CN111510443B - 基于设备画像的终端监测方法和终端监测装置 - Google Patents
基于设备画像的终端监测方法和终端监测装置 Download PDFInfo
- Publication number
- CN111510443B CN111510443B CN202010268641.0A CN202010268641A CN111510443B CN 111510443 B CN111510443 B CN 111510443B CN 202010268641 A CN202010268641 A CN 202010268641A CN 111510443 B CN111510443 B CN 111510443B
- Authority
- CN
- China
- Prior art keywords
- baseband
- frequency offset
- data message
- service
- frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000012544 monitoring process Methods 0.000 title claims abstract description 27
- 238000012806 monitoring device Methods 0.000 title claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 22
- 238000005070 sampling Methods 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012937 correction Methods 0.000 claims description 4
- 230000000875 corresponding effect Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 9
- 238000009826 distribution Methods 0.000 description 8
- 238000001228 spectrum Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000877 morphologic effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000003595 spectral effect Effects 0.000 description 1
- 238000010183 spectrum analysis Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L27/00—Modulated-carrier systems
- H04L27/32—Carrier systems characterised by combinations of two or more of the types covered by groups H04L27/02, H04L27/10, H04L27/18 or H04L27/26
- H04L27/34—Amplitude- and phase-modulated carrier systems, e.g. quadrature-amplitude modulated carrier systems
- H04L27/38—Demodulator circuits; Receiver circuits
- H04L27/3845—Demodulator circuits; Receiver circuits using non - coherent demodulation, i.e. not using a phase synchronous carrier
- H04L27/3854—Demodulator circuits; Receiver circuits using non - coherent demodulation, i.e. not using a phase synchronous carrier using a non - coherent carrier, including systems with baseband correction for phase or frequency offset
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于设备画像的终端监测方法及装置,所述方法包括:获取与物联网中的终端设备相关联的数据报文;对所述数据报文进行解析,以获取所述数据报文对应的流量特征;获取所述数据报文对应的业务特征;将所述流量特征和所述业务特征发送至远程服务器,以供所述远程服务器对所述终端设备进行画像,确定所述终端设备的运行状况。本发明除了基于常规的流量特征建立设备画像之外,还可以基于业务层面的业务特征和基于物理层面的基带特征建立设备画像,从而保证对于终端设备被的监测更加全面准确,提高物联网的安全性。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于设备画像的终端监测方法和终端监测装置。
背景技术
全业务泛在电力物联网实时在线连接能源电力生产与消费各环节的人、机、物,是全面承载并贯通电网生产运行、企业经营管理和对外客户服务等业务的新一代信息通信系统。
随着传感器技术的发展和计算机网络的建设,电力物联网中的现场感知能力也在不断深入和拓宽。相应地,对网络安全的感知监测乃至威胁阻断能力也需要向现场侧进一步延伸。目前针对物联网等关键信息基础设施的攻击很多是从现场终端发起后逐步渗透,并最终对整个网络造成破坏的。针对终端的攻击类型越来越复杂,而终端防护受限于自身条件和运行环境,难以做到万无一失。
因此,如何加强对终端设备的网络行为感知和安全监测分析,提升电力物联网在终端层面抵御各类攻击威胁的能力,成为本领域技术人员亟待解决的问题。
发明内容
本发明要解决的技术问题在于克服现有技术中的上述缺陷,从而提供一种可以及时发现终端设备异常状况的终端监测方案。
根据本发明一个方面,提供一种基于设备画像的终端监测方法,适用于边缘计算网关侧,包括:
获取与物联网中的终端设备相关联的数据报文;
对所述数据报文进行解析,以获取所述数据报文对应的流量特征;
获取所述数据报文对应的业务特征;
将所述流量特征和所述业务特征发送至远程服务器,以供所述远程服务器对所述终端设备进行画像,确定所述终端设备的运行状况。
示例性地,所述终端设备为无线终端设备,所述获取与物联网中的终端设备相关联的数据报文的步骤之后,还包括:
获取包含所述数据报文的无线信号所对应的基带特征,所述基带特征包括基带信号的星座轨迹特征、时域特征和频域特征;
将所述基带特征发送至所述远程服务器。
示例性地,所述获取包含所述数据报文的无线信号所对应的基带特征的步骤包括:
计算所述无线信号中包含的基带信号的频率偏移和相位偏移;
基于所述频率偏移和所述相位偏移确定所述基带信号;
根据所述基带信号生成星座轨迹图、时域波形图和频域波形图,以获取对应的星座轨迹特征、时域特征和频域特征。
示例性地,所述对所述数据报文进行解析,以获取所述数据报文对应的流量特征的步骤包括:
解析所述数据报文的源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的端口号,并统计第一时间周期内所述无线终端设备发出的数据帧的数量和收到的数据帧的数量。
示例性地,所述获取所述数据报文对应的业务特征的步骤包括:
确定所述数据报文对应的业务类型;
统计每种业务类型的数据报文在第二时间周期内的发生次数;
统计两种以上相关联业务类型的数据报文在第三时间周期内的发生次数;
统计两种相关联业务类型的数据报文的时间间隔。
示例性地,还包括:
接收所述远程服务器发送的运行状况异常指令,阻断所述终端设备的通信链路。
根据本发明第二方面,提供了一种基于设备画像的终端监测方法,适用于远程服务器侧,包括:
接收边缘计算网关发送的关于终端设备的流量特征、业务特征、基带特征中的一种或几种;
基于接收到的一种或几种特征确定所述终端设备的运行状况;
其中,所述流量特征包括:源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的端口号,第一时间周期内所述无线终端设备发出的数据帧的数量和收到的数据帧的数量;
所述业务特征包括:每种业务类型的数据报文在第二时间周期内的发生次数、两种以上相关联业务类型的数据报文在第三时间周期内的发生次数以及两种相关联业务类型的数据报文的时间间隔;
所述基带特征包括:星座轨迹特征、时域特征和频域特征。
根据本发明第三方面,提供了一种基于设备画像的终端监测装置,包括:
数据获取单元,适用于获取与物联网中的终端设备相关联的数据报文;
流量特征单元,适用于对所述数据报文进行解析,以获取所述数据报文对应的流量特征;
业务特征单元,适用于获取所述数据报文对应的业务特征;
基带特征单元,适用于获取包含所述数据报文的无线信号所对应的基带特征,所述基带特征包括基带信号的星座轨迹特征、时域特征和频域特征;
特征发送单元,适用于将所述流量特征、所述业务特征和所述基带特征发送至远程服务器,以供所述远程服务器对所述终端设备进行画像,确定所述终端设备的运行状况;
阻断单元,适用于接收所述远程服务器发送的运行状况异常指令,阻断所述终端设备的通信链路。
根据本发明第四方面,提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
根据本发明第五方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本发明技术方案,具有如下优点:
(1)本发明一方面对常规的MAC、IP、端口建立设备画像,另一方面对无线终端的座轨迹特征、时域特征和频域特征参数,基于物理属性更加精确地检测威胁。
(2)本发明基于网络流量的大小及时间分布进行设备画像,在识别异常的同时可以不断进行迭代学习并更新,使得检测更加有效。
(3)本发明通过分析业务特征进行画像,在终端属性及流量分析都无异常的情况下,可以检测出较为隐蔽的威胁。
(4)考虑到物联网中代理网关计算资源有限,而服务器计算资源较为丰富,本发明将协议相关的计算功能及设备画像计算放在服务器侧,可以使得整个系统更加有效可靠地运行。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1中终端监测方法的一个具体示例的流程图;
图2为本发明实施例2中终端监测方法的一个具体示例的流程图;
图3为本发明实施例3中终端监测装置的一个具体示例的原理框图;
图4为本发明实施例4中终端监测装置的硬件结构示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
实施例1
本实施例提供基于设备画像的终端监测方法,适用于边缘计算网关侧,包括以下步骤:
S100:获取与物联网中的终端设备相关联的数据报文。本步骤中,边缘计算网关获取与某终端设备相关的数据报文,包括该终端设备发出的数据报文和该终端设备接收的数据报文。
S200:对所述数据报文进行解析,以获取所述数据报文对应的流量特征。其中,获取流量特征的步骤具体包括:解析所述数据报文的源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的端口号,并统计第一时间周期内所述终端设备发出的数据帧的数量和收到的数据帧的数量。基于流量特征中确定的数据量大小及时间分布进行设备画像,在识别异常流量的同时,可以不断得进行迭代学习并更新,使得检测更加有效。
S300:获取包含所述数据报文的无线信号所对应的基带特征,所述基带特征包括基带信号的星座轨迹特征、时域特征和频域特征。可以理解,无线终端设备发送的无线信号是对基带信号进行调制产生的,基带信号中包含的星座轨迹特征、时域特征和频域特征与无线终端设备的物理特性有关,如果检测到星座轨迹特征、时域特征或频域特征存在异常,则说明无线终端设备的物理特性发生了变化,可能存在无线终端设备被更换的隐患。
S400:获取所述数据报文对应的业务特征。可以理解,不同的数据报文遵循不同的通信协议,属于不同的业务类型。本发明中的业务特征是指和某一业务类型相对应的事件特征,包括业务类型、传送原因、执行次数、执行位置等内容。
S500:将所述流量特征、所述基带特征和所述业务特征发送至远程服务器,以供所述远程服务器对所述终端设备进行画像,确定所述终端设备的运行状况。本实施例中,边缘计算网关用于获取终端设备的相关特征并将其传送给远程服务器,远程服务器用于根据接收到的特征对终端设备进行设备画像运算,从而确定该终端设备的运行状况。当发现流量特征出现异常时,例如IP地址错误、第一时间周期内接收到的数据帧的数量超出预设阈值时,则可以确定该终端设备的运行状况异常。或者当发现业务特征异常时,例如在1376.1协议中,终端设备的认证失败次数大于3次/每日,可能是伪造的主站在进行非法操作;或者终端设备发送请求3类数据(事件数据)(AFN=0EH)中FN为1且ERC为37的报文,检出电能表开表盖事件,可能存在黑客入侵电表行为。根据以上特征可以确定对应终端设备的运行状况异常。
基于常规的流量特征和具体的业务特征对终端设备进行设备画像,有利于及时发现隐蔽攻击,提高物联网的安全性。
示例性的,步骤S300包括:
S310:计算所述无线信号中包含的基带信号的频率偏移和相位偏移。
其中,计算频率偏移的具体步骤可以包括:通过频偏估计粗同步模块进行处理,可以粗略得到接收信号的频偏,根据此频偏对基带接收信号进行频偏粗校正。然后,通过频偏估计细同步模块对基带信号进行频偏精同步。最后,通过采样率偏差估计模块对基带信号进行采样率补偿。
计算相位偏移的具体步骤可以包括:将经过频偏同步和采样率同步后的信号进入载波相位同步模块进行相位估计,对基带信号进行相位偏差补偿。
S320:基于所述频率偏移和所述相位偏移确定所述基带信号。
S330:根据所述基带信号生成星座轨迹图、时域波形图和频域波形图,以获取对应的星座轨迹特征、时域特征和频域特征。
时域特征主要针对星座轨迹图和时域波形图,提取可以进行无线目标识别的特征。可以提取的时域特征包括:I/Q偏移量、形态特征和时域波形图形态特征。其中I/Q偏移量表征终端设备发送的无线信号中所包含的I/Q两路信号之间的偏移,I/Q偏移量是与无线终端设备本身的物理参数有关的稳定特征。形态特征是通过星座轨迹图的形态及分布,得到设备特征综合作用后在星座图上的统计结果。星座轨迹图形态特征提取针对具体的不同调制方式有不同的特征提取点。针对直接采集和差分处理后的星座轨迹图可以采用图像处理的相关技术进行特征提取和识别。时域波形图形态特征指的是由于无线终端设备的非线性和器件响应等影响因素造成信号时域波形的变化和失真。
频域特征主要是针对频谱分析后的结果,基于频谱上不同频点的特征点得到的。频域特征主要包括信号的频谱特征和载波频偏。由于边缘计算网关接收的采样率大于无线信号的调制频率,网关可以得到信号带宽内的频谱特征和信号带宽外的频谱特征,分别反映无线终端设备的固有频谱特征及其非线性程度。另外还可以估计出无线终端设备和边缘计算网关之间的载波频偏,该载波频偏也可以反映无线终端设备的特性。
通过提取无线信号的星座轨迹特征、时域特征和频域特征,本实施例可以从物理层面获取无线终端设备的相关参数,从而为无线终端设备的监控提供了更加完整详细的特征依据。
示例性地,步骤S400包括:
S410:确定所述数据报文对应的业务类型。可以用协议类型来表征数据报文的业务类型,例如1376.1协议。
S420:统计每种业务类型的数据报文在第二时间周期内的发生次数。本步骤用于统计同一种业务类型的数据报文的发送频率,当发送频率大于或者小于预设阈值时,可能存在攻击隐患。
S430:统计两种以上相关联业务类型的数据报文在第三时间周期内的发生次数。本步骤用于统计具有关联性的两种以上业务类型的数据报文之间的发送频率,例如终端A向终端B发送包含请求信息的第一数据报文,终端B向终端A发送包含响应信息的第二数据报文,那么第一数据报文和第二数据报文就是相关联业务类型的数据报文。可以通过统计第一数据报文和第二数据报文的发送频率确定是否存在攻击隐患。
S440:统计两种相关联业务类型的数据报文的时间间隔。仍以上文中的第一数据报文和第二数据报文为例,可以统计第一数据报文和第二数据报文之间的时间间隔,当时间间隔大于或者小于预设范围时,可能存在攻击隐患。
通过获取业务特征,本实施例可以在终端设备的流量特征和基带特征都正常的情况下检测出较为隐蔽的威胁,有利于提高终端设备监控的准确性和灵敏性。
示例性地,该终端监测方法还包括:
接收所述远程服务器发送的运行状况异常指令,阻断所述终端设备的通信链路。本示例中边缘计算网关还可以接收远程服务器发送的异常指令,基于该异常指令阻断存在异常状况的终端设备的通信链路,从而保证整个物联网的安全。
实施例2
本施例提供一种基于设备画像的终端监测方法,适用于远程服务器侧,其特征在于,包括:
接收边缘计算网关发送的关于终端设备的流量特征、业务特征、基带特征中的一种或几种;
基于接收到的一种或几种特征确定所述终端设备的运行状况。
其中,所述流量特征包括:源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的端口号,第一时间周期内所述无线终端设备发出的数据帧的数量和收到的数据帧的数量;
所述业务特征包括:每种业务类型的数据报文在第二时间周期内的发生次数、两种以上相关联业务类型的数据报文在第三时间周期内的发生次数以及两种相关联业务类型的数据报文的时间间隔;
所述基带特征包括:星座轨迹特征、时域特征和频域特征。
本实施例中的服务器根据接收到的流量特征、业务特征和基带特征对终端设备进行设备画像,从而更加全面、准确地监测终端设备地运行状况。特别的,本实施例在检测到异常数据时,还可以根据检测到的不同特征确定具体的攻击阶段。例如,当监测到基带特征异常,流量特征和业务特征均正常时,表明攻击者有可能正在更换终端设备,为后续攻击做准备;当监测到基带特征正常和业务特征正常,但流量特征异常时,表明攻击者正联系后台服务器接受指令或更新攻击代码,进行攻击前期准备;当监测到基带特征和流量特征均正常,业务特征异常时,表明攻击者已完成攻击准备,正进行业务攻击。
基于上述内容,本实施例的终端检测方法可以更加获取更加详细的攻击隐患信息,从而有的放矢地执行对应操作,在不影响正常通信的情况下更加有针对性的处理攻击事件,提高物联网的安全性。
图2从终端设备、边缘计算网关和远程服务器三方面示出了本发明的终端监测方法的流程图。如图2所示,本发明的终端监测方法涉及终端设备、边缘计算网关和服务器。其中边缘计算网关与多个终端设备相连,用于获取终端设备的流量特征、基带特征和业务特征,并将获取到的特征发送给服务器;服务器与边缘计算网关相连,基于接收到的特征进行设备画像,以确定终端设备的运行状况。
边缘计算网关执行以下步骤:
(1)物联代理装置旁路终端的上下行数据流量,解析出数据帧的源MAC、IP、端口号,目的MAC、IP、端口号,并统计周期T1内每个终端发出的数据帧的数量、收到的数据帧的数量。将这些基本属性发送给平台。
(2)对于无线终端,采集无线信号,并将基带信号频偏同步、载波相位同步处理,将处理好的基带信号绘制成星座轨迹图、时域波形图和频域图,得到星座轨迹特征、时域特征和频域特征,并将这些特征值发送给平台。
(3)物联代理装置将采集到的特定业务报文进行业务解析,分析业务类型、传送原因、执行位置等,将这些信息封装成事件消息,由物联代理发送至物联平台。
服务器用于执行以下步骤:
(1)统计终端目的IP地址的分布。
(2)统计终端上行流量的大小分布,统计终端下行流量的大小分布。
(3)统计终端网络流上行流量的持续时间分布,统计终端网络下行流量的持续时间分布。
(4)统计终端星座轨迹特征、时域特征和频域特征。
(5)统计终端某种业务类型的事件在时间T2内出现的次数
(6)统计终端某两种或者多种相关业务类型的事件在时间T3内出现的次数
(7)统计终端某两种相关业务类型的事件出现的间隔Δt。
(8)根据上述参数,建立终端设备画像
(9)对于代理实时发过来的终端的参数,构建当前画像,对比历史画像与当前画像,计算距离值,上报异常告警事件。
通过本发明提供的上述方法,除了基于常规的流量特征建立设备画像之外,还可以基于业务层面的业务特征和基于物理层面的基带特征建立设备画像,从而保证对于终端设备被的监测更加全面准确,提高物联网的安全性。
实施例3
本实施例提供一种基于设备画像的终端监测装置30,包括数据获取单元31、流量特征单元32、业务特征单元33、基带特征单元34、特征发送单元35和阻断单元36。其中:
数据获取单元31适用于获取与物联网中的终端设备相关联的数据报文;
流量特征单元32适用于对所述数据报文进行解析,以获取所述数据报文对应的流量特征;
业务特征单元33适用于获取所述数据报文对应的业务特征;
基带特征单元34适用于获取包含所述数据报文的无线信号所对应的基带特征,所述基带特征包括基带信号的星座轨迹特征、时域特征和频域特征;
特征发送单元35适用于将所述流量特征、所述业务特征和所述基带特征发送至远程服务器,以供所述远程服务器对所述终端设备进行画像,确定所述终端设备的运行状况;
阻断单元36适用于接收所述远程服务器发送的运行状况异常指令,阻断所述终端设备的通信链路。
实施例4
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。本实施例的计算机设备40至少包括但不限于:可通过系统总线相互通信连接的存储器41、处理器42,如图4所示。需要指出的是,图4仅示出了具有组件41-42的计算机设备40,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器41(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器41可以是计算机设备40的内部存储单元,例如该计算机设备40的硬盘或内存。在另一些实施例中,存储器41也可以是计算机设备40的外部存储设备,例如该计算机设备40上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器41还可以既包括计算机设备40的内部存储单元也包括其外部存储设备。本实施例中,存储器41通常用于存储安装于计算机设备40的操作系统和各类应用软件,例如实施例二的终端监测装置30的程序代码等。此外,存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制计算机设备40的总体操作。本实施例中,处理器42用于运行存储器41中存储的程序代码或者处理数据,例如运行终端监测装置30,以实现实施例一的终端监测方法。
实施例5
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储终端监测装置30,被处理器执行时实现实施例一的终端监测方法。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (7)
1.一种基于设备画像的终端监测方法,适用于边缘计算网关侧,其特征在于,包括:
获取与物联网中的终端设备相关联的数据报文;
获取包含所述数据报文的无线信号所对应的基带特征,所述基带特征包括基带信号的星座轨迹特征、时域特征和频域特征;
将所述基带特征发送至远程服务器;
对所述数据报文进行解析,以获取所述数据报文对应的流量特征;
获取所述数据报文对应的业务特征;
将所述流量特征和所述业务特征发送至远程服务器,以供所述远程服务器基于所述基带特征、流量特征和业务特征对所述终端设备进行画像,确定所述终端设备的运行状况;其中,获取包含所述数据报文的无线信号所对应的基带特征的步骤包括:
计算所述无线信号中包含的基带信号的频率偏移和相位偏移;
基于所述频率偏移和所述相位偏移确定所述基带信号;
根据所述基带信号生成星座轨迹图、时域波形图和频域波形图,以获取对应的星座轨迹特征、时域特征和频域特征;
其中,计算频率偏移的步骤包括:通过频偏估计粗同步模块进行处理,可以粗略得到接收信号的频偏,根据此频偏对基带接收信号进行频偏粗校正;然后,通过频偏估计细同步模块对基带信号进行频偏精同步;最后,通过采样率偏差估计模块对基带信号进行采样率补偿;
计算相位偏移的步骤包括:将经过频偏同步和采样率同步后的信号进入载波相位同步模块进行相位估计,对基带信号进行相位偏差补偿;
所述获取所述数据报文对应的业务特征的步骤包括:
确定所述数据报文对应的业务类型;
统计每种业务类型的数据报文在第二时间周期内的发生次数;
统计两种以上相关联业务类型的数据报文在第三时间周期内的发生次数;
统计两种相关联业务类型的数据报文的时间间隔。
2.根据权利要求1所述的终端监测方法,其特征在于,所述对所述数据报文进行解析,以获取所述数据报文对应的流量特征的步骤包括:
解析所述数据报文的源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的端口号,并统计第一时间周期内所述终端设备发出的数据帧的数量和收到的数据帧的数量。
3.根据权利要求1-2中任一项所述的终端监测方法,其特征在于,还包括:
接收所述远程服务器发送的运行状况异常指令,阻断所述终端设备的通信链路。
4.一种基于设备画像的终端监测方法,适用于远程服务器侧,其特征在于,包括:
接收边缘计算网关发送的关于终端设备的流量特征、业务特征、基带特征;
基于接收到的特征确定所述终端设备的运行状况;
其中,所述流量特征包括:源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的端口号,第一时间周期内无线终端设备发出的数据帧的数量和收到的数据帧的数量;
所述业务特征包括:每种业务类型的数据报文在第二时间周期内的发生次数、两种以上相关联业务类型的数据报文在第三时间周期内的发生次数以及两种相关联业务类型的数据报文的时间间隔;
所述基带特征包括:星座轨迹特征、时域特征和频域特征,所述基带特征通过如下步骤获取:
计算无线信号中包含的基带信号的频率偏移和相位偏移;
基于所述频率偏移和所述相位偏移确定所述基带信号;
根据所述基带信号生成星座轨迹图、时域波形图和频域波形图,以获取对应的星座轨迹特征、时域特征和频域特征;
其中,计算频率偏移的步骤包括:通过频偏估计粗同步模块进行处理,可以粗略得到接收信号的频偏,根据此频偏对基带接收信号进行频偏粗校正;然后,通过频偏估计细同步模块对基带信号进行频偏精同步;最后,通过采样率偏差估计模块对基带信号进行采样率补偿。
5.一种基于设备画像的终端监测装置,其特征在于,包括:
数据获取单元,适用于获取与物联网中的终端设备相关联的数据报文;
流量特征单元,适用于对所述数据报文进行解析,以获取所述数据报文对应的流量特征;
业务特征单元,适用于获取所述数据报文对应的业务特征;
基带特征单元,适用于获取包含所述数据报文的无线信号所对应的基带特征,所述基带特征包括基带信号的星座轨迹特征、时域特征和频域特征;
特征发送单元,适用于将所述流量特征、所述业务特征和所述基带特征发送至远程服务器,以供所述远程服务器对所述终端设备进行画像,确定所述终端设备的运行状况;
阻断单元,适用于接收所述远程服务器发送的运行状况异常指令,阻断所述终端设备的通信链路;
其中,获取包含所述数据报文的无线信号所对应的基带特征的步骤包括:
计算所述无线信号中包含的基带信号的频率偏移和相位偏移;
基于所述频率偏移和所述相位偏移确定所述基带信号;
根据所述基带信号生成星座轨迹图、时域波形图和频域波形图,以获取对应的星座轨迹特征、时域特征和频域特征;
其中,计算频率偏移的步骤包括:通过频偏估计粗同步模块进行处理,可以粗略得到接收信号的频偏,根据此频偏对基带接收信号进行频偏粗校正;然后,通过频偏估计细同步模块对基带信号进行频偏精同步;最后,通过采样率偏差估计模块对基带信号进行采样率补偿;
计算相位偏移的步骤包括:将经过频偏同步和采样率同步后的信号进入载波相位同步模块进行相位估计,对基带信号进行相位偏差补偿;
所述获取所述数据报文对应的业务特征的步骤包括:
确定所述数据报文对应的业务类型;
统计每种业务类型的数据报文在第二时间周期内的发生次数;
统计两种以上相关联业务类型的数据报文在第三时间周期内的发生次数;
统计两种相关联业务类型的数据报文的时间间隔。
6.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述方法的步骤。
7.一种计算机可读存储介质,其上存储计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至4任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010268641.0A CN111510443B (zh) | 2020-04-07 | 2020-04-07 | 基于设备画像的终端监测方法和终端监测装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010268641.0A CN111510443B (zh) | 2020-04-07 | 2020-04-07 | 基于设备画像的终端监测方法和终端监测装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111510443A CN111510443A (zh) | 2020-08-07 |
CN111510443B true CN111510443B (zh) | 2022-07-15 |
Family
ID=71864094
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010268641.0A Active CN111510443B (zh) | 2020-04-07 | 2020-04-07 | 基于设备画像的终端监测方法和终端监测装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111510443B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115801330A (zh) * | 2022-10-26 | 2023-03-14 | 国网天津市电力公司 | 一种电力物联网终端的安全属性画像构建方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107944513A (zh) * | 2017-11-21 | 2018-04-20 | 中国运载火箭技术研究院 | 一种试验现场无线设备身份识别系统及方法 |
CN108234345A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团湖北有限公司 | 一种终端网络应用的流量特征识别方法、装置和系统 |
CN109600363A (zh) * | 2018-11-28 | 2019-04-09 | 南京财经大学 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
CN110113350A (zh) * | 2019-05-15 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种物联网系统安全威胁监测与防御系统及方法 |
CN110808951A (zh) * | 2019-09-25 | 2020-02-18 | 国网思极网安科技(北京)有限公司 | 基于设备画像的终端异常行为发现方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180212989A1 (en) * | 2017-01-20 | 2018-07-26 | 1088211 B.C. Ltd. | System and method for monitoring, capturing and reporting network activity |
-
2020
- 2020-04-07 CN CN202010268641.0A patent/CN111510443B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108234345A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团湖北有限公司 | 一种终端网络应用的流量特征识别方法、装置和系统 |
CN107944513A (zh) * | 2017-11-21 | 2018-04-20 | 中国运载火箭技术研究院 | 一种试验现场无线设备身份识别系统及方法 |
CN109600363A (zh) * | 2018-11-28 | 2019-04-09 | 南京财经大学 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
CN110113350A (zh) * | 2019-05-15 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种物联网系统安全威胁监测与防御系统及方法 |
CN110808951A (zh) * | 2019-09-25 | 2020-02-18 | 国网思极网安科技(北京)有限公司 | 基于设备画像的终端异常行为发现方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111510443A (zh) | 2020-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
US11374835B2 (en) | Apparatus and process for detecting network security attacks on IoT devices | |
CN109164786B (zh) | 一种基于时间相关基线的异常行为检测方法、装置及设备 | |
CN111427336B (zh) | 一种工业控制系统的漏洞扫描方法、装置及设备 | |
CN108076019B (zh) | 基于流量镜像的异常流量检测方法及装置 | |
CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
CN108600003B (zh) | 一种面向视频监控网络的入侵检测方法、装置及系统 | |
CN111800412B (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
EP3289461B1 (en) | Wireless communications access security | |
CN109617868B (zh) | 一种ddos攻击的检测方法、装置及检测服务器 | |
CN109995582B (zh) | 基于实时状态的资产设备管理系统及方法 | |
KR20150100383A (ko) | 명령제어채널 탐지장치 및 방법 | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
CN112469044B (zh) | 一种异构终端的边缘接入管控方法及控制器 | |
CN110855717B (zh) | 一种物联网设备防护方法、装置和系统 | |
CN113518057A (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
CN111628994A (zh) | 一种工控环境的异常检测方法、系统及相关装置 | |
JP2022000987A (ja) | 通信装置 | |
CN111510443B (zh) | 基于设备画像的终端监测方法和终端监测装置 | |
CN107395451B (zh) | 上网流量异常的处理方法、装置、设备及存储介质 | |
CN110611683A (zh) | 一种攻击源告警的方法和系统 | |
CN110048905B (zh) | 物联网设备通信模式识别方法及装置 | |
CN111786940A (zh) | 一种数据处理方法及装置 | |
CN109040137B (zh) | 用于检测中间人攻击的方法、装置以及电子设备 | |
CN113055333A (zh) | 可自适应动态调整密度网格的网络流量聚类方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |