CN111882135A - 一种物联网设备入侵检测方法及相关装置 - Google Patents
一种物联网设备入侵检测方法及相关装置 Download PDFInfo
- Publication number
- CN111882135A CN111882135A CN202010778364.8A CN202010778364A CN111882135A CN 111882135 A CN111882135 A CN 111882135A CN 202010778364 A CN202010778364 A CN 202010778364A CN 111882135 A CN111882135 A CN 111882135A
- Authority
- CN
- China
- Prior art keywords
- data
- detected
- time sequence
- internet
- judging whether
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 39
- 230000000737 periodic effect Effects 0.000 claims abstract description 34
- 238000007781 pre-processing Methods 0.000 claims abstract description 18
- YHXISWVBGDMDLQ-UHFFFAOYSA-N moclobemide Chemical compound C1=CC(Cl)=CC=C1C(=O)NCCN1CCOCC1 YHXISWVBGDMDLQ-UHFFFAOYSA-N 0.000 claims abstract 10
- 238000000034 method Methods 0.000 claims description 26
- 238000012545 processing Methods 0.000 claims description 25
- 238000010606 normalization Methods 0.000 claims description 20
- 238000004422 calculation algorithm Methods 0.000 claims description 18
- 238000006243 chemical reaction Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 206010039203 Road traffic accident Diseases 0.000 description 1
- 238000003556 assay Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000945 filler Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000000528 statistical test Methods 0.000 description 1
- 238000012731 temporal analysis Methods 0.000 description 1
- 238000000700 time series analysis Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/04—Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/067—Enterprise or organisation modelling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Human Resources & Organizations (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Development Economics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Game Theory and Decision Science (AREA)
- Computer Security & Cryptography (AREA)
- Educational Administration (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本申请公开了一种物联网设备入侵检测方法,包括:根据预设格式对获取到的原始数据进行预处理,得到待检测数据;根据数据特征判断所述待检测数据是否符合ARIMA时间序列模型的预测标准;若是,则采用ARIMA时间序列模型判断所述待检测数据是否存在周期性数据;当存在周期性数据时,将对应的设备标记为被入侵设备。通过ARIMA时间序列模型对原始数据进行周期性检测,提高入侵检测的精度和准确性。本申请还公开了一种入侵检测装置、计算设备以及计算机可读存储介质,具有以上有益效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种物联网设备入侵检测方法、入侵检测装置、计算设备以及计算机可读存储介质。
背景技术
随着信息技术的不断发展,在互联网的基础上出现了物联网技术。物联网是互联网、传统电信网等的信息承载体,让所有能行使独立功能的普通物体实现互联互通的网络。物联网一般为无线网,而由于每个人周围的设备可以达到一千至五千个,所以物联网可能要包含500兆至一千兆个物体。在物联网上,每个人都可以应用电子标签将真实的物体上网联结,在物联网上都可以查出它们的具体位置。通过物联网可以用中心计算机对机器、设备、人员进行集中管理、控制,也可以对家庭设备、汽车进行遥控,以及搜索位置、防止物品被盗等,类似自动化操控系统,同时通过收集这些小数据,最后可以汇聚成大数据,包含重新设计道路以减少车祸、都市更新、灾害预测与犯罪防治、流行病控制等等社会的重大改变,实现物和物相联。与互联网技术相似的,在物联网中进行入侵检测以及防护措施是十分重要的。目前,在物联网中进行入侵检测也常用流量检测的方式执行。
现有技术中,首先获取到待检测数据,然后根据待检测数据的时间序列的均值和方差,确定中心线和标准差区间,其中心线为该时间序列的均值,再根据生成的中心线和标准差区间,确定该时间序列是否发生了越界、短期偏移、中期偏移和长期偏移,以便判断是否出现入侵行为。只是计算平均值和标准差,一般以3个标准差作为上下界,从而来判断时间序列数据是否越界、异常。但这种方案并没有去分析时间序列内在的特征和规律性,而只是通过传统的异常值的简单方案来分析时间序列数据,如果一个物联网设备被入侵后,其数据变化幅度不大,硬件资源占用不多,降低了检测的准确性。
因此,如何提高入侵检测的准确性是本领域技术人员关注的重点问题。
发明内容
本申请的目的是提供一种物联网设备入侵检测方法、入侵检测装置、计算设备以及计算机可读存储介质,通过ARIMA时间序列模型对原始数据进行周期性检测,提高入侵检测的精度和准确性。
为解决上述技术问题,本申请提供一种物联网设备入侵检测方法,包括:
根据预设格式对获取到的原始数据进行预处理,得到待检测数据;
根据数据特征判断所述待检测数据是否符合ARIMA时间序列模型的预测标准;
若是,则采用ARIMA时间序列模型判断所述待检测数据是否存在周期性数据;
当存在周期性数据时,将对应的设备标记为被入侵设备。
可选的,根据预设格式对获取到的原始数据进行预处理,得到待检测数据,包括:
通过预设路径获取所述原始数据;
根据所述预设格式对所述原始数据进行整理转换操作,得到初级数据;
对所述初级数据进行归一化处理,得到所述待检测数据。
可选的,根据数据特征判断所述待检测数据是否符合ARIMA时间序列模型的预测标准,包括:
根据预设算法判断所述待检测数据的分布情况是否为正态分布;
当该分布情况为正态分布时,判定对应的设备为正常设备;
当该分布情况不为正态分布时,判断所述待检测数据是否为弱平稳时间序列;
若是,则判定所述待检测数据符合ARIMA时间序列模型的预测标准;
若否,则判定所述待检测数据不符合ARIMA时间序列模型的预测标准。
可选的,根据预设算法判断所述待检测数据的分布情况是否为正态分布,包括:
根据Box-Pierce算法或Ljung-Box算法判断所述待检测数据的分布情况是否为正态分布。
可选的,当该分布情况不为正态分布时,判断所述待检测数据是否为弱平稳时间序列,包括:
当该分布情况不为正态分布时,通过ADF判断所述待检测数据是否为弱平稳时间序列。
可选的,还包括:
将所述被入侵设备的设备信息发送至数据库。
本申请还提供一种入侵检测装置,包括:
数据预处理模块,用于根据预设格式对获取到的原始数据进行预处理,得到待检测数据;
预测标准判断模块,用于根据数据特征判断所述待检测数据是否符合ARIMA时间序列模型的预测标准;
周期性判断模块,用于当所述待检测数据符合该预测标准时,采用ARIMA时间序列模型判断所述待检测数据是否存在周期性数据;
入侵标记模块,用于当存在周期性数据时,将对应的设备标记为被入侵设备。
可选的,所述数据预处理模块,包括:
数据获取单元,用于通过预设路径获取所述原始数据;
整理转换单元,用于根据所述预设格式对所述原始数据进行整理转换操作,得到初级数据;
归一化处理单元,用于对所述初级数据进行归一化处理,得到所述待检测数据。
本申请还提供一种计算设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的物联网设备入侵检测方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的物联网设备入侵检测方法的步骤。
本申请所提供的一种物联网设备入侵检测方法,包括:根据预设格式对获取到的原始数据进行预处理,得到待检测数据;根据数据特征判断所述待检测数据是否符合ARIMA时间序列模型的预测标准;若是,则采用ARIMA时间序列模型判断所述待检测数据是否存在周期性数据;当存在周期性数据时,将对应的设备标记为被入侵设备。
首先根据预设格式对获取到得原始数据进行处理,得到待检测数据,根据数据特征判断该待检测数据是否符合ARIMA时间序列模型的预测标准,当符合该预测标准时,则采用ARIMA时间序列模型判断待检测数据中是否存在周期性数据,也就是判断待检测数据中是否存在周期性的特征,而在物联网中当出现周期性特征的数据时极大可能出现了被入侵的物联网设备,由于采用ARIMA时间序列模型进行判断,而不是采用方差,提高了周期性判断的精度和准确性。
本申请还提供一种入侵检测装置、计算设备以及计算机可读存储介质,具有以上有益效果,在此不做赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种物联网设备入侵检测方法的流程图;
图2为本申请实施例所提供的一种入侵检测装置的结构示意图。
具体实施方式
本申请的核心是提供一种物联网设备入侵检测方法、入侵检测装置、计算设备以及计算机可读存储介质,通过ARIMA时间序列模型对原始数据进行周期性检测,提高入侵检测的精度和准确性。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有技术中,首先获取到待检测数据,然后根据待检测数据的时间序列的均值和方差,确定中心线和标准差区间,其中心线为该时间序列的均值,再根据生成的中心线和标准差区间,确定该时间序列是否发生了越界、短期偏移、中期偏移和长期偏移,以便判断是否出现入侵行为。只是计算平均值和标准差,一般以3个标准差作为上下界,从而来判断时间序列数据是否越界、异常。但这种方案并没有去分析时间序列内在的特征和规律性,而只是通过传统的异常值的简单方案来分析时间序列数据,如果一个物联网设备被入侵后,其数据变化幅度不大,硬件资源占用不多,降低了检测的准确性。
因此,本申请提供一种物联网设备入侵检测方法,首先根据预设格式对获取到得原始数据进行处理,得到待检测数据,根据数据特征判断该待检测数据是否符合ARIMA时间序列模型的预测标准,当符合该预测标准时,则采用ARIMA时间序列模型判断待检测数据中是否存在周期性数据,也就是判断待检测数据中是否存在周期性的特征,而在物联网中当出现周期性特征的数据时极大可能出现了被入侵的物联网设备,由于采用ARIMA时间序列模型进行判断,而不是采用方差,提高了周期性判断的精度和准确性。
以下通过一个实施例,对本申请提供的一种物联网设备入侵检测方法进行说明。
请参考图1,图1为本申请实施例所提供的一种物联网设备入侵检测方法的流程图。
本实施例中,该方法可以包括:
S101,根据预设格式对获取到的原始数据进行预处理,得到待检测数据;
本步骤旨在根据预设格式对获取到的原始数据进行预处理,得到待检测数据。主要是由于获取到的原始数据为杂乱的数据,不利于进行数据处理和分析。因此,本申请步骤中需要根据预设格式对获取到的原始数据进行预处理,以便将原始数据处理为合适数据分析的格式。
其中,本步骤中的预设格式指的是原始数据进行整理后的格式。可以是技术人员根据数据处理经验设定的格式,也可以是技术人员根据数据处理方式设定的格式,还可以是根据ARIMA时间序列模型匹配的数据格式。可见,本步骤中设定的预设格式,并不唯一,可以通过具体的应用情况选择合适的格式作为本步骤中的处理方式,在此不做具体限定。
可选的,本步骤可以包括:
步骤1,通过预设路径获取原始数据;
步骤2,根据预设格式对原始数据进行整理转换操作,得到初级数据;
步骤3,对初级数据进行归一化处理,得到待检测数据。
可见,本可选方案中主要是对如何进行预处理进行说明。具体的,本可选方案中首先通过预设路径获取原始数据;其中,预设路径可以是网络,也可以是无线蓝牙,还可以存储介质。然后,根据预设格式对原始数据进行整理转换操作,得到初级数据。也就是,根据该预设格式将原始数据进行整理,以便得到整理后的初级数据。最后,对初级数据进行归一化处理,得到待检测数据。其中,进行的归一化处理包括均值方差归一化处理、sigmoid归一化处理和maxmin归一化处理。
S102,根据数据特征判断待检测数据是否符合ARIMA时间序列模型的预测标准;若是,则执行S103;
在S102的基础上,本步骤旨在根据数据特征判断待检测数据是否符合ARIMA时间序列模型的预测标准。
一般来说,需要将数据中符合正态分布的数据进行排除,也就是如果满足正态分布,则表示数据没有问题,属于正常的数据。如果不满足正态分布,则表示数据可能存在问题,需要进一步判断是否出现异常入侵数据。在此基础上再判断数据是否为弱平稳时间序列。当属于弱平稳时间序列时,则可以通过ARIMA时间序列模型判断是否出现了周期性问题。
可选的,本步骤可以包括:
步骤1,根据预设算法判断待检测数据的分布情况是否为正态分布;若是,则执行步骤2;若否,则执行步骤3;
步骤2,当该分布情况为正态分布时,判定对应的设备为正常设备;
步骤3,当该分布情况不为正态分布时,判断待检测数据是否为弱平稳时间序列;若是,则执行步骤4;若否,则执行步骤5;
步骤4,判定待检测数据符合ARIMA时间序列模型的预测标准;
步骤5,判定待检测数据不符合ARIMA时间序列模型的预测标准。
可见,本可选方案中主要是对如何进行预测标准判断进行说明。本可选方案中,首先,根据预设算法判断待检测数据的分布情况是否为正态分布;若是,即当该分布情况为正态分布时,判定对应的设备为正常设备;也就是判定数据为正态分布,表示数据正常无需进行入侵检测。
若否,判断待检测数据是否为弱平稳时间序列,即表示数据存在异常情况,需要进一步判断是否存在一定的周期性数据。若是,即存在周期性数据,判定待检测数据符合ARIMA时间序列模型的预测标准;若否,即不存在周期性数据,判定待检测数据不符合ARIMA时间序列模型的预测标准。
可选的,其中步骤1,可以包括:
根据Box-Pierce算法或Ljung-Box算法判断待检测数据的分布情况是否为正态分布。
可见,本可选方案主要是对如何进行正态分布判断进行说明。本可选方案中主要是通过Box-Pierce算法或Ljung-Box算法进行判断。其中,Box-Pierce算法具体是Box-Pierce Q检验采用近似卡方分布分析时间序列的平稳性特征。其中,Ljung-Box算法对随机性的检验,或者说是对时间序列是否存在滞后相关的一种统计检验。
可选的,其中步骤3,可以包括:
当该分布情况不为正态分布时,通过ADF判断待检测数据是否为弱平稳时间序列。
可见,本可选方案主要是对如何进行弱平稳时间序列进行判断。其中,主要是通过ADF进行弱平稳时间序列判断。其中,ADF为具体为Augmented Dickey-Fuller test,在时间序列分析当中用来辨识个别变数的样本资料是否存在单根之检定。从Dickey-Fuller检定扩张修改而来。
S103,采用ARIMA时间序列模型判断待检测数据是否存在周期性数据;
在S102的基础上,本步骤旨在采用ARIMA时间序列模型判断待检测数据是否存在周期性数据。也就是通过以上步骤的处理操作和判断操作,在本步骤中采用ARIMA时间序列模型判断待检测数据中是否存在周期性数据,也即判断待检测数据是否出现入侵问题。
其中,ARIMA(Autoregressive Integrated Moving Average model,差分整合移动平均自回归模型)时间序列模型,又称整合移动平均自回归模型(移动也可称作滑动),时间序列预测分析方法之一。具体的,在ARIMA(p,d,q)中,AR是"自回归",p为自回归项数;MA为"滑动平均",q为滑动平均项数,d为使之成为平稳序列所做的差分次数(阶数)。
S104,当存在周期性数据时,将对应的设备标记为被入侵设备。
在S103的基础上,本步骤旨在当存在周期性数据时,将对应的设备标记为被入侵设备。也就是,当存在周期性数据时,表示该周期性数据对应的设备出现了被入侵的情况,此时就可以将该设备标记为被入侵设备,即检测出了被入侵的设备。
可选的,本实施例还可以包括:
将被入侵设备的设备信息发送至数据库。
本步骤旨在,当检测出被入侵的设备后,将该被入侵设备对应的设备信息发送至数据库,以便对入侵情况进行记录,以便后续步骤中进行学习即参考。
综上,本实施例首先根据预设格式对获取到得原始数据进行处理,得到待检测数据,根据数据特征判断该待检测数据是否符合ARIMA时间序列模型的预测标准,当符合该预测标准时,则采用ARIMA时间序列模型判断待检测数据中是否存在周期性数据,也就是判断待检测数据中是否存在周期性的特征,而在物联网中当出现周期性特征的数据时极大可能出现了被入侵的物联网设备,由于采用ARIMA时间序列模型进行判断,而不是采用方差,提高了周期性判断的精度和准确性。
以下通过一个具体的实施例,对本申请提供的一种物联网设备入侵检测方法做进一步说明。
本实施例中,该方法可以包括:
步骤1,使用R(或者Python、Julia等编程语言)通过离线方式或在线方式(通过MySQL、ElasticSearch、Hive等数据库接口读取)读取物联网设备时间序列数据并进行ETL(Extract-Transform-Load,数据仓库技术),其数据特征包括但不限于时间、经纬度、读/写状态、进口流量、出口流量、已使用内存、内存容量、CPU(central processing unit,中央处理器)使用(百分位数)、设备ID(Identity document,身份标识号)等。
并且,通过相关转换将相对杂乱的数据处理为数据框,每行为某一时间点一个完整的观测样本,每列为采集的特征(时间、经纬度、读/写状态、进口流量、出口流量、已使用内存、内存容量、CPU使用(百分位数)、设备ID等)。此外,将采集的时间从整数类型转换为时间类型,比如将1572860750151转换为2019-11-04 09:45:50,将设备ID转换为字符串型。
步骤2,对数据进行数据预处理,包括但不限于转换数据类型、归一化以及计算某些特征连续符合增长率的特征处理。其中,归一化处理的方式包括均值方差归一化、sigmoid归一化和maxmin归一化。本实施例中一般采用sigmoid归一化。
其中,本步骤中还可以加入新的特征数据,包括但不限于内存占用比率、CPU占用比率、归一化后的CPU和内存比率、内存和CPU的连续复合增长率。其中,各个特征数据的计算方式可以选择现有技术中计算方式,在此不做具体限定。
步骤3,检查特征数据是否为正态分布,如果为正态分布,则没有周期性。
具体的,通过Box-Pierce或者Ljung-Box法检验各个ID的内存占用比率、CPU占用比率、归一化后的CPU和内存比率、内存和CPU的连续复合增长率特征等是否为正态分布。
步骤4,若数据不为正态分布,则判断特征数据是否为弱平稳时间序列。
具体的,当数据不为正态分布,则通过ADF(Augmented Dickey-Fuller test)检验一些特征是否为弱平稳时间序列。
步骤5,若数据为弱平稳时间序列,则使用ARIMA模型检查数据是否存在周期性;若数据不为弱平稳时间序列,进行一次或二次差分预处理,再判断处理后的数据是否为弱平稳时间序列。
也就是说,只有在弱平稳条件满足的情况下,才可以使用ARIMA模型进行进一步的周期性分析。其中,使用ARIMA模型检验数据是否存在周期性,其主要分为通过AR模型计算AR阶数n,再对步骤3中提及的特征各自建立ARIMA模型,其参数为(n,0,0),根据随机环计算公式计算其是否存在周期性,如果存在周期性,计算其具体数值。
步骤6,如果存在周期性,则该物联网设备为可疑被入侵设备,输出入侵设备ID至数据库,可以但不限于给专业网络安全人员进一步分析,也可以作为一个新的数据特征,以作为下一步基于机器学习的模型的训练和测试数据。
可见,本实施例首先根据预设格式对获取到得原始数据进行处理,得到待检测数据,根据数据特征判断该待检测数据是否符合ARIMA时间序列模型的预测标准,当符合该预测标准时,则采用ARIMA时间序列模型判断待检测数据中是否存在周期性数据,也就是判断待检测数据中是否存在周期性的特征,而在物联网中当出现周期性特征的数据时极大可能出现了被入侵的物联网设备,由于采用ARIMA时间序列模型进行判断,而不是采用方差,提高了周期性判断的精度和准确性。
下面对本申请实施例提供的一种入侵检测装置进行介绍,下文描述的一种入侵检测装置与上文描述的一种物联网设备入侵检测方法可相互对应参照。
请参考图2,图2为本申请实施例所提供的一种入侵检测装置的结构示意图。
本实施例中,该装置可以包括:
数据预处理模块100,用于根据预设格式对获取到的原始数据进行预处理,得到待检测数据;
预测标准判断模块200,用于根据数据特征判断待检测数据是否符合ARIMA时间序列模型的预测标准;
周期性判断模块300,用于当待检测数据符合该预测标准时,采用ARIMA时间序列模型判断待检测数据是否存在周期性数据;
入侵标记模块400,用于当存在周期性数据时,将对应的设备标记为被入侵设备。
可选的,该数据预处理模块100,可以包括:
数据获取单元,用于通过预设路径获取原始数据;
整理转换单元,用于根据预设格式对原始数据进行整理转换操作,得到初级数据;
归一化处理单元,用于对初级数据进行归一化处理,得到待检测数据。
本申请还提供一种计算设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如以上实施例所述的物联网设备入侵检测方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如以上实施例所述的物联网设备入侵检测方法的步骤。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种物联网设备入侵检测方法、入侵检测装置、计算设备以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种物联网设备入侵检测方法,其特征在于,包括:
根据预设格式对获取到的原始数据进行预处理,得到待检测数据;
根据数据特征判断所述待检测数据是否符合ARIMA时间序列模型的预测标准;
若是,则采用ARIMA时间序列模型判断所述待检测数据是否存在周期性数据;
当存在周期性数据时,将对应的设备标记为被入侵设备。
2.根据权利要求1所述的物联网设备入侵检测方法,其特征在于,根据预设格式对获取到的原始数据进行预处理,得到待检测数据,包括:
通过预设路径获取所述原始数据;
根据所述预设格式对所述原始数据进行整理转换操作,得到初级数据;
对所述初级数据进行归一化处理,得到所述待检测数据。
3.根据权利要求1所述的物联网设备入侵检测方法,其特征在于,根据数据特征判断所述待检测数据是否符合ARIMA时间序列模型的预测标准,包括:
根据预设算法判断所述待检测数据的分布情况是否为正态分布;
当该分布情况为正态分布时,判定对应的设备为正常设备;
当该分布情况不为正态分布时,判断所述待检测数据是否为弱平稳时间序列;
若是,则判定所述待检测数据符合ARIMA时间序列模型的预测标准;
若否,则判定所述待检测数据不符合ARIMA时间序列模型的预测标准。
4.根据权利要求1所述的物联网设备入侵检测方法,其特征在于,根据预设算法判断所述待检测数据的分布情况是否为正态分布,包括:
根据Box-Pierce算法或Ljung-Box算法判断所述待检测数据的分布情况是否为正态分布。
5.根据权利要求1所述的物联网设备入侵检测方法,其特征在于,当该分布情况不为正态分布时,判断所述待检测数据是否为弱平稳时间序列,包括:
当该分布情况不为正态分布时,通过ADF判断所述待检测数据是否为弱平稳时间序列。
6.根据权利要求1所述的物联网设备入侵检测方法,其特征在于,还包括:
将所述被入侵设备的设备信息发送至数据库。
7.一种入侵检测装置,其特征在于,包括:
数据预处理模块,用于根据预设格式对获取到的原始数据进行预处理,得到待检测数据;
预测标准判断模块,用于根据数据特征判断所述待检测数据是否符合ARIMA时间序列模型的预测标准;
周期性判断模块,用于当所述待检测数据符合该预测标准时,采用ARIMA时间序列模型判断所述待检测数据是否存在周期性数据;
入侵标记模块,用于当存在周期性数据时,将对应的设备标记为被入侵设备。
8.根据权利要求7所述的入侵检测装置,其特征在于,所述数据预处理模块,包括:
数据获取单元,用于通过预设路径获取所述原始数据;
整理转换单元,用于根据所述预设格式对所述原始数据进行整理转换操作,得到初级数据;
归一化处理单元,用于对所述初级数据进行归一化处理,得到所述待检测数据。
9.一种计算设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的物联网设备入侵检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的物联网设备入侵检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010778364.8A CN111882135B (zh) | 2020-08-05 | 2020-08-05 | 一种物联网设备入侵检测方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010778364.8A CN111882135B (zh) | 2020-08-05 | 2020-08-05 | 一种物联网设备入侵检测方法及相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111882135A true CN111882135A (zh) | 2020-11-03 |
CN111882135B CN111882135B (zh) | 2024-04-30 |
Family
ID=73210681
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010778364.8A Active CN111882135B (zh) | 2020-08-05 | 2020-08-05 | 一种物联网设备入侵检测方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111882135B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115801604A (zh) * | 2023-02-13 | 2023-03-14 | 广东工业大学 | 一种网络流特征值的预测方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101883017A (zh) * | 2009-05-04 | 2010-11-10 | 北京启明星辰信息技术股份有限公司 | 一种网络安全状态评估系统及方法 |
US20120310939A1 (en) * | 2011-06-06 | 2012-12-06 | Taiyeong Lee | Systems And Methods For Clustering Time Series Data Based On Forecast Distributions |
CN109189762A (zh) * | 2018-09-03 | 2019-01-11 | 深圳市智物联网络有限公司 | 一种工业物联网数据分析方法、系统及相关设备 |
CN110865928A (zh) * | 2019-11-26 | 2020-03-06 | 上海新炬网络技术有限公司 | 基于arima预测模型和灰色预测模型实现容量预测的方法 |
CN111092891A (zh) * | 2019-12-20 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 一种网络中异常点的检测方法、检测系统及相关装置 |
CN111427753A (zh) * | 2020-03-23 | 2020-07-17 | 上海新炬网络信息技术股份有限公司 | 基于arima模型的容量预测装置及其控制方法 |
-
2020
- 2020-08-05 CN CN202010778364.8A patent/CN111882135B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101883017A (zh) * | 2009-05-04 | 2010-11-10 | 北京启明星辰信息技术股份有限公司 | 一种网络安全状态评估系统及方法 |
US20120310939A1 (en) * | 2011-06-06 | 2012-12-06 | Taiyeong Lee | Systems And Methods For Clustering Time Series Data Based On Forecast Distributions |
CN109189762A (zh) * | 2018-09-03 | 2019-01-11 | 深圳市智物联网络有限公司 | 一种工业物联网数据分析方法、系统及相关设备 |
CN110865928A (zh) * | 2019-11-26 | 2020-03-06 | 上海新炬网络技术有限公司 | 基于arima预测模型和灰色预测模型实现容量预测的方法 |
CN111092891A (zh) * | 2019-12-20 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 一种网络中异常点的检测方法、检测系统及相关装置 |
CN111427753A (zh) * | 2020-03-23 | 2020-07-17 | 上海新炬网络信息技术股份有限公司 | 基于arima模型的容量预测装置及其控制方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115801604A (zh) * | 2023-02-13 | 2023-03-14 | 广东工业大学 | 一种网络流特征值的预测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111882135B (zh) | 2024-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111475804B (zh) | 一种告警预测方法及系统 | |
CN105809035B (zh) | 基于安卓应用实时行为的恶意软件检测方法和系统 | |
US20050086529A1 (en) | Detection of misuse or abuse of data by authorized access to database | |
CN111796957B (zh) | 基于应用日志的交易异常根因分析方法及系统 | |
CN109462691A (zh) | 一种基于多传感器数据融合的隐式防护方法及系统 | |
US11481707B2 (en) | Risk prediction system and operation method thereof | |
CN106792883A (zh) | 传感器网络异常数据检测方法与系统 | |
CN115277180B (zh) | 一种区块链日志异常检测与溯源系统 | |
CN111130890A (zh) | 一种网络流量动态预测系统 | |
CN106935038B (zh) | 一种停车检测系统及检测方法 | |
CN111767192B (zh) | 基于人工智能的业务数据检测方法、装置、设备和介质 | |
CN110598999A (zh) | 基于个体数据的交通出行分析方法、系统及存储介质 | |
CN116415931A (zh) | 一种基于大数据的电力设备运行状态监控方法和系统 | |
CN114418175A (zh) | 一种人员管理方法、装置、电子设备及存储介质 | |
CN111882135A (zh) | 一种物联网设备入侵检测方法及相关装置 | |
CN109918901A (zh) | 实时检测基于Cache攻击的方法 | |
CN115470524B (zh) | 涉密文件泄露检测方法、系统、设备及介质 | |
Erdelić et al. | Classification of travel modes using streaming GNSS data | |
CN116647389A (zh) | 一种工业控制系统网络访问安全性预警系统及方法 | |
CN111798237B (zh) | 基于应用日志的异常交易诊断方法及系统 | |
CN105930430A (zh) | 一种基于非累积属性的实时欺诈检测方法及装置 | |
CN115392351A (zh) | 风险用户识别方法、装置、电子设备及存储介质 | |
CN116126807A (zh) | 一种日志分析方法及相关装置 | |
CN113393169B (zh) | 基于大数据技术的金融行业交易系统性能指标分析方法 | |
CN113516302B (zh) | 业务风险分析方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |