CN113364739A - 物联网设备流量异常的识别方法及系统 - Google Patents
物联网设备流量异常的识别方法及系统 Download PDFInfo
- Publication number
- CN113364739A CN113364739A CN202110517831.6A CN202110517831A CN113364739A CN 113364739 A CN113364739 A CN 113364739A CN 202110517831 A CN202110517831 A CN 202110517831A CN 113364739 A CN113364739 A CN 113364739A
- Authority
- CN
- China
- Prior art keywords
- flow
- equipment
- internet
- discrete
- discrete factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
物联网设备流量异常的识别方法及系统涉及信息技术领域。本发明由物联网卡信息采集器、单一设备日流量记录器、分类设备日均流量记录器、离散因子计算器、单一设备阈值记录器、分类设备阈值记录器和监测器组成。通过物联网卡的流量话单记录、业务话单记录,利用多维度对比分析和机器学习算法,最终智能识别出流量异常的设备,可大大减少后续风险行为的发生。
Description
技术领域
本发明涉及信息技术领域。
背景技术
随着科技飞速发展,物联网与人们的生活关联也越来越密切。物联网设备是指,使用物联网卡或其它方式上网的专用设备,例如城市智慧路灯、车联网设备、智能交通信号灯、智能抄表、家居摄像头。近些年,物联网安全相关事件日益增多,包括:利用交通信号灯漏洞,控制信号指令造成交通车辆堵塞;利用车联网设备漏洞,控制车辆危险行驶;利用家居摄像头漏洞,窃取用户隐私。如何提前识别异常的物联网设备,阻止更严重的安全事件发生,成为当前亟待解决的问题。
物联网生态圈,主要由物联网卡和物联网终端设备组成。一般来说,物联网卡及其芯片,仅提供上网功能,物联网设备则使用此功能进行数据的发送和获取,现有技术中发现涉及安全事件的设备,只能通过事后更换设备的方法来阻止被控制的物联网设备造成更大的损害,无法做到事先预防,实时预判物联网设备是否被恶意控制。由于物联网设备种类繁多,可能没有操作系统,也可能存在操作系统,且系统类型不一,在安全方面的防御能力也互不相同。常规方式监控难度大,现有技术方案无法做到统一识别和实时处理,仅依靠受攻击的系统出现问题的时候,进行溯源才得知异常的源头,不利于自动识别和提前防范。
本发明的物联网设备流量异常的识别方法及系统部署在各省通信管理局,通过物联网卡的流量话单记录、业务话单记录,利用多维度对比分析和机器学习算法,最终智能识别出流量异常的设备,可大大减少后续风险行为的发生。
现有技术说明
局部异常因子算法是基于密度的经典算法。其思想是通过比较每个点p和其邻域点的密度来判断该点是否为异常点,如果点p的密度越低,越可能被认定是异常点。至于密度,是通过点之间的距离来计算的,点之间距离越远,密度越低,距离越近,密度越高。局部异常因子算法中的密度是通过点的第k邻域来计算,而不是全局计算,因此得名为局部异常因子。
局部离群因子,简称离散因子:
离散因子越接近1,说明点p和其邻域点密度差不多,点p和邻域同属一簇;
离散因子越小于1,说明点p的密度高于其邻域点密度,点p为密集点;
离散因子越大于1,说明点p的密度小于其邻域点密度,点p是异常点。
发明内容
鉴于现有技术的不足,本发明提供的物联网设备流量异常的识别系统由物联网卡信息采集器、单一设备日流量记录器、分类设备日均流量记录器、离散因子计算器、单一设备阈值记录器、分类设备阈值记录器和监测器组成;物联网卡信息采集器由开户信息采集器、流量信息采集器和业务信息采集器组成;离散因子计算器由邻域点个数设定器、异常离散因子计算器和阈值计算器组成;
开户信息采集器负责采集运营商上报的物联网流量中的物联网卡的开户信息,物联网卡的开户信息包括:物联网卡号码、物联网卡注册使用人、终端标识、终端设备类型,生成开户信息集;
流量信息采集器负责采集运营商上报的物联网流量中的物联网卡的流量话单信息,物联网卡的流量话单信息包括:终端标识、开始时间、持续时间、流量使用量,生成流量信息集;
业务信息采集器负责采集运营商上报的物联网流量中的物联网卡的业务话单信息,物联网卡的业务话单信息包括:终端标识、开始时间、结束时间、源IP、源端口号、访问目的IP、访问目的端口号、访问地址,生成业务信息集;
单一设备日流量记录器读取流量信息集,根据终端标识的区别生成终端标识为基础的单一设备每日流量统计值,称为单一设备日流量记录表;
分类设备日均流量记录器读取开户信息集中的终端设备类型,根据终端设备类型和终端标识的对应关系将单一设备日流量记录表中终端设备类型相同且终端标识不同的单一设备每日流量统计值进行取均值计算,生成按照终端设备类型为基础的每日单一设备流量的均值,称为分类设备日均流量记录表;
邻域点个数设定器用来设定进行离散因子计算时参与邻域计算的流量记录条数占总记录条数的百分比,当输入30日的单一设备日流量记录表进行离散因子计算时,邻域点个数设定器所设定的值乘以30,即为单一设备日流量离散因子计算的邻域点个数;当输入30日的分类设备日均流量记录表进行离散因子计算时,邻域点个数设定器所设定的值乘以30,即为分类设备日均流量离散因子计算的邻域点个数;领域点个数设定器设定的值的取值范围为0.8到0.95;每条流量记录都是一个独立的离散因子,离散因子的值就是所记录的流量值;
异常离散因子计算器用来计算参与离散因子计算的流量记录中的异常离散因子,当输入30日的单一设备日流量记录表进行离散因子计算时,30日的单一设备日流量记录表称为离散因子集合,某单一设备日流量记录大于全部单一设备日流量记录的平均值加上全部单一设备日流量记录的标准差时,某单一设备日流量记录为异常离散因子;当输入30日的分类设备日均流量记录表进行离散因子计算时, 30日的分类设备日均流量记录表称为离散因子集合,某分类设备日均流量记录大于全部分类设备日均流量记录的平均值加上全部分类设备日均流量记录的标准差时,某分类设备日均流量记录为异常离散因子;
阈值计算器负责剔除异常离散因子后重新计算离散因子集合的标准差和离散因子集合的平均值,当阈值计算器剔除30日的单一设备日流量记录表作为离散因子集合中的异常离散因子后, 重新计算离散因子集合的标准差和离散因子集合的平均值,并将离散因子集合的标准差加上离散因子集合的平均值作为单一设备阈值,以终端标识为根记录在单一设备阈值记录器中;当阈值计算器剔除30日的分类设备日均流量记录表作为离散因子集合中的异常离散因子后, 重新计算离散因子集合的标准差和离散因子集合的平均值,并将离散因子集合的标准差加上离散因子集合的平均值作为分类设备阈值,以终端设备类型为根记录在分类设备阈值记录器中;
监测器日常监测并发现流量异常的物联网设备,当监测器读取某一类型的终端在昨日的流量记录,将某一类型的终端的每个终端设备的昨日使用流量作为独立的离散因子,与分类设备阈值记录器中的值作比较,将所有大于分类设备阈值记录器中的值的离散因子,判定为异常离散因子,将异常离散因子对应的终端标识记录为异常的物联网设备;当监测器读取某单一设备昨日的流量记录时,将单一设备昨日的流量记录与单一设备阈值记录器中的值比较,当单一设备昨日的流量记录大于单一设备阈值记录器中的值,判断为异常离散因子,将异常离散因子对应的终端标识记录为异常的物联网设备。
有益效果
很大程度上弥补了事后溯源的不足,通过对话单数据多维度分析,智能识别流量异常的风险行为,并自动通知运营商进行处理,准确性、实时性和处理效果得到了较大提升,大大减少了异常物联网设备可能带来的社会危害性。
附图说明
图1是本发明的系统结构图。
具体实施方式
参看图1,本发明提供的物联网设备流量异常的识别系统由物联网卡信息采集器1、单一设备日流量记录器2、分类设备日均流量记录器3、离散因子计算器4、单一设备阈值记录器5、分类设备阈值记录器6和监测器7组成;物联网卡信息采集器1由开户信息采集器10、流量信息采集器11和业务信息采集器12组成;离散因子计算器4由邻域点个数设定器40、异常离散因子计算器41和阈值计算器42组成;
开户信息采集器10负责采集运营商上报的物联网流量中的物联网卡的开户信息,物联网卡的开户信息包括:物联网卡号码、物联网卡注册使用人、终端标识、终端设备类型,生成开户信息集;
流量信息采集器11负责采集运营商上报的物联网流量中的物联网卡的流量话单信息,物联网卡的流量话单信息包括:终端标识、开始时间、持续时间、流量使用量,生成流量信息集;
业务信息采集器12负责采集运营商上报的物联网流量中的物联网卡的业务话单信息,物联网卡的业务话单信息包括:终端标识、开始时间、结束时间、源IP、源端口号、访问目的IP、访问目的端口号、访问地址,生成业务信息集;
单一设备日流量记录器2读取流量信息集,根据终端标识的区别生成终端标识为基础的单一设备每日流量统计值,称为单一设备日流量记录表;
分类设备日均流量记录器3读取开户信息集中的终端设备类型,根据终端设备类型和终端标识的对应关系将单一设备日流量记录表中终端设备类型相同且终端标识不同的单一设备每日流量统计值进行取均值计算,生成按照终端设备类型为基础的每日单一设备流量的均值,称为分类设备日均流量记录表;
邻域点个数设定器40用来设定进行离散因子计算时参与邻域计算的流量记录条数占总记录条数的百分比,当输入30日的单一设备日流量记录表进行离散因子计算时,邻域点个数设定器所设定的值乘以30,即为单一设备日流量离散因子计算的邻域点个数;当输入30日的分类设备日均流量记录表进行离散因子计算时,邻域点个数设定器所设定的值乘以30,即为分类设备日均流量离散因子计算的邻域点个数;领域点个数设定器设定的值的取值范围为0.8到0.95;每条流量记录都是一个独立的离散因子,离散因子的值就是所记录的流量值;
异常离散因子计算器41用来计算参与离散因子计算的流量记录中的异常离散因子,当输入30日的单一设备日流量记录表进行离散因子计算时,30日的单一设备日流量记录表称为离散因子集合,某单一设备日流量记录大于全部单一设备日流量记录的平均值加上全部单一设备日流量记录的标准差时,某单一设备日流量记录为异常离散因子;当输入30日的分类设备日均流量记录表进行离散因子计算时, 30日的分类设备日均流量记录表称为离散因子集合,某分类设备日均流量记录大于全部分类设备日均流量记录的平均值加上全部分类设备日均流量记录的标准差时,某分类设备日均流量记录为异常离散因子;
阈值计算器42负责剔除异常离散因子后重新计算离散因子集合的标准差和离散因子集合的平均值,当阈值计算器42剔除30日的单一设备日流量记录表作为离散因子集合中的异常离散因子后, 重新计算离散因子集合的标准差和离散因子集合的平均值,并将离散因子集合的标准差加上离散因子集合的平均值作为单一设备阈值,以终端标识为根记录在单一设备阈值记录器5中;当阈值计算器42剔除30日的分类设备日均流量记录表作为离散因子集合中的异常离散因子后, 重新计算离散因子集合的标准差和离散因子集合的平均值,并将离散因子集合的标准差加上离散因子集合的平均值作为分类设备阈值,以终端设备类型为根记录在分类设备阈值记录器6中;
监测器7日常监测并发现流量异常的物联网设备,当监测器7读取某一类型的终端在昨日的流量记录,将某一类型的终端的每个终端设备的昨日使用流量作为独立的离散因子,与分类设备阈值记录器中的值作比较,将所有大于分类设备阈值记录器中的值的离散因子,判定为异常离散因子,将异常离散因子对应的终端标识记录为异常的物联网设备;当监测器7读取某单一设备昨日的流量记录时,将单一设备昨日的流量记录与单一设备阈值记录器中的值比较,当单一设备昨日的流量记录大于单一设备阈值记录器中的值,判断为异常离散因子,将异常离散因子对应的终端标识记录为异常的物联网设备。
Claims (1)
1.物联网设备流量异常的识别系统,其特征在于由物联网卡信息采集器、单一设备日流量记录器、分类设备日均流量记录器、离散因子计算器、单一设备阈值记录器、分类设备阈值记录器和监测器组成;物联网卡信息采集器由开户信息采集器、流量信息采集器和业务信息采集器组成;离散因子计算器由邻域点个数设定器、异常离散因子计算器和阈值计算器组成;
开户信息采集器负责采集运营商上报的物联网流量中的物联网卡的开户信息,物联网卡的开户信息包括:物联网卡号码、物联网卡注册使用人、终端标识、终端设备类型,生成开户信息集;
流量信息采集器负责采集运营商上报的物联网流量中的物联网卡的流量话单信息,物联网卡的流量话单信息包括:终端标识、开始时间、持续时间、流量使用量,生成流量信息集;
业务信息采集器负责采集运营商上报的物联网流量中的物联网卡的业务话单信息,物联网卡的业务话单信息包括:终端标识、开始时间、结束时间、源IP、源端口号、访问目的IP、访问目的端口号、访问地址,生成业务信息集;
单一设备日流量记录器读取流量信息集,根据终端标识的区别生成终端标识为基础的单一设备每日流量统计值,称为单一设备日流量记录表;
分类设备日均流量记录器读取开户信息集中的终端设备类型,根据终端设备类型和终端标识的对应关系将单一设备日流量记录表中终端设备类型相同且终端标识不同的单一设备每日流量统计值进行取均值计算,生成按照终端设备类型为基础的每日单一设备流量的均值,称为分类设备日均流量记录表;
邻域点个数设定器用来设定进行离散因子计算时参与邻域计算的流量记录条数占总记录条数的百分比,当输入30日的单一设备日流量记录表进行离散因子计算时,邻域点个数设定器所设定的值乘以30,即为单一设备日流量离散因子计算的邻域点个数;当输入30日的分类设备日均流量记录表进行离散因子计算时,邻域点个数设定器所设定的值乘以30,即为分类设备日均流量离散因子计算的邻域点个数;领域点个数设定器设定的值的取值范围为0.8到0.95;每条流量记录都是一个独立的离散因子,离散因子的值就是所记录的流量值;
异常离散因子计算器用来计算参与离散因子计算的流量记录中的异常离散因子,当输入30日的单一设备日流量记录表进行离散因子计算时,30日的单一设备日流量记录表称为离散因子集合,某单一设备日流量记录大于全部单一设备日流量记录的平均值加上全部单一设备日流量记录的标准差时,某单一设备日流量记录为异常离散因子;当输入30日的分类设备日均流量记录表进行离散因子计算时, 30日的分类设备日均流量记录表称为离散因子集合,某分类设备日均流量记录大于全部分类设备日均流量记录的平均值加上全部分类设备日均流量记录的标准差时,某分类设备日均流量记录为异常离散因子;
阈值计算器负责剔除异常离散因子后重新计算离散因子集合的标准差和离散因子集合的平均值,当阈值计算器剔除30日的单一设备日流量记录表作为离散因子集合中的异常离散因子后, 重新计算离散因子集合的标准差和离散因子集合的平均值,并将离散因子集合的标准差加上离散因子集合的平均值作为单一设备阈值,以终端标识为根记录在单一设备阈值记录器中;当阈值计算器剔除30日的分类设备日均流量记录表作为离散因子集合中的异常离散因子后, 重新计算离散因子集合的标准差和离散因子集合的平均值,并将离散因子集合的标准差加上离散因子集合的平均值作为分类设备阈值,以终端设备类型为根记录在分类设备阈值记录器中;
监测器日常监测并发现流量异常的物联网设备,当监测器读取某一类型的终端在昨日的流量记录,将某一类型的终端的每个终端设备的昨日使用流量作为独立的离散因子,与分类设备阈值记录器中的值作比较,将所有大于分类设备阈值记录器中的值的离散因子,判定为异常离散因子,将异常离散因子对应的终端标识记录为异常的物联网设备;当监测器读取某单一设备昨日的流量记录时,将单一设备昨日的流量记录与单一设备阈值记录器中的值比较,当单一设备昨日的流量记录大于单一设备阈值记录器中的值,判断为异常离散因子,将异常离散因子对应的终端标识记录为异常的物联网设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110517831.6A CN113364739B (zh) | 2021-05-13 | 2021-05-13 | 物联网设备流量异常的识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110517831.6A CN113364739B (zh) | 2021-05-13 | 2021-05-13 | 物联网设备流量异常的识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113364739A true CN113364739A (zh) | 2021-09-07 |
| CN113364739B CN113364739B (zh) | 2022-05-13 |
Family
ID=77526354
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110517831.6A Active CN113364739B (zh) | 2021-05-13 | 2021-05-13 | 物联网设备流量异常的识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113364739B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019095719A1 (zh) * | 2017-11-14 | 2019-05-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
| CN111614614A (zh) * | 2020-04-14 | 2020-09-01 | 瑞数信息技术(上海)有限公司 | 应用于物联网的安全监测方法和装置 |
| CN111865923A (zh) * | 2020-06-23 | 2020-10-30 | 宜通世纪物联网研究院(广州)有限公司 | 一种物联网卡异常行为识别方法、系统、装置及介质 |
-
2021
