CN116800458A - 基于数据流采样分析的物联网设备异常监测方法和系统 - Google Patents
基于数据流采样分析的物联网设备异常监测方法和系统 Download PDFInfo
- Publication number
- CN116800458A CN116800458A CN202211614860.5A CN202211614860A CN116800458A CN 116800458 A CN116800458 A CN 116800458A CN 202211614860 A CN202211614860 A CN 202211614860A CN 116800458 A CN116800458 A CN 116800458A
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- data stream
- working state
- interactive
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005070 sampling Methods 0.000 title claims abstract description 93
- 238000000034 method Methods 0.000 title claims abstract description 77
- 238000004458 analytical method Methods 0.000 title claims abstract description 35
- 238000012544 monitoring process Methods 0.000 title claims abstract description 28
- 230000002452 interceptive effect Effects 0.000 claims abstract description 203
- 238000012545 processing Methods 0.000 claims description 90
- 230000003993 interaction Effects 0.000 claims description 68
- 230000006399 behavior Effects 0.000 claims description 47
- 230000008569 process Effects 0.000 claims description 44
- 230000005540 biological transmission Effects 0.000 claims description 32
- 230000000977 initiatory effect Effects 0.000 claims description 18
- 238000012216 screening Methods 0.000 claims description 11
- 230000005856 abnormality Effects 0.000 claims description 10
- 230000000737 periodic effect Effects 0.000 claims description 10
- 230000002457 bidirectional effect Effects 0.000 claims description 8
- 238000005206 flow analysis Methods 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 abstract description 6
- 230000002159 abnormal effect Effects 0.000 abstract description 2
- 230000009286 beneficial effect Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
Abstract
本发明提供基于数据流采样分析的物联网设备异常监测方法和系统,先对物联网中处于交互工作状态的终端设备进行数据流采样,从中提取数据流特征信息,判断终端设备是否被攻击以及对攻击源头进行追踪定位,便于及时准确地调整终端设备与攻击源头对应的外界设备之间的连接状态,实现对攻击行为的阻止,还能实时切断被攻击的终端设备与物联网内部其他终端设备之间的连接,避免其他终端设备也受到攻击,保证整个物联网的运行安全性和可靠性。
Description
技术领域
本发明涉及物联网设备监控的技术领域,特别涉及基于数据流采样分析的物联网设备异常监测方法和系统。
背景技术
分布式物联网体系包含多个终身设备,所有终端设备通过专用物联网网络进行连接,便于不同终端设备之间进行交互。此外每个终端设备还能够与外界设备进行连接,从而与外界设备进行数据交互和数据处理。在实际工作中,分布式物联网体系中的终端设备在与外界设备连接过程中,可能会受到来自外界设备的恶意攻击,从而影响终端设备的正常工作。并且当终端设备受到恶意攻击后,其可能被病毒感染,使得病毒在物联网内部进行扩散传播,从而影响整个分布式物联网体系的运行安全性和可靠性。
发明内容
针对现有技术存在的缺陷,本发明提供基于数据流采样分析的物联网设备异常监测方法和系统,其从物联网中筛选处于交互工作状态的终端设备,并对相应终端设备进行数据流采样;对采样得到的数据流进行分析,得到数据流特征信息,以此判断处于交互工作状态的终端设备是否处于被攻击状态,并进行攻击源头追踪处理;根据攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以在物联网内部关联的其他终端设备的工作状态,其先对物联网中处于交互工作状态的终端设备进行数据流采样,从中提取数据流特征信息,判断终端设备是否被攻击以及对攻击源头进行追踪定位,便于及时准确地调整终端设备与攻击源头对应的外界设备之间的连接状态,实现对攻击行为的阻止,还能实时切断被攻击的终端设备与物联网内部其他终端设备之间的连接,避免其他终端设备也受到攻击,保证整个物联网的运行安全性和可靠性。
本发明提供基于数据流采样分析的物联网设备异常监测方法,包括如下步骤:
步骤S1,获取接入到物联网的所有终端设备各自的工作状态信息,根据所述工作状态信息,筛选得到处于交互工作状态的终端设备;对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流;
步骤S2,对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;对所述数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理;
步骤S3,根据所述攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在所述物联网内部关联的其他终端设备的工作状态。
进一步,在所述步骤S1中,获取接入到物联网的所有终端设备各自的工作状态信息,根据所述工作状态信息,筛选得到处于交互工作状态的终端设备;对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流,包括:
从物联网的运行日志中提取接入到物联网的每个终端设备与外界设备之间的数据交互信息;根据所述数据交互信息,判断所述终端设备是否与外界设备发生双向数据交互行为;若是,则确定所述终端设备处于交互工作状态;
根据所有处于交互工作状态的终端设备各自在与外界设备进行数据交互过程对应的网关地址信息,对处于交互工作状态的终端设备进行周期性数据流采样,并将采样得到的所有数据流进行标识处理。
进一步,在所述步骤S1中,还包括:
根据所述网关地址信息,确定处于交互工作状态的终端设备与所述外界设备之间的交互数据传输网关路由信息;其中,所述交互数据传输网关路由信息包括所述处于交互工作状态的终端设备与所述外界设备之间的路由包含的网关数量;
根据所述交互数据传输网关路由信息,确定进行所述周期性数据流采样的采样频率;
将采样得到的所有数据流均添加处于交互工作状态的终端设备的终端身份信息作为标识信息。
进一步,在所述步骤S2中,对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;对所述数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理,包括:
对采样得到的每个数据流进行数据代码分析处理,得到对每个数据流包含的数据流特征代码信息,以此作为处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;
判断处于交互工作状态的终端设备在当前交互进程采集得到的所有数据流是否均具有相应的数据流特征代码信息以及在当前交互进程中的交互数据总流量是否大于预设流量阈值;若是,则判断处于交互工作状态的终端设备处于被攻击状态;若否,则判断处于交互工作状态的终端设备不处于被攻击状态;
当确定处于被攻击状态时,对采集得到的所有数据流进行数据流传输路由识别处理,确定发起当前攻击行为的外界设备,以此实现所述攻击源头追踪处理。
进一步,在所述步骤S3中,根据所述攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在所述物联网内部关联的其他终端设备的工作状态,包括:
根据发起当前攻击行为的外界设备所在网关,中断处于交互工作状态的终端设备与所述外界设备的连接链路;
确定所述物联网内部与处于交互工作状态的终端设备存在数据流交互行为的其他终端设备,并中断所述其他终端设备与处于交互工作状态的终端设备的数据流交互行为。
本发明还提供基于数据流采样分析的物联网设备异常监测系统,包括:
物联网设备识别模块,用于获取接入到物联网的所有终端设备各自的工作状态信息,根据所述工作状态信息,筛选得到处于交互工作状态的终端设备;
数据流采样模块,用于对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流;
数据流分析模块,用于对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;
攻击识别模块,用于对所述数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理;
物联网设备工作状态调整模块,用于根据所述攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在所述物联网内部关联的其他终端设备的工作状态。
进一步,所述物联网设备识别模块用于获取接入到物联网的所有终端设备各自的工作状态信息,根据所述工作状态信息,筛选得到处于交互工作状态的终端设备,包括:
从物联网的运行日志中提取接入到物联网的每个终端设备与外界设备之间的数据交互信息;根据所述数据交互信息,判断所述终端设备是否与外界设备发生双向数据交互行为;若是,则确定所述终端设备处于交互工作状态;
所述数据流采样模块用于对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流,包括:
根据所有处于交互工作状态的终端设备各自在与外界设备进行数据交互过程对应的网关地址信息,对处于交互工作状态的终端设备进行周期性数据流采样,并将采样得到的所有数据流进行标识处理。
进一步,所述数据流采样模块还用于根据所述网关地址信息,确定处于交互工作状态的终端设备与所述外界设备之间的交互数据传输网关路由信息;其中,所述交互数据传输网关路由信息包括所述处于交互工作状态的终端设备与所述外界设备之间的路由包含的网关数量;
根据所述交互数据传输网关路由信息,确定进行所述周期性数据流采样的采样频率;
将采样得到的所有数据流均添加处于交互工作状态的终端设备的终端身份信息作为标识信息。
进一步,所述数据流分析模块用于对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息,包括:
对采样得到的每个数据流进行数据代码分析处理,得到对每个数据流包含的数据流特征代码信息,以此作为处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;
所述攻击识别模块用于对所述数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理,包括:
判断处于交互工作状态的终端设备在当前交互进程采集得到的所有数据流是否均具有相应的数据流特征代码信息以及在当前交互进程中的交互数据总流量是否大于预设流量阈值;若是,则判断处于交互工作状态的终端设备处于被攻击状态;若否,则判断处于交互工作状态的终端设备不处于被攻击状态;
当确定处于被攻击状态时,对采集得到的所有数据流进行数据流传输路由识别处理,确定发起当前攻击行为的外界设备,以此实现所述攻击源头追踪处理。
进一步,所述物联网设备工作状态调整模块用于根据所述攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在所述物联网内部关联的其他终端设备的工作状态,包括:
根据发起当前攻击行为的外界设备所在网关,中断处于交互工作状态的终端设备与所述外界设备的连接链路;
确定所述物联网内部与处于交互工作状态的终端设备存在数据流交互行为的其他终端设备,并中断所述其他终端设备与处于交互工作状态的终端设备的数据流交互行为。
相比于现有技术,该基于数据流采样分析的物联网设备异常监测方法和系统从物联网中筛选处于交互工作状态的终端设备,并对相应终端设备进行数据流采样;对采样得到的数据流进行分析,得到数据流特征信息,以此判断处于交互工作状态的终端设备是否处于被攻击状态,并进行攻击源头追踪处理;根据攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以在物联网内部关联的其他终端设备的工作状态,其先对物联网中处于交互工作状态的终端设备进行数据流采样,从中提取数据流特征信息,判断终端设备是否被攻击以及对攻击源头进行追踪定位,便于及时准确地调整终端设备与攻击源头对应的外界设备之间的连接状态,实现对攻击行为的阻止,还能实时切断被攻击的终端设备与物联网内部其他终端设备之间的连接,避免其他终端设备也受到攻击,保证整个物联网的运行安全性和可靠性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于数据流采样分析的物联网设备异常监测方法的流程示意图。
图2为本发明提供的基于数据流采样分析的物联网设备异常监测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,为本发明实施例提供的基于数据流采样分析的物联网设备异常监测方法的流程示意图。该基于数据流采样分析的物联网设备异常监测方法包括如下步骤:
步骤S1,获取接入到物联网的所有终端设备各自的工作状态信息,根据该工作状态信息,筛选得到处于交互工作状态的终端设备;对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流;
步骤S2,对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;对该数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理;
步骤S3,根据该攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在该物联网内部关联的其他终端设备的工作状态。
上述技术方案的有益效果为:该基于数据流采样分析的物联网设备异常监测方法从物联网中筛选处于交互工作状态的终端设备,并对相应终端设备进行数据流采样;对采样得到的数据流进行分析,得到数据流特征信息,以此判断处于交互工作状态的终端设备是否处于被攻击状态,并进行攻击源头追踪处理;根据攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以在物联网内部关联的其他终端设备的工作状态,其先对物联网中处于交互工作状态的终端设备进行数据流采样,从中提取数据流特征信息,判断终端设备是否被攻击以及对攻击源头进行追踪定位,便于及时准确地调整终端设备与攻击源头对应的外界设备之间的连接状态,实现对攻击行为的阻止,还能实时切断被攻击的终端设备与物联网内部其他终端设备之间的连接,避免其他终端设备也受到攻击,保证整个物联网的运行安全性和可靠性。
优选地,在该步骤S1中,获取接入到物联网的所有终端设备各自的工作状态信息,根据该工作状态信息,筛选得到处于交互工作状态的终端设备;对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流,包括:
从物联网的运行日志中提取接入到物联网的每个终端设备与外界设备之间的数据交互信息;根据该数据交互信息,判断该终端设备是否与外界设备发生双向数据交互行为;若是,则确定该终端设备处于交互工作状态;
根据所有处于交互工作状态的终端设备各自在与外界设备进行数据交互过程对应的网关地址信息,对处于交互工作状态的终端设备进行周期性数据流采样,并将采样得到的所有数据流进行标识处理。
上述技术方案的有益效果为:物联网内部接入有多个终端设备,物联网内部不同终端设备相互之间能够进行交互通信,每个终端设备能够独立进行与外界设备进行交互通信,并且对来自外界设备的数据进行分析处理。此外,物联网的管理终端上形成有关于所有终端设备各自的运行状态的运行日志,对运行日志进行分析处理,能够得到物联网的每个终端设备与外界设备之间的数据交互信息。其中,该数据交互信息可包括但不限于是终端设备与外界设备之间上行数据和下行数据的传输状态信息。再对该数据交互信息进行分析处理,确定终端设备与外界设备是否发生上行数据和下行数据的交互行为,若发生,则判断终端设备与外界设备之间发生双向数据交互行为,以此确定终端设备当前处于与外界设备的交互工作状态中。再以处于交互工作状态的终端设备在当前数据交互过程中所在网关地址,确定对终端设备进行数据流采样对应的采样端口,从而保证数据流的及时准确采样。还对采样得到的所有数据流进行标识处理,便于后续判断数据流所属的终端设备。
优选地,在该步骤S1中,还包括:
根据该网关地址信息,确定处于交互工作状态的终端设备与该外界设备之间的交互数据传输网关路由信息;其中,该交互数据传输网关路由信息包括该处于交互工作状态的终端设备与该外界设备之间的路由包含的网关数量;
根据该交互数据传输网关路由信息,确定进行该周期性数据流采样的采样频率;
将采样得到的所有数据流均添加处于交互工作状态的终端设备的终端身份信息作为标识信息。
上述技术方案的有益效果为:通过上述方式,确定处于交互工作状态的终端设备与外界设备之间实现连接时对应的交互数据传输网关路由信息,以此确定两者实现连接对应的路由包含的网关数量。当网关数量越大,表明终端设备与外界设备之间进行数据传输所需的时间较长,此时以较小的采样频率进行周期性数据流采样;反之,当网关数量越小,则以较大的采样频率进行周期性数据流采样。再将采样得到的所有数据流均添加其对应的处于交互工作状态的终端设备的终端身份信息作为标识信息,便于后续准确确定数据流所属的终端设备。
优选地,在该步骤S2中,对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;对该数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理,包括:
对采样得到的每个数据流进行数据代码分析处理,得到对每个数据流包含的数据流特征代码信息,以此作为处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;
判断处于交互工作状态的终端设备在当前交互进程采集得到的所有数据流是否均具有相应的数据流特征代码信息以及在当前交互进程中的交互数据总流量是否大于预设流量阈值;若是,则判断处于交互工作状态的终端设备处于被攻击状态;若否,则判断处于交互工作状态的终端设备不处于被攻击状态;
当确定处于被攻击状态时,对采集得到的所有数据流进行数据流传输路由识别处理,确定发起当前攻击行为的外界设备,以此实现该攻击源头追踪处理。
上述技术方案的有益效果为:当外界设备对终端设备发起攻击时,其向终端设备发出的数据流会包含相应的攻击代码,通过对每个数据流进行数据代码分析处理,提取每个数据流包含的数据流特征代码信息。若所有数据流均包含具有特定代码内容的数据流特征代码信息以及在当前交互进程中交互数据总流量大于预设流量阈值,则确定处于交互工作状态的终端设备当前处于被外界进行攻击的状态。再对采集得到的所有数据流进行数据流传输路由的寻迹识别处理,则可确定发起当前攻击行为的外界设备,从而实现对发起当前攻击行为的外界设备的追踪定位。
优选地,在该步骤S3中,根据该攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在该物联网内部关联的其他终端设备的工作状态,包括:
根据发起当前攻击行为的外界设备所在网关,中断处于交互工作状态的终端设备与该外界设备的连接链路;
确定该物联网内部与处于交互工作状态的终端设备存在数据流交互行为的其他终端设备,并中断该其他终端设备与处于交互工作状态的终端设备的数据流交互行为。
上述技术方案的有益效果为:通过上述方式,以发起当前攻击行为的外界设备所在网关为基准,确定其与处于交互工作状态的终端设备之间的连接链路,并中断该连接链路,使得该外界设备无法继续对终端设备发起攻击。此外,在物联网内部确定与受到攻击的终端设备存在数据流交互行为的其他终端设备,并及时中断其他终端设备与受到攻击的终端设备之间的数据流交互行为,避免攻击在物联网内部发生扩散传播。
参阅图2,为本发明实施例提供的基于数据流采样分析的物联网设备异常监测系统的结构示意图。该基于数据流采样分析的物联网设备异常监测系统包括:
物联网设备识别模块,用于获取接入到物联网的所有终端设备各自的工作状态信息,根据该工作状态信息,筛选得到处于交互工作状态的终端设备;
数据流采样模块,用于对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流;
数据流分析模块,用于对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;
攻击识别模块,用于对该数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理;
物联网设备工作状态调整模块,用于根据该攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在该物联网内部关联的其他终端设备的工作状态。
上述技术方案的有益效果为:该基于数据流采样分析的物联网设备异常监测系统从物联网中筛选处于交互工作状态的终端设备,并对相应终端设备进行数据流采样;对采样得到的数据流进行分析,得到数据流特征信息,以此判断处于交互工作状态的终端设备是否处于被攻击状态,并进行攻击源头追踪处理;根据攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以在物联网内部关联的其他终端设备的工作状态,其先对物联网中处于交互工作状态的终端设备进行数据流采样,从中提取数据流特征信息,判断终端设备是否被攻击以及对攻击源头进行追踪定位,便于及时准确地调整终端设备与攻击源头对应的外界设备之间的连接状态,实现对攻击行为的阻止,还能实时切断被攻击的终端设备与物联网内部其他终端设备之间的连接,避免其他终端设备也受到攻击,保证整个物联网的运行安全性和可靠性。
优选地,该物联网设备识别模块用于获取接入到物联网的所有终端设备各自的工作状态信息,根据该工作状态信息,筛选得到处于交互工作状态的终端设备,包括:
从物联网的运行日志中提取接入到物联网的每个终端设备与外界设备之间的数据交互信息;根据该数据交互信息,判断该终端设备是否与外界设备发生双向数据交互行为;若是,则确定该终端设备处于交互工作状态;
该数据流采样模块用于对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流,包括:
根据所有处于交互工作状态的终端设备各自在与外界设备进行数据交互过程对应的网关地址信息,对处于交互工作状态的终端设备进行周期性数据流采样,并将采样得到的所有数据流进行标识处理。
上述技术方案的有益效果为:物联网内部接入有多个终端设备,物联网内部不同终端设备相互之间能够进行交互通信,每个终端设备能够独立进行与外界设备进行交互通信,并且对来自外界设备的数据进行分析处理。此外,物联网的管理终端上形成有关于所有终端设备各自的运行状态的运行日志,对运行日志进行分析处理,能够得到物联网的每个终端设备与外界设备之间的数据交互信息。其中,该数据交互信息可包括但不限于是终端设备与外界设备之间上行数据和下行数据的传输状态信息。再对该数据交互信息进行分析处理,确定终端设备与外界设备是否发生上行数据和下行数据的交互行为,若发生,则判断终端设备与外界设备之间发生双向数据交互行为,以此确定终端设备当前处于与外界设备的交互工作状态中。再以处于交互工作状态的终端设备在当前数据交互过程中所在网关地址,确定对终端设备进行数据流采样对应的采样端口,从而保证数据流的及时准确采样。还对采样得到的所有数据流进行标识处理,便于后续判断数据流所属的终端设备。
优选地,该数据流采样模块还用于根据该网关地址信息,确定处于交互工作状态的终端设备与该外界设备之间的交互数据传输网关路由信息;其中,该交互数据传输网关路由信息包括该处于交互工作状态的终端设备与该外界设备之间的路由包含的网关数量;
根据该交互数据传输网关路由信息,确定进行该周期性数据流采样的采样频率;
将采样得到的所有数据流均添加处于交互工作状态的终端设备的终端身份信息作为标识信息。
上述技术方案的有益效果为:通过上述方式,确定处于交互工作状态的终端设备与外界设备之间实现连接时对应的交互数据传输网关路由信息,以此确定两者实现连接对应的路由包含的网关数量。当网关数量越大,表明终端设备与外界设备之间进行数据传输所需的时间较长,此时以较小的采样频率进行周期性数据流采样;反之,当网关数量越小,则以较大的采样频率进行周期性数据流采样。再将采样得到的所有数据流均添加其对应的处于交互工作状态的终端设备的终端身份信息作为标识信息,便于后续准确确定数据流所属的终端设备。
优选地,该数据流分析模块用于对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息,包括:
对采样得到的每个数据流进行数据代码分析处理,得到对每个数据流包含的数据流特征代码信息,以此作为处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;
该攻击识别模块用于对该数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理,包括:
判断处于交互工作状态的终端设备在当前交互进程采集得到的所有数据流是否均具有相应的数据流特征代码信息以及在当前交互进程中的交互数据总流量是否大于预设流量阈值;若是,则判断处于交互工作状态的终端设备处于被攻击状态;若否,则判断处于交互工作状态的终端设备不处于被攻击状态;
当确定处于被攻击状态时,对采集得到的所有数据流进行数据流传输路由识别处理,确定发起当前攻击行为的外界设备,以此实现该攻击源头追踪处理。
上述技术方案的有益效果为:当外界设备对终端设备发起攻击时,其向终端设备发出的数据流会包含相应的攻击代码,通过对每个数据流进行数据代码分析处理,提取每个数据流包含的数据流特征代码信息。若所有数据流均包含具有特定代码内容的数据流特征代码信息以及在当前交互进程中交互数据总流量大于预设流量阈值,则确定处于交互工作状态的终端设备当前处于被外界进行攻击的状态。再对采集得到的所有数据流进行数据流传输路由的寻迹识别处理,则可确定发起当前攻击行为的外界设备,从而实现对发起当前攻击行为的外界设备的追踪定位。
优选地,该物联网设备工作状态调整模块用于根据该攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在该物联网内部关联的其他终端设备的工作状态,包括:
根据发起当前攻击行为的外界设备所在网关,中断处于交互工作状态的终端设备与该外界设备的连接链路;
确定该物联网内部与处于交互工作状态的终端设备存在数据流交互行为的其他终端设备,并中断该其他终端设备与处于交互工作状态的终端设备的数据流交互行为。
上述技术方案的有益效果为:通过上述方式,以发起当前攻击行为的外界设备所在网关为基准,确定其与处于交互工作状态的终端设备之间的连接链路,并中断该连接链路,使得该外界设备无法继续对终端设备发起攻击。此外,在物联网内部确定与受到攻击的终端设备存在数据流交互行为的其他终端设备,并及时中断其他终端设备与受到攻击的终端设备之间的数据流交互行为,避免攻击在物联网内部发生扩散传播。
从上述实施例的内容可知,该基于数据流采样分析的物联网设备异常监测方法和系统从物联网中筛选处于交互工作状态的终端设备,并对相应终端设备进行数据流采样;对采样得到的数据流进行分析,得到数据流特征信息,以此判断处于交互工作状态的终端设备是否处于被攻击状态,并进行攻击源头追踪处理;根据攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以在物联网内部关联的其他终端设备的工作状态,其先对物联网中处于交互工作状态的终端设备进行数据流采样,从中提取数据流特征信息,判断终端设备是否被攻击以及对攻击源头进行追踪定位,便于及时准确地调整终端设备与攻击源头对应的外界设备之间的连接状态,实现对攻击行为的阻止,还能实时切断被攻击的终端设备与物联网内部其他终端设备之间的连接,避免其他终端设备也受到攻击,保证整个物联网的运行安全性和可靠性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.基于数据流采样分析的物联网设备异常监测方法,其特征在于,包括如下步骤:
步骤S1,获取接入到物联网的所有终端设备各自的工作状态信息,根据所述工作状态信息,筛选得到处于交互工作状态的终端设备;对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流;
步骤S2,对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;对所述数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理;
步骤S3,根据所述攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在所述物联网内部关联的其他终端设备的工作状态。
2.如权利要求1所述的基于数据流采样分析的物联网设备异常监测方法,其特征在于:
在所述步骤S1中,获取接入到物联网的所有终端设备各自的工作状态信息,根据所述工作状态信息,筛选得到处于交互工作状态的终端设备;对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流,包括:
从物联网的运行日志中提取接入到物联网的每个终端设备与外界设备之间的数据交互信息;根据所述数据交互信息,判断所述终端设备是否与外界设备发生双向数据交互行为;若是,则确定所述终端设备处于交互工作状态;
根据所有处于交互工作状态的终端设备各自在与外界设备进行数据交互过程对应的网关地址信息,对处于交互工作状态的终端设备进行周期性数据流采样,并将采样得到的所有数据流进行标识处理。
3.如权利要求2所述的基于数据流采样分析的物联网设备异常监测方法,其特征在于:
在所述步骤S1中,还包括:
根据所述网关地址信息,确定处于交互工作状态的终端设备与所述外界设备之间的交互数据传输网关路由信息;其中,所述交互数据传输网关路由信息包括所述处于交互工作状态的终端设备与所述外界设备之间的路由包含的网关数量;
根据所述交互数据传输网关路由信息,确定进行所述周期性数据流采样的采样频率;
将采样得到的所有数据流均添加处于交互工作状态的终端设备的终端身份信息作为标识信息。
4.如权利要求1所述的基于数据流采样分析的物联网设备异常监测方法和系统,其特征在于:
在所述步骤S2中,对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;对所述数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理,包括:
对采样得到的每个数据流进行数据代码分析处理,得到对每个数据流包含的数据流特征代码信息,以此作为处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;
判断处于交互工作状态的终端设备在当前交互进程采集得到的所有数据流是否均具有相应的数据流特征代码信息以及在当前交互进程中的交互数据总流量是否大于预设流量阈值;若是,则判断处于交互工作状态的终端设备处于被攻击状态;若否,则判断处于交互工作状态的终端设备不处于被攻击状态;
当确定处于被攻击状态时,对采集得到的所有数据流进行数据流传输路由识别处理,确定发起当前攻击行为的外界设备,以此实现所述攻击源头追踪处理。
5.如权利要求1所述的基于数据流采样分析的物联网设备异常监测方法,其特征在于:
在所述步骤S3中,根据所述攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在所述物联网内部关联的其他终端设备的工作状态,包括:
根据发起当前攻击行为的外界设备所在网关,中断处于交互工作状态的终端设备与所述外界设备的连接链路;
确定所述物联网内部与处于交互工作状态的终端设备存在数据流交互行为的其他终端设备,并中断所述其他终端设备与处于交互工作状态的终端设备的数据流交互行为。
6.基于数据流采样分析的物联网设备异常监测系统,其特征在于,包括:
物联网设备识别模块,用于获取接入到物联网的所有终端设备各自的工作状态信息,根据所述工作状态信息,筛选得到处于交互工作状态的终端设备;
数据流采样模块,用于对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流;
数据流分析模块,用于对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;
攻击识别模块,用于对所述数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理;
物联网设备工作状态调整模块,用于根据所述攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在所述物联网内部关联的其他终端设备的工作状态。
7.如权利要求6所述的基于数据流采样分析的物联网设备异常监测系统,其特征在于:
所述物联网设备识别模块用于获取接入到物联网的所有终端设备各自的工作状态信息,根据所述工作状态信息,筛选得到处于交互工作状态的终端设备,包括:
从物联网的运行日志中提取接入到物联网的每个终端设备与外界设备之间的数据交互信息;根据所述数据交互信息,判断所述终端设备是否与外界设备发生双向数据交互行为;若是,则确定所述终端设备处于交互工作状态;
所述数据流采样模块用于对处于交互工作状态的终端设备进行数据流采样,得到相应的数据流,包括:
根据所有处于交互工作状态的终端设备各自在与外界设备进行数据交互过程对应的网关地址信息,对处于交互工作状态的终端设备进行周期性数据流采样,并将采样得到的所有数据流进行标识处理。
8.如权利要求7所述的基于数据流采样分析的物联网设备异常监测系统,其特征在于:
所述数据流采样模块还用于根据所述网关地址信息,确定处于交互工作状态的终端设备与所述外界设备之间的交互数据传输网关路由信息;其中,所述交互数据传输网关路由信息包括所述处于交互工作状态的终端设备与所述外界设备之间的路由包含的网关数量;
根据所述交互数据传输网关路由信息,确定进行所述周期性数据流采样的采样频率;
将采样得到的所有数据流均添加处于交互工作状态的终端设备的终端身份信息作为标识信息。
9.如权利要求6所述的基于数据流采样分析的物联网设备异常监测系统,其特征在于:
所述数据流分析模块用于对采样得到的数据流进行分析处理,得到处于交互工作状态的终端设备在当前交互进程中的数据流特征信息,包括:
对采样得到的每个数据流进行数据代码分析处理,得到对每个数据流包含的数据流特征代码信息,以此作为处于交互工作状态的终端设备在当前交互进程中的数据流特征信息;
所述攻击识别模块用于对所述数据流特征信息进行分析处理,判断处于交互工作状态的终端设备是否处于被攻击状态,并在处于被攻击状态时进行攻击源头追踪处理,包括:
判断处于交互工作状态的终端设备在当前交互进程采集得到的所有数据流是否均具有相应的数据流特征代码信息以及在当前交互进程中的交互数据总流量是否大于预设流量阈值;若是,则判断处于交互工作状态的终端设备处于被攻击状态;若否,则判断处于交互工作状态的终端设备不处于被攻击状态;
当确定处于被攻击状态时,对采集得到的所有数据流进行数据流传输路由识别处理,确定发起当前攻击行为的外界设备,以此实现所述攻击源头追踪处理。
10.如权利要求6所述的基于数据流采样分析的物联网设备异常监测系统,其特征在于:
所述物联网设备工作状态调整模块用于根据所述攻击源头追踪处理的结果,调整处于交互工作状态的终端设备与外界设备的连接状态,以及调整处于交互工作状态的终端设备在所述物联网内部关联的其他终端设备的工作状态,包括:
根据发起当前攻击行为的外界设备所在网关,中断处于交互工作状态的终端设备与所述外界设备的连接链路;
确定所述物联网内部与处于交互工作状态的终端设备存在数据流交互行为的其他终端设备,并中断所述其他终端设备与处于交互工作状态的终端设备的数据流交互行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211614860.5A CN116800458A (zh) | 2022-12-14 | 2022-12-14 | 基于数据流采样分析的物联网设备异常监测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211614860.5A CN116800458A (zh) | 2022-12-14 | 2022-12-14 | 基于数据流采样分析的物联网设备异常监测方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116800458A true CN116800458A (zh) | 2023-09-22 |
Family
ID=88037446
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211614860.5A Pending CN116800458A (zh) | 2022-12-14 | 2022-12-14 | 基于数据流采样分析的物联网设备异常监测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116800458A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117040925A (zh) * | 2023-10-08 | 2023-11-10 | 国网四川省电力公司信息通信公司 | 多工作终端的数据安全交互控制方法和系统 |
| CN117692530A (zh) * | 2024-02-02 | 2024-03-12 | 中铁四局集团有限公司 | 一种多物联网设备多协议接入系统及方法 |
-
2022
- 2022-12-14 CN CN202211614860.5A patent/CN116800458A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117040925A (zh) * | 2023-10-08 | 2023-11-10 | 国网四川省电力公司信息通信公司 | 多工作终端的数据安全交互控制方法和系统 |
| CN117040925B (zh) * | 2023-10-08 | 2023-12-15 | 国网四川省电力公司信息通信公司 | 多工作终端的数据安全交互控制方法和系统 |
| CN117692530A (zh) * | 2024-02-02 | 2024-03-12 | 中铁四局集团有限公司 | 一种多物联网设备多协议接入系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116800458A (zh) | 基于数据流采样分析的物联网设备异常监测方法和系统 | |
| CN109714322B (zh) | 一种检测网络异常流量的方法及其系统 | |
| CN111866016B (zh) | 日志的分析方法及系统 | |
| CN116527403B (zh) | 用于局域网的网络安全控制方法和系统 | |
| JP2006148686A (ja) | 通信監視システム | |
| CN112953971A (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
| CN113660267B (zh) | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 | |
| CN108566392B (zh) | 基于机器学习的防御cc攻击系统与方法 | |
| US11711310B2 (en) | System and method for determining a network performance property in at least one network | |
| US8260906B1 (en) | System and method for heuristic determination of network protocols | |
| CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
| CN116132096A (zh) | 基于大规模容器安全数据检测与防护的分析系统及方法 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN114124555A (zh) | 报文回放方法、装置、电子设备及计算机可读介质 | |
| CN113609089A (zh) | 接口请求处理方法、装置、可读存储介质及计算机设备 | |
| CN112565259A (zh) | 过滤dns隧道木马通信数据的方法及装置 | |
| Yu et al. | Mining anomaly communication patterns for industrial control systems | |
| CN117294024B (zh) | 电力数据分析、治理监控方法和系统 | |
| KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 | |
| CN115022082B (zh) | 网络安全检测方法、网络安全检测系统、终端以及介质 | |
| CN117375963A (zh) | 基于iptable的攻击入侵检测与拦截方法和系统 | |
| CN117176470B (zh) | 一种区块链数据监管方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |