CN113904812A - 一种基于孤立森林的物联网入侵检测方法 - Google Patents
一种基于孤立森林的物联网入侵检测方法 Download PDFInfo
- Publication number
- CN113904812A CN113904812A CN202111097859.5A CN202111097859A CN113904812A CN 113904812 A CN113904812 A CN 113904812A CN 202111097859 A CN202111097859 A CN 202111097859A CN 113904812 A CN113904812 A CN 113904812A
- Authority
- CN
- China
- Prior art keywords
- things
- network data
- target internet
- internet
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 21
- 230000005540 biological transmission Effects 0.000 claims abstract description 49
- 230000002159 abnormal effect Effects 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 102100029469 WD repeat and HMG-box DNA-binding protein 1 Human genes 0.000 claims description 2
- 101710097421 WD repeat and HMG-box DNA-binding protein 1 Proteins 0.000 claims description 2
- 238000000034 method Methods 0.000 abstract description 8
- 230000008569 process Effects 0.000 abstract description 4
- 230000006399 behavior Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
本发明的实施例公开了一种基于孤立森林的物联网入侵检测方法,涉及物联网技术领域。所述方法,包括:实时获取目标物联网中网络数据的传输流量;根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值;根据目标物联网网络数据流程状态值,判断目标物联网网络数据流量是否正常;若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息。本发明不仅能准确发现入侵行为,保证系统安全可靠,并能在发现入侵行为时,及时告知用户进行处理,从而能减少入侵行为带来的影响。
Description
技术领域
本发明属于物联网技术领域,尤其涉及一种基于孤立森林的物联网入侵检测方法。
背景技术
随着物联网的迅速发展,针对物联网的研究与应用越来越受到广泛的关注,特别是其安全问题越来越受到重视。由于物联网的应用已经涉及到军事、民生、工商业、医疗,生活等各个领域,一旦发生选择性转发攻击、病毒破坏、恶意病毒入侵、黑客入侵等安全问题,都将造成的损失比传统网络更加严重,影响更大,因此物联网安全防范,尤其是物联网入侵检测方法的研究显得尤为重要。
目前物联网入侵检测方法,主要从物联网中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象,从而进行报警。其中这些安全策略都是需要进行预先设置,但是入侵性活动并不总是与这些安全策略定义的异常活动相符合,从而导致对入侵行为判断不准确。
发明内容
有鉴于此,本发明实施例提供一种基于孤立森林的物联网入侵检测方法,用于解决目前物联网入侵检测方法,检测入侵行为不准确的问题。本发明提供的一种基于孤立森林的物联网入侵检测方法,根据实时监测物联网的网络数据的传输流量,判断是否出现入侵行为,从而保证系统安全可靠,并能在发现入侵行为时,及时告知用户进行处理,从而能减少入侵行为带来的影响。
第一方面,本发明实施例提供一种基于孤立森林的物联网入侵检测方法,包括以下步骤:
实时获取目标物联网中网络数据的传输流量;
根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值;
根据目标物联网网络数据流程状态值,判断目标物联网网络数据流量是否正常;
若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息。
在一可选实施例中,所述实时获取目标物联网中网络数据的传输流量,包括:
根据以下第一公式计算目标物联网中网络数据的传输流量:
Li=N*B log2 n
在第一公式中,Li表示为第i时刻目标物联网中网络数据的传输流量;B表示为每秒传输数据的转化数;n表示为调制电平数;N表示为目标物联网中的网络数据传输时包含的总码元数。
在一可选实施例中,所述根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值,包括:
根据以下第二公式计算目标物联网网络数据流量状态值:
其中,
I(xi)表示第i时刻目标物联网网络数据流量状态值,xi表示为第i时刻的网络数据的传输流量与标准网络数据的传输流量的均值的偏差标记值,p表示预设的网络数据的传输流量正常的决定值,q表示预设的网络数据的传输流量不正常的决定值,L表示为预设的标准网络数据的传输流量均值。
在一可选实施例中,所述p和q的取值分别为1和-1。
在一可选实施例中,所述根据目标物联网网络数据流程状态值,判断目标物联网网络数据流量是否正常,包括:
判断目标物联网网络数据流程状态值是否等于所述网络数据的传输流量正常的决定值p;
若目标物联网网络数据流程状态值等于p,则确定目标物联网网络数据流量正常;
若目标物联网网络数据流程状态值不等于p,则确定目标物联网网络数据流量不正常。
在一可选实施例中,所述若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息,包括:
根据第三公式计算蜂鸣器警报的频率;
控制蜂鸣器按照所述蜂鸣器警报的频率进行蜂鸣;
其中,所述第三公式为:
在第三公式中,Q表示为蜂鸣器警报的频率,j为正整数,F表示为蜂鸣器频响控制的满占比值。
本发明提供了一种基于孤立森林的物联网入侵检测方法,首先实时采集物联网中网络数据的传输流量,接着根据此传输流量计算目标物联网网络数据流量状态值,然后判断网络数据流量是否正常,不正常时,则向用户提示目标物联网网络数据流量的异常信息。本发明不仅能准确发现入侵行为,保证系统安全可靠,并能在发现入侵行为时,及时告知用户进行处理,从而能减少入侵行为带来的影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种基于孤立森林的物联网入侵检测方法流程图;
图2为S103的一种实施方法流程图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种基于孤立森林的物联网入侵检测方法流程图。参见图1,该方法包括如下步骤:
S101:实时获取目标物联网中网络数据的传输流量。
优选地,根据以下第一公式计算目标物联网中网络数据的传输流量:
Li=N*B log2 n (1)
在第一公式中,Li表示为第i时刻目标物联网中网络数据的传输流量;B表示为每秒传输数据的转化数;n表示为调制电平数;N表示为目标物联网中的网络数据传输时包含的总码元数。
例如:波特率B为30个/s,传输的总码元数N为100个,调制电平数n为2时,则v=100*30*log22=3000bit/s。通过上述第一公式,可以准确得出各个时刻物联网平台中的网络数据的传输流量,方便对传输的流量数据进行监控。
S102:根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值。
优选地,根据以下第二公式计算目标物联网网络数据流量状态值:
其中,
I(xi)表示第i时刻目标物联网网络数据流量状态值,L表示为预设的标准网络数据的传输流量均值,xi表示为第i时刻的网络数据的传输流量与标准网络数据的传输流量的均值的偏差标记值,其值等于0为i时刻的网络数据的传输流量小于标准网络数据的传输流量的均值,等于1为i时刻的网络数据的传输流量大于标准网络数据的传输流量的均值,p表示预设的网络数据的传输流量正常的决定值,取值为1,q表示预设的网络数据的传输流量不正常的决定值,取值为-1。
本实施例中,正在运行物联网网络,采集其中的网络数据流量,当有入侵行为发生时,物联网网络会产生异常数据流量,从而将使得网络数据的传输流量小于标准网络数据的传输流量的均值,即xi=0,I(xi)=q≠p。
S103:根据目标物联网网络数据流程状态值,判断目标物联网网络数据流量是否正常,否则执行S104。
作为一可选实施例,如图2所示,所述步骤S103,包括:
S201:判断目标物联网网络数据流程状态值是否等于所述网络数据的传输流量正常的决定值p;是则执行步骤S202,否则执行S203;
S202:确定目标物联网网络数据流量正常;
S203:确定目标物联网网络数据流量不正常。
S104:向用户提示目标物联网网络数据流量的异常信息。
作为一可选实施例,所述步骤S104,包括:
S1041:根据第三公式计算蜂鸣器警报的频率。
优选地,所述第三公式为:
其中,所述第三公式为:
在第三公式中,Q表示为蜂鸣器警报的频率,j为正整数,F表示为蜂鸣器频响控制的满占比值,根据第三公式,在出现异常的网络数据的传输流量后的五秒持续异常时,蜂鸣器警报的频率Q=F,则蜂鸣器将持续鸣笛。
S1042:控制蜂鸣器按照所述蜂鸣器警报的频率进行蜂鸣。
本实施例中,当物联网被检测出存在异常行为时,则蜂鸣器就会立即报警,从而可向用户提示目标物联网网络数据流量的异常信息,便于工作人员迅速做出应对反应,减少损失。
本发明实施例提供的一种基于孤立森林的物联网入侵检测方法,首先实时采集物联网中网络数据的传输流量,接着根据此传输流量计算目标物联网网络数据流量状态值,然后判断网络数据流量是否正常,不正常时,则可以通过蜂鸣器发出不同频率的蜂鸣向用户提示目标物联网网络数据流量的异常信息。本发明不仅能准确发现入侵行为,保证系统安全可靠,并能在发现入侵行为时,及时告知用户进行处理,从而能减少入侵行为带来的影响。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (6)
1.一种基于孤立森林的物联网入侵检测方法,其特征在于,包括以下步骤:
实时获取目标物联网中网络数据的传输流量;
根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值;
根据目标物联网网络数据流程状态值,判断目标物联网网络数据流量是否正常;
若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息。
2.如权利要求1所述的一种基于孤立森林的物联网入侵检测方法,其特征在于,所述实时获取目标物联网中网络数据的传输流量,包括:
根据以下第一公式计算目标物联网中网络数据的传输流量:
Li=N*B log2 n
在第一公式中,Li表示为第i时刻目标物联网中网络数据的传输流量;B表示为每秒传输数据的转化数;n表示为调制电平数;N表示为目标物联网中的网络数据传输时包含的总码元数。
3.如权利要求2所述的一种基于孤立森林的物联网入侵检测方法,其特征在于,所述根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值,包括:
根据以下第二公式计算目标物联网网络数据流量状态值:
其中,
I(xi)表示第i时刻目标物联网网络数据流量状态值,xi表示为第i时刻的网络数据的传输流量与标准网络数据的传输流量的均值的偏差标记值,p表示预设的网络数据的传输流量正常的决定值,q表示预设的网络数据的传输流量不正常的决定值,L表示为预设的标准网络数据的传输流量均值。
4.如权利要求3所述的一种基于孤立森林的物联网入侵检测方法,其特征在于,所述p和q的取值分别为1和-1。
5.如权利要求3或4所述的一种基于孤立森林的物联网入侵检测方法,其特征在于,所述根据目标物联网网络数据流程状态值,判断目标物联网网络数据流量是否正常,包括:
判断目标物联网网络数据流程状态值是否等于所述网络数据的传输流量正常的决定值p;
若目标物联网网络数据流程状态值等于p,则确定目标物联网网络数据流量正常;
若目标物联网网络数据流程状态值不等于p,则确定目标物联网网络数据流量不正常。
6.如权利要求5所述的一种基于孤立森林的物联网入侵检测方法,其特征在于,所述若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息,包括:
根据第三公式计算蜂鸣器警报的频率;
控制蜂鸣器按照所述蜂鸣器警报的频率进行蜂鸣;
其中,所述第三公式为:
在第三公式中,Q表示为蜂鸣器警报的频率,j为正整数,F表示为蜂鸣器频响控制的满占比值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111097859.5A CN113904812B (zh) | 2021-09-18 | 2021-09-18 | 一种基于孤立森林的物联网入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111097859.5A CN113904812B (zh) | 2021-09-18 | 2021-09-18 | 一种基于孤立森林的物联网入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113904812A true CN113904812A (zh) | 2022-01-07 |
| CN113904812B CN113904812B (zh) | 2022-10-21 |
Family
ID=79028802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111097859.5A Active CN113904812B (zh) | 2021-09-18 | 2021-09-18 | 一种基于孤立森林的物联网入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113904812B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050120243A1 (en) * | 2003-10-28 | 2005-06-02 | Internet Security Systems, Inc. | Method and system for protecting computer networks by altering unwanted network data traffic |
| CN109600363A (zh) * | 2018-11-28 | 2019-04-09 | 南京财经大学 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
| CN111885059A (zh) * | 2020-07-23 | 2020-11-03 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
| CN112333023A (zh) * | 2020-11-06 | 2021-02-05 | 四川师范大学 | 一种基于物联网流量的入侵检测系统及其检测方法 |
| CN112583808A (zh) * | 2020-12-08 | 2021-03-30 | 国网湖南省电力有限公司 | 针对物联网设备的异常流量检测方法 |
| CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
| CN112953971A (zh) * | 2021-04-01 | 2021-06-11 | 长扬科技(北京)有限公司 | 一种网络安全流量入侵检测方法和系统 |
| CN113313421A (zh) * | 2021-06-24 | 2021-08-27 | 国网辽宁省电力有限公司电力科学研究院 | 一种电力物联网感知层安全风险状态分析方法及系统 |
-
2021
- 2021-09-18 CN CN202111097859.5A patent/CN113904812B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050120243A1 (en) * | 2003-10-28 | 2005-06-02 | Internet Security Systems, Inc. | Method and system for protecting computer networks by altering unwanted network data traffic |
| CN109600363A (zh) * | 2018-11-28 | 2019-04-09 | 南京财经大学 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
| CN111885059A (zh) * | 2020-07-23 | 2020-11-03 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
| CN112333023A (zh) * | 2020-11-06 | 2021-02-05 | 四川师范大学 | 一种基于物联网流量的入侵检测系统及其检测方法 |
| CN112583808A (zh) * | 2020-12-08 | 2021-03-30 | 国网湖南省电力有限公司 | 针对物联网设备的异常流量检测方法 |
| CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
| CN112953971A (zh) * | 2021-04-01 | 2021-06-11 | 长扬科技(北京)有限公司 | 一种网络安全流量入侵检测方法和系统 |
| CN113313421A (zh) * | 2021-06-24 | 2021-08-27 | 国网辽宁省电力有限公司电力科学研究院 | 一种电力物联网感知层安全风险状态分析方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113904812B (zh) | 2022-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shameli-Sendi et al. | Intrusion response systems: survey and taxonomy | |
| CN106576052B (zh) | 分析工业控制环境中的网络安全性风险 | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| EP4104410B1 (en) | Security automation system with machine learning functions | |
| JP2017527044A (ja) | 制御システムにおけるサイバーセキュリティリスクの動的定量化 | |
| CA2526759A1 (en) | Event monitoring and management | |
| US11647029B2 (en) | Probing and responding to computer network security breaches | |
| CN112995236B (zh) | 一种物联网设备安全管控方法、装置和系统 | |
| CN110602135A (zh) | 网络攻击处理方法、装置以及电子设备 | |
| JP2007122408A (ja) | クライアントセキュリティ管理システム | |
| Snehi et al. | Global intrusion detection environments and platform for anomaly-based intrusion detection systems | |
| CN115733646A (zh) | 网络安全威胁评估方法、装置、设备及可读存储介质 | |
| EP4091084A1 (en) | Endpoint security using an action prediction model | |
| CN115426154A (zh) | 一种挖矿行为监测方法、装置、设备及存储介质 | |
| US10681059B2 (en) | Relating to the monitoring of network security | |
| CN112134906B (zh) | 一种网络流量敏感数据识别及动态管控方法 | |
| CN113904812B (zh) | 一种基于孤立森林的物联网入侵检测方法 | |
| CN117729032A (zh) | 一种办公网络夜间安全防护方法 | |
| CN116861419B (zh) | 一种ssr上主动防御日志告警方法 | |
| CN113422776A (zh) | 一种面向信息网络安全的主动防御方法及系统 | |
| CN110493200B (zh) | 一种基于威胁地图的工控系统风险量化分析方法 | |
| US20230018096A1 (en) | Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program | |
| Overill et al. | Uncertainty bounds for digital forensic evidence and hypotheses | |
| CN109462503B (zh) | 一种数据检测方法和装置 | |
| CN111191241B (zh) | 基于态势感知的重大活动保障方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |