CN113904812B - 一种基于孤立森林的物联网入侵检测方法 - Google Patents

一种基于孤立森林的物联网入侵检测方法 Download PDF

Info

Publication number
CN113904812B
CN113904812B CN202111097859.5A CN202111097859A CN113904812B CN 113904812 B CN113904812 B CN 113904812B CN 202111097859 A CN202111097859 A CN 202111097859A CN 113904812 B CN113904812 B CN 113904812B
Authority
CN
China
Prior art keywords
things
network data
target internet
internet
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111097859.5A
Other languages
English (en)
Other versions
CN113904812A (zh
Inventor
兰雨晴
芦中轲
王丹星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongbiao Huian Information Technology Co Ltd
Original Assignee
Zhongbiao Huian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongbiao Huian Information Technology Co Ltd filed Critical Zhongbiao Huian Information Technology Co Ltd
Priority to CN202111097859.5A priority Critical patent/CN113904812B/zh
Publication of CN113904812A publication Critical patent/CN113904812A/zh
Application granted granted Critical
Publication of CN113904812B publication Critical patent/CN113904812B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明的实施例公开了一种基于孤立森林的物联网入侵检测方法,涉及物联网技术领域。所述方法,包括:实时获取目标物联网中网络数据的传输流量;根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值;根据目标物联网网络数据流程状态值,判断目标物联网网络数据流量是否正常;若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息。本发明不仅能准确发现入侵行为,保证系统安全可靠,并能在发现入侵行为时,及时告知用户进行处理,从而能减少入侵行为带来的影响。

Description

一种基于孤立森林的物联网入侵检测方法
技术领域
本发明属于物联网技术领域,尤其涉及一种基于孤立森林的物联网入侵检测方法。
背景技术
随着物联网的迅速发展,针对物联网的研究与应用越来越受到广泛的关注,特别是其安全问题越来越受到重视。由于物联网的应用已经涉及到军事、民生、工商业、医疗,生活等各个领域,一旦发生选择性转发攻击、病毒破坏、恶意病毒入侵、黑客入侵等安全问题,都将造成的损失比传统网络更加严重,影响更大,因此物联网安全防范,尤其是物联网入侵检测方法的研究显得尤为重要。
目前物联网入侵检测方法,主要从物联网中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象,从而进行报警。其中这些安全策略都是需要进行预先设置,但是入侵性活动并不总是与这些安全策略定义的异常活动相符合,从而导致对入侵行为判断不准确。
发明内容
有鉴于此,本发明实施例提供一种基于孤立森林的物联网入侵检测方法,用于解决目前物联网入侵检测方法,检测入侵行为不准确的问题。本发明提供的一种基于孤立森林的物联网入侵检测方法,根据实时监测物联网的网络数据的传输流量,判断是否出现入侵行为,从而保证系统安全可靠,并能在发现入侵行为时,及时告知用户进行处理,从而能减少入侵行为带来的影响。
第一方面,本发明实施例提供一种基于孤立森林的物联网入侵检测方法,包括以下步骤:
实时获取目标物联网中网络数据的传输流量;
根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值;
根据目标物联网网络数据流量状态值,判断目标物联网网络数据流量是否正常;
若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息。
在一可选实施例中,所述实时获取目标物联网中网络数据的传输流量,包括:
根据以下第一公式计算目标物联网中网络数据的传输流量:
Li=N*Blog2n
在第一公式中,Li表示为第i时刻目标物联网中网络数据的传输流量;B表示为每秒传输数据的转化数;n表示为调制电平数;N表示为目标物联网中的网络数据传输时包含的总码元数。
在一可选实施例中,所述根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值,包括:
根据以下第二公式计算目标物联网网络数据流量状态值:
Figure GDA0003760560560000021
其中,
Figure GDA0003760560560000022
I(xi)表示第i时刻目标物联网网络数据流量状态值,xi表示为第i时刻的网络数据的传输流量与标准网络数据的传输流量的均值的偏差标记值,p表示预设的网络数据的传输流量正常的决定值,q表示预设的网络数据的传输流量不正常的决定值,L表示为预设的标准网络数据的传输流量均值。
在一可选实施例中,所述p和q的取值分别为1和-1。
在一可选实施例中,所述根据目标物联网网络数据流量状态值,判断目标物联网网络数据流量是否正常,包括:
判断目标物联网网络数据流量状态值是否等于所述网络数据的传输流量正常的决定值p;
若目标物联网网络数据流量状态值等于p,则确定目标物联网网络数据流量正常;
若目标物联网网络数据流量状态值不等于p,则确定目标物联网网络数据流量不正常。
在一可选实施例中,所述若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息,包括:
根据第三公式计算蜂鸣器警报的频率;
控制蜂鸣器按照所述蜂鸣器警报的频率进行蜂鸣;
其中,所述第三公式为:
Figure GDA0003760560560000031
在第三公式中,Q表示为蜂鸣器警报的频率,j为正整数,F表示为蜂鸣器频响控制的满占比值。
本发明提供了一种基于孤立森林的物联网入侵检测方法,首先实时采集物联网中网络数据的传输流量,接着根据此传输流量计算目标物联网网络数据流量状态值,然后判断网络数据流量是否正常,不正常时,则向用户提示目标物联网网络数据流量的异常信息。本发明不仅能准确发现入侵行为,保证系统安全可靠,并能在发现入侵行为时,及时告知用户进行处理,从而能减少入侵行为带来的影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种基于孤立森林的物联网入侵检测方法流程图;
图2为S103的一种实施方法流程图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种基于孤立森林的物联网入侵检测方法流程图。参见图1,该方法包括如下步骤:
S101:实时获取目标物联网中网络数据的传输流量。
优选地,根据以下第一公式计算目标物联网中网络数据的传输流量:
Li=N*Blog2n (1)
在第一公式中,Li表示为第i时刻目标物联网中网络数据的传输流量;B表示为每秒传输数据的转化数;n表示为调制电平数;N表示为目标物联网中的网络数据传输时包含的总码元数。
例如:波特率B为30个/s,传输的总码元数N为100个,调制电平数n为2时,则v=100*30*log22=3000bit/s。通过上述第一公式,可以准确得出各个时刻物联网平台中的网络数据的传输流量,方便对传输的流量数据进行监控。
S102:根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值。
优选地,根据以下第二公式计算目标物联网网络数据流量状态值:
Figure GDA0003760560560000041
其中,
Figure GDA0003760560560000042
I(xi)表示第i时刻目标物联网网络数据流量状态值,L表示为预设的标准网络数据的传输流量均值,xi表示为第i时刻的网络数据的传输流量与标准网络数据的传输流量的均值的偏差标记值,其值等于0为i时刻的网络数据的传输流量小于标准网络数据的传输流量的均值,等于1为i时刻的网络数据的传输流量大于标准网络数据的传输流量的均值,p表示预设的网络数据的传输流量正常的决定值,取值为1,q表示预设的网络数据的传输流量不正常的决定值,取值为-1。
本实施例中,正在运行物联网网络,采集其中的网络数据流量,当有入侵行为发生时,物联网网络会产生异常数据流量,从而将使得网络数据的传输流量小于标准网络数据的传输流量的均值,即xi=0,I(xi)=q≠p。
S103:根据目标物联网网络数据流量状态值,判断目标物联网网络数据流量是否正常,否则执行S104。
作为一可选实施例,如图2所示,所述步骤S103,包括:
S201:判断目标物联网网络数据流量状态值是否等于所述网络数据的传输流量正常的决定值p;是则执行步骤S202,否则执行S203;
S202:确定目标物联网网络数据流量正常;
S203:确定目标物联网网络数据流量不正常。
S104:向用户提示目标物联网网络数据流量的异常信息。
作为一可选实施例,所述步骤S104,包括:
S1041:根据第三公式计算蜂鸣器警报的频率。
优选地,所述第三公式为:
其中,所述第三公式为:
Figure GDA0003760560560000051
在第三公式中,Q表示为蜂鸣器警报的频率,j为正整数,F表示为蜂鸣器频响控制的满占比值,根据第三公式,在出现异常的网络数据的传输流量后的五秒持续异常时,蜂鸣器警报的频率Q=F,则蜂鸣器将持续鸣笛。
S1042:控制蜂鸣器按照所述蜂鸣器警报的频率进行蜂鸣。
本实施例中,当物联网被检测出存在异常行为时,则蜂鸣器就会立即报警,从而可向用户提示目标物联网网络数据流量的异常信息,便于工作人员迅速做出应对反应,减少损失。
本发明实施例提供的一种基于孤立森林的物联网入侵检测方法,首先实时采集物联网中网络数据的传输流量,接着根据此传输流量计算目标物联网网络数据流量状态值,然后判断网络数据流量是否正常,不正常时,则可以通过蜂鸣器发出不同频率的蜂鸣向用户提示目标物联网网络数据流量的异常信息。本发明不仅能准确发现入侵行为,保证系统安全可靠,并能在发现入侵行为时,及时告知用户进行处理,从而能减少入侵行为带来的影响。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (4)

1.一种基于孤立森林的物联网入侵检测方法,其特征在于,包括以下步骤:
实时获取目标物联网中网络数据的传输流量;
根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值;
根据目标物联网网络数据流量状态值,判断目标物联网网络数据流量是否正常;
若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息;
其中,所述实时获取目标物联网中网络数据的传输流量,包括:
根据以下第一公式计算目标物联网中网络数据的传输流量:
Li=N*Blog2n
在第一公式中,Li表示为第i时刻目标物联网中网络数据的传输流量;B表示为每秒传输数据的转化数;n表示为调制电平数;N表示为目标物联网中的网络数据传输时包含的总码元数;
其中,所述根据所述目标物联网中网络数据的传输流量,计算目标物联网网络数据流量状态值,包括:
根据以下第二公式计算目标物联网网络数据流量状态值:
Figure FDA0003760560550000011
其中,
Figure FDA0003760560550000012
I(xi)表示第i时刻目标物联网网络数据流量状态值,xi表示为第i时刻的网络数据的传输流量与标准网络数据的传输流量的均值的偏差标记值,p表示预设的网络数据的传输流量正常的决定值,q表示预设的网络数据的传输流量不正常的决定值,L表示为预设的标准网络数据的传输流量均值。
2.如权利要求1所述的一种基于孤立森林的物联网入侵检测方法,其特征在于,所述p和q的取值分别为1和-1。
3.如权利要求1或2所述的一种基于孤立森林的物联网入侵检测方法,其特征在于,所述根据目标物联网网络数据流量状态值,判断目标物联网网络数据流量是否正常,包括:
判断目标物联网网络数据流量状态值是否等于所述网络数据的传输流量正常的决定值p;
若目标物联网网络数据流量状态值等于p,则确定目标物联网网络数据流量正常;
若目标物联网网络数据流量状态值不等于p,则确定目标物联网网络数据流量不正常。
4.如权利要求3所述的一种基于孤立森林的物联网入侵检测方法,其特征在于,所述若目标物联网网络数据流量不正常,则向用户提示目标物联网网络数据流量的异常信息,包括:
根据第三公式计算蜂鸣器警报的频率;
控制蜂鸣器按照所述蜂鸣器警报的频率进行蜂鸣;
其中,所述第三公式为:
Figure FDA0003760560550000021
在第三公式中,Q表示为蜂鸣器警报的频率,j为正整数,F表示为蜂鸣器频响控制的满占比值。
CN202111097859.5A 2021-09-18 2021-09-18 一种基于孤立森林的物联网入侵检测方法 Active CN113904812B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111097859.5A CN113904812B (zh) 2021-09-18 2021-09-18 一种基于孤立森林的物联网入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111097859.5A CN113904812B (zh) 2021-09-18 2021-09-18 一种基于孤立森林的物联网入侵检测方法

Publications (2)

Publication Number Publication Date
CN113904812A CN113904812A (zh) 2022-01-07
CN113904812B true CN113904812B (zh) 2022-10-21

Family

ID=79028802

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111097859.5A Active CN113904812B (zh) 2021-09-18 2021-09-18 一种基于孤立森林的物联网入侵检测方法

Country Status (1)

Country Link
CN (1) CN113904812B (zh)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7657938B2 (en) * 2003-10-28 2010-02-02 International Business Machines Corporation Method and system for protecting computer networks by altering unwanted network data traffic
CN109600363B (zh) * 2018-11-28 2020-01-21 南京财经大学 一种物联网终端网络画像及异常网络访问行为检测方法
CN111885059B (zh) * 2020-07-23 2021-08-31 清华大学 一种工业网络流量异常检测定位的方法
CN112333023A (zh) * 2020-11-06 2021-02-05 四川师范大学 一种基于物联网流量的入侵检测系统及其检测方法
CN112583808B (zh) * 2020-12-08 2022-01-07 国网湖南省电力有限公司 针对物联网设备的异常流量检测方法
CN112953933B (zh) * 2021-02-09 2023-02-17 恒安嘉新(北京)科技股份公司 异常攻击行为检测方法、装置、设备及存储介质
CN112953971B (zh) * 2021-04-01 2023-05-16 长扬科技(北京)股份有限公司 一种网络安全流量入侵检测方法和系统
CN113313421A (zh) * 2021-06-24 2021-08-27 国网辽宁省电力有限公司电力科学研究院 一种电力物联网感知层安全风险状态分析方法及系统

Also Published As

Publication number Publication date
CN113904812A (zh) 2022-01-07

Similar Documents

Publication Publication Date Title
AU2015302129B2 (en) Analyzing cyber-security risks in an industrial control environment
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
US11895124B2 (en) Method of data-efficient threat detection in a computer network
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
JP2017527044A (ja) 制御システムにおけるサイバーセキュリティリスクの動的定量化
KR20160148544A (ko) 예측에 기초한 보호 수준의 조정 및 멀웨어 취약 활동의 경고 방법
CA2526759A1 (en) Event monitoring and management
EP4104410B1 (en) Security automation system with machine learning functions
US11647029B2 (en) Probing and responding to computer network security breaches
CN112995236B (zh) 一种物联网设备安全管控方法、装置和系统
WO2015024315A1 (zh) 核电站网络入侵报警方法和系统
CN110959158A (zh) 信息处理装置、信息处理方法和信息处理程序
JP2007122408A (ja) クライアントセキュリティ管理システム
CN115733646A (zh) 网络安全威胁评估方法、装置、设备及可读存储介质
Snehi et al. Global intrusion detection environments and platform for anomaly-based intrusion detection systems
CN107579993A (zh) 一种网络数据流的安全处理方法及装置
CN113904812B (zh) 一种基于孤立森林的物联网入侵检测方法
CN112134906B (zh) 一种网络流量敏感数据识别及动态管控方法
EP4091084A1 (en) Endpoint security using an action prediction model
CN110086820B (zh) 一种资产信息安全管理系统与方法
CN111935180A (zh) 安防设备主动防御方法、装置及系统
CN113722712A (zh) 一种基于hook的程序恶意行为的检测方法及相关装置
CN109462503B (zh) 一种数据检测方法和装置
Overill et al. Uncertainty bounds for digital forensic evidence and hypotheses
KR20070061017A (ko) 웹어플리케이션 공격 차단 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant