 一种物联网终端网络行为防护系统 |
CN112686462A (zh) * | 2021-01-06 | 2021-04-20 | 广州视源电子科技股份有限公司 | 基于学生画像的异常检测方法、装置、设备及存储介质 |
CN112953961A (zh) * | 2021-03-14 | 2021-06-11 | 国网浙江省电力有限公司电力科学研究院 | 配电房物联网中设备类型识别方法 |
CN113572768A (zh) * | 2021-07-23 | 2021-10-29 | 国家计算机网络与信息安全管理中心 | 僵尸网络的家族规模的异常检测方法和装置 |
CN113572768B (zh) * | 2021-07-23 | 2022-12-09 | 国家计算机网络与信息安全管理中心 | 一种僵尸网络家族传播源数量变化异常的分析方法 |
CN113904812A (zh) * | 2021-09-18 | 2022-01-07 | 中标慧安信息技术股份有限公司 | 一种基于孤立森林的物联网入侵检测方法 |
CN114050922A (zh) * | 2021-11-05 | 2022-02-15 | 国网江苏省电力有限公司常州供电分公司 | 一种基于时空ip地址画像的网络流异常检测方法 |
CN114050922B (zh) * | 2021-11-05 | 2023-07-21 | 国网江苏省电力有限公司常州供电分公司 | 一种基于时空ip地址画像的网络流异常检测方法 |
CN114202817A (zh) * | 2021-11-30 | 2022-03-18 | 广州市凌特电子有限公司 | 一种etc无线电环境监测保障方法、系统、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109600363B (zh) | 2020-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
CN105429963B (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
Chen et al. | A novel Low-rate Denial of Service attack detection approach in ZigBee wireless sensor network by combining Hilbert-Huang Transformation and Trust Evaluation | |
Qin et al. | DDoS attack detection using flow entropy and clustering technique | |
US20210319113A1 (en) | Method for generating malicious samples against industrial control system based on adversarial learning | |
CN103581186B (zh) | 一种网络安全态势感知方法及系统 | |
Chen et al. | CBF: a packet filtering method for DDoS attack defense in cloud environment | |
Ellens et al. | Flow-based detection of DNS tunnels | |
Shamsolmoali et al. | Statistical-based filtering system against DDOS attacks in cloud computing | |
CN107135093A (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
Duan et al. | Application of a dynamic line graph neural network for intrusion detection with semisupervised learning | |
CN103152222B (zh) | 一种基于主机群特征检测速变攻击域名的方法 | |
CN105577679A (zh) | 一种基于特征选择与密度峰值聚类的异常流量检测方法 | |
CN106685984A (zh) | 一种基于数据包捕获技术的网络威胁分析系统及方法 | |
CN109284296A (zh) | 一种大数据pb级分布式信息存储与检索平台 | |
CN109768981B (zh) | 一种在sdn架构下基于机器学习的网络攻击防御方法和系统 | |
CN109391599A (zh) | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 | |
Pan et al. | Anomaly based intrusion detection for building automation and control networks | |
CN113114618B (zh) | 一种基于流量分类识别的物联网设备入侵检测的方法 | |
Anumol | Use of machine learning algorithms with SIEM for attack prediction | |
US20240080337A1 (en) | Device, method, and system for supporting botnet traffic detection | |
CN105871861B (zh) | 一种自学习协议规则的入侵检测方法 | |
Matoušek et al. | Efficient modelling of ICS communication for anomaly detection using probabilistic automata | |
Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |