CN113765850A - 物联网异常检测方法、装置、计算设备及计算机存储介质 - Google Patents

物联网异常检测方法、装置、计算设备及计算机存储介质 Download PDF

Info

Publication number
CN113765850A
CN113765850A CN202010493981.3A CN202010493981A CN113765850A CN 113765850 A CN113765850 A CN 113765850A CN 202010493981 A CN202010493981 A CN 202010493981A CN 113765850 A CN113765850 A CN 113765850A
Authority
CN
China
Prior art keywords
internet
things
card
target
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010493981.3A
Other languages
English (en)
Other versions
CN113765850B (zh
Inventor
高渊
董宇翔
胡声秋
江为强
张麾军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Chongqing Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Chongqing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Chongqing Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202010493981.3A priority Critical patent/CN113765850B/zh
Publication of CN113765850A publication Critical patent/CN113765850A/zh
Application granted granted Critical
Publication of CN113765850B publication Critical patent/CN113765850B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例涉及物联网技术领域,公开了一种物联网异常检测方法,该方法包括:获取各物联网卡的第一特征数据和各物联网设备的第二特征数据,所述各物联网卡和所述各物联网设备一一对应;对所述第一特征数据进行分析,以确定存在异常的目标物联网卡;对所述第二特征数据进行分析,以确定存在异常的目标物联网设备;确定与所述目标物联网卡对应的关联物联网设备;如果所述关联物联网设备中存在非目标物联网设备,则确定所述非目标物联网设备存在异常。通过上述方式,本发明实施例实现了物联网异常检测。

Description

物联网异常检测方法、装置、计算设备及计算机存储介质
技术领域
本发明实施例涉及物联网技术领域,具体涉及一种物联网异常检测方法、装置、计算设备及计算机存储介质。
背景技术
物联网系统包括物联网卡和物联网设备。物联网卡是运营商应用在物联网业务中的SIM卡。目前有大量物联网卡被应用于物联网业务。不同的物联网业务对短信、语音、数据等基础功能需求存在差异,物联网卡在资费方面存在流量池计费、无漫游、资费较优惠等特点,这些卡在销售给客户后存在被违规使用的风险。
物联网卡需要在物联网设备中使用,才能实现语音、短信、流量等功能。物联网设备在使用中可能会遭到入侵,例如被木马程序感染导致设备受控等,造成物联网设备的使用数据异常。
现有技术中仅存在针对物联网卡或者仅针对物联网设备进行异常检测的方法,当物联网设备的底层系统被篡改时,监测系统无法察觉异常的物联网设备。
发明内容
鉴于上述问题,本发明实施例提供了一种物联网系统异常检测方法、装置、计算设备及计算机存储介质,用于解决现有技术中存在的物联网被篡改时无法察觉的问题。
根据本发明实施例的一个方面,提供了一种物联网异常检测方法,所述方法包括:
获取各物联网卡的第一特征数据和各物联网设备的第二特征数据,所述各物联网卡和所述各物联网设备一一对应;
对所述第一特征数据进行分析,以确定存在异常的目标物联网卡;
对所述第二特征数据进行分析,以确定存在异常的目标物联网设备;
确定与所述目标物联网卡对应的关联物联网设备;
如果所述关联物联网设备中存在非目标物联网设备,则确定所述非目标物联网设备存在异常。
可选的,所述第一特征数据携带物联网卡的第一标识信息,所述第二特征数据携带物联网设备的第二标识信息,一一对应的物联网卡和物联网设备的第一标识信息和第二标识信息相同。
可选的,所述第一特征数据包括所述各物联网卡的行为数据,所述行为数据包括历史行为数据和当前行为数据,所述对所述第一特征数据进行分析,以确定存在异常的目标物联网卡,包括:
将所述第一物联网卡的当前行为数据与所述第一物联网卡的历史行为数据进行比较,如果所述第一物联网卡的当前行为数据与所述第一物联网卡的历史行为数据不同,则确定所述第一物联网卡存在异常;所述第一物联网卡为所述各物联网卡中的任意一个物联网卡。
可选的,所述第一特征数据包括各物联网卡的用卡单位、用卡批次和行为数据,所述对所述第一特征数据进行分析,以确定存在异常的目标物联网卡,包括:
对同一用卡单位的同一用卡批次的各物联网卡的行为数据进行离群点分析,得到存在异常的目标物联网卡。
可选的,所述第二特征数据包括各物联网设备的五元组;所述对所述第二特征数据进行分析,以确定存在异常的目标物联网设备,包括:
根据所述各物联网设备的五元组确定所述各物联网设备是否存在入侵;
将存在入侵的物联网设备确定为存在异常的目标物联网设备。
可选的,所述第二特征数据包括各物联网设备的访问日志,所述访问日志包括访问的IP地址和访问的URL;所述对所述第二特征数据进行分析,以确定存在异常的目标物联网设备,包括:
如果第一物联网设备访问的IP地址为预设恶意IP地址,或者,所述访问的URL为预设恶意URL,则确定所述第一物联网设备为存在异常的目标物联网设备;所述第一物联网设备为所述各物联网设备中的任一物联网设备。
可选的,在确定与所述目标物联网卡的第一标识信息对应的关联物联网设备之后,所述方法还包括:
如果所述关联物联网设备中不存在非目标物联网设备,则确定所述目标物联网卡和所述关联物联网设备的异常等级为预设第一等级;否则,确定所述目标物联网卡和所述关联物联网设备为预设第二等级。
根据本发明实施例的另一方面,提供了一种物联网检测装置,所述装置包括:
获取模块,用于获取各物联网卡的第一特征数据和各物联网设备的第二特征数据,所述各物联网卡和所述各物联网设备一一对应;
第一分析模块,用于对所述第一特征数据进行分析,以确定存在异常的目标物联网卡;
第二分析模块,用于对所述第二特征数据进行分析,以确定存在异常的目标物联网设备;
第一确定模块,用于确定与所述目标物联网卡对应的关联物联网设备;
第二确定模块,用于当所述关联物联网设备中存在非目标物联网设备时,确定所述非目标物联网设备存在异常。
根据本发明实施例的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的一种物联网异常检测方法的操作。
根据本发明实施例的又一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使计算设备/装置执行上述一种物联网异常检测方法的操作。
本发明实施例通过对物联网卡和物联网设备进行分析确定了异常的目标物联网卡和目标物联网设备,通过物理网卡和物联网设备之间的一一对应关系确定了异常的目标物联网卡对应的关联物联网设备,通过关联物联网设备和目标物联网设备的比较确定了实际存在异常,而通过物联网设备分析未发现的异常物联网设备。本发明实施例与仅对物联网设备进行分析相比,可以更加全面的发现存在异常的物联网设备,异常检测的可靠性更高;与仅对物联网卡进行分析相比,本发明实施例可以确定实际存在异常的物联网设备和被恶意篡改的物联网设备,而仅对物联网卡进行分析时,可能将异常的物联网卡对应的物联网设备确定为异常,无法确定具体被恶意篡改的物联网设备。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种物联网异常检测方法的流程示意图;
图2示出了本发明另一实施例提供的一种物联网异常检测方法的流程示意图;
图3示出了本发明实施例提供的一种物联网异常检测装置的功能框图;
图4示出了本发明实施例提供的一种计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
图1示出了本发明实施例的一种物联网异常检测方法的流程图。如图1所示,该方法包括以下步骤:
步骤110:获取各物联网卡的第一特征数据和各物联网设备的第二特征数据。
本发明实施例的执行主体是异常检测设备,该异常检测设备可以实现为任意一计算机设备。
异常检测设备获取数据中心存储的特征数据。其中,数据中心的数据来自业务系统运行时生成的原始数据。数据中心对获取的原始数据进行分类整理,得到特征数据。原始数据包括基础数据、业务数据、物联网设备流量数据和情报数据等。其中,基础数据包括用卡单位数据、发卡单位数据、发卡信息数据等。业务数据包括语音话单、短信话单、流量话单等话单数据。物联网设备流量数据包括物联网设备的原始数据包。情报数据包括IP信誉库、URL信誉库、IMEI数据库等。原始数据在数据中心进行数据清洗,标准化,补齐,打标签等操作后分类进行存储,得到特征数据。
在本发明实施例中,特征数据包括但不仅限于物联网卡的第一特征数据和物联网设备的第二特征数据。第一特征数据包括物联网卡的行为数据、物联网卡的用卡单位及用卡批次数据等;第二特征数据包括物联网设备的Netflow数据、五元组、上网日志、固件版本号等数据。物联网卡在物联网设备上使用,因此,本发明实施例中的物联网卡和物联网设备一一对应。
在一些实施例中,各物联网卡的第一特征数据均携带相应的第一标识信息,各物联网设备的第二特征数据均携带相应的第二标识信息。不同物联网卡的第一标识信息不同,不同物联网卡的第二标识信息也不同。即,一个第一标识信息唯一确定一个物联网卡,一个第二标识信息唯一确定一个物联网设备。
一一对应的物联网卡和物联网设备的第一标识信息和第二标识信息可以相同,例如,第一标识信息和第二标识信息均为物联网设备的ID。一一对应的物联网卡和物联网设备的第一标识信息和第二标识信息也可以不同,例如第一标识信息为物联网卡的号码,第二标识信息为物联网设备的ID。优选的,一一对应的物联网卡和物联网设备的第一标识信息和第二标识信息相同,便于直观的确定物联网卡对应的物联网设备,即,只要第一标识和第二标识相同,则相应的物联网卡和物联网设备就存在一一对应关系。
步骤120:对第一特征数据进行分析,以确定存在异常的目标物联网卡。
在本步骤中,对第一特征数据进行分析的方法可以包含多种,各方法可以单独使用以确定存在异常的目标物联网卡,也可以将各种方法中的两个或多个进行组合,以综合各方法的分析结果确定存在异常的目标物联网卡。优选的,将各种方法中的两个或多个进行组合,根据各方法的结果综合确定存在异常的目标物联网卡,这种方式确定的目标物联网卡相较于仅通过一种方式确定的目标物联网卡更加准确可靠,且多种方法检测结果均为异常的物联网卡的风险等级更高。在本发明实施例中,确定目标物联网卡的方法包括但不仅限于以下几种。
方式一:将每一张物联网卡当前的行为模式与其历史行为模型进行比较,如果当前的行为模式发生突变,则该物联网卡为异常的目标物联网卡。其中,物联网卡当前的行为模式和历史行为模式相关的数据包含在第一特征数据中。其中,行为模式相关的数据包括业务类型和业务时间之间的对应关系。例如,物联网卡A在一个历史时间点之前的一个月的行为模式为历史行为模式,在该历史时间点之后的一个周的行为模式为当前行为模式。历史行为数据显示物联网卡A在一个月内只有每天晚上八点会发送一条短信,而当前行为模式显示物联网卡A在一个周内发送了一百条短信,即物联网卡A的当前行为数据相较于历史行为数据不同,则确定物联网卡A的当前行为模式发生了突变,将物联网卡A确定为异常的目标物联网卡。本方式适用于对业务规律的物联网卡进行异常检测。
方式二:获取每一张物联网卡在一个预设周期内对应的物联网设备的第二标识,如果同一张物联网卡在一个预设周期内对应的第二标识发生变化,则确定该物联网卡存在机卡分离,将该物联网卡确定为存在异常的目标物联网卡。
方式三:将同一单位的卡进行离群点分析,如果同一用卡单位的一个批次的物联网卡中某一张或几张物联网卡的行为模式差别较大,则确定行为模式差别较大的物联网卡为存在异常的目标物联网卡。其中,离群点分析是一种通过聚类进行异常检测的方法。同一用卡单位的一个批次的物联网卡的行为模式相近,通过聚类分析,行为模式相近的物联网卡会形成一个集合群,偏离该集合群的物联网卡即为异常的物联网卡。本方式适用于对同一用卡单位的同一批次的卡进行异常检测。
步骤130:对第二特征数据进行分析,以确定存在异常的目标物联网设备。
在本步骤中,对第二特征数据进行分析的方法也可以包含多种,各方法可以单独使用以确定存在异常的目标物联网设备,也可以将各种方法中的两个或多个进行组合,以综合各方法的分析结果确定存在异常的目标物联网设备。下面对各分析方法进行说明。
方法一:分析物联网设备的Netflow数据,包括物联网设备的传输数据量、传输周期、访问IP等。如果传输数据量或传输周期发生突变,或者,访问IP为IP信誉库中的恶意IP,则确定该物联网设备为存在异常的目标物联网设备。
方法二:分析各物联网设备的五元组以确定是否有针对各物联网设备的扫描行为。如果存在针对物联网设备的扫描行为,则说明该物联网设备被黑客入侵,将该物联网设备确定为存在异常的目标物联网设备。
方式三:分析各物联网设备的访问日志,访问日志中包含物联网设备访问的应用程序、访问的IP地址和URL,如果应用程序和URL为个人业务对应的应用程序或URL,则该物联网设备所使用的物联网卡可能被盗用,将该物联网设备确定为存在异常的目标物联网设备。或者,如果访问的IP地址为IP信誉库中的恶意IP地址,或者,访问的URL为URL信誉库中的恶意URL,则该物联网设备为异常的目标物联网设备。
方式四:分析该物联网设备的固件版本号是否包含在预设的漏洞库中,如果包含在预设的漏洞库中,则将该物联网设备确定为异常的目标物联网设备。其中,预设的漏洞库中存储有存在漏洞的物联网设备的固件版本号。
步骤140:确定与目标物联网卡对应的关联物联网设备。
在本步骤中,根据物联网卡和物联网设备的一一对应关系确定目标物联网卡对应的关联物联网设备。
步骤150:如果关联物联网设备中存在非目标物联网设备,则确定非目标物联网设备存在异常。
在本步骤中,如果物联网设备的信息被人为篡改,则通过对物联网设备的第二特征数据进行分析无法确定被篡改的物联网设备存在异常。物联网卡不存在被篡改的风险,因此,当物联网卡异常时,其对应的物联网设备实际上应该存在异常。但是,当物联网设备被篡改时,通过对物联网第二特征数据的分析无法确定被篡改的物联网设备为异常的目标物联网设备。即关联物联网设备中除了目标物联网设备之外,可能存在其他物联网设备,该物联网设备也是异常的物联网设备。通过这种方式,可以确定被篡改的物联网设备。
本发明实施例通过对物联网卡和物联网设备进行分析确定了异常的目标物联网卡和目标物联网设备,通过物理网卡和物联网设备之间的一一对应关系确定了异常的目标物联网卡对应的关联物联网设备,通过关联物联网设备和目标物联网设备的比较确定了实际存在异常,而通过物联网设备分析未发现的异常物联网设备。本发明实施例与仅对物联网设备进行分析相比,可以更加全面的发现存在异常的物联网设备,异常检测的可靠性更高;与仅对物联网卡进行分析相比,本发明实施例可以确定实际存在异常的物联网设备和被恶意篡改的物联网设备,而仅对物联网卡进行分析时,可能将异常的物联网卡对应的物联网设备确定为异常,无法确定具体被恶意篡改的物联网设备。
图2示出了本发明另一个实施例的一种物联网设备异常检测方法的流程图。如图2所示,该方法包括以下步骤:
步骤210:获取各物联网卡的第一特征数据和各物联网设备的第二特征数据。
步骤220:对第一特征数据进行分析,以确定存在异常的目标物联网卡。
步骤230:对第二特征数据进行分析,以确定存在异常的目标物联网设备。
步骤240:确定与目标物联网卡对应的关联物联网设备。
其中,步骤210至步骤240的具体说明与步骤110至步骤240的具体说明相同,在此不做赘述。
步骤250:如果关联物联网设备中不存在非目标物联网设备,则确定目标物联网卡和关联物联网设备的异常等级为预设第一等级。
在本步骤中,关联物联网设备中不存在非目标物联网设备说明关联物联网设备和目标物联网设备一一对应,即所有异常的物联网卡对应的物联网设备也均异常。此时,确定目标物联网卡和关联物联网设备的异常等级为预设第一等级。
步骤260:如果关联物联网设备中存在非目标物联网设备,则确定目标物联网卡和关联物联网设备的异常等级为预设第二等级。
在本步骤中,关联物联网设备中存在非目标物联网设备,说明异常的物联网卡对应的物联网设备中存在异常结果正常的物联网设备。这种情况下,确定目标物联网卡和关联物联网设备的异常等级为预设第二等级,用于表示目标物联网卡和与关联物联网设备存在异常。第二等级和第一等级表示的异常程度可以根据需求进行确定。例如,需求为确定物联网设备中是否存在被篡改的物联网设备时,第二等级表示的异常程度高于第一等级表示的异常程度。
通过本发明实施例,可以通过预警等级确定关联物联网设备中是否存在被篡改的物联网设备,便于用户直观的确定分析结果。
图3示出了本发明实施例的一种物联网检测装置的结构框图。如图3所示,该装置包括:获取模块310、第一分析模块320、第二分析模块330、第一确定模块340和第二确定模块350。获取模块310用于获取各物联网卡的第一特征数据和各物联网设备的第二特征数据,所述各物联网卡和所述各物联网设备一一对应。第一分析模块320用于对所述第一特征数据进行分析,以确定存在异常的目标物联网卡。第二分析模块330用于对所述第二特征数据进行分析,以确定存在异常的目标物联网设备。第一确定模块340用于确定与所述目标物联网卡对应的关联物联网设备。第二确定模块350用于当所述关联物联网设备中存在非目标物联网设备时,确定所述非目标物联网设备存在异常。
在一种可选的方式中,所述第一特征数据携带物联网卡的第一标识信息,所述第二特征数据携带物联网设备的第二标识信息,一一对应的物联网卡和物联网设备的第一标识信息和第二标识信息相同。
在一种可选的方式中,所述第一特征数据包括所述各物联网卡的行为数据,所述行为数据包括历史行为数据和当前行为数据,第一分析模块320进一步用于:
将所述第一物联网卡的当前行为数据与所述第一物联网卡的历史行为数据进行比较,如果所述第一物联网卡的当前行为数据与所述第一物联网卡的历史行为数据不同,则确定所述第一物联网卡存在异常;所述第一物联网卡为所述各物联网卡中的任意一个物联网卡。
在一种可选的方式中,所述第一特征数据包括各物联网卡的用卡单位、用卡批次和行为数据,第一分析模块320进一步用于:
对同一用卡单位的同一用卡批次的各物联网卡的行为数据进行离群点分析,得到存在异常的目标物联网卡。
在一种可选的方式中,所述第二特征数据包括各物联网设备的五元组;第二分析模块330进一步用于:
根据所述各物联网设备的五元组确定所述各物联网设备是否存在入侵;
将存在入侵的物联网设备确定为存在异常的目标物联网设备。
在一种可选的方式中,所述第二特征数据包括各物联网设备的访问日志,所述访问日志包括访问的IP地址和访问的URL;第二分析模块330进一步用于:
如果第一物联网设备访问的IP地址为预设恶意IP地址,或者,所述访问的URL为预设恶意URL,则确定所述第一物联网设备为存在异常的目标物联网设备;所述第一物联网设备为所述各物联网设备中的任一物联网设备。
在一种可选的方式中,所述装置还包括第三确定模块360,用于当所述关联物联网设备中不存在非目标物联网设备,则确定所述目标物联网卡和所述关联物联网设备的异常等级为预设第一等级;否则,确定所述目标物联网卡和所述关联物联网设备为预设第二等级。
本发明实施例通过对物联网卡和物联网设备进行分析确定了异常的目标物联网卡和目标物联网设备,通过物理网卡和物联网设备之间的一一对应关系确定了异常的目标物联网卡对应的关联物联网设备,通过关联物联网设备和目标物联网设备的比较确定了实际存在异常,而通过物联网设备分析未发现的异常物联网设备。本发明实施例与仅对物联网设备进行分析相比,可以更加全面的发现存在异常的物联网设备,异常检测的可靠性更高;与仅对物联网卡进行分析相比,本发明实施例可以确定实际存在异常的物联网设备和被恶意篡改的物联网设备,而仅对物联网卡进行分析时,可能将异常的物联网卡对应的物联网设备确定为异常,无法确定具体被恶意篡改的物联网设备。
图4示出了本发明实施例的一种计算设备结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图4所示,该计算设备可以包括:处理器(processor)402、通信接口(Communications Interface)404、存储器(memory)406、以及通信总线408。
其中:处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。通信接口404,用于与其它设备比如客户端或其它服务器等的网元通信。处理器402,用于执行程序410,具体可以执行上述用于物联网异常检测方法实施例中的相关步骤。
具体地,程序410可以包括程序代码,该程序代码包括计算机可执行指令。
处理器402可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器406,用于存放程序410。存储器406可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序410具体可以被处理器402调用使计算设备执行图1中的步骤110~步骤150,图2中的步骤210~步骤260,以及实现图3中的模块310~模块360的功能。
本发明实施例提供了一种计算机可读存储介质,所述存储介质存储有至少一可执行指令,该可执行指令在计算设备/装置上运行时,使得所述计算设备/装置执行上述任意方法实施例中的一种物联网异常检测方法。
本发明实施例提供了一种计算机程序,所述计算机程序可被处理器调用使计算设备执行上述任意方法实施例中的物联网异常检测方法。
本发明实施例提供了一种计算机程序产品,计算机程序产品包括存储在计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令在计算机上运行时,使得所述计算机执行上述任意方法实施例中的物联网异常检测方法。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。

Claims (10)

1.一种物联网异常检测方法,其特征在于,所述方法包括:
获取各物联网卡的第一特征数据和各物联网设备的第二特征数据,所述各物联网卡和所述各物联网设备一一对应;
对所述第一特征数据进行分析,以确定存在异常的目标物联网卡;
对所述第二特征数据进行分析,以确定存在异常的目标物联网设备;
确定与所述目标物联网卡对应的关联物联网设备;
如果所述关联物联网设备中存在非目标物联网设备,则确定所述非目标物联网设备存在异常。
2.根据权利要求1所述的方法,其特征在于,所述第一特征数据携带物联网卡的第一标识信息,所述第二特征数据携带物联网设备的第二标识信息,一一对应的物联网卡和物联网设备的第一标识信息和第二标识信息相同。
3.根据权利要求1所述的方法,其特征在于,所述第一特征数据包括所述各物联网卡的行为数据,所述行为数据包括历史行为数据和当前行为数据,所述对所述第一特征数据进行分析,以确定存在异常的目标物联网卡,包括:
将所述第一物联网卡的当前行为数据与所述第一物联网卡的历史行为数据进行比较,如果所述第一物联网卡的当前行为数据与所述第一物联网卡的历史行为数据不同,则确定所述第一物联网卡存在异常;所述第一物联网卡为所述各物联网卡中的任意一个物联网卡。
4.根据权利要求1所述的方法,其特征在于,所述第一特征数据包括各物联网卡的用卡单位、用卡批次和行为数据,所述对所述第一特征数据进行分析,以确定存在异常的目标物联网卡,包括:
对同一用卡单位的同一用卡批次的各物联网卡的行为数据进行离群点分析,得到存在异常的目标物联网卡。
5.根据权利要求1所述的方法,其特征在于,所述第二特征数据包括各物联网设备的五元组;所述对所述第二特征数据进行分析,以确定存在异常的目标物联网设备,包括:
根据所述各物联网设备的五元组确定所述各物联网设备是否存在入侵;
将存在入侵的物联网设备确定为存在异常的目标物联网设备。
6.根据权利要求1所述的方法,其特征在于,所述第二特征数据包括各物联网设备的访问日志,所述访问日志包括访问的IP地址和访问的URL;所述对所述第二特征数据进行分析,以确定存在异常的目标物联网设备,包括:
如果第一物联网设备访问的IP地址为预设恶意IP地址,或者,所述访问的URL为预设恶意URL,则确定所述第一物联网设备为存在异常的目标物联网设备;所述第一物联网设备为所述各物联网设备中的任一物联网设备。
7.根据权利要求1所述的方法,其特征在于,在确定与所述目标物联网卡的第一标识信息对应的关联物联网设备之后,所述方法还包括:
如果所述关联物联网设备中不存在非目标物联网设备,则确定所述目标物联网卡和所述关联物联网设备的异常等级为预设第一等级;否则,确定所述目标物联网卡和所述关联物联网设备为预设第二等级。
8.一种物联网检测装置,其特征在于,所述装置包括:
获取模块,用于获取各物联网卡的第一特征数据和各物联网设备的第二特征数据,所述第一特征数据携带物联网卡的第一标识信息,所述第二特征数据携带物联网设备的第二标识信息,所述第一标识信息和所述第二标识信息一一对应;
第一分析模块,用于对所述第一特征数据进行分析,以确定存在异常的目标物联网卡;
第二分析模块,用于对所述第二特征数据进行分析,以确定存在异常的目标物联网设备;
第一确定模块,用于确定与所述目标物联网卡的第一标识信息对应的关联物联网设备;
第二确定模块,用于当所述关联物联网设备中存在非目标物联网设备时,确定所述非目标物联网设备存在异常。
9.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-7任意一项所述的一种物联网异常检测方法的操作。
10.一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令在计算设备/装置上运行时,使得计算设备/装置执行如权利要求1-7任意一项所述的物联网异常检测方法的操作。
CN202010493981.3A 2020-06-03 2020-06-03 物联网异常检测方法、装置、计算设备及计算机存储介质 Active CN113765850B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010493981.3A CN113765850B (zh) 2020-06-03 2020-06-03 物联网异常检测方法、装置、计算设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010493981.3A CN113765850B (zh) 2020-06-03 2020-06-03 物联网异常检测方法、装置、计算设备及计算机存储介质

Publications (2)

Publication Number Publication Date
CN113765850A true CN113765850A (zh) 2021-12-07
CN113765850B CN113765850B (zh) 2023-08-15

Family

ID=78783144

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010493981.3A Active CN113765850B (zh) 2020-06-03 2020-06-03 物联网异常检测方法、装置、计算设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN113765850B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553601A (zh) * 2022-04-25 2022-05-27 龙旗电子(惠州)有限公司 信息校验方法、装置、设备和介质
US20220174076A1 (en) * 2020-11-30 2022-06-02 Microsoft Technology Licensing, Llc Methods and systems for recognizing video stream hijacking on edge devices

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160050224A1 (en) * 2014-08-13 2016-02-18 Palantir Technologies Inc. Unwanted tunneling alert system
CN108768765A (zh) * 2018-05-11 2018-11-06 中国联合网络通信集团有限公司 异常状态物联网卡稽查方法、装置及计算机可读存储介质
CN109347890A (zh) * 2018-12-25 2019-02-15 中国移动通信集团江苏有限公司 伪终端检测的方法、装置、设备和介质
CN109918279A (zh) * 2019-01-24 2019-06-21 平安科技(深圳)有限公司 电子装置、基于日志数据识别用户异常操作的方法及存储介质
CN110247934A (zh) * 2019-07-15 2019-09-17 杭州安恒信息技术股份有限公司 物联网终端异常检测与响应的方法与系统
CN110995745A (zh) * 2019-12-17 2020-04-10 武汉绿色网络信息服务有限责任公司 一种物联网非法机卡分离识别的方法及装置
CN111182536A (zh) * 2019-12-30 2020-05-19 中移(杭州)信息技术有限公司 Sim卡状态检测方法、装置、网络设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160050224A1 (en) * 2014-08-13 2016-02-18 Palantir Technologies Inc. Unwanted tunneling alert system
CN108768765A (zh) * 2018-05-11 2018-11-06 中国联合网络通信集团有限公司 异常状态物联网卡稽查方法、装置及计算机可读存储介质
CN109347890A (zh) * 2018-12-25 2019-02-15 中国移动通信集团江苏有限公司 伪终端检测的方法、装置、设备和介质
CN109918279A (zh) * 2019-01-24 2019-06-21 平安科技(深圳)有限公司 电子装置、基于日志数据识别用户异常操作的方法及存储介质
CN110247934A (zh) * 2019-07-15 2019-09-17 杭州安恒信息技术股份有限公司 物联网终端异常检测与响应的方法与系统
CN110995745A (zh) * 2019-12-17 2020-04-10 武汉绿色网络信息服务有限责任公司 一种物联网非法机卡分离识别的方法及装置
CN111182536A (zh) * 2019-12-30 2020-05-19 中移(杭州)信息技术有限公司 Sim卡状态检测方法、装置、网络设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220174076A1 (en) * 2020-11-30 2022-06-02 Microsoft Technology Licensing, Llc Methods and systems for recognizing video stream hijacking on edge devices
CN114553601A (zh) * 2022-04-25 2022-05-27 龙旗电子(惠州)有限公司 信息校验方法、装置、设备和介质

Also Published As

Publication number Publication date
CN113765850B (zh) 2023-08-15

Similar Documents

Publication Publication Date Title
CN108377241B (zh) 基于访问频率的监测方法、装置、设备和计算机存储介质
CN111178760B (zh) 风险监测方法、装置、终端设备及计算机可读存储介质
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN106469276B (zh) 数据样本的类型识别方法及装置
CN113168473A (zh) 基于网络利用的网络安全漏洞分类与修复
CN111131221B (zh) 接口校验的装置、方法及存储介质
CN111131320B (zh) 资产识别方法、装置、系统和介质
CN109889511B (zh) 进程dns活动监控方法、设备及介质
CN109684878B (zh) 一种基于区块链技术隐私信息防篡改方法及系统
CN111612085B (zh) 一种对等组中异常点的检测方法及装置
CN116599747A (zh) 一种网络与信息安全服务系统
CN113765850A (zh) 物联网异常检测方法、装置、计算设备及计算机存储介质
CN111371581A (zh) 物联网卡业务异常检测的方法、装置、设备和介质
CN111064719B (zh) 文件异常下载行为的检测方法及装置
CN109905292A (zh) 一种终端设备识别方法、系统及存储介质
CN114338171A (zh) 一种黑产攻击检测方法和装置
CN113794731B (zh) 识别基于cdn流量伪装攻击的方法、装置、设备和介质
CN113098852B (zh) 一种日志处理方法及装置
CN108650123B (zh) 故障信息记录方法、装置、设备和存储介质
CN109446807A (zh) 用于识别拦截恶意机器人的方法、装置以及电子设备
CN107046527B (zh) Web漏洞扫描方法、装置及系统
CN110955890A (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
CN112685255A (zh) 一种接口监控方法、装置、电子设备及存储介质
CN110691090B (zh) 网站检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant