CN118337540A - 一种基于物联网的网络入侵攻击识别系统及方法 - Google Patents

Abstract

本发明公开了一种基于物联网的网络入侵攻击识别系统及方法，用于物联网领域，该系统包括：监控和防御模块、攻击源分析模块、攻击源识别模块、IP拦截模块及动态管理模块。本发明通过利用攻击特征进行溯源，能够更准确地追踪到攻击源的IP地址，提高了攻击源定位的精确度，有助于快速有效地响应和处置安全威胁，通过DNS监测技术分析攻击源中的域名查询行为，结合行为分析技术，可以更全面地识别攻击者及其使用的策略，同时精准定位受攻击的主机。

Description

一种基于物联网的网络入侵攻击识别系统及方法

技术领域

本发明涉及物联网领域，具体来说，尤其涉及一种基于物联网的网络入侵攻击识别系统及方法。

背景技术

随着传统互联网技术的广泛应用与成熟，其潜在的安全缺陷也日益凸显。而物联网作为一种较为新兴的技术体系，其结构更为复杂，缺乏统一的安全标准，使得安全挑战尤为严峻。物联网依赖于传感网络技术进行核心功能实现，其中传感器经常置于开放或恶劣的自然环境中工作，这要求传感网络不仅要能够适应自然环境的变化，还需具备自我修复的能力来保持网络的稳定性。这些挑战不只是源自自然环境因素，人为的干扰和攻击威胁也同样重大。此外，物联网中广泛使用的RFID技术，通过在物品中嵌入电子标签实现实时监控，这可能导致物品所有者的个人隐私和信息安全受到侵犯。随着企业与企业之间、国家与国家之间的合作日益增多，网络安全事件的潜在影响也变得越来越不可预测和严重。

传统安全系统可能无法有效识别或响应新兴的、复杂的攻击手段，特别是对于高级持续性威胁（APT）和针对性的攻击，攻击通常涉及多个阶段，包括长期的潜伏期，难以被传统的防御机制及时识别，现有的安全解决方案往往采用静态的防御策略，缺乏根据实时网络流量和攻击模式变化动态调整的能力，导致安全防御措施无法有效适应网络环境和威胁情报的快速变化，误报（将合法行为错误标识为攻击）和漏报（未能检测到实际攻击）是许多入侵检测和预防系统的常见问题，导致资源浪费、安全团队的过度警觉或忽视真正的威胁，物联网环境包含各种设备和服务，每种设备可能面临不同类型的威胁，然而，现有技术往往采用“一刀切”的防御策略，缺乏对环境特定需求和关键资产的针对性保护。

针对相关技术中的问题，目前尚未提出有效的解决方案。

发明内容

为了克服以上问题，本发明旨在提出一种基于物联网的网络入侵攻击识别系统及方法，目的在于解决传统安全系统可能无法有效识别或响应新兴的、复杂的攻击手段，特别是对于高级持续性威胁（APT）和针对性的攻击，攻击通常涉及多个阶段，包括长期的潜伏期，难以被传统的防御机制及时识别，现有的安全解决方案往往采用静态的防御策略，缺乏根据实时网络流量和攻击模式变化动态调整的能力的问题。

为此，本发明采用的具体技术方案如下：

根据本发明的一个方面，提供了一种基于物联网的网络入侵攻击识别系统，该系统包括：监控和防御模块、攻击源分析模块、攻击源识别模块、IP拦截模块及动态管理模块；

监控和防御模块，用于在物联网环境中调用预先部署的入侵检测系统和入侵防御系统进行实时监控和防御入侵；

攻击源分析模块，用于利用入侵检测系统监控节点接收到的每个源IP访问次数，并利用预设阈值识别攻击源IP，同时利用蜜罐技术吸引并分析攻击源IP，提取攻击特征，并进行高级持续性威胁的实时检测；

攻击源识别模块，用于利用攻击溯源技术，根据攻击特征追踪攻击源，识别攻击者的IP地址，并利用DNS监测与行为分析技术增强对受攻击主机的识别和定位；

IP拦截模块，用于将攻击者的IP地址添加到黑名单中，并通过入侵预防系统进行拦截；

动态管理模块，用于对黑名单中攻击者的IP地址分配失效时间戳，并根据攻击强度进行标记。

可选地，监控和防御模块包括需求分析模块、安全设施调用模块及调优模块；

需求分析模块，用于分析物联网环境的安全需求，安全需求包括识别关键资产、评估潜在威胁、确定业务和技术环境的特定需求；

安全设施调用模块，用于根据安全需求的分析结果，调用适合物联网环境的入侵检测系统和入侵防御系统；

调优模块，用于配置入侵检测系统和入侵防御系统的参数，并根据网络流量和攻击模式进行参数调优。

可选地，攻击源分析模块利用入侵检测系统监控节点接收到的每个源IP访问次数，并利用预设阈值识别攻击源IP，同时利用蜜罐技术吸引并分析攻击源IP，提取攻击特征，并进行高级持续性威胁的实时检测时包括：

在物联网环境的各节点调用预先部署的入侵检测系统，监控所有经过的网络流量并记录每个源IP的访问次数；

基于历史数据和安全分析，为每个源IP访问次数预设阈值，当访问次数超过预设阈值时，将IP标记为潜在的攻击源IP；

在网络中添加虚拟蜜罐，吸引潜在的攻击者，监视攻击源IP的行为，捕获并分析从攻击源IP发起的攻击尝试；

利用蜜罐技术捕获攻击尝试中的攻击数据，并基于全局联配算法和层级序列比对法提取攻击数据特征；

根据生物信息学中的相似度矩阵和全局联配算法，对捕获到的攻击特征进行分析，实时检测高级持续性威胁。

可选地，在网络中添加虚拟蜜罐，吸引潜在的攻击者，监视攻击源IP的行为，捕获并分析从攻击源IP发起的攻击尝试包括：

分析物联网环境的特点，确定蜜罐需要模拟的服务，并设计蜜罐的架构；

在物联网的策略性位置添加蜜罐，并将攻击流量引导至蜜罐；

对蜜罐进行配置，利用蜜罐捕获从攻击源IP发起的攻击尝试；

实时分析蜜罐捕获的数据，识别攻击者利用的工具、技术、程序及通信协议的攻击数据；

从蜜罐捕获的攻击数据中提取攻击源IP地址，并进行行为分析；

当蜜罐捕获到潜在的攻击尝试时，设置自动警报通知，并根据捕获的攻击特征调整警报级别。

可选地，利用蜜罐技术捕获攻击尝试中的攻击数据，并基于全局联配算法和层级序列比对法提取攻击数据特征包括：

采用全局联配算法，模拟生物信息学中的碱基排列规则，对捕获的攻击数据进行分析，并根据匹配度得分提取数据序列的片段；

将捕获的片段与已知的攻击模式进行匹配，识别包含攻击特征的数据序列片段；

对于长度不同的序列，利用相似度矩阵进行全匹配分析，填充相似度矩阵以匹配不等长的序列，并提取攻击特征片段；

基于提取的攻击特征片段计算攻击数据的特征码；

将计算得到的特征码与已知的攻击特征库进行匹配，若匹配成功，则将对应的入侵文件判定为网络攻击者。

可选地，采用全局联配算法，模拟生物信息学中的碱基排列规则，对捕获的攻击数据进行分析，并根据匹配度得分提取数据序列的片段包括：

通过蜜罐技术捕获进入物联网环境的所有网络流量；

对捕获的网络流量进行预处理，将预处理后的网络流量转换为数据序列；

设定数据序列比对的匹配得分规则，模拟生物信息学中碱基对匹配的得分机制；

根据设定的匹配得分规则，对每一对数据序列进行比对分析，计算总匹配得分，并提取特征片段；

对提取后的特征片段进行分析，判断特征片段是否代表潜在的恶意行为，并记录分析结果生成报告；

其中，计算总匹配得分的公式为：

；

式中，表示总匹配得分；

n表示数据序列的长度；

表示序列x中位置i的字符；

表示序列y中位置i的字符；

表示位置i上字符和的匹配得分。

可选地，对于长度不同的序列，利用相似度矩阵进行全匹配分析，填充相似度矩阵以匹配不等长的序列，并提取攻击特征片段包括：

确定参与比对的两个或多个数据序列的长度，并识别出长度不一致的序列对；

为每对比对的序列创建相似度矩阵；

对于矩阵的第一行和第一列，设置边界条件；

遍历矩阵的每个元素，计算基于当前位置最佳的匹配得分；

设定匹配得分的阈值，从相似度矩阵的右下角开始进行反向追踪，根据反向追踪的路径，识别并提取匹配度高于设定匹配得分的阈值的序列片段。

可选地，基于提取的攻击特征片段计算攻击数据的特征码包括：

对提取的特征片段进行归一化处理，并对归一化后的特征片段进行编码；

选择哈希函数，对每个编码后的特征片段应用哈希函数，计算特征片段的哈希值；

根据哈希值，计算攻击数据的特征码；

其中，计算攻击数据的特征码的公式为：

；

式中，，，…，表示提取的特征片段；

表示特征片段的哈希值；

表示最终的攻击数据特征码；

表示选择的哈希函数。

可选地，攻击源识别模块在利用攻击溯源技术，根据攻击特征追踪攻击源，识别攻击者的IP地址，并利用DNS监测与行为分析技术增强对受攻击主机的识别和定位时包括：

利用攻击溯源技术，根据提取的攻击特征对攻击源进行追踪；

利用DNS监测技术，分析攻击源中涉及的域名查询行为，识别与攻击源相关联的域名；

利用行为分析技术，分析攻击行为与已知的攻击模式之间的相似度；

综合攻击源的追踪结果、DNS监测技术的识别结果及行为分析的分析结果，确定攻击者的IP地址；

通过攻击数据分析和行为模式识别，确定受攻击的主机，并利用网络拓扑图和资产管理记录，定位受攻击主机的位置。

根据本发明的另一个方面，还提供了一种基于物联网的网络入侵攻击识别方法，该网络入侵攻击识别方法包括以下步骤：

S1、在物联网环境中调用预先部署的入侵检测系统和入侵防御系统进行实时监控和防御入侵；

S2、利用入侵检测系统监控节点接收到的每个源IP访问次数，并利用预设阈值识别攻击源IP，同时利用蜜罐技术吸引并分析攻击源IP，提取攻击特征，并进行高级持续性威胁的实时检测；

S3、利用攻击溯源技术，根据攻击特征追踪攻击源，识别攻击者的IP地址，并利用DNS监测与行为分析技术增强对受攻击主机的识别和定位；

S4、将攻击者的IP地址添加到黑名单中，并通过入侵预防系统进行拦截；

S5、对黑名单中攻击者的IP地址分配失效时间戳，并根据攻击强度进行标记。

相较于现有技术，本申请具有以下有益效果：

1、本发明通过精确分析物联网环境的安全需求并调用相应的检测与防御机制，能显著提高对潜在威胁的识别和防御能力，从而增强整个物联网环境的安全性，基于对关键资产的识别和潜在威胁的评估，能够实现针对性的防御策略，确保安全措施与物联网环境的具体需求和特性紧密对应，通过持续的监控和调优模块，能够根据网络流量和攻击模式的变化动态调整IDS和IPS的参数，提高系统对新兴威胁的适应能力和防御效果，调用的入侵防御系统提供了实时的威胁防御能力，能够在检测到攻击行为时立即采取行动，阻止威胁的发展，为物联网环境提供主动式的安全防护。

2、本发明通过监控每个源IP地址的访问次数并设置阈值，模块能够高效地识别潜在的攻击源IP，减少了误报和漏报的可能性，结合蜜罐技术，模块不仅能识别已知攻击，还能吸引并分析潜在攻击者的行为，提供了对高级持续性威胁的实时检测能力，通过捕获和分析攻击尝试中的数据，深入理解攻击者利用的工具、技术和程序，为未来的防御策略提供数据支持，通过在物联网环境的策略性位置添加蜜罐，模块可以更有效地吸引攻击者，保护网络的关键部分不受攻击，当检测到潜在的攻击尝试时，自动发出警报并根据捕获的攻击特征进行响应，加快了响应速度，减轻了安全团队的负担。

3、本发明通过利用攻击特征进行溯源，能够更准确地追踪到攻击源的IP地址，提高了攻击源定位的精确度，有助于快速有效地响应和处置安全威胁，通过DNS监测技术分析攻击源中的域名查询行为，结合行为分析技术，可以更全面地识别攻击者及其使用的策略，同时精准定位受攻击的主机，利用行为分析技术，不仅能识别攻击行为与已知攻击模式之间的相似度，还能进一步理解攻击者的意图和技术，为制定防御策略提供了重要依据，综合利用来自不同平台和工具的数据，如网络监控数据、DNS日志分析结果和行为分析结果，通过关联分析来确定攻击者的网络位置，提升了跨系统的信息共享和整合能力，通过实时监测攻击活动并分析攻击者行为，模块能够为安全团队提供及时的警报和详细的攻击信息，使得响应措施更加灵活和有效。

4、本发明将识别出的攻击者IP地址实时添加到黑名单并通过入侵预防系统拦截，可以迅速阻断恶意流量，保护网络免受进一步的攻击，自动将攻击者的IP地址加入黑名单并实施拦截，减轻了安全团队的工作负担，使得安全防御更加快速和有效，通过为黑名单中的IP地址分配失效时间戳，可以确保黑名单保持更新，避免长期阻断可能已经不再恶意的IP地址，从而减少误拦截合法流量的风险，根据攻击强度为黑名单中的IP地址进行标记，允许实施更有针对性的防御措施，如对于标记为高风险的IP实施更严格的拦截策略，通过定期清理失效的IP地址，可以减少不必要的拦截操作，从而优化网络性能和资源利用，收集和分析关于被拦截攻击的反馈信息，有助于更好地理解当前的威胁环境，提高安全态势感知，为未来的安全策略提供数据支持。

附图说明

结合实施例的以下描述，本发明的上述特性、特征和优点及其实现方式和方法变得更明白易懂，实施例结合附图详细阐述。在此以示意图示出：

图1是根据本发明实施例的一种基于物联网的网络入侵攻击识别系统的原理框图；

图2是根据本发明实施例的一种基于物联网的网络入侵攻击识别方法的流程图。

图中：

1、监控和防御模块；2、攻击源分析模块；3、攻击源识别模块；4、IP拦截模块；5、动态管理模块。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

根据本发明的实施例，提供了一种基于物联网的网络入侵攻击识别系统及方法。

现结合附图和具体实施方式对本发明进一步说明，如图1所示，根据本发明的一个实施例，提供了一种基于物联网的网络入侵攻击识别系统，包括该系统包括：监控和防御模块1、攻击源分析模块2、攻击源识别模块3、IP拦截模块4及动态管理模块5；

监控和防御模块1，用于在物联网环境中调用预先部署的入侵检测系统和入侵防御系统进行实时监控和防御入侵。

优选地，监控和防御模块1包括需求分析模块、安全设施调佣模块及调优模块；

需求分析模块，用于分析物联网环境的安全需求，安全需求包括识别关键资产、评估潜在威胁、确定业务和技术环境的特定需求。

需求分析模块的实现步骤如下：通过与业务团队合作，识别物联网环境中的关键资产，关键资产可能包括重要的数据存储设备、核心网络设备和关键的服务端应用程序；评估这些关键资产可能面临的潜在威胁，涉及到分析可能的攻击者、攻击方法以及这些攻击可能对业务造成的影响，结合业务目标和技术环境的特性，确定安全措施需要满足的具体需求，包括合规性要求、性能标准和特定的安全目标。

安全设施调用模块，用于根据安全需求的分析结果，调用适合物联网环境的入侵检测系统和入侵防御系统。

安全设施调用模块的实现步骤如下：根据需求分析模块提供的信息，选择最适合物联网环境的入侵检测系统（IDS）和入侵防御系统（IPS）；在物联网环境的关键位置调用IDS和IPS，根据预先定义的安全需求，对IDS和IPS进行初始配置。

入侵检测系统（IDS），IDS的主要目的是检测网络和系统中的潜在恶意活动或违规行为，并对这些活动进行记录和报告；IDS能够帮助网络管理员理解网络中正在发生的安全事件，IDS通过分析网络流量或计算机系统的日志文件来检测异常行为，它匹配流量或日志数据与已知的攻击签名或异常行为模式，以识别潜在的威胁，当检测到潜在的威胁时，IDS主要通过生成警报来响应，警报可以是日志条目、电子邮件通知或者是在控制台上的直接报告，但IDS本身不会阻止攻击发生，其主要职责是检测和报告。

入侵防御系统（IPS），IPS的目的是不仅检测网络中的恶意活动，还要阻止这些活动发生，IPS可以被看作是一个主动的安全措施，旨在实时防御网络攻击，像IDS一样，IPS也通过分析网络流量来检测恶意行为，但与IDS不同的是，当检测到攻击时，IPS能够采取预先定义的措施来阻止这些攻击，比如终止数据包传输、重置连接或阻止来自攻击源的流量，IPS能够自动响应检测到的威胁，不需要管理员的干预就能阻断或缓解攻击，IPS通常部署在网络的边界，如防火墙之后，直接在数据流路径上，使得IPS能够实时拦截并处理恶意流量。

调优模块，用于配置入侵检测系统和入侵防御系统的参数，并根据网络流量和攻击模式进行参数调优。

调优模块的实现步骤如下：持续监控物联网环境中的网络流量以及经历的攻击尝试，收集必要的数据用于后续的分析，基于收集到的数据，分析系统的表现，根据这些分析结果，调整IDS和IPS的配置，以更好地识别和防御攻击，将调优视为一个持续的过程。随着攻击模式的演化和网络环境的变化，定期重新评估和调整IDS和IPS的参数。

攻击源分析模块2，用于利用入侵检测系统监控节点接收到的每个源IP访问次数，并利用预设阈值识别攻击源IP，同时利用蜜罐技术吸引并分析攻击源IP，提取攻击特征，并进行高级持续性威胁的实时检测。

优选地，攻击源分析模块2利用入侵检测系统监控节点接收到的每个源IP访问次数，并利用预设阈值识别攻击源IP，同时利用蜜罐技术吸引并分析攻击源IP，提取攻击特征，并进行高级持续性威胁的实时检测时包括：

在物联网环境的各节点调用预先部署的入侵检测系统，监控所有经过的网络流量并记录每个源IP的访问次数。

首先，需要根据物联网环境的具体需求选择合适的IDS，物联网环境通常包含大量的终端设备和传感器，终端设备和传感器具有有限的处理能力和存储空间，选用的IDS需要能够高效运行在资源受限的设备上，同时能够处理大量的网络流量和数据，物联网环境中的节点可以是任何网络连接的设备，包括路由器、网关、集中控制器等，将IDS调用到这些关键节点上，可以监控经过的网络流量，对于大型网络，需要在多个节点调用预先部署的IDS以确保全面的监控覆盖，一旦IDS被使用，需要配置它来监控所有经过节点的网络流量，通常涉及到设置网络接口在混杂模式下运行，使其能够捕获流经网络的所有数据包，还需配置IDS以解析和分析这些数据包中的信息，如源IP地址、目的IP地址、协议类型等，DS需要被配置或编程，以统计每个源IP地址的访问次数，通过维护一个数据库或日志文件来实现，其中记录了每个源IP地址及其对应的访问次数，随着时间的推移，IDS将更新这些记录，以反映网络活动的实时状况。

基于历史数据和安全分析，为每个源IP访问次数预设阈值，当访问次数超过预设阈值时，将IP标记为潜在的攻击源IP。

根据历史访问数据和安全分析，为每个源IP设置访问频次的阈值，阈值是基于正常行为模式与异常行为模式之间的区分而确定的，当某个源IP的访问次数超过这一阈值时，会自动将其标记为潜在的攻击源。

在网络中添加虚拟蜜罐，吸引潜在的攻击者，监视攻击源IP的行为，捕获并分析从攻击源IP发起的攻击尝试。

优选地，在网络中添加虚拟蜜罐，吸引潜在的攻击者，监视攻击源IP的行为，捕获并分析从攻击源IP发起的攻击尝试包括：

分析物联网环境的特点，确定蜜罐需要模拟的服务，并设计蜜罐的架构。

物联网环境通常包括各种类型的设备和服务，如传感器、摄像头、智能设备、网关等，这些设备和服务在不同的应用场景中扮演着各种角色，如智能家居、工业控制、健康监护等。

根据物联网环境的分析结果，蜜罐需要模拟的服务包括：常见的物联网协议、特定的设备服务及Web服务和API接口；

常见的物联网协议：例如MQTT、CoAP等，是物联网设备间常用的通信协议。

特定的设备服务：如智能家居控制面板、工业控制系统接口等。

Web服务和API接口：很多物联网设备通过Web服务进行管理和控制，模拟这些接口可以吸引寻找漏洞的攻击者。

蜜罐的架构设计需要考虑如何有效地模拟上述服务，并且能够捕获和记录攻击行为，架构通常包括以下组件：模拟层、捕获和记录层及管理和分析层；

模拟层：负责模拟物联网设备和服务的外观和行为。

捕获和记录层：用于记录攻击行为和收集攻击数据。

管理和分析层：提供蜜罐管理功能和对捕获数据的初步分析能力。

在物联网的策略性位置添加蜜罐，并将攻击流量引导至蜜罐。

将蜜罐部署在物联网环境的策略性位置，并确保攻击流量容易被引导至蜜罐，可以通过以下策略实现：网关级别部署、核心网络部署及公开的服务和设备。

网关级别部署：将蜜罐部署在网络入口或网关设备旁边，可以捕获所有进出网络的流量。

核心网络部署：在核心网络位置部署蜜罐，比如数据中心或重要的网络节点，可以捕获针对核心资产的攻击尝试。

公开的服务和设备：将蜜罐设计得像是易受攻击的设备或服务，并通过DNS欺骗或IP路由技术将攻击流量引导至蜜罐。

对蜜罐进行配置，利用蜜罐捕获从攻击源IP发起的攻击尝试。

根据物联网环境的特点，配置蜜罐来模拟易受攻击的服务或设备。包括设定操作版本、开放端口、运行的服务和应用程序等，配置蜜罐以记录所有入站和出站的网络活动，包括完整的数据包捕获（如使用Wireshark或tcpdump）和详细的日志，确保蜜罐具有与攻击者互动的能力，以便捕获尽可能多的攻击信息，包括响应网络请求、模拟登录过程等。

实时分析蜜罐捕获的数据，识别攻击者利用的工具、技术、程序及通信协议的攻击数据。

从蜜罐捕获的数据中收集攻击源的IP地址、时间戳、所使用的工具、技术、程序和通信协议等信息，使用各种分析工具和技术（例如入侵检测系统、日志分析软件）识别攻击行为和攻击者使用的方法，根据捕获的数据分析攻击者的行为模式，例如攻击手段、持续时间、目标选择和攻击频率。

从蜜罐捕获的攻击数据中提取攻击源IP地址，并进行行为分析。

从捕获的网络流量和日志中提取攻击源的IP地址，将提取的IP地址与其他数据源（如威胁情报数据库）相关联，以获取关于攻击者的背景信息和历史行为，分析攻击源IP的行为，确定其是否为自动化工具、单一攻击者还是协调的攻击活动的一部分。

当蜜罐捕获到潜在的攻击尝试时，设置自动警报通知，并根据捕获的攻击特征调整警报级别。

根据从蜜罐捕获的攻击特征和行为，配置警报机制，包括设置特定的触发条件，如已知恶意IP的重复访问或特定攻击模式的识别，根据攻击的严重性和潜在的影响，调整警报级别，严重的或高度复杂的攻击应触发更高级别的警报和紧急响应，在某些情况下，可以配置蜜罐和关联的安全系统自动执行响应动作，如隔离攻击源IP、启动更深入的调查或通知安全团队。

利用蜜罐技术捕获攻击尝试中的攻击数据，并基于全局联配算法和层级序列比对法提取攻击数据特征。

优选地，利用蜜罐技术捕获攻击尝试中的攻击数据，并基于全局联配算法和层级序列比对法提取攻击数据特征包括：

采用全局联配算法，模拟生物信息学中的碱基排列规则，对捕获的攻击数据进行分析，并根据匹配度得分提取数据序列的片段。

优选地，采用全局联配算法，模拟生物信息学中的碱基排列规则，对捕获的攻击数据进行分析，并根据匹配度得分提取数据序列的片段包括：

通过蜜罐技术捕获进入物联网环境的所有网络流量；

对捕获的网络流量进行预处理，将预处理后的网络流量转换为数据序列；

在物联网环境中部署蜜罐，配置为捕获经过所有网络流量，蜜罐应设置为模拟物联网设备和服务，使攻击者误认为它们是易于攻击的目标，同时记录所有传入和传出的流量，包括源和目的IP地址、端口、协议类型等信息。

设定数据序列比对的匹配得分规则，模拟生物信息学中碱基对匹配的得分机制；

使用脚本或专业工具进行数据清洗和格式化，比如将网络流量转换为更易于分析的格式，如时间序列或特征向量，预处理包括过滤、分割数据包和提取关键信息；

根据设定的匹配得分规则，对每一对数据序列进行比对分析，计算总匹配得分，并提取特征片段；

根据设定的匹配得分规则，将预处理后的数据序列与已知的攻击模式或行为特征序列进行比对分析，计算总匹配得分，以确定相似度，应用动态规划技术对数据序列进行比对，并计算匹配得分。

对提取后的特征片段进行分析，判断特征片段是否代表潜在的恶意行为，并记录分析结果生成报告；

使用数据分析和模式识别技术分析提取的特征片段，判断这些片段是否与已知的恶意行为相匹配，根据分析结果生成报告，包括潜在的攻击源、攻击类型和推荐的响应措施，对特征片段进行分析，以确认其性质。

其中，计算总匹配得分的公式为：

；

式中，表示总匹配得分；

n表示数据序列的长度；

表示序列x中位置i的字符；

表示序列y中位置i的字符；

表示位置i上字符和的匹配得分。

将捕获的片段与已知的攻击模式进行匹配，识别包含攻击特征的数据序列片段。

需要解释说明的是，收集和整理已知的攻击模式和特征，建立攻击模式数据库，数据可以来源于公开的威胁情报源、历史攻击分析报告或安全研究，数据库应该包含各种攻击类型的详细描述，如特定的恶意软件行为、网络攻击的典型信号、SQL注入的常见模式等。

对捕获的网络流量或日志数据进行预处理，包括数据清洗、规范化和转换为适合比对的格式。

从预处理后的数据中提取关键特征，关键特征应该与攻击模式数据库中的特征相对应，以便于进行有效的匹配。

使用序列比对算法，将提取的特征片段与攻击模式数据库中的模式进行匹配，匹配过程可以基于字符串匹配、模式识别或者更复杂的机器学习分类算法。

对匹配得分较高的特征片段进行深入分析和验证，确认它们是否确实代表了已知的攻击行为。

为识别出的攻击模式生成详细报告，包括攻击的类型、使用的技术、潜在的影响和建议的响应措施。

对于长度不同的序列，利用相似度矩阵进行全匹配分析，填充相似度矩阵以匹配不等长的序列，并提取攻击特征片段。

优选地，对于长度不同的序列，利用相似度矩阵进行全匹配分析，填充相似度矩阵以匹配不等长的序列，并提取攻击特征片段包括：

确定参与比对的两个或多个数据序列的长度，并识别出长度不一致的序列对；

为每对比对的序列创建相似度矩阵；

对于矩阵的第一行和第一列，设置边界条件；

遍历矩阵的每个元素，计算基于当前位置最佳的匹配得分；

设定匹配得分的阈值，从相似度矩阵的右下角开始进行反向追踪，根据反向追踪的路径，识别并提取匹配度高于设定匹配得分的阈值的序列片段。

需要解释说明的是，需要收集并确定两个或多个参与比对的数据序列，包括从网络流量、日志文件或其他数据源中提取出的序列，接着测量每个序列的长度，并识别出长度不一致的序列对；为每对需要比对的序列创建一个相似度矩阵，矩阵的行代表一个序列的每个元素，列代表另一个序列的每个元素，相似度矩阵的创建可以通过二维数组或矩阵数据结构实现，每个元素的初始值通常设为0，表示开始时没有任何匹配得分，在相似度矩阵的第一行和第一列设置边界条件，初始化这些行和列的值，以便于之后的计算，边界条件通常反映了匹配、不匹配和缺失（例如，序列之一在该位置没有元素）的惩罚或得分，边界条件的设置可以根据比对策略的需要进行调整，例如，在某些情况下，会将第一行和第一列的元素递增，反映序列之间的差异增加的惩罚，遍历矩阵的每个元素，计算基于当前位置最佳的匹配得分，包括考虑相邻元素的得分和当前元素的匹配情况，从而确定当前位置的最优得分，匹配得分的计算可以基于特定的规则或公式，如使用动态规划算法（例如Smith-Waterman算法）来计算局部最优解，每个元素的得分可能基于匹配、不匹配或缺失（间隙）的情况，设定一个匹配得分的阈值，以区分有意义的匹配和随机的或不重要的匹配，从相似度矩阵的右下角开始进行反向追踪，基于之前计算的得分来确定最佳的匹配路径。

基于提取的攻击特征片段计算攻击数据的特征码。

优选地，基于提取的攻击特征片段计算攻击数据的特征码包括：

对提取的特征片段进行归一化处理，并对归一化后的特征片段进行编码；

选择哈希函数，对每个编码后的特征片段应用哈希函数，计算特征片段的哈希值；

根据哈希值，计算攻击数据的特征码；

其中，计算攻击数据的特征码的公式为：

；

式中，，，…，表示提取的特征片段；

表示特征片段的哈希值；

表示最终的攻击数据特征码；

表示选择的哈希函数。

将计算得到的特征码与已知的攻击特征库进行匹配，若匹配成功，则将对应的入侵文件判定为网络攻击者。

需要补充说明的是，建立包含已知网络攻击特征码的库，库包括各种类型的攻击特征，如恶意软件签名、典型的攻击行为模式、特定攻击工具产生的网络流量特征等，对于捕获的网络流量或者分析的入侵文件，通过之前的分析步骤（如相似度矩阵分析、序列匹配等），计算并提取表示其行为的特征码，将计算得到的特征码与攻击特征库中的条目进行匹配，查看是否存在相同或高度相似的特征码，若匹配过程成功找到与计算得到的特征码相匹配的攻击特征，那么对应的文件或网络流量就可以被判定为是由网络攻击者发起的，对匹配成功的特征码进行进一步分析，以了解攻击的具体类型、目标和可能的影响，根据分析结果，调整现有的安全措施和响应策略。

根据生物信息学中的相似度矩阵和全局联配算法，对捕获到的攻击特征进行分析，实时检测高级持续性威胁。

需要补充说明的是，在分析过程的开始，针对每一对需要比较的序列建立一个相似度矩阵，序列代表不同时间窗口内捕获的网络流量特征、日志或其他安全相关的数据，使用全局比对算法，对整个序列进行比对，确保序列的每个部分都被考虑在内，从而找到最佳的全局对齐方式，将计算得到的特征码与高级持续性威胁（APT）的特征库进行实时比对，当特定模式的得分超过预设的阈值时，会触发警报，定期更新和维护APT特征库，以包含新发现的攻击模式和变种，确保检测机制能够识别最新的威胁。

攻击源识别模块3，用于利用攻击溯源技术，根据攻击特征追踪攻击源，识别攻击者的IP地址，并利用DNS监测与行为分析技术增强对受攻击主机的识别和定位。

优选地，攻击源识别模块3在利用攻击溯源技术，根据攻击特征追踪攻击源，识别攻击者的IP地址，并利用DNS监测与行为分析技术增强对受攻击主机的识别和定位时包括：

利用攻击溯源技术，根据提取的攻击特征对攻击源进行追踪；

利用DNS监测技术，分析攻击源中涉及的域名查询行为，识别与攻击源相关联的域名；

利用行为分析技术，分析攻击行为与已知的攻击模式之间的相似度；

综合攻击源的追踪结果、DNS监测技术的识别结果及行为分析的分析结果，确定攻击者的IP地址；

通过攻击数据分析和行为模式识别，确定受攻击的主机，并利用网络拓扑图和资产管理记录，定位受攻击主机的位置。

需要补充说明的是，攻击溯源技术通常涉及分析攻击路径、通信特征和攻击工具的使用等信息，以追溯攻击者的来源。通过分析攻击链路中的各个节点，从而推断出攻击源的IP地址，包括网络流量分析、日志文件审计、攻击模式匹配等方法；例如，可以通过检查入侵检测系统的警报、防火墙日志和网络流量记录，来识别与攻击相关的网络连接和交互，当攻击者使用域名而不是直接使用IP地址时，DNS查询分析可以揭示攻击过程中的域名解析行为，通过监测攻击者使用的DNS查询，可以发现与攻击源相关联的域名；DNS监测技术包括分析DNS服务器的日志文件，追踪攻击过程中的域名解析请求，以及检查与攻击活动时间相符的异常DNS请求模式，行为分析技术通过比较攻击行为与已知攻击模式和行为的相似度，来识别攻击手段和策略，有助于理解攻击者的意图和技术，涉及到使用机器学习和数据挖掘技术来分析攻击行为数据，比如比较攻击序列与历史攻击案例，确定行为模式的相似性，以识别攻击策略和可能的攻击来源，将攻击溯源、DNS监测结果和行为分析的信息进行综合，形成对攻击源的全面认识，最终确定攻击者的IP地址，需要跨多个数据源和分析工具进行信息整合，例如结合网络监控数据、DNS日志分析结果和行为分析结果，通过关联分析来确定攻击者的网络位置，通过分析攻击数据，识别出受攻击的主机，并结合网络拓扑图和资产管理记录，准确地定位受攻击主机的物理或逻辑位置。

DNS监测在识别和防御高级持续性威胁（APT）方面扮演关键角色，APT攻击通常涉及长期的、针对特定目标的攻击活动，旨在悄无声息地窃取信息或监控网络活动，由于APT攻击的复杂性和隐蔽性，利用DNS监测来识别这类威胁变得尤为重要，以下是如何利用DNS监测来识别和防御APT攻击的详细步骤：

1）监测异常DNS请求：

实施方法：实时监测网络中的DNS请求，特别是那些指向不常见或未知域名的请求，APT攻击者常常利用新注册或者被劫持的域名来建立命令与控制（C&C）通信。

关键技术：使用高级的网络监控工具和DNS日志分析系统，可以自动化地识别出异常模式，比如频繁的DNS查询、短暂生命周期的域名访问（DomainGeneration Algorithms，DGA）等。

2）分析DNS查询行为：

实施方法：深入分析DNS查询的行为模式，比如查询频率、请求的地理位置分布、查询的时间模式等，异常行为可能指示着APT攻击的存在。

关键技术：采用机器学习和行为分析技术，可以从大量的DNS查询数据中学习和识别出异常模式，这有助于早期检测到潜在的APT活动。

3）利用DNS沙盒环境：

实施方法：对可疑的DNS请求进行进一步的分析，可以将这些请求重定向到一个隔离的沙盒环境中。在沙盒中，可以安全地观察和分析请求的目的地域名可能执行的恶意活动，而不会对实际网络造成损害。

关键技术：DNS沙盒环境通常包括虚拟机和其他模拟网络资源，能够模拟真实网络环境，以便于详细分析恶意域名的行为。

4）建立与维护域名黑白名单：

实施方法：根据DNS监测和分析的结果，建立和维护域名的黑白名单。将已知的恶意域名加入黑名单，确保网络中的设备无法与这些域名通信。

关键技术：自动化工具和协作平台可以帮助实时更新和共享恶意域名的信息，这对于快速响应新发现的威胁至关重要。

5）集成威胁情报：

实施方法：将DNS监测结果与外部威胁情报源进行整合。比对外部情报中提供的恶意域名、IP地址等信息，可以提高识别APT攻击的准确性。

关键技术：威胁情报平台（TIPs）提供了一个集中化的方式来聚合、关联和分析来自不同来源的威胁情报，包括恶意域名和与APT活动相关的其他指标。

IP拦截模块4，用于将攻击者的IP地址添加到黑名单中，并通过入侵预防系统进行拦截。

需要补充说明的是，首先，基于之前的分析步骤（如攻击源识别模块3的输出），确定攻击者的IP地址，通常在攻击行为被检测和分析之后进行，如通过行为分析、溯源技术等方法，将识别出的攻击者IP地址添加到黑名单中，黑名单是一个存储已知恶意IP地址的数据库，入侵预防系统会定期或实时地从数据库中读取数据，以便拦截来自这些地址的流量，配置入侵预防系统（IPS）以使用更新后的黑名单，包括规则的更新，确保IPS能够识别并拦截来自黑名单中IP地址的任何尝试连接或数据流，一旦IPS配置完成，它将开始监控网络流量，对于检测到的任何来自黑名单IP地址的连接尝试或数据传输，将自动进行拦截和阻断，拦截操作之后，需要持续监控IPS的效果，确保攻击流量被有效阻断，同时也要注意防止误报，即合法流量被错误地视为攻击而被拦截。

动态管理模块5，用于对黑名单中攻击者的IP地址分配失效时间戳，并根据攻击强度进行标记。

需要补充说明的是，一旦攻击者的IP地址被确认并添加到黑名单中，动态管理模块5会根据预设规则或攻击的严重程度，为每个IP地址分配一个失效时间戳，失效时间戳定义了IP地址保留在黑名单中的时长，评估每次攻击的强度或严重程度，并据此为黑名单中的IP地址进行标记，攻击强度可以基于多种因素，如攻击的频率、攻击类型、造成的影响等，根据分配的失效时间戳和攻击强度标记，定期或实时地更新黑名单，包括从黑名单中移除过期的IP地址，以及根据最新的攻击情报调整IP地址的标记和状态，基于黑名单中IP地址的失效时间戳和标记，调整网络防御策略，例如，对于被标记为高强度攻击来源的IP地址，可能需要实施更严格的拦截策略，持续分析动态管理模块的效果，并根据分析结果调整失效时间戳和攻击强度标记的策略，收集和分析关于被拦截攻击的反馈信息，以优化黑名单管理策略。

根据本发明的另一个实施例，如图2所示，还提供了一种基于物联网的网络入侵攻击识别方法，该网络入侵攻击识别方法包括以下步骤：

S1、在物联网环境中调用预先部署的入侵检测系统和入侵防御系统进行实时监控和防御入侵；

S2、利用入侵检测系统监控节点接收到的每个源IP访问次数，并利用预设阈值识别攻击源IP，同时利用蜜罐技术吸引并分析攻击源IP，提取攻击特征，并进行高级持续性威胁的实时检测；

S3、利用攻击溯源技术，根据攻击特征追踪攻击源，识别攻击者的IP地址，并利用DNS监测与行为分析技术增强对受攻击主机的识别和定位；

S4、将攻击者的IP地址添加到黑名单中，并通过入侵预防系统进行拦截；

S5、对黑名单中攻击者的IP地址分配失效时间戳，并根据攻击强度进行标记。

综上所述，借助于本发明的上述技术方案，本发明通过精确分析物联网环境的安全需求并调用相应的检测与防御机制，能显著提高对潜在威胁的识别和防御能力，从而增强整个物联网环境的安全性，基于对关键资产的识别和潜在威胁的评估，能够实现针对性的防御策略，确保安全措施与物联网环境的具体需求和特性紧密对应，通过持续的监控和调优模块，能够根据网络流量和攻击模式的变化动态调整IDS和IPS的参数，提高系统对新兴威胁的适应能力和防御效果，调用的入侵防御系统提供了实时的威胁防御能力，能够在检测到攻击行为时立即采取行动，阻止威胁的发展，为物联网环境提供主动式的安全防护，本发明通过监控每个源IP地址的访问次数并设置阈值，模块能够高效地识别潜在的攻击源IP，减少了误报和漏报的可能性，结合蜜罐技术，模块不仅能识别已知攻击，还能吸引并分析潜在攻击者的行为，提供了对高级持续性威胁的实时检测能力，通过捕获和分析攻击尝试中的数据，深入理解攻击者利用的工具、技术和程序，为未来的防御策略提供数据支持，通过在物联网环境的策略性位置部署蜜罐，模块可以更有效地吸引攻击者，保护网络的关键部分不受攻击，当检测到潜在的攻击尝试时，自动发出警报并根据捕获的攻击特征进行响应，加快了响应速度，减轻了安全团队的负担；本发明通过利用攻击特征进行溯源，能够更准确地追踪到攻击源的IP地址，提高了攻击源定位的精确度，有助于快速有效地响应和处置安全威胁，通过DNS监测技术分析攻击源中的域名查询行为，结合行为分析技术，可以更全面地识别攻击者及其使用的策略，同时精准定位受攻击的主机，利用行为分析技术，不仅能识别攻击行为与已知攻击模式之间的相似度，还能进一步理解攻击者的意图和技术，为制定防御策略提供了重要依据，综合利用来自不同平台和工具的数据，如网络监控数据、DNS日志分析结果和行为分析结果，通过关联分析来确定攻击者的网络位置，提升了跨系统的信息共享和整合能力，通过实时监测攻击活动并分析攻击者行为，模块能够为安全团队提供及时的警报和详细的攻击信息，使得响应措施更加灵活和有效；本发明将识别出的攻击者IP地址实时添加到黑名单并通过入侵预防系统拦截，可以迅速阻断恶意流量，保护网络免受进一步的攻击，自动将攻击者的IP地址加入黑名单并实施拦截，减轻了安全团队的工作负担，使得安全防御更加快速和有效，通过为黑名单中的IP地址分配失效时间戳，可以确保黑名单保持更新，避免长期阻断可能已经不再恶意的IP地址，从而减少误拦截合法流量的风险，根据攻击强度为黑名单中的IP地址进行标记，允许实施更有针对性的防御措施，如对于标记为高风险的IP实施更严格的拦截策略，通过定期清理失效的IP地址，可以减少不必要的拦截操作，从而优化网络性能和资源利用，收集和分析关于被拦截攻击的反馈信息，有助于更好地理解当前的威胁环境，提高安全态势感知，为未来的安全策略提供数据支持。

虽然本发明已以较佳实施例揭示如上，然所述实施例仅为了便于说明而举例而已，并非用以限定本发明，本领域的技术人员在不脱离本发明精神和范围的前提下可作若干的更动与润饰，本发明所主张的保护范围应以权利要求书所述为准。

Claims (10)

1.一种基于物联网的网络入侵攻击识别系统，其特征在于，该系统包括：监控和防御模块、攻击源分析模块、攻击源识别模块、IP拦截模块及动态管理模块；

所述监控和防御模块，用于在物联网环境中调用预先部署的入侵检测系统和入侵防御系统进行实时监控和防御入侵；

所述攻击源分析模块，用于利用入侵检测系统监控节点接收到的每个源IP访问次数，并利用预设阈值识别攻击源IP，同时利用蜜罐技术吸引并分析攻击源IP，提取攻击特征，并进行高级持续性威胁的实时检测；

所述攻击源识别模块，用于利用攻击溯源技术，根据攻击特征追踪攻击源，识别攻击者的IP地址，并利用DNS监测与行为分析技术增强对受攻击主机的识别和定位；

所述IP拦截模块，用于将攻击者的IP地址添加到黑名单中，并通过入侵预防系统进行拦截；

所述动态管理模块，用于对黑名单中攻击者的IP地址分配失效时间戳，并根据攻击强度进行标记。

2.根据权利要求1所述的一种基于物联网的网络入侵攻击识别系统，其特征在于，所述监控和防御模块包括需求分析模块、安全设施调用模块及调优模块；

所述需求分析模块，用于分析物联网环境的安全需求；

所述安全设施调用模块，用于根据安全需求的分析结果，调用适合物联网环境的入侵检测系统和入侵防御系统；

所述调优模块，用于配置入侵检测系统和入侵防御系统的参数，并根据网络流量和攻击模式进行参数调优。

3.根据权利要求1所述的一种基于物联网的网络入侵攻击识别系统，其特征在于，所述攻击源分析模块利用入侵检测系统监控节点接收到的每个源IP访问次数，并利用预设阈值识别攻击源IP，同时利用蜜罐技术吸引并分析攻击源IP，提取攻击特征，并进行高级持续性威胁的实时检测时包括：

在物联网环境的各节点调用预先部署的入侵检测系统，监控所有经过的网络流量并记录每个源IP的访问次数；

基于历史数据和安全分析，为每个源IP访问次数预设阈值，当访问次数超过预设阈值时，将IP标记为潜在的攻击源IP；

在网络中添加虚拟蜜罐，吸引潜在的攻击者，监视攻击源IP的行为，捕获并分析从攻击源IP发起的攻击尝试；

利用蜜罐技术捕获攻击尝试中的攻击数据，并基于全局联配算法和层级序列比对法提取攻击数据特征；

根据生物信息学中的相似度矩阵和全局联配算法，对捕获到的攻击特征进行分析，实时检测高级持续性威胁。

4.根据权利要求3所述的一种基于物联网的网络入侵攻击识别系统，其特征在于，所述在网络中添加虚拟蜜罐，吸引潜在的攻击者，监视攻击源IP的行为，捕获并分析从攻击源IP发起的攻击尝试包括：

分析物联网环境的特点，确定蜜罐需要模拟的服务，并设计蜜罐的架构；

在物联网的策略性位置添加蜜罐，并将攻击流量引导至蜜罐；

对蜜罐进行配置，利用蜜罐捕获从攻击源IP发起的攻击尝试；

实时分析蜜罐捕获的数据，识别攻击者利用的工具、技术、程序及通信协议的攻击数据；

从蜜罐捕获的攻击数据中提取攻击源IP地址，并进行行为分析；

当蜜罐捕获到潜在的攻击尝试时，设置自动警报通知，并根据捕获的攻击特征调整警报级别。

5.根据权利要求4所述的一种基于物联网的网络入侵攻击识别系统，其特征在于，所述利用蜜罐技术捕获攻击尝试中的攻击数据，并基于全局联配算法和层级序列比对法提取攻击数据特征包括：

采用全局联配算法，模拟生物信息学中的碱基排列规则，对捕获的攻击数据进行分析，并根据匹配度得分提取数据序列的片段；

将捕获的片段与已知的攻击模式进行匹配，识别包含攻击特征的数据序列片段；

对于长度不同的序列，利用相似度矩阵进行全匹配分析，填充相似度矩阵以匹配不等长的序列，并提取攻击特征片段；

基于提取的攻击特征片段计算攻击数据的特征码；

将计算得到的特征码与已知的攻击特征库进行匹配，若匹配成功，则将对应的入侵文件判定为网络攻击者。

6.根据权利要求5所述的一种基于物联网的网络入侵攻击识别系统，其特征在于，所述采用全局联配算法，模拟生物信息学中的碱基排列规则，对捕获的攻击数据进行分析，并根据匹配度得分提取数据序列的片段包括：

通过蜜罐技术捕获进入物联网环境的所有网络流量；

对捕获的网络流量进行预处理，将预处理后的网络流量转换为数据序列；

设定数据序列比对的匹配得分规则，模拟生物信息学中碱基对匹配的得分机制；

根据设定的匹配得分规则，对每一对数据序列进行比对分析，计算总匹配得分，并提取特征片段；

对提取后的特征片段进行分析，判断特征片段是否代表潜在的恶意行为，并记录分析结果生成报告；

其中，所述计算总匹配得分的公式为：

；

式中，表示总匹配得分；

n表示数据序列的长度；

表示序列x中位置i的字符；

表示序列y中位置i的字符；

表示位置i上字符和的匹配得分。

7.根据权利要求6所述的一种基于物联网的网络入侵攻击识别系统，其特征在于，所述对于长度不同的序列，利用相似度矩阵进行全匹配分析，填充相似度矩阵以匹配不等长的序列，并提取攻击特征片段包括：

确定参与比对的两个或多个数据序列的长度，并识别出长度不一致的序列对；

为每对比对的序列创建相似度矩阵；

对于矩阵的第一行和第一列，设置边界条件；

遍历矩阵的每个元素，计算基于当前位置最佳的匹配得分；

设定匹配得分的阈值，从相似度矩阵的右下角开始进行反向追踪，根据反向追踪的路径，识别并提取匹配度高于设定匹配得分的阈值的序列片段。

8.根据权利要求7所述的一种基于物联网的网络入侵攻击识别系统，其特征在于，所述基于提取的攻击特征片段计算攻击数据的特征码包括：

对提取的特征片段进行归一化处理，并对归一化后的特征片段进行编码；

选择哈希函数，对每个编码后的特征片段应用哈希函数，计算特征片段的哈希值；

根据哈希值，计算攻击数据的特征码；

其中，所述计算攻击数据的特征码的公式为：

；

式中，，，…，表示提取的特征片段；

表示特征片段的哈希值；

表示最终的攻击数据特征码；

表示选择的哈希函数。

9.根据权利要求8所述的一种基于物联网的网络入侵攻击识别系统，其特征在于，所述攻击源识别模块在利用攻击溯源技术，根据攻击特征追踪攻击源，识别攻击者的IP地址，并利用DNS监测与行为分析技术增强对受攻击主机的识别和定位时包括：

利用攻击溯源技术，根据提取的攻击特征对攻击源进行追踪；

利用DNS监测技术，分析攻击源中涉及的域名查询行为，识别与攻击源相关联的域名；

利用行为分析技术，分析攻击行为与已知的攻击模式之间的相似度；

综合攻击源的追踪结果、DNS监测技术的识别结果及行为分析的分析结果，确定攻击者的IP地址；

通过攻击数据分析和行为模式识别，确定受攻击的主机，并利用网络拓扑图和资产管理记录，定位受攻击主机的位置。

10.一种基于物联网的网络入侵攻击识别方法，用于实现权利要求1-9中任一项所述的基于物联网的网络入侵攻击识别系统，其特征在于，该网络入侵攻击识别方法包括以下步骤：

S1、在物联网环境中调用预先部署的入侵检测系统和入侵防御系统进行实时监控和防御入侵；

S2、利用入侵检测系统监控节点接收到的每个源IP访问次数，并利用预设阈值识别攻击源IP，同时利用蜜罐技术吸引并分析攻击源IP，提取攻击特征，并进行高级持续性威胁的实时检测；

S3、利用攻击溯源技术，根据攻击特征追踪攻击源，识别攻击者的IP地址，并利用DNS监测与行为分析技术增强对受攻击主机的识别和定位；

S4、将攻击者的IP地址添加到黑名单中，并通过入侵预防系统进行拦截；

S5、对黑名单中攻击者的IP地址分配失效时间戳，并根据攻击强度进行标记。