- 2021-05-13 CN CN202110517831.6A patent/CN113364739B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019095719A1 (zh) * | 2017-11-14 | 2019-05-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
| CN111614614A (zh) * | 2020-04-14 | 2020-09-01 | 瑞数信息技术(上海)有限公司 | 应用于物联网的安全监测方法和装置 |
| CN111865923A (zh) * | 2020-06-23 | 2020-10-30 | 宜通世纪物联网研究院(广州)有限公司 | 一种物联网卡异常行为识别方法、系统、装置及介质 |
Non-Patent Citations (1)
| Title |
|---|
| SERGEY AGEEV等: "Abnormal Traffic Detection in Networks of the Internet of Things Based on Fuzzy Logical Inferences", 《2015 XVIII INTERNATIONAL CONFERENCE ON SOFT COMPUTING AND MEASUREMENTS(SCM)》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113364739B (zh) | 2022-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107959847B (zh) | 视频监控网络的视频诊断和运维管理系统及方法 | |
| CN112737865B (zh) | 基于自动机的物联网设备流量建模、检测方法和装置 | |
| CN114610559A (zh) | 设备运行环境评估方法、判决模型训练方法、电子设备 | |
| JP2017097819A (ja) | アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 | |
| CN115378647A (zh) | 一种基于流量规则特征的策略分析优化方法及系统 | |
| CN111970233B (zh) | 一种网络违规外联场景的分析识别方法 | |
| CN110083575A (zh) | 履职监控方法、装置、设备及计算机可读存储介质 | |
| CN111953530A (zh) | 一种网络设备监控管理方法及系统 | |
| CN114513342B (zh) | 一种智能变电站通信数据安全监测方法及系统 | |
| CN117093461A (zh) | 一种时延检测分析的方法、系统、设备和存储介质 | |
| CN113364739B (zh) | 物联网设备流量异常的识别方法及系统 | |
| CN118214612A (zh) | 一种基于互联网的实时监控安全服务系统 | |
| CN111614614B (zh) | 应用于物联网的安全监测方法和装置 | |
| CN113572787A (zh) | 一种计算机网络智能监控系统 | |
| CN111614611B (zh) | 一种用于电网嵌入式终端的网络安全审计方法及装置 | |
| CN114153894A (zh) | 一种窃电用户的实时在线识别系统 | |
| CN118784279A (zh) | 一种基于Spring Cloud Gateway的网络恶意攻击防御方法及装置 | |
| CN114553580B (zh) | 基于规则泛化和攻击重构网络攻击检测方法及装置 | |
| CN117424797B (zh) | 一种实时大并发告警接收和处理方法 | |
| CN116132121B (zh) | 一种特征识别性能分析的方法 | |
| CN113992495B (zh) | 告警信息的处理方法、装置、计算机设备和存储介质 | |
| CN116974852B (zh) | 车辆数据链路的追踪补偿方法、系统及存储介质 | |
| CN115380505A (zh) | 工业网络行为分析方法、装置、系统和计算机可读介质 | |
| CN115277098A (zh) | 一种基于智能学习的网络流量异常检测装置及方法 | |
| CN114020594A (zh) | 一种基于数据库审计系统的sql注入预警方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |