CN116318934A - 基于物联网设备行为建模的安全预警方法及系统 - Google Patents
基于物联网设备行为建模的安全预警方法及系统 Download PDFInfo
- Publication number
- CN116318934A CN116318934A CN202310211481.XA CN202310211481A CN116318934A CN 116318934 A CN116318934 A CN 116318934A CN 202310211481 A CN202310211481 A CN 202310211481A CN 116318934 A CN116318934 A CN 116318934A
- Authority
- CN
- China
- Prior art keywords
- equipment
- behavior
- internet
- things
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000006399 behavior Effects 0.000 claims description 207
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 24
- 238000005516 engineering process Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 16
- 238000010801 machine learning Methods 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 12
- 230000002194 synthesizing effect Effects 0.000 claims description 7
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 2
- YHVACWACSOJLSJ-UHFFFAOYSA-N n-methyl-n-(1-oxo-1-phenylpropan-2-yl)nitrous amide Chemical compound O=NN(C)C(C)C(=O)C1=CC=CC=C1 YHVACWACSOJLSJ-UHFFFAOYSA-N 0.000 claims description 2
- 230000006855 networking Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000003860 storage Methods 0.000 description 8
- 230000000903 blocking effect Effects 0.000 description 7
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002787 reinforcement Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000007711 solidification Methods 0.000 description 1
- 230000008023 solidification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Alarm Systems (AREA)
Abstract
本申请提供了一种基于物联网设备行为建模的安全预警方法及其系统,通过网关设备获取物联网设备的设备类型,以及收集所述设备类型对应的行为数据,预警服务端对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务‑行为基线模型数据,将各种设备类型对应的业务‑行为基线模型数据合成行为信息库并发送至物联网中的各个网关设备,使所述网关设备可以根据所述行为信息库对其连接的物联网设备进行行为识别,识别结果上传至预警服务端,预警服务端获取网关设备对所述物联网设备的行为识别结果,对相应的网关设备发送控制指令。从而可以快速地对各个非法设备进行准确的识别,提高物联网系统运行的安全性。
Description
技术领域
本申请实施例涉及物联网设备行为管理技术领域,特别是涉及一种基于物联网设备行为建模的安全预警方法及系统。
背景技术
物联网是一种通过网络连接各种设备,使各种设备联合提供服务的网络。物联网中的各种物联网设备包括电脑、智能手机、打印机、门禁系统以及智能家电系统等等,在物联网中,各种物联网设备通常都连接至网关设备,通过对应的网关设备接入物联网的各层级的网络拓扑关系中。
然而,由于物联网连接各种设备的复杂性,可能会有非法设备通过连接网关设备接入物联网,所述非法设备可能会有非法行为,如发出攻击、散播病毒、非法访问、窃取信息等,从而导致对物联网的网络拓扑关系中各层级的其他物联网设备造成影响,阻碍物联网的安全运行。
现有的物联网系统中,当发现有非法设备时,可以通过对各个网关设备发送控制指令,控制各个网关设备对相应的非法设备进行限制或处置。但如何识别非法设备却是一个难题,现有的物联网系统通常将识别权限下放到各个网关设备,由其自行根据预设规则判断非法设备,但是这种方式由于受到预设规则的限制,识别效率较低。
发明内容
为克服相关技术中存在的问题,本申请提供了一种基于物联网设备行为建模的安全预警方法及系统,可以提高对物联网系统中的非法设备的识别准确性,提高识别效率,维护物联网系统的安全运行。
根据本申请实施例的第一方面,提供一种基于物联网设备行为建模的安全预警方法,包括以下步骤:
获取物联网设备的设备类型,以及所述设备类型对应的行为数据,包括业务内容、报文长度、业务应用类型;
通过机器学习技术对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据,将各种设备类型对应的业务-行为基线模型数据合成行为信息库;
将所述行为信息库发送至物联网中的各个网关设备,使所述网关设备对其连接的物联网设备进行行为识别;
获取网关设备对所述物联网设备的行为识别结果,根据所述行为识别结果对相应的网关设备发送控制指令。
根据本申请实施例的第二方面,提供一种基于物联网设备行为建模的安全预警系统,包括:
数据检测模块,用于获取物联网设备的设备类型,以及所述设备类型对应的行为数据,包括业务内容、报文长度、业务应用类型;
模型构建模块,用于通过机器学习技术对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据,将各种设备类型对应的业务-行为基线模型数据合成行为信息库;
行为识别模块,用于将所述行为信息库发送至物联网中的各个网关设备,使所述网关设备对其连接的物联网设备进行行为识别;
控制模块,用于获取网关设备对所述物联网设备的行为识别结果,根据所述行为识别结果对相应的网关设备发送控制指令。
本申请的基于物联网设备行为建模的安全预警方法及其系统,可通过网关设备获取物联网设备的设备类型,以及收集所述设备类型对应的行为数据,预警服务端对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据。所述业务-行为基线模型数据可作为识别非法设备的行为数据的基准。将各种设备类型对应的业务-行为基线模型数据合成行为信息库并发送至物联网中的各个网关设备,使所述网关设备可以根据所述行为信息库对其连接的物联网设备进行行为识别,识别结果上传至预警服务端,预警服务端获取网关设备对所述物联网设备的行为识别结果,根据所述行为识别结果对相应的网关设备发送控制指令。从而可以快速地对各个非法设备进行准确的识别,由于识别的基准是预警服务端基于对相应设备类型的行为数据的建模,因此,识别准确性也大大提高,能够提高物联网系统运行的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
为了更好地理解和实施,下面结合附图详细说明本发明。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例示出的基于物联网设备行为建模的安全预警方法的运行环境示意图;
图2为本申请一个实施例示出的基于物联网设备行为建模的安全预警方法的流程图;
图3为本申请实施例示出的基于物联网设备行为建模的安全预警系统的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施例方式作进一步地详细描述。
应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请的描述中,需要理解的是,术语“第一”、“第二”、“第三”等仅用于区别类似的对象,而不必用于描述特定的顺序或先后次序,也不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请中的具体含义。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。在此所使用的词语“如果”/“若”可以被解释成为“在……时”或“当……时”或“响应于确定”。此外,在本申请的描述中,除非另有说明,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
请参阅图1,其是本申请实施例示出的基于物联网设备行为建模的安全预警方法的应用环境的示意图。如图1所示,所述基于物联网设备行为建模的安全预警方法可应用于物联网技术领域,其应用环境包括网关设备101和预警服务器102,网关设备101与预警服务器102通过有限或无线网络进行交互。
其中,网关设备101是指位于物联网拓扑关系中的各层级节点的网关端设备,其用于接入各种物联网设备,将各种物联网设备连接在所述物联网拓扑关系中。其可对连接的各种物联网设备进行数据采集,包括物联网设备的基础信息、行为数据、网络通信协议、流量数据等等。
网关设备101所指向的硬件,本质上是指计算机设备。具体地,其可以是电子设备和个人计算机等类型的计算机设备。网关设备101可以通过公知的网络接入方式接入互联网,与预警服务器102建立数据通信链路。
预警服务器102作为一个数据服务器,其可以负责进一步连接起相关运行数据服务器以及其他提供相关支持的服务器等,以此构成逻辑上相关联的服务机群,来为相关的终端设备,例如图1中所示的网关设备101提供服务。所述预警服务器102主要用于接收所述网关设备101上传的数据,进行物联网设备的设备类型识别,建立相应设备类型的业务-行为基线模型数据以及行为信息库,将所述行为信息库发送至物联网中的各个网关设备,使所述网关设备对其连接的物联网设备进行行为识别,并根据行为识别结果对相应的网关设备发送控制指令,以使物联网系统保持安全运行。
实施例1
下面将结合附图2,对本申请实施例提供的一种基于物联网设备行为建模的安全预警方法进行详细介绍。
请参阅图2,本申请实施例提供的一种基于物联网设备行为建模的安全预警方法,其主要运行于所述预警服务器102,包括如下步骤:
步骤S101:获取物联网设备的设备类型,以及所述设备类型对应的行为数据,包括业务内容、报文长度、业务应用类型;
步骤S102:通过机器学习技术对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据,将各种设备类型对应的业务-行为基线模型数据合成行为信息库;
步骤S103:将所述行为信息库发送至物联网中的各个网关设备,使所述网关设备对其连接的物联网设备进行行为识别;
步骤S104:获取网关设备对所述物联网设备的行为识别结果,根据所述行为识别结果对相应的网关设备发送控制指令。
本申请的基于物联网设备行为建模的安全预警方法,通过网关设备获取物联网设备的设备类型,以及收集所述设备类型对应的行为数据,预警服务端对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据。所述业务-行为基线模型数据可作为识别非法设备的行为数据的基准。将各种设备类型对应的业务-行为基线模型数据合成行为信息库并发送至物联网中的各个网关设备,使所述网关设备可以根据所述行为信息库对其连接的物联网设备进行行为识别,识别结果上传至预警服务端,预警服务端获取网关设备对所述物联网设备的行为识别结果,根据所述行为识别结果对相应的网关设备发送控制指令。从而可以快速地对各个非法设备进行准确的识别,由于识别的基准是预警服务端基于对相应设备类型的行为数据的建模,因此,识别准确性也大大提高,能够提高物联网系统运行的安全性。
对于步骤S101,获取物联网设备的设备类型,以及所述设备类型对应的行为数据,包括业务内容、报文长度、业务应用类型。
其中,所述物联网设备的设备类型包括各种个人电脑、智能手机、打印机、门禁系统以及智能家电系统等等,各种物联网设备根据其设备类型不同,其行为数据,包括业务内容、报文长度、业务应用类型等,具有一定的规律。
在本实施方式中,通过网关设备101收集各种类型的物联网设备的行为数据后,将各种类型的所述物联网设备的行为数据上传至预警服务器102,由所述预警服务器102对所述行为数据进行处理分析。
所述获取物联网设备的设备类型可以由所述网关设备通过多种方式获得,在一个实施例中,所述物联网设备的设备类型的获取方法包括下述中的至少一种:
通过对物联网设备进行SNMP(Simple Network Management Protocol,简单网络管理协议)扫描,获取所述物联网设备的设备信息,所述设备信息包括:设备类型、MAC地址、IP地址、设备名、连接的网络交换机以及连接的网络交换机端口;
通过对物联网设备进行NMAP(Network Mapper,网络扫描嗅探工具)主动扫描,获取所述物联网设备的设备类型和开放端口;
通过对物联网设备进行NetBIOS(Network Basic Input/Output System,网上基本输入输出系统)主动扫描,获取所述物联网设备的设备名称和MAC地址,根据所述设备名称和MAC地址,判断所述物联网设备的设备类型;
通过端口镜像技术抓取所述物联网设备经过其连接的网络接口产生的流量数据,对所述物联网设备通信协议数据包进行解析,获取所述物联网设备的MAC地址、设备名称以及IP地址信息,根据所述物联网设备的MAC地址、设备名称以及IP地址信息,判断所述物联网设备的设备类型。
其中,对所述物联网设备通信协议数据包进行解析的步骤可包括:
对经过所述网络接口的物联网设备的HTTP协议、DHCP协议、ARP协议、IP协议以及TCP/UDP协议进行解析;
获取所述物联网设备的MAC地址、设备名称以及IP地址,并获取在各个通信协议下所述物联网设备的流量特征;
根据所述物联网设备的MAC地址、设备名称、IP地址以及所述流量特征,判断所述物联网设备的设备类型。
对于步骤S102,通过机器学习技术对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据,将各种设备类型对应的业务-行为基线模型数据合成行为信息库。
同一设备类型的物联网设备的行为相对固定,通过机器学习技术对物联网设备的行为数据进行学习后,可以建立相应设备类型的物联网设备的行为基线,所述行为基线用进行安全预警防护,可以解决物联网碎片化的安全风险问题。通过机器学习技术,对设备类型对应的行为数据进行建模,整个过程无需管理员人工分析,全部由机器学习来完成。
对相应的设备类型对应的行为数据进行建模后,当物联网设备出现与所述业务-行为基线模型数据不相符的行为数据时,如当物联网设备被植入木马,其行为数据发生变化时,就可进行阻断或报警防护。又如当物联网设备由于病毒而出现报文异常时,其行为数据与业务-行为基线模型数据不相符,也可进行阻断或报警防护。
在一个实施例中,通过机器学习技术对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据的步骤包括:
对所述设备类型以及所述设备类型对应的行为数据进行归类和去重,提取所述行为数据的关键特征信息,通过机器学习技术对相应设备类型下的所述关键特征信息进行学习,构建相应设备类型的业务-行为基线模型数据。
对网关设备101采集到的资产行为、流量等信息,利用机器学习算法,将采集到的行为数据进行归类和去重,提取关键特征信息,通过对行为数据不断的分析、归纳、处理,最终得到一份通用的业务-行为基线模型数据。根据该业务-行为基线模型数据,可快速定位物联网设备的行为数据特征,实现物联网设备的已知行为的识别和未知或异常行为的告警或阻断。
所述业务-行为基线模型数据建模完成上线后,可以还开启测试模式,来对所述业务-行为基线模型数据进行调整。
在一个实施例中,获取网关设备对所述物联网设备的行为识别结果后,若所述行为识别结果提示行为异常,则发出告警信号;获取网关设备对所述告警信号的处理结果数据,根据所述处理结果数据,修正相应设备类型的所述业务-行为基线模型数据,重新合成所述行为信息库。
即对发现的异常行为,只进行告警而不进行阻断控制,将告警信号发送至相应的网关设备,由相应的网关设备进行处理,并获取所述网关设备的处理结果数据,根据所述处理结果数据,修正相应设备类型的所述业务-行为基线模型数据,如果发生异常行为的误报,则所述网关设备对所述告警信号的处理结果是忽略处理,由此预警服务器102对相应的处理结果就可对触发误报的业务-行为基线模型数据进行调整,防止后续再出现误报异常行为的情况,不断修正直到没有误报发生,即可完成业务-行为基线模型数据的固化,重新合成所述行为信息库。
对于步骤S103,将所述行为信息库发送至物联网中的各个网关设备,使所述网关设备对其连接的物联网设备进行行为识别。
将行为学习的结果,所述行为信息库作为网关设备安全防护策略的数据选项,下发至相应的网关设备。利用所述行为信息库中的业务-行为基线模型数据,网关设备可快速识别物联网设备的网络行为特征,针对已知的安全行为执行放过处理、未知的行为执行拦截处理,可实现对于物联网设备“非白即黑”的高安全运行管理。
所述网关设备可对接入的物联网设备的实时行为数据进行监控获得监控数据,包括识别所述物联网设备的设备类型,以及获取所述物联网设备的行为数据,如业务内容、报文长度、业务应用类型,以及接口流速和状态、CPU、内存、硬盘等指标数据,实时掌握物联网设备的健康状态。进一步地,所述网关设备101还可以将获得的监控数据上传至预警服务器102中保存,以便于用户查询历史数据,以及支持对所述监控数据的日志收集与分析。所述预警服务器102还可以根据所述监控数据,实时呈现所述物联网中各个物联网设备的运行情况,包括物联网整体、各个区域、以及单个物联网设备的运行状况及统计信息,并提供可视化图形展示。
通过所述预警服务器102对各个所述网关设备101的监控数据的分析统计,可展示出物联网设备的即时流量、设备行为数量、设备行为热点区域等信息;根据对所述监控数据的日志分析结果,展示日志风险告警信息;根据对所述监控数据的行为分析,对物联网设备进行画像建模展示;根据分析后构成风险的行为数据,展示行为风险告警信息和趋势;根据采集到的异常行为,展示漏洞信息和趋势等等。
所述网关设备101根据所述行为信息库对其连接的物联网设备进行行为识别,行为识别结果包括可:安全行为、异常行为和未知行为。
通过对物联网设备的行为数据进行特征提取,根据特征信息和所述行为信息库对行为数据进行分类及标识,匹配对应业务规则或者业务通信行为特点,对行为数据做出安全行为、异常行为和未知行为的判断。当然,根据安全设定的需求不同,所述行为识别结果的划分方式也可不同,如也可设定为正常、故障、未知、恶意等,只需要调整相应识别结果的标准即可。
所述网关设备101对物联网设备的行为数据进行快速识别和发现,与所述预警服务器102进行通信,根据识别结果,联合所述预警服务器102进行响应,对物联网设备进行相应的控制操作,并可根据控制操作结果对应更新所述行为信息库中的业务-行为基线模型数据。
对于步骤S104,获取网关设备对所述物联网设备的行为识别结果,根据所述行为识别结果对相应的网关设备发送控制指令。
如上所述,在一个实施例中,所述行为识别结果可包括:安全行为、异常行为、未知行为。则,根据所述行为识别结果对相应的网关设备发送控制指令的步骤包括:
若所述行为识别结果为安全行为,则对相应的网关设备发送允许执行的控制指令;
若所述行为识别结果为异常行为,则对相应的网关设备发送拦截的控制指令;
若所述行为识别结果为安全行为,则对相应的网关设备发送拦截和告警的控制指令。
其中,若所述行为识别结果为异常行为,则根据物联网设备在物联网中的拓扑关系,获取所述异常行为的发起点和目的点;根据所述拓扑关系,计算所述异常行为对所述发起点和目的点之间的各层级的物联网设备的影响值,根据所述影响值对各层级的物联网设备所连接的网关设备发送相应的控制指令。
本申请的基于物联网设备行为建模的安全预警方法中,可以通过网关设备对多种物联网设备的通信协议进行适配,解析获取接入所述网关设备的物联网设备的行为数据,通过所述行为数据获得相应设备类型的行为数据的特征信息,一方面可对准入物联网的物联网设备进行资产台账管理,识别其设备类型,流量特征等进行正常业务的行为数据的特征信息的归集,与预警服务器102通信对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据,建立物联网设备的安全行为基线,建立完整全面的物联网设备的行为信息库。
通过网关设备对物联网设备的实时行为数据进行收集和特征信息提取,根据特征信息,匹配对应的设备类型的业务-行为基线模型数据,对物联网设备的实时行为数据做出区分正常、故障、未知、恶意等判断,进行快速识别和发现,根据判断结果联合预警服务器102进行通信和响应,对物联网设备进行相应控制操作,并对相应的行为信息库进行更新。
通过对物联网设备的正常行为的识别和学习,对物联网设备的异常行为的识别和学习,能快速自动的进行异常行为识别分类,绘制出异常行为的发起和攻击目的关系拓扑,并对异常行为中的攻击行为进行模拟计算其覆盖面和影响程度,进行可能的威胁预警和范围阻断,标识出攻击对应层级的漏洞,由此自动生成攻击对应层级的安全访问控制规则,并更新设备信息的安全缺陷或漏洞特征,对已标识的高风险设备或者高危漏洞再入网时进行加固指导或自动加固,对敏感端口进行优先监测。
通过对物联网设备建立行为信息库、进行实时行为监控和行为识别,可展示出物联网设备的即时流量、设备行为数量、设备行为热点区域,形成物联网设备的行为数据日志。根据对日志数据的分析结果,展示日志风险告警信息,对物联网设备进行画像建模展示,对构成风险的行为数据,展示行为风险告警信息和趋势;对异常行为,展示漏洞信息和趋势。
通过所述预警服务器102开放联动处理接口,既可主动联系各种物联网网络及安全防护设备生成网络控制指令,实现自动对异常行为的告警和阻断,也能接受来自外部系统或设备的控制命令,实现对物联网设备的安全阻断。还可进一步开放级联接口,支持对物理网拓扑关系的各层级节点的物联网设备准入控制,支持级联安全网关设备,在安全网关设备获得准入控制权限后,可授权并指导边缘安全网关进行非IP网络的安全准入。通过开放设备管理接口,还可支持物联网专网中的设备管理。
实施例2
作为本申请的另一个实施例,提供一种基于物联网设备行为建模的安全预警系统。
请参阅图3,图3为本申请一种基于物联网设备行为建模的安全预警系统的结构示意图。所述基于物联网设备行为建模的安全预警系统,包括:
数据检测模块301,用于获取物联网设备的设备类型,以及所述设备类型对应的行为数据,包括业务内容、报文长度、业务应用类型;
模型构建模块302,用于通过机器学习技术对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据,将各种设备类型对应的业务-行为基线模型数据合成行为信息库;
行为识别模块303,用于将所述行为信息库发送至物联网中的各个网关设备,使所述网关设备对其连接的物联网设备进行行为识别;
控制模块304,用于获取网关设备对所述物联网设备的行为识别结果,根据所述行为识别结果对相应的网关设备发送控制指令。
需指出的是上述实施例2为本申请的装置实施例,可以用于执行本申请实施例1中的方法。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中选定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中选定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中选定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种基于物联网设备行为建模的安全预警方法,其特征在于,包括以下步骤:
获取物联网设备的设备类型,以及所述设备类型对应的行为数据,包括业务内容、报文长度、业务应用类型;
通过机器学习技术对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据,将各种设备类型对应的业务-行为基线模型数据合成行为信息库;
将所述行为信息库发送至物联网中的各个网关设备,使所述网关设备对其连接的物联网设备进行行为识别;
获取网关设备对所述物联网设备的行为识别结果,根据所述行为识别结果对相应的网关设备发送控制指令。
2.根据权利要求1所述的基于物联网设备行为建模的安全预警方法,其特征在于,所述获取物联网设备的设备类型的方法包括下述方法中的至少一种:
通过对物联网设备进行SNMP扫描,获取所述物联网设备的设备信息,所述设备信息包括:设备类型、MAC地址、IP地址、设备名、连接的网络交换机以及连接的网络交换机端口;
通过对物联网设备进行NMAP主动扫描,获取所述物联网设备的设备类型和开放端口;
通过对物联网设备进行NetBIOS主动扫描,获取所述物联网设备的设备名称和MAC地址,根据所述设备名称和MAC地址,判断所述物联网设备的设备类型;
通过端口镜像技术抓取所述物联网设备经过其连接的网络接口产生的流量数据,对所述物联网设备通信协议数据包进行解析,获取所述物联网设备的MAC地址、设备名称以及IP地址信息,根据所述物联网设备的MAC地址、设备名称以及IP地址信息,判断所述物联网设备的设备类型。
3.根据权利要求2所述的基于物联网设备行为建模的安全预警方法,其特征在于,对所述物联网设备通信协议数据包进行解析,获取所述物联网设备的MAC地址、设备名称以及IP地址信息,根据所述物联网设备的MAC地址、设备名称以及IP地址信息,判断所述物联网设备的设备类型的步骤包括:
对经过所述网络接口的物联网设备的HTTP协议、DHCP协议、ARP协议、IP协议以及TCP/UDP协议进行解析;
获取所述物联网设备的MAC地址、设备名称以及IP地址,并获取在各个通信协议下所述物联网设备的流量特征;
根据所述物联网设备的MAC地址、设备名称、IP地址以及所述流量特征,判断所述物联网设备的设备类型。
4.根据权利要求1所述的基于物联网设备行为建模的安全预警方法,其特征在于,在获取网关设备对所述物联网设备的行为识别结果后,若所述行为识别结果提示行为异常,则发出告警信号;获取网关设备对所述告警信号的处理结果数据,根据所述处理结果数据,修正相应设备类型的所述业务-行为基线模型数据,重新合成所述行为信息库。
5.根据权利要求1所述的基于物联网设备行为建模的安全预警方法,其特征在于,通过机器学习技术对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据的步骤包括:
对所述设备类型以及所述设备类型对应的行为数据进行归类和去重,提取所述行为数据的关键特征信息,通过机器学习技术对相应设备类型下的所述关键特征信息进行学习,构建相应设备类型的业务-行为基线模型数据。
6.根据权利要求1所述的基于物联网设备行为建模的安全预警方法,其特征在于,所述行为识别结果包括:安全行为、异常行为、未知行为;
根据所述行为识别结果对相应的网关设备发送控制指令的步骤包括:
若所述行为识别结果为安全行为,则对相应的网关设备发送允许执行的控制指令;
若所述行为识别结果为异常行为,则对相应的网关设备发送拦截的控制指令;
若所述行为识别结果为安全行为,则对相应的网关设备发送拦截和告警的控制指令。
7.根据权利要求1所述的基于物联网设备行为建模的安全预警方法,其特征在于,若所述行为识别结果为异常行为,则根据物联网设备在物联网中的拓扑关系,获取所述异常行为的发起点和目的点;根据所述拓扑关系,计算所述异常行为对所述发起点和目的点之间的各层级的物联网设备的影响值,根据所述影响值对各层级的物联网设备所连接的网关设备发送相应的控制指令。
8.一种基于物联网设备行为建模的安全预警系统,其特征在于,包括:
数据检测模块,用于获取物联网设备的设备类型,以及所述设备类型对应的行为数据,包括业务内容、报文长度、业务应用类型;
模型构建模块,用于通过机器学习技术对所述设备类型以及所述设备类型对应的行为数据进行建模,建立相应设备类型的业务-行为基线模型数据,将各种设备类型对应的业务-行为基线模型数据合成行为信息库;
行为识别模块,用于将所述行为信息库发送至物联网中的各个网关设备,使所述网关设备对其连接的物联网设备进行行为识别;
控制模块,用于获取网关设备对所述物联网设备的行为识别结果,根据所述行为识别结果对相应的网关设备发送控制指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310211481.XA CN116318934A (zh) | 2023-03-06 | 2023-03-06 | 基于物联网设备行为建模的安全预警方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310211481.XA CN116318934A (zh) | 2023-03-06 | 2023-03-06 | 基于物联网设备行为建模的安全预警方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116318934A true CN116318934A (zh) | 2023-06-23 |
Family
ID=86835472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310211481.XA Pending CN116318934A (zh) | 2023-03-06 | 2023-03-06 | 基于物联网设备行为建模的安全预警方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116318934A (zh) |
-
2023
- 2023-03-06 CN CN202310211481.XA patent/CN116318934A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11550560B2 (en) | Enhanced device updating | |
US11201882B2 (en) | Detection of malicious network activity | |
US11374835B2 (en) | Apparatus and process for detecting network security attacks on IoT devices | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
US11038906B1 (en) | Network threat validation and monitoring | |
CN110602041A (zh) | 基于白名单的物联网设备识别方法、装置及网络架构 | |
EP3763099B1 (en) | Attribute-based policies for integrity monitoring and network intrusion detection | |
US20210279332A1 (en) | System and method for automatic generation of malware detection traps | |
CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
EP2517437A1 (en) | Intrusion detection in communication networks | |
CN108833447B (zh) | 一种网络摄像头弱口令检测方法及系统 | |
CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
CN114679292A (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
CN113497797B (zh) | 一种icmp隧道传输数据的异常检测方法及装置 | |
Schuster et al. | Attack and fault detection in process control communication using unsupervised machine learning | |
CN116318934A (zh) | 基于物联网设备行为建模的安全预警方法及系统 | |
CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
CN115396218A (zh) | 基于流量分析的企业api安全管控方法及系统 | |
CN116390091A (zh) | 终端安全接入方法及系统 | |
KR20140006408A (ko) | 비정상 호스트의 비정상도 정량화 장치 및 그 방법 | |
CN115297022B (zh) | 摄像头数据泄露风险分析方法、装置、设备及存储介质 | |
CN117061252B (zh) | 数据安全的检测方法、装置、设备及存储介质 | |
US20240163668A1 (en) | Apparatuses, computer-implemented methods, and computer program products for managing access of wireless nodes to a network | |
JP6571131B2 (ja) | パケット監視装置、パケット監視システム、パケット監視方法、及びパケット監視プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |