CN111010387B - 一种物联网设备非法替换检测方法、装置、设备及介质 - Google Patents

一种物联网设备非法替换检测方法、装置、设备及介质 Download PDF

Info

Publication number
CN111010387B
CN111010387B CN201911259242.1A CN201911259242A CN111010387B CN 111010387 B CN111010387 B CN 111010387B CN 201911259242 A CN201911259242 A CN 201911259242A CN 111010387 B CN111010387 B CN 111010387B
Authority
CN
China
Prior art keywords
internet
information
things
things equipment
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911259242.1A
Other languages
English (en)
Other versions
CN111010387A (zh
Inventor
邢东洋
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911259242.1A priority Critical patent/CN111010387B/zh
Publication of CN111010387A publication Critical patent/CN111010387A/zh
Application granted granted Critical
Publication of CN111010387B publication Critical patent/CN111010387B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种物联网设备非法替换检测方法,包括:获取物联网设备的运行信息,其中,运行信息包括网络信息、进程信息、文件信息、应用信息和流量信息中的至少一项;对运行信息进行特征提取处理,得到物联网设备的运行特征;将运行特征输入聚类模型,利用聚类模型对运行特征进行聚类处理,得到物联网设备非法替换检测结果;该方法通过特征提取处理得到物联网设备的运行特征,通过聚类模型对运行特征进行聚类处理,可以得到物联网设备非法替换检测结果,解决了现有物联网安全检测方法无法检测针对物联网设备进行非法替换的问题;此外,本发明还提供了一种物联网设备非法替换检测装置、设备及计算机可读存储介质,同样具有上述有益效果。

Description

一种物联网设备非法替换检测方法、装置、设备及介质
技术领域
本发明涉及物联网技术领域,特别涉及一种物联网设备非法替换检测方法、物联网设备非法替换检测装置、物联网设备非法替换检测设备及计算机可读存储介质。
背景技术
物联网(Internet of Things,IoT)是基于互联网、传统电信网等信息承载体,让所有能行使独立功能的普通物体实现互联互通的网络。其应用领域主要包括运输和物流、工业制造、健康医疗、智能环境(家庭、办公、工厂)等,具有十分广阔的市场前景。
在物联网快速发展和应用的过程中,出现了针对物联网设备进行非法替换的问题。非法替换是指攻击者将原本物联网中的设备进行下线,并利用其它设备替代原本的设备进行上执行其他的任务。现有物联网安全检测方法侧重于信息的传输加密,能够解决数据或信息传输过程中流量被劫持的问题,对于物联网终端仅能进行简单防护,且仅局限于单个终端的问题。现有物联网安全检测方法对于针对物联网设备的非法替换问题无法检测。
因此,如何解决现有物联网安全检测方法无法检测针对物联网设备进行非法替换的问题,是本领域技术人员需要解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种物联网设备非法替换检测方法、物联网设备非法替换检测装置、物联网设备非法替换检测设备及计算机可读存储介质,解决了现有物联网安全检测方法无法检测针对物联网设备进行非法替换的问题。
为解决上述技术问题,本发明提供了一种物联网设备非法替换检测方法,包括:
获取物联网设备的运行信息,其中,所述运行信息包括网络信息、进程信息、文件信息、应用信息和流量信息中的至少一项;
对所述运行信息进行特征提取处理,得到所述物联网设备的运行特征;
将所述运行特征输入聚类模型,利用所述聚类模型对所述运行特征进行聚类处理,得到物联网设备非法替换检测结果。
可选地,所述对所述运行信息进行特征提取处理,得到所述物联网设备的运行特征,包括:
计算所述运行信息中各个项目的哈希值,利用所述哈希值构建所述运行特征。
可选地,所述利用所述哈希值构建所述运行特征,包括:
对各个所述哈希值进行最小长度对齐处理,得到压缩哈希值;
将所述压缩哈希值从小到大排列构建所述运行特征。
可选地,所述获取物联网设备的运行信息,包括:
获取所述物联网设备的网络连接信息和终端监听端口信息作为所述网络信息;
获取所述物联网设备的进程ID、进程名称、进程参数、进程状态和进程运行时间作为所述进程信息;
获取所述物联网设备的文件目录、文件名称、文件大小和文件特征值作为所述文件信息;
获取所述物联网设备的应用名称、应用路径和应用内存消耗作为所述应用信息;
获取所述物联网设备的CPU流量作为所述流量信息。
可选地,所述计算所述运行信息中各个项目的哈希值,利用所述哈希值构建所述运行特征,包括:
计算所述网络信息中各个网络项目的网络哈希值,将各个所述网络哈希值按照由小到大排序组成网络向量,将所述网络向量确定为第一运行特征;
计算所述进程信息中各个进程项目的进程哈希值,将各个所述进程哈希值按照由小到大排序组成进程向量,将所述进程向量确定为第二运行特征;
计算所述文件信息中各个文件项目的文件哈希值,将各个所述文件哈希值按照由小到大排序组成文件向量,将所述文件向量确定为第三运行特征;
计算所述应用信息中各个应用项目的应用哈希值,将各个所述应用哈希值按照由小到大排序组成应用向量,将所述应用向量确定为第四运行特征;
计算所述流量信息中各个流量项目的流量哈希值,将各个所述流量哈希值按照由小到大排序组成流量向量,将所述流量向量确定为第五运行特征。
可选地,所述将所述运行特征输入聚类模型,包括:
将所述第一运行特征、所述第二运行特征、所述第三运行特征、所述第四运行特征、所述第五运行特征输入K-means聚类模型。
可选地,在获取物联网设备的运行信息之前,还包括:
获取初始K-means聚类模型和训练数据集;
确定迭代次数,利用所述训练数据集对所述初始K-means聚类模型进行训练,直至训练次数等于所述迭代次数,得到所述K-means聚类模型。
本发明还提供了一种物联网设备非法替换检测装置,包括:
获取模块,用于获取物联网设备的运行信息,其中,所述运行信息包括网络信息、进程信息、文件信息、应用信息和流量信息中的至少一项;
特征提取模块,用于对所述运行信息进行特征提取处理,得到所述物联网设备的运行特征;
处理模块,用于将所述运行特征输入聚类模型,利用所述聚类模型对所述运行特征进行聚类处理,得到物联网设备非法替换检测结果。
本发明还提供了一种物联网设备非法替换检测设备,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现上述的物联网设备非法替换检测方法。
本发明还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的物联网设备非法替换检测方法。
本发明提供的物联网设备非法替换检测方法,获取物联网设备的运行信息,其中,运行信息包括网络信息、进程信息、文件信息、应用信息和流量信息中的至少一项。对运行信息进行特征提取处理,得到物联网设备的运行特征。将运行特征输入聚类模型,利用聚类模型对运行特征进行聚类处理,得到物联网设备非法替换检测结果。
可见,该方法采集物联网设备的运行信息,由于非法替换后的设备不属于当前的物联网,且替换后的设备执行的任务与原本的物联网设备执行的任务也不相同,因此运行信息有所差异。通过特征提取处理得到运行特征,运行特征可以表示该物联网设备的运行状态。通过聚类模型对运行特征进行聚类处理,可以确定运行特征所属分类,进而得到物联网设备非法替换检测结果,解决了现有物联网安全检测方法无法检测针对物联网设备进行非法替换的问题。
此外,本发明还提供了一种物联网设备非法替换检测装置、物联网设备非法替换检测设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种物联网设备非法替换检测方法流程图;
图2为本发明实施例提供的一种运行特征构建过程流程图;
图3为本发明实施例提供的另一种运行特征构建过程流程图;
图4为本发明实施例提供的一种聚类模型训练过程流程图;
图5为本发明实施例提供的一种物联网设备非法替换检测系统的结构示意图;
图6为本发明实施例提供的一种物联网设备非法替换检测装置的结构示意图;
图7为本发明实施例提供的一种物联网设备非法替换检测设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例提供的一种物联网设备非法替换检测方法流程图。该方法包括:
S101:获取物联网设备的运行信息。
具体的,本发明由中心平台或物联网中的特定设备执行本发明提供的物联网设备非法替换检测方法。物联网设备即为物联网终端,设备的具体种类本实施例不做限定,各个物联网设备在运行时均会产生运行信息,运行信息可以表示物联网设备的运行状态以及工作内容。
其中,运行信息可以包括网络信息、进程信息、文件信息、应用信息和流量信息中的至少一种,其具体内容本实施例不做限定。例如可以仅包含网络信息,或仅包含进程信息,或仅包含文件信息,或仅包含应用信息,或仅包含流量信息;或者可以包括全部五种信息,即包括网络信息、进程信息、文件信息、应用信息和流量信息;或者可以根据实际需要在五种信息中任意选择两种、三种或四种作为运行信息。网络信息可以包括网络连接信息和终端监听端口信息等网络项目,用于表示物联网设备的网络状态;进程信息可以包括进程ID、进程名称、进程参数、进程状态和进程运行时间等进程项目,用于表示物联网设备的进程运行情况;文件信息可以包括文件目录、文件名称、文件大小和文件特征值(MD5值)等文件项目,用于表示物联网设备的文件情况;应用信息可以包括应用名称、应用路径和应用内存消耗等应用项目,用于表示物联网设备的应用运行状况;流量信息可以包括CPU流量等流量项目,用于表示物联网设备的流量使用情况。
本实施例并不限定运行信息的具体获取方式,例如可以直接从各个物联网设备读取所需的运行信息;或者可以由物联网设备读取自身的运行信息,并将运行信息加密打包得到数据包后发送给中心平台,中心平台对数据包进行解密,得到对应的运行信息。
S102:对运行信息进行特征提取处理,得到物联网设备的运行特征。
在获取物联网设备的运行信息后,对运行信息进行特征提取处理,得到物联网设备的运行特征。本实施例并不限定特征提取处理的具体方法和过程,可以根据实际情况进行选择,例如可以利用训练好的特征提取模型对运行信息进行特征提取处理;或者可以计算运行信息的特征值,例如哈希值,利用特征值作为其对应的运行特征,则计算过程即为特征提取过程。根据运行信息内容的不同,采用的特征提取方法可能不同,具体可以根据实际情况进行选择。
运行特征可以表示物联网设备的运行情况,用于输入聚类模型,对物联网设备进行非法替换检测。运行特征可以为运行特征向量,或者可以表现为其他形式。
S103:将运行特征输入聚类模型,利用聚类模型对运行特征进行聚类处理,得到物联网设备非法替换检测结果。
在得到运行特征后,将运行特征输入聚类模型。聚类模型为训练好的初始聚类模型,用于对运行特征进行聚类处理以便得到物联网设备非法替换检测结果。聚类模型对应着相应的聚类算法,聚类算法可以为K-MEANS聚类算法,或者可以为均值偏移聚类算法,或者可以为层次聚类算法或其他类型的聚类算法。聚类算法可以根据实际情况进行选择,例如如果想要实现较快的聚类速度,则可以采用较简单的聚类算法;或者如果想要实现较高的聚类精度,则可以采用较复杂的聚类算法。
利用聚类模型对运行特征进行聚类处理,得到物联网设备非法替换检测结果。本实施例并不限定聚类模型对运行特征进行聚类处理的具体过程,该过程与聚类模型的种类以及运行特征的内容和形式有关。物联网设备非法替换检测结果可以为被非法替换或未被非法替换;或者还可以包括更多结果,例如可以引入可能被非法替换的百分比,例如物联网设备非法替换检测结果可以为80%可能被非法替换,或者可以为0%可能被非法替换等;或者可以为上述两种方式的结合,例如当可能被非法替换的百分比超过预设阈值,例如75%时确定被非法替换,当可能被非法替换的百分比低于预设阈值时输出物联网设备非法替换的百分比,例如40%可能被非法替换。在得到检测结果后,还可以执行后续操作,例如输出物联网设备非法替换检测结果,或者可以发出告警信息。
应用本发明实施例提供的物联网设备非法替换检测方法,采集物联网设备的运行信息,由于非法替换后的设备不属于当前的物联网,且替换后的设备执行的任务与原本的物联网设备执行的任务也不相同,因此运行信息有所差异。通过特征提取处理得到运行特征,运行特征可以表示该物联网设备的运行状态。通过聚类模型对运行特征进行聚类处理,可以确定运行特征所属分类,进而得到物联网设备非法替换检测结果,解决了现有物联网安全检测方法无法检测针对物联网设备进行非法替换的问题。
基于上述发明实施例,本发明实施例将说明一种具体的运行特征构建过程,即对S102步骤进行进一步说明。请参考图2,图2为本发明实施例提供的一种运行特征构建过程流程图,包括:
S201:计算运行信息中各个项目的哈希值。
在本发明实施例中,为了提高物联网设备非法替换检测的速度,采用哈希算法对运行信息进行特征提取。具体的,利用哈希算法计算运行信息中各个项目的哈希值,本实施例并不限定哈希算法的具体种类,例如可以为MD5算法,或者可以为SHA1算法。可以采用一种哈希算法计算所有项目的哈希值,也可以采用多种哈希算法,不同算法计算不同项目的哈希值。
S202:利用哈希值构建运行特征。
利用哈希值构建运行特征,具体的,可以利用哈希值构建一个向量,将该向量确定为运行特征。由于不同物联网设备的运行信息中项目的数量和种类可能不同,例如物联网设备A的运行信息中没有应用路径的信息,而物联网设备B的运行信息中没有进程运行时间的信息,因此将其构建为一个向量可能会导致聚类模型无法区分向量中参数的具体意义,造成分类不准确的问题。因此本发明实施例中优选的,根据运行信息中各个项目的类别构建多个向量,并将这多个向量均作为运行特征。具体的,本发明实施例中运行信息包括网络信息、进程信息、文件信息、应用信息和流量信息共五种信息,因此可以利用网络信息中各个网络项目的网络哈希值组成第一运行特征,利用进程信息中各个进程项目的进程哈希值组成第二运行特征,利用文件信息中各个文件项目的文件哈希值组成第三运行特征,利用应用信息中各个应用项目的应用哈希值组成第四运行特征,利用流量信息中各个流量项目的流量哈希值组成第五运行特征。
应用本发明实施例提供的物联网设备非法替换检测方法,计算运行信息中各个项目的哈希值并利用哈希值构建运行特征,可以提高物联网设备非法替换检测的速度,减少物联网设备非法替换检测所需的时间。
基于上述发明实施例,为了提高物联网设备非法替换检测的准确率,本发明实施例将说明另一种运行特征的构建过程,对S202步骤进行具体说明。请参考图3,图3为本发明实施例提供的另一种运行特征构建过程流程图,包括:
S2021:对各个哈希值进行最小长度对齐处理,得到压缩哈希值。
在本发明实施例中,采用多种哈希算法计算运行信息的哈希值。在计算得到各个项目的哈希值后,对各个哈希值进行最小长度对齐处理。由于各个哈希算法计算得到的哈希值长度可能不同,因此可以对各个哈希值进行最小长度对齐处理,以便聚类模型不会出现输入向量长度引起的问题。在对各个哈希值进行最小长度对齐处理后,将得到多个压缩哈希值。
S2022:将压缩哈希值从小到大排列构建运行特征。
由于聚类算法对输入参数比较敏感,因此可以将压缩哈希值从小到大进行排列,并利用排列好的压缩哈希值构建运行特征,以便提高物联网设备非法替换检测的准确率。
基于上述发明实施例,在利用聚类模型进行物联网设备非法替换检测之前,需要得到聚类模型。请参考图4,图4为本发明实施例提供的一种聚类模型训练过程流程图,包括:
S401:获取初始K-means聚类模型和训练数据集。
在本发明实施例中,聚类模型采用K-means聚类算法。因此获取初始K-means聚类模型和训练数据集,初始K-means聚类模型为未经过训练的聚类模型。训练数据集用于对初始K-means聚类模型进行训练,其中包括多个训练数据。
S402:确定迭代次数,利用训练数据集对初始K-means聚类模型进行训练,直至训练次数等于迭代次数,得到K-means聚类模型。
迭代次数为正整数,其具体大小不做限定,用于限制训练次数,以便达到最佳训练效果,使K-means聚类模型的物联网设备非法替换检测准确率更高。在确定迭代次数后,利用训练数据集对初始K-means聚类模型进行训练,直至训练次数等于迭代次数,即可得到K-means聚类模型。具体的,训练数据集中的训练数据可以为有序属性的数据,按照顺序计算训练数据之间的欧式距离并进行迭代,以便对K-means聚类模型进行训练,欧氏距离计算公式为:
Figure BDA0002311154950000091
其中,disted(x(i),x(j))表示x(i)与x(j)之间的欧氏距离,u为训练数据集中训练数据中项目的序号,x(i)表示训练数据集中序号为i的训练数据,
Figure BDA0002311154950000092
为序号为j的训练数据中的第n个项目。
基于上述发明实施例,本发明实施例将说明在实际使用中一种具体的物联网设备非法替换检测系统,请参考图5,图5为本发明实施例提供的一种物联网设备非法替换检测系统的结构示意图。
在图5所示的物联网设备非法替换检测系统中,IOT采集端即为物联网设备,中心平台用于对物联网设备是否被非法替换进行检测,IOT采集端与中心平台通过加密通道进行连接,防止数据在传输过程中被窃取或修改。为了提高检测准确性,本发明实施例中获取各个物联网设备尽可能多的运行信息。因此,获取物联网设备的网络信息、进程信息、文件信息、应用信息和流量信息作为其运行信息。具体的,获取物联网设备的网络连接信息和终端监听端口信息作为网络信息,获取物联网设备的进程ID、进程名称、进程参数、进程状态和进程运行时间作为进程信息,获取物联网设备的文件目录、文件名称、文件大小和文件特征值作为文件信息,获取物联网设备的应用名称、应用路径和应用内存消耗作为应用信息,获取物联网设备的CPU流量作为流量信息。
中心平台在获取运行信息后,计算网络信息中各个网络项目的网络哈希值,将各个网络哈希值按照由小到大排序组成网络向量net={},将网络向量确定为第一运行特征,计算进程信息中各个进程项目的进程哈希值,将各个进程哈希值按照由小到大排序组成进程向量process={},将进程向量确定为第二运行特征,计算文件信息中各个文件项目的文件哈希值,将各个文件哈希值按照由小到大排序组成文件向量file={},将文件向量确定为第三运行特征,计算应用信息中各个应用项目的应用哈希值,将各个应用哈希值按照由小到大排序组成应用向量app={},将应用向量确定为第四运行特征,计算流量信息中各个流量项目的流量哈希值,将各个流量哈希值按照由小到大排序组成流量向量flow={},将流量向量确定为第五运行特征。在获取运行特征后,将第一运行特征、第二运行特征、第三运行特征、第四运行特征、第五运行特征输入K-means聚类模型。利用K-means聚类模型对其进行聚类处理,得到物联网设备对应的物联网设备非法替换检测结果。
下面对本发明实施例提供的物联网设备非法替换检测装置进行介绍,下文描述的物联网设备非法替换检测装置与上文描述的物联网设备非法替换检测方法可相互对应参照。
请参考图6,图6为本发明实施例提供的一种物联网设备非法替换检测装置的结构示意图,包括:
获取模块610,用于获取物联网设备的运行信息,其中,运行信息包括网络信息、进程信息、文件信息、应用信息和流量信息中的至少一项;
特征提取模块620,用于对运行信息进行特征提取处理,得到物联网设备的运行特征;
处理模块630,用于将运行特征输入聚类模型,利用聚类模型对运行特征进行聚类处理,得到物联网设备非法替换检测结果。
可选地,特征提取模块620,包括:
哈希值计算单元,用于计算运行信息中各个项目的哈希值,利用哈希值构建运行特征。
可选地,哈希值计算单元,包括:
压缩子单元,用于对各个哈希值进行最小长度对齐处理,得到压缩哈希值;
排列子单元,用于将压缩哈希值从小到大排列构建运行特征。
可选地,获取模块610,包括:
第一获取单元,用于获取物联网设备的网络连接信息和终端监听端口信息作为网络信息;
第二获取单元,用于获取物联网设备的进程ID、进程名称、进程参数、进程状态和进程运行时间作为进程信息;
第三获取单元,用于获取物联网设备的文件目录、文件名称、文件大小和文件特征值作为文件信息;
第四获取单元,用于获取物联网设备的应用名称、应用路径和应用内存消耗作为应用信息;
第五获取单元,用于获取物联网设备的CPU流量作为流量信息。
可选地,哈希值计算单元,包括:
第一计算子单元,用于计算网络信息中各个网络项目的网络哈希值,将各个网络哈希值按照由小到大排序组成网络向量,将网络向量确定为第一运行特征;
第二计算子单元,用于计算进程信息中各个进程项目的进程哈希值,将各个进程哈希值按照由小到大排序组成进程向量,将进程向量确定为第二运行特征;
第三计算子单元,用于计算文件信息中各个文件项目的文件哈希值,将各个文件哈希值按照由小到大排序组成文件向量,将文件向量确定为第三运行特征;
第四计算子单元,用于计算应用信息中各个应用项目的应用哈希值,将各个应用哈希值按照由小到大排序组成应用向量,将应用向量确定为第四运行特征;
第五计算子单元,用于计算流量信息中各个流量项目的流量哈希值,将各个流量哈希值按照由小到大排序组成流量向量,将流量向量确定为第五运行特征。
可选地,处理模块630,包括:
输入单元,用于将第一运行特征、第二运行特征、第三运行特征、第四运行特征、第五运行特征输入K-means聚类模型。
可选地,还包括:
训练获取模块,用于获取初始K-means聚类模型和训练数据集;
训练模块,用于确定迭代次数,利用训练数据集对初始K-means聚类模型进行训练,直至训练次数等于迭代次数,得到K-means聚类模型。
下面对本发明实施例提供的物联网设备非法替换检测设备进行介绍,下文描述的物联网设备非法替换检测设备与上文描述的物联网设备非法替换检测方法可相互对应参照。
请参考图7,图7为本发明实施例提供的一种物联网设备非法替换检测设备的结构示意图,该物联网设备非法替换检测设备包括存储器、处理器,其中:
存储器710,用于保存计算机程序;
处理器720,用于执行计算机程序,以实现上述的物联网设备非法替换检测方法。
下面对本发明实施例提供的计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的物联网设备非法替换检测方法可相互对应参照。
本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的物联网设备非法替换检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上对本发明所提供的一种物联网设备非法替换检测方法、物联网设备非法替换检测装置、物联网设备非法替换检测设备及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种物联网设备非法替换检测方法,其特征在于,包括:
获取物联网设备的运行信息,其中,所述运行信息包括网络信息、进程信息、文件信息、应用信息和流量信息中的至少一项;
对所述运行信息进行特征提取处理,得到所述物联网设备的运行特征;
将所述运行特征输入聚类模型,利用所述聚类模型对所述运行特征进行聚类处理,得到物联网设备非法替换检测结果。
2.根据权利要求1所述的物联网设备非法替换检测方法,其特征在于,所述对所述运行信息进行特征提取处理,得到所述物联网设备的运行特征,包括:
计算所述运行信息中各个项目的哈希值,利用所述哈希值构建所述运行特征。
3.根据权利要求2所述的物联网设备非法替换检测方法,其特征在于,所述利用所述哈希值构建所述运行特征,包括:
对各个所述哈希值进行最小长度对齐处理,得到压缩哈希值;
将所述压缩哈希值从小到大排列构建所述运行特征。
4.根据权利要求2所述的物联网设备非法替换检测方法,其特征在于,所述获取物联网设备的运行信息,包括:
获取所述物联网设备的网络连接信息和终端监听端口信息作为所述网络信息;
获取所述物联网设备的进程ID、进程名称、进程参数、进程状态和进程运行时间作为所述进程信息;
获取所述物联网设备的文件目录、文件名称、文件大小和文件特征值作为所述文件信息;
获取所述物联网设备的应用名称、应用路径和应用内存消耗作为所述应用信息;
获取所述物联网设备的CPU流量作为所述流量信息。
5.根据权利要求4所述的物联网设备非法替换检测方法,其特征在于,所述计算所述运行信息中各个项目的哈希值,利用所述哈希值构建所述运行特征,包括:
计算所述网络信息中各个网络项目的网络哈希值,将各个所述网络哈希值按照由小到大排序组成网络向量,将所述网络向量确定为第一运行特征;
计算所述进程信息中各个进程项目的进程哈希值,将各个所述进程哈希值按照由小到大排序组成进程向量,将所述进程向量确定为第二运行特征;
计算所述文件信息中各个文件项目的文件哈希值,将各个所述文件哈希值按照由小到大排序组成文件向量,将所述文件向量确定为第三运行特征;
计算所述应用信息中各个应用项目的应用哈希值,将各个所述应用哈希值按照由小到大排序组成应用向量,将所述应用向量确定为第四运行特征;
计算所述流量信息中各个流量项目的流量哈希值,将各个所述流量哈希值按照由小到大排序组成流量向量,将所述流量向量确定为第五运行特征。
6.根据权利要求5所述的物联网设备非法替换检测方法,其特征在于,所述将所述运行特征输入聚类模型,包括:
将所述第一运行特征、所述第二运行特征、所述第三运行特征、所述第四运行特征、所述第五运行特征输入K-means聚类模型。
7.根据权利要求6所述的物联网设备非法替换检测方法,其特征在于,在获取物联网设备的运行信息之前,还包括:
获取初始K-means聚类模型和训练数据集;
确定迭代次数,利用所述训练数据集对所述初始K-means聚类模型进行训练,直至训练次数等于所述迭代次数,得到所述K-means聚类模型。
8.一种物联网设备非法替换检测装置,其特征在于,包括:
获取模块,用于获取物联网设备的运行信息,其中,所述运行信息包括网络信息、进程信息、文件信息、应用信息和流量信息中的至少一项;
特征提取模块,用于对所述运行信息进行特征提取处理,得到所述物联网设备的运行特征;
处理模块,用于将所述运行特征输入聚类模型,利用所述聚类模型对所述运行特征进行聚类处理,得到物联网设备非法替换检测结果。
9.一种物联网设备非法替换检测设备,其特征在于,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的物联网设备非法替换检测方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的物联网设备非法替换检测方法。
CN201911259242.1A 2019-12-10 2019-12-10 一种物联网设备非法替换检测方法、装置、设备及介质 Active CN111010387B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911259242.1A CN111010387B (zh) 2019-12-10 2019-12-10 一种物联网设备非法替换检测方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911259242.1A CN111010387B (zh) 2019-12-10 2019-12-10 一种物联网设备非法替换检测方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN111010387A CN111010387A (zh) 2020-04-14
CN111010387B true CN111010387B (zh) 2022-08-02

Family

ID=70114110

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911259242.1A Active CN111010387B (zh) 2019-12-10 2019-12-10 一种物联网设备非法替换检测方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN111010387B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112600792B (zh) * 2020-11-23 2022-04-08 国网山东省电力公司青岛供电公司 一种物联网设备的异常行为检测方法及系统
CN112436969A (zh) * 2020-11-24 2021-03-02 成都西加云杉科技有限公司 一种物联网设备管理方法、系统、设备及介质
CN113553182A (zh) * 2021-07-22 2021-10-26 工银科技有限公司 终端控制策略的配置方法、装置、设备、介质和程序产品

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103336510A (zh) * 2013-06-27 2013-10-02 山东华戎信息产业有限公司 一种物联网综合运维管理系统
CN109347834A (zh) * 2018-10-24 2019-02-15 广东工业大学 物联网边缘计算环境中异常数据的检测方法、装置及设备
CN109858254A (zh) * 2019-01-15 2019-06-07 西安电子科技大学 基于日志分析的物联网平台攻击检测系统及方法
CN109962789A (zh) * 2017-12-14 2019-07-02 中国电信股份有限公司 基于网络数据构建物联网应用标签体系的方法和装置
CN110365703A (zh) * 2019-07-30 2019-10-22 国家电网有限公司 物联网终端异常状态检测方法、装置及终端设备
CN110502395A (zh) * 2019-08-09 2019-11-26 国网山西省电力公司 基于聚类的设备运行状态评估方法、终端设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101362384B1 (ko) * 2012-08-09 2014-02-21 한국과학기술원 웹 플랫폼을 이용한 아이피 기반 IoT 사물 브라우징 방법 및 시스템
CN108363811A (zh) * 2018-03-09 2018-08-03 北京京东金融科技控股有限公司 设备识别方法及装置、电子设备、存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103336510A (zh) * 2013-06-27 2013-10-02 山东华戎信息产业有限公司 一种物联网综合运维管理系统
CN109962789A (zh) * 2017-12-14 2019-07-02 中国电信股份有限公司 基于网络数据构建物联网应用标签体系的方法和装置
CN109347834A (zh) * 2018-10-24 2019-02-15 广东工业大学 物联网边缘计算环境中异常数据的检测方法、装置及设备
CN109858254A (zh) * 2019-01-15 2019-06-07 西安电子科技大学 基于日志分析的物联网平台攻击检测系统及方法
CN110365703A (zh) * 2019-07-30 2019-10-22 国家电网有限公司 物联网终端异常状态检测方法、装置及终端设备
CN110502395A (zh) * 2019-08-09 2019-11-26 国网山西省电力公司 基于聚类的设备运行状态评估方法、终端设备及存储介质

Also Published As

Publication number Publication date
CN111010387A (zh) 2020-04-14

Similar Documents

Publication Publication Date Title
CN111010387B (zh) 一种物联网设备非法替换检测方法、装置、设备及介质
EP3622402B1 (en) Real time detection of cyber threats using behavioral analytics
JP7010641B2 (ja) 異常診断方法および異常診断装置
CN106951925B (zh) 数据处理方法、装置、服务器及系统
CN111614599B (zh) 基于人工智能的webshell检测方法和装置
CN102724219B (zh) 网络数据的计算机处理方法及系统
CN110766080B (zh) 一种标注样本确定方法、装置、设备及存储介质
CN107786388B (zh) 一种基于大规模网络流数据的异常检测系统
JP2008546264A5 (zh)
JP2019110513A (ja) 異常検知方法、学習方法、異常検知装置、および、学習装置
CN109962789B (zh) 基于网络数据构建物联网应用标签体系的方法和装置
CN112769633B (zh) 一种代理流量检测方法、装置、电子设备及可读存储介质
CN107679213A (zh) 一种习题搜索方法、系统及终端设备
CN105335368A (zh) 一种产品聚类方法及装置
CN111371776A (zh) Http请求数据的异常检测方法、装置、服务器及存储介质
CN110414591A (zh) 一种数据处理方法以及设备
CN113746780B (zh) 基于主机画像的异常主机检测方法、装置、介质和设备
CN108141372A (zh) 用于基于网络流量检测对移动ad hoc网络的攻击的系统和方法
CN113497785A (zh) 恶意加密流量检测方法、系统、存储介质和云端服务器
CN106815199A (zh) 基于机器学习的协议类型分析方法和装置
CN107294812B (zh) 网络检测方法、网络检测装置及智能终端
CN102098346A (zh) 一种在未知流量中识别p2p流媒体流量的方法
CN112085589B (zh) 规则模型的安全性的确定方法、装置和服务器
CN112597699B (zh) 一种融入客观赋权法的社交网络谣言源识别方法
CN112181527B (zh) 小程序的跳转数据的处理方法、装置和服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant