CN115499251B - 一种边缘IoT设备的异常流量及攻击检测方法及系统 - Google Patents

一种边缘IoT设备的异常流量及攻击检测方法及系统 Download PDF

Info

Publication number
CN115499251B
CN115499251B CN202211442288.9A CN202211442288A CN115499251B CN 115499251 B CN115499251 B CN 115499251B CN 202211442288 A CN202211442288 A CN 202211442288A CN 115499251 B CN115499251 B CN 115499251B
Authority
CN
China
Prior art keywords
flow
task
task packet
value
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211442288.9A
Other languages
English (en)
Other versions
CN115499251A (zh
Inventor
李逸飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Xinze Information Technology Co ltd
Original Assignee
Guangzhou Xinze Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Xinze Information Technology Co ltd filed Critical Guangzhou Xinze Information Technology Co ltd
Priority to CN202211442288.9A priority Critical patent/CN115499251B/zh
Publication of CN115499251A publication Critical patent/CN115499251A/zh
Application granted granted Critical
Publication of CN115499251B publication Critical patent/CN115499251B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/20Image preprocessing
    • G06V10/30Noise filtering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/764Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/82Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及数据安全技术领域,公开了一种边缘IoT设备的异常流量及攻击检测方法及系统,包括:获取目标区域内所有边缘IoT设备的识别码和通信地址;与边缘IoT设备建立通信连接,前置获取对应的流量任务包;对流量任务包进行解析,获取对应的流量变化数据;根据流量变化数据生成对应的流量变化图;从流量变化图中截取预设时长长度的采样图,输入预先训练完成的异常流量检测模型中,得到检测结果;一旦判断为异常,则对该边缘IoT设备进行保护,不对该流量任务包进行处理,若判断为正常,则可根据预设任务管理规则将流量任务包发送至边缘IoT设备,完成后续计算处理,以实现对边缘IoT设备的保护。

Description

一种边缘IoT设备的异常流量及攻击检测方法及系统
技术领域
本发明涉及数据安全技术领域,具体涉及一种边缘IoT设备的异常流量及攻击检测方法及系统。
背景技术
在诸如工业系统等IOT系统的边缘侧,通常有很多微控制单元(MicrocontrollerUnit,MCU)、微处理器(microcontroller)等,比如工业系统中的工业网关、工业PC机等边缘设备中即存在大量此类微控制单元和微处理器,用于进行数据处理、工业控制等。这些微控制单元和微处理器通常具有成本低、能耗低等特点,使用纽扣电池供电的情况下可运行数月,而且不需要散热器。
在过去的几十年中,这些微控制单元和微处理器的计算能力一直在提高。在大多数IOT系统中,它们在完成数据传输、传感器数据读取、显示更新和计时器/中断等任务之外,通常还剩余大量空闲的计算能力。在一个IOT系统中可能部署有数以百万计的此类微控制单元和微处理器,它们共同拥有大量未使用的计算能力。
鉴于这些微控制单元和微处理器的能耗低、成本低、部署广泛等优点,如果能够有效利用其空闲计算能力,将完成更多复杂的计算任务,且应用场景广泛。但是,在边缘设备上难以部署复杂的保护机制因此,传感边缘云网络一般采纳一些保护级别较低的轻量级安全协议,这使得传感设备易受到攻击,他被恶意的攻击者控制后成为一个内部DDoS攻击者,在没有任何征兆的情况下,在计算任务卸载到边缘节点过程中,内部DDoS攻击者通过高密度的任务卸载连接向边缘节点发起DDoS攻击,阻碍合法的传感设备卸载计算任务到边缘节点。由于内部DDoS攻击者是寄生于传感边缘云网络中的一个隐形攻击者,难以被入侵检测系统及时发现。同时,内部DDoS攻击者同时通过多个连接向边缘节点发起流量攻击,这使得在多个边缘节点上同时防御造成困难。
发明内容
本发明的目的在于提供一种边缘IoT设备的异常流量及攻击检测方法及系统,解决以下技术问题:
如何提供一种能够对边缘IoT设备进行流量数据处理保护的方法。
本发明的目的可以通过以下技术方案实现:
一种边缘IoT设备的异常流量及攻击检测方法,包括:
S1,获取目标区域内所有边缘IoT设备的识别码和通信地址;
S2,与所述边缘IoT设备建立通信连接,前置获取对应的流量任务包;
S3,对所述流量任务包进行解析,获取对应的流量变化数据;
S4,根据所述流量变化数据生成对应的流量变化图;
S5,从所述流量变化图中截取预设时长长度的采样图,输入预先训练完成的异常流量检测模型中,得到检测结果;
若所述检测结果为异常,则拦截所述流量任务包;
若所述检测结果为正常,则按照预设任务管理规则将所述流量任务包发送至所述边缘IoT设备。
通过上述技术方案,可在边缘IoT设备获取对应的流量任务包之前对该流量任务包进行抽样分析检测,从中随机截取一段数据信息作为采样图,然后对其是否存在异常进行判断,一旦判断为异常,则对该边缘IoT设备进行保护,不对该流量任务包进行处理,若判断为正常,则可根据预设任务管理规则将所述流量任务包发送至所述边缘IoT设备,完成后续计算处理,以实现对边缘IoT设备的保护。
作为本发明进一步的方案:所述预设任务管理规则包括:
获取所述流量变化图所对应的流量值和时间长度;
获取所述流量变化图中的极点数量和对应时间刻度;所述流量变化图中的极点为极小值;
根据所述流量值和所述极点数量与预设阈值比较结果对所述流量任务包进行分段拆解。
通过上述技术方案,可在流量任务包的数据量较大的情况下,根据其流量变化图中极小值的数量来对其进行拆分,从而得到多段数据包,实行排队计算处理的方式;另,可对每段数据包生成单独的采样图重新交由异常流量检测模型进行检测,可以提升最终异常监测判断的精准度,提升可靠性。
作为本发明进一步的方案:所述预设任务管理规则还包括:
Figure DEST_PATH_IMAGE002A
时,所述流量任务包直接发送至所述边缘IoT设备;
Figure DEST_PATH_IMAGE004A
时,将所述流量任务包拆分为第一任务包和第二任务包;
Figure DEST_PATH_IMAGE006A
Figure DEST_PATH_IMAGE008A
其中,
Figure DEST_PATH_IMAGE010A
Figure DEST_PATH_IMAGE012A
为所述流量任务包的总时长,k为所述极点数量,
Figure DEST_PATH_IMAGE014
为所述第一任务包的时长,
Figure DEST_PATH_IMAGE016
为所述第二任务包的时长。
通过上述技术方案,根据数据处理的特性,极小值的点位代表该时刻附近的数据密度有所减少,因此有较高的概率为不同类型数据的衔接部分,如此能够更加准确的对流量任务包进行拆分。
作为本发明进一步的方案:所述预设任务管理规则还包括:
Figure DEST_PATH_IMAGE018A
时,将所述流量任务包拆分为n个任务包;
Figure DEST_PATH_IMAGE020A
Figure DEST_PATH_IMAGE022A
Figure DEST_PATH_IMAGE024A
Figure DEST_PATH_IMAGE026A
其中,
Figure DEST_PATH_IMAGE028A
Figure DEST_PATH_IMAGE030A
为第i任务包的时长,
Figure DEST_PATH_IMAGE032A
作为本发明进一步的方案:所述生成对应的流量变化图包括:
生成与所述流量变化数据与时间变化对应的流量值变化曲线;
获得包含所述流量值变化曲线的底色为纯色的所述流量变化图;
对所述流量变化图进行均衡化处理;
所述均衡化处理包括:
对所述流量值变化曲线的所在位置的图像进行归一化;
对归一化后的所述流量值变化曲线的位置图像进行直方图均衡化;
将经过直方图均衡化的像素值转化为与原图像相同灰度级的像素值;
其中,所述归一化包括:
Figure DEST_PATH_IMAGE034A
Figure DEST_PATH_IMAGE036
Figure DEST_PATH_IMAGE038A
其中,r为归一化后的原图像灰度值,s为直方图均衡化后的图像灰度值;
其中,
Figure DEST_PATH_IMAGE040A
为单调递增函数,
Figure DEST_PATH_IMAGE042A
Figure DEST_PATH_IMAGE044
Figure DEST_PATH_IMAGE046
,r与s一一对应;随机变量s的分布函数为
Figure DEST_PATH_IMAGE048
Figure DEST_PATH_IMAGE050
为所述分 布函数的导数。
作为本发明进一步的方案:对于
Figure DEST_PATH_IMAGE052
,当归一化后的
Figure DEST_PATH_IMAGE054
,则对
Figure DEST_PATH_IMAGE056
的两边进行积分可得:
Figure DEST_PATH_IMAGE058
当变换函数
Figure DEST_PATH_IMAGE060
是原图像直方图的累积分布概率时,完成所述直方图均衡化。
作为本发明进一步的方案:所述生成对应的流量变化图还包括降噪处理;所述降噪处理包括:
对经所述均衡化处理后的所述流量变化图的像素值进行加权平均,针对每一个像素点的值,都由其本身值和邻域内的其他像素值经过加权平均后得到;
通过用离散化窗口滑窗卷积去扫描图像中的每一个像素,并用邻域内像素的加权平均灰度值去替代窗口中心像素点的值。
一种边缘IoT设备的异常流量及攻击检测系统,包括:
搜索单元,用于获取目标区域内所有边缘IoT设备的识别码和通信地址;
流量截取单元,与所述边缘IoT设备建立通信连接,用于前置获取对应的流量任务包;
解析单元,用于对所述流量任务包进行解析,获取对应的流量变化数据;
绘制单元,用于根据所述流量变化数据生成对应的流量变化图;
处理单元,用于从所述流量变化图中截取预设时长长度的采样图,输入预先训练完成的异常流量检测模型中,得到检测结果;
若所述检测结果为异常,则拦截所述流量任务包;
若所述检测结果为正常,则按照预设任务管理规则将所述流量任务包发送至所述边缘IoT设备。
本发明的有益效果:
(1)本发明中可在边缘IoT设备获取对应的流量任务包之前对该流量任务包进行抽样分析检测,从中随机截取一段数据信息作为采样图,然后对其是否存在异常进行判断,一旦判断为异常,则对该边缘IoT设备进行保护,不对该流量任务包进行处理,若判断为正常,则可根据预设任务管理规则将所述流量任务包发送至所述边缘IoT设备,完成后续计算处理,以实现对边缘IoT设备的保护;
(2)本发明可在流量任务包的数据量较大的情况下,根据其流量变化图中极小值的数量来对其进行拆分,从而得到多段数据包,实行排队计算处理的方式;另,可对每段数据包生成单独的采样图重新交由异常流量检测模型进行检测,可以提升最终异常监测判断的精准度,提升可靠性;
(3)根据数据处理的特性,极小值的点位代表该时刻附近的数据密度有所减少,因此有较高的概率为不同类型数据的衔接部分,如此能够更加准确的对流量任务包进行拆分。
附图说明
下面结合附图对本发明作进一步的说明。
图1为本发明中异常流量及攻击检测方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种边缘IoT设备的异常流量及攻击检测方法,包括:
S1,获取目标区域内所有边缘IoT设备的识别码和通信地址;
S2,与所述边缘IoT设备建立通信连接,前置获取对应的流量任务包;
S3,对所述流量任务包进行解析,获取对应的流量变化数据;
S4,根据所述流量变化数据生成对应的流量变化图;
S5,从所述流量变化图中截取预设时长长度的采样图,输入预先训练完成的异常流量检测模型中,得到检测结果;
若所述检测结果为异常,则拦截所述流量任务包;
若所述检测结果为正常,则按照预设任务管理规则将所述流量任务包发送至所述边缘IoT设备。
通过上述技术方案,可在边缘IoT设备获取对应的流量任务包之前对该流量任务包进行抽样分析检测,从中随机截取一段数据信息作为采样图,然后对其是否存在异常进行判断,一旦判断为异常,则对该边缘IoT设备进行保护,不对该流量任务包进行处理,若判断为正常,则可根据预设任务管理规则将所述流量任务包发送至所述边缘IoT设备,完成后续计算处理,以实现对边缘IoT设备的保护。
作为本发明进一步的方案:所述预设任务管理规则包括:
获取所述流量变化图所对应的流量值和时间长度;
获取所述流量变化图中的极点数量和对应时间刻度;所述极点为极小值;
根据所述流量值和所述极点数量与预设阈值比较结果对所述流量任务包进行分段拆解。
通过上述技术方案,可在流量任务包的数据量较大的情况下,根据其流量变化图中极小值的数量来对其进行拆分,从而得到多段数据包,实行排队计算处理的方式;另,可对每段数据包生成单独的采样图重新交由异常流量检测模型进行检测,可以提升最终异常监测判断的精准度,提升可靠性。
作为本发明进一步的方案:所述预设任务管理规则还包括:
Figure DEST_PATH_IMAGE002AA
时,所述流量任务包直接发送至所述边缘IoT设备;
Figure DEST_PATH_IMAGE004AA
时,将所述流量任务包拆分为第一任务包和第二任务包;
Figure DEST_PATH_IMAGE006AA
Figure DEST_PATH_IMAGE008AA
其中,
Figure DEST_PATH_IMAGE010AA
Figure DEST_PATH_IMAGE062
为流量任务包的数据量,
Figure DEST_PATH_IMAGE012AA
为所述流量任务包的 总时长,k为低于预设值的极点数量,
Figure DEST_PATH_IMAGE014A
为所述第一任务包的时长,
Figure DEST_PATH_IMAGE016A
为所述第二任 务包的时长。
通过上述技术方案,根据数据处理的特性,极小值的点位代表该时刻附近的数据密度有所减少,因此有较高的概率为不同类型数据的衔接部分,如此能够更加准确的对流量任务包进行拆分。
作为本发明进一步的方案:所述预设任务管理规则还包括:
Figure DEST_PATH_IMAGE018AA
时,将所述流量任务包拆分为n个任务包;
Figure DEST_PATH_IMAGE020AA
Figure DEST_PATH_IMAGE022AA
Figure DEST_PATH_IMAGE024AA
Figure DEST_PATH_IMAGE026AA
其中,
Figure DEST_PATH_IMAGE028AA
Figure DEST_PATH_IMAGE030AA
为第i任务包的时长,
Figure DEST_PATH_IMAGE032AA
考虑到单个流量任务包的数据量过大时,n的数值的设定可与流量任务包的数据 量正相关,以保证每个拆分任务包的数据量不会过大,
Figure DEST_PATH_IMAGE063
在最终拆分截取时,选取距离该 任务包时长终点最近的一个极点时间戳作为最终拆分点。
作为本发明进一步的方案:所述生成对应的流量变化图包括:
生成与所述流量变化数据与时间变化对应的流量值变化曲线;
获得包含所述流量值变化曲线的底色为纯色的所述流量变化图;
对所述流量变化图进行均衡化处理;
所述均衡化处理包括:
对所述流量值变化曲线的所在位置的图像进行归一化;
对归一化后的所述流量值变化曲线的位置图像进行直方图均衡化;
将经过直方图均衡化的像素值转化为与原图像相同灰度级的像素值;
其中,所述归一化包括:
Figure DEST_PATH_IMAGE034AA
Figure DEST_PATH_IMAGE036A
Figure DEST_PATH_IMAGE064
其中,r为归一化后的原图像灰度值,s为直方图均衡化后的图像灰度值;
其中,
Figure DEST_PATH_IMAGE060A
为单调递增函数,
Figure DEST_PATH_IMAGE042AA
Figure DEST_PATH_IMAGE044A
Figure DEST_PATH_IMAGE046A
,r与s一一对应;随机变量s的分布函数为
Figure DEST_PATH_IMAGE048A
Figure DEST_PATH_IMAGE050A
为所述分布函 数的导数。
作为本发明进一步的方案:对于
Figure DEST_PATH_IMAGE052A
,当归一化后的
Figure DEST_PATH_IMAGE054A
,则对
Figure DEST_PATH_IMAGE056A
的两边进行积分可得:
Figure DEST_PATH_IMAGE058A
当变换函数
Figure DEST_PATH_IMAGE060AA
是原图像直方图的累积分布概率时,完成所述直方图均衡化。
作为本发明进一步的方案:所述生成对应的流量变化图还包括降噪处理;所述降噪处理包括:
对经所述均衡化处理后的所述流量变化图的像素值进行加权平均,针对每一个像素点的值,都由其本身值和邻域内的其他像素值经过加权平均后得到;
通过用离散化窗口滑窗卷积去扫描图像中的每一个像素,并用邻域内像素的加权平均灰度值去替代窗口中心像素点的值。
一种边缘IoT设备的异常流量及攻击检测系统,包括:
搜索单元,用于获取目标区域内所有边缘IoT设备的识别码和通信地址;
流量截取单元,与所述边缘IoT设备建立通信连接,用于前置获取对应的流量任务包;
解析单元,用于对所述流量任务包进行解析,获取对应的流量变化数据;
绘制单元,用于根据所述流量变化数据生成对应的流量变化图;
处理单元,用于从所述流量变化图中截取预设时长长度的采样图,输入预先训练完成的异常流量检测模型中,得到检测结果;
若所述检测结果为异常,则拦截所述流量任务包;
若所述检测结果为正常,则按照预设任务管理规则将所述流量任务包发送至所述边缘IoT设备。
以上对本发明的一个实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等,均应仍归属于本发明的专利涵盖范围之内。

Claims (5)

1.一种边缘IoT设备的异常流量及攻击检测方法,其特征在于,包括:
S1,获取目标区域内所有边缘IoT设备的识别码和通信地址;
S2,与所述边缘IoT设备建立通信连接,前置获取对应的流量任务包;
S3,对所述流量任务包进行解析,获取对应的流量变化数据;
S4,根据所述流量变化数据生成对应的流量变化图;
S5,从所述流量变化图中截取预设时长长度的采样图,输入预先训练完成的异常流量检测模型中,得到检测结果;
若所述检测结果为异常,则拦截所述流量任务包;
若所述检测结果为正常,则按照预设任务管理规则将所述流量任务包发送至所述边缘IoT设备;
所述预设任务管理规则包括:
获取所述流量变化图所对应的流量值和时间长度;
获取所述流量变化图中的极点数量和对应时间刻度;所述流量变化图中的极点为极小值;
根据所述流量值和所述极点数量与预设阈值比较结果对所述流量任务包进行分段拆解;
所述预设任务管理规则还包括:
当C∈(P1,P2]时,所述流量任务包直接发送至所述边缘IoT设备:
当C∈(P2,P3]时,将所述流量任务包拆分为第一任务包和第二任务包;
Figure FDA0004055100990000011
CΔT2=T-CΔT1
其中,P1<P2<P3,C为流量任务包的数据量,T为所述流量任务包的总时长,k为低于预设值的极点数量,CΔT1为所述第一任务包的时长,CΔT2为所述第二任务包的时长;
所述预设任务管理规则还包括:
当C∈(P3,P4]时,将所述流量任务包拆分为n个任务包;n≥3;
Figure FDA0004055100990000021
Figure FDA0004055100990000022
Figure FDA0004055100990000023
其中,P3<<P4,CΔTi为第i任务包的时长,1<i<n。
2.根据权利要求1所述的边缘IoT设备的异常流量及攻击检测方法,其特征在于,所述生成对应的流量变化图包括:
生成与所述流量变化数据与时间变化对应的流量值变化曲线;
获得包含所述流量值变化曲线的底色为纯色的所述流量变化图;
对所述流量变化图进行均衡化处理;
所述均衡化处理包括:
对所述流量值变化曲线的所在位置的图像进行归一化;
对归一化后的所述流量值变化曲线的位置图像进行直方图均衡化:
将经过直方图均衡化的像素值转化为与原图像相同灰度级的像素值;
其中,所述归一化包括:
s=T(r)
Figure FDA0004055100990000031
Figure FDA0004055100990000032
其中,r为归一化后的原图像灰度值,s为直方图均衡化后的图像灰度值;
其中,T(r)为单调递增函数,0≤r≤1,0≤s≤1,0≤T(r)≤1,r与s一一对应;随机变量s的分布函数为Fs(s),ps(s)为所述分布函数的导数。
3.根据权利要求2所述的边缘IoT设备的异常流量及攻击检测方法,其特征在于,对于ps(s)ds=pr(r)dr,当归一化后的ps(s)=1,则对ds=pr(r)dr的两边进行积分可得:
s=T(r)=∫0 rpr(r)dr
当变换函数T(r)是原图像直方图的累积分布概率时,完成所述直方图均衡化。
4.根据权利要求3所述的边缘IoT设备的异常流量及攻击检测方法,其特征在于,所述生成对应的流量变化图还包括降噪处理;所述降噪处理包括:
对经所述均衡化处理后的所述流量变化图的像素值进行加权平均,针对每一个像素点的值,都由其本身值和邻域内的其他像素值经过加权平均后得到;
通过用离散化窗口滑窗卷积去扫描图像中的每一个像素,并用邻域内像素的加权平均灰度值去替代窗口中心像素点的值。
5.一种采用如权利要求1-4任意一项所述方法的边缘IoT设备的异常流量及攻击检测系统,其特征在于,包括:
搜索单元,用于获取目标区域内所有边缘IoT设备的识别码和通信地址;
流量截取单元,与所述边缘IoT设备建立通信连接,用于前置获取对应的流量任务包;
解析单元,用于对所述流量任务包进行解析,获取对应的流量变化数据;
绘制单元,用于根据所述流量变化数据生成对应的流量变化图;
处理单元,用于从所述流量变化图中截取预设时长长度的采样图,输入预先训练完成的异常流量检测模型中,得到检测结果;
若所述检测结果为异常,则拦截所述流量任务包;
若所述检测结果为正常,则按照预设任务管理规则将所述流量任务包发送至所述边缘IoT设备。
CN202211442288.9A 2022-11-18 2022-11-18 一种边缘IoT设备的异常流量及攻击检测方法及系统 Active CN115499251B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211442288.9A CN115499251B (zh) 2022-11-18 2022-11-18 一种边缘IoT设备的异常流量及攻击检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211442288.9A CN115499251B (zh) 2022-11-18 2022-11-18 一种边缘IoT设备的异常流量及攻击检测方法及系统

Publications (2)

Publication Number Publication Date
CN115499251A CN115499251A (zh) 2022-12-20
CN115499251B true CN115499251B (zh) 2023-03-28

Family

ID=85116109

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211442288.9A Active CN115499251B (zh) 2022-11-18 2022-11-18 一种边缘IoT设备的异常流量及攻击检测方法及系统

Country Status (1)

Country Link
CN (1) CN115499251B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110225067A (zh) * 2019-07-24 2019-09-10 上海戎磐网络科技有限公司 一种物联网安全预警系统
CN113055381A (zh) * 2021-03-12 2021-06-29 山东大学 一种基于页型网络实现物联网DDoS流量的检测方法、设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104202329B (zh) * 2014-09-12 2018-01-26 北京神州绿盟信息安全科技股份有限公司 DDoS攻击检测方法和装置
CN105825218A (zh) * 2016-04-01 2016-08-03 深圳市元征科技股份有限公司 汽车车辆识别码的识别方法及装置
US11451582B2 (en) * 2019-10-16 2022-09-20 Arbor Networks, Inc. Detecting malicious packets in edge network devices
CN113037687B (zh) * 2019-12-24 2022-09-16 中移物联网有限公司 一种流量识别方法及电子设备
CN115296919B (zh) * 2022-08-15 2023-04-25 江西师范大学 一种边缘网关对特殊流量包计算方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110225067A (zh) * 2019-07-24 2019-09-10 上海戎磐网络科技有限公司 一种物联网安全预警系统
CN113055381A (zh) * 2021-03-12 2021-06-29 山东大学 一种基于页型网络实现物联网DDoS流量的检测方法、设备及存储介质

Also Published As

Publication number Publication date
CN115499251A (zh) 2022-12-20

Similar Documents

Publication Publication Date Title
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN108289088B (zh) 基于业务模型的异常流量检测系统及方法
EP2860937B1 (en) Log analysis device, method, and program
KR102135024B1 (ko) IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치
JP6097849B2 (ja) 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム
CN107770132B (zh) 一种对算法生成域名进行检测的方法及装置
US20150341376A1 (en) Detection of anomaly in network flow data
US20170374091A1 (en) Digital immune system for intrusion detection on data processing systems and networks
CN104135474B (zh) 基于主机出入度的网络异常行为检测方法
CN101635658B (zh) 网络失窃密行为的异常检测方法及系统
US10440035B2 (en) Identifying malicious communication channels in network traffic by generating data based on adaptive sampling
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
KR100994746B1 (ko) 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템
CN114021135A (zh) 一种基于R-SAX的LDoS攻击检测与防御方法
CN111181969B (zh) 一种基于自发流量的物联网设备识别方法
CN113688291A (zh) 一种流媒体网络数据的异常行为检测方法和装置
CN112272175A (zh) 一种基于dns的木马病毒检测方法
CN111131309A (zh) 分布式拒绝服务检测方法、装置及模型创建方法、装置
US20200280579A1 (en) System and method for analyzing internet traffic to detect distributed denial of service (ddos) attack
CN115499251B (zh) 一种边缘IoT设备的异常流量及攻击检测方法及系统
US20230328081A1 (en) System and methods for automatic detection of distributed attacks in iot devices using decentralized deep learning
Jaber et al. Methods for preventing distributed denial of service attacks in cloud computing
Sun et al. A rough set approach for automatic key attributes identification of zero-day polymorphic worms
CN109510805B (zh) 一种基于安全基线模型的网络数据安全检测方法及系统
CN115225301B (zh) 基于d-s证据理论的混合入侵检测方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant