【CN109818793A】针对物联网的设备类型识别及网络入侵检测方法【专利】

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(43)申请公布日(21)申请号201910089779.1(22)申请日2019.01.30(71)申请人基本立子（北京）科技发展有限公司地址100000北京市东城区安定门外安德里北街湖景苑1号楼B座9层901室(72)发明人季文翀　王永斌　刘廉如　范文翰　张忠平　(74)专利代理机构北京卓岚智财知识产权代理事务所(特殊普通合伙)11624代理人郭智(51)Int.Cl.H04L12/24(2006.01)H04L29/06(2006.01)(54)发明名称针对物联网的设备类型识别及网络入侵检测方法(57)摘要本发明公开了针对物联网的设备类型识别及网络入侵检测方法，入侵检测系统由设备类型识别匹配系统与异常检测系统构成，类型识别系统能够根据设备周期性通信的特点提取设备特征，根据周期的统计特性等进行分类汇总，将设备分为抽象类型；异常检测系统基于GRU神经网络的模式识别系统可学习记忆正常通信行为从而建立正常行为序列模型，由于GRU神经网络针对每个设备类型分别设计，识别精度更高，误报率大大降低；它采用网关来监听网络内所有物联网设备的通信情况，使所有物联网设备直接或间接地连到网关，从而可检测它们到因特网的所有通信与物联网设备间的本地通信，通过性能更强的网关进行本地数据处理，避免物联网设变资源紧缺。权利要求书3页说明书7页附图1页CN109818793A2019.05.28CN109818793A1.针对物联网的设备类型识别及网络入侵检测方法，其特征在于它包含设备类型识别匹配系统及异常检测系统；设备类型识别匹配系统中设有设备指纹识别模块；异常检测系统中设有异常检测模块；在局域网内，所有的物联网设备与个人电脑、智能手机应用直接或间接连接到安全网关接入因特网，安全网关中的设备指纹识别模块监测物联网设备所有的通信行为并提取通信行为的数学特征，再将特征发送至异常检测模块和中央物联网服务中心的正常通信行为特征数据集；安全网关中的异常检测模块在数据训练阶段，基于正常通信行为特征数据集生成异常检测数学模型，并将异常检测数学模型上传至安全服务中心备份；在实时检测阶段，异常检测模块使用异常检测数学模型基于当前通信行为的数学特征对当前通信行为是否异常做出判定，并对异常行为实时触发警报。2.根据权利要求1所述的针对物联网的设备类型识别及网络入侵检测方法，其特征在于针对物联网络的设备类型检测方法包含如下步骤：一、提取物联网设备流量的通信周期：根据物联网设备网络通信流量的周期性特点，分析其通信特征，找出周期，为进一步提取特征提供预处理数据；安全网关通过解包数据链路层提供的mac地址识别不同的设备，对mac地址不同的设备分别处理；安全网关根据设备网络流量提取其周期采用傅里叶变换与求自相关函数两种数学方法；提取物联网设备流量的通信周期的方法包含如下步骤：a、监听设备在(0～d)s内的通信情况，由于网络流量统计数据格式不尽相同，为统一格式，首先以秒为单位对流量信息进行离散化处理，具体做法为根据设备在第i个时间段内是否有通信定义该时刻段内输出yi是否为1(如取1s为单位，yi表示is至(i+1)s内该设备是否有通信行为)；以下公式以时间段为1s定义；b、根据公式一对yi做离散傅里叶变化：公式一：其中设Ymax为频域内的最大值，记录频域内取值大于0.8*Ymax的所有频率值，记为ki，作为候选频率，根据得出预选周期；首先，为提高计算速度、增强识别能力，忽略过短与过长的周期；其次，为确定预选周期Yi能否衡量通信的周期性，根据公式二计算y(n)在每个候选周期处的自相关函数值：公式二：若Ryy(Ti)在区间[0.9*Ti，1.1*Ti]内可以在li处取到最大值，则判定周期内存在周期，并将Ti更新为li；C、定义ri与rni：安全网关通过公式三及公式四衡量周期Ti的准确度：公式三：公式四：其中ri表示周期为Ti的信号在(0～d)s出现的频率，稳定的周期通信应当满足ri＝1；rni计算Ti及与它相邻的周期在0～ds内出现频率，稳定的周期通信应当满足ri≈rni≈1；从而，可以将(0～d)s采集的通信信息转化为{(T1，r1，rn1)，(T2，r2，rn2)，...，(Tn，rn，rnn)}。权　利　要　求　书1/3页2CN109818793A2二、提取周期特征：为了进一步提高数据的利用率，测算第一步得出的周期的统计特性，安全网关将一段周期分为若干段，重复利用根据由流量转换而来的{(T1，r1，rn1)，(T2，r2，rn2)，...，(Tn，rn，rnn)}数据，提取的特征分为四类，分别为：(1)周期基本信息；(2)周期推断准确度，由于将周期分为了多个小段，安全网关计算从每个小段得出的均值、方差、标准差等统计信息来衡量计算的周期是否足够稳定、精确；(3)周期持续时间，将计算的周期划分到相应的区间范围中，便于之后聚类模型测算不同物联网设备的差别，方便分类，提高辨别准确度；(4)推断周期的统计上的稳定度，安全网关计算各段的ri，rni，用ri、rni所处的区间范围进行衡量；三、对提取的特征分类汇总，获得具体分类：对周期提取特征后，利用KNN算法将采集的不同设备的特征进行分类；具体方法如下：安全网关检测设备流量后，提取其特征并传送到物联网安全服务汇总处理；物联网安全服务通过欧式距离衡量多个安全网关提供的不同物联网设备的特征之间的差距，利用KNN算法将设备分类；在接收到分布安全网关提供的特征时，物联网安全服务计算它与已有特征的欧氏距离来衡量差距，若该特征匹配与该设备的特征欧氏距离最接近的k个设备中大多数所属于的类型，则将它归于此类，并用于加强该类型识别训练，否则将它记录为新的类型；新的类型为聚类算法得出的虚拟类型；若该特征不匹配某一已知类型，则将其标注，而当某区域内的样例足够多时，将该区域内的设备标注为新的设备类型；物联网安全服务中心在做出判断后，将判决结果与KNN训练结果回传给本地网关；随时间累积，模型学习更多的特征类型，物联网安全服务可识别的设备数目也随之增加，鉴别也更精确。3.根据权利要求2所述的针对物联网的设备类型识别及网络入侵检测方法，其特征在于步骤二中的周期基本信息包含检测到的周期数目、是否为单周期、所用通信协议、源端口是否发生变化与变化的频率。4.根据权利要求1所述的针对物联网的设备类型识别及网络入侵检测方法，其特征在于针对物联网络的设备类型检测方法包含如下步骤：一、正常数据收集阶段：系统部署初期，安全网关监听物联网设备正常通信；安全网关将初期获取的正常数据包流量pkt1，pkt2，...，pktn转化为符号序列s1，s2，...，sn，通过提取特征，pkti被映射为si，安全网关根据设备类型标记，分别提取特征，不同的设备类型将对应不同的GRU训练识别模型；安全网关将pkt1，pkt2，...，pktn提取特征，转化为符号序列s1，s2，...，sn，供针对相应类型的GRU模型学习训练；提取的特征包含流量方向、通信的源端口与目的端口、通信数据的长度、流量传输层TCP协议HEAD中flag的值、具体采用的协议类型、数据包的产生间隔；二、正常数据训练：本地安全网关利用提取的特征s1，s2，...，sn，训练本地GRU神经网络，而后将训练结果上传到物联网安全服务中心，服务中心汇总来自多个局域网安全网关的训练结果并统一整合，形成整合全体数据的GRU神经网络，再将整合结果下发到各个本地网关，作为进一步的判决模型；三、实时异常检测：物联网内的物联网设备若被恶意程序侵染，安全网关开始识别异常通信；安全网关监听物联网设备通信并提取特征s1，s2，...，sn，将符号序列作为输入，用物联网安全服务中权　利　要　求　书2/3页3CN109818793A3心整合的GRU神经网络进行鉴别，GRU神经网络可输出相应符号的出现概率；为方便描述，做如下定义：定义1：当由流量pkti映射的符号si的出现概率pi满足pi＜δ时，称流量pkti是可疑流量，其中δ为设定的阈值；定义2：对于流量序列pkt1，pkt2，...，pktω，ω为窗口长度；当其中可疑流量的数目超过阈值ω*γ时，称流量序列pkt1，pkt2，...，pktω是可疑的，即流量序列pkt1，pkt2，...，pktω是可疑的，当且仅当经过第一步正常流量的训练，GRU网络对正常流量的输出概率较高，而异常流量在第一步中未经过训练，GRU给出的概率小；通过设定合适的阈值，安全网关可以鉴别出异常流量；鉴别后，若为正常流量，则本地网关利用它强化GRU网络的训练；为了降低误报率，安全网关定义了异常流量序列，只有当窗口内有多个流量出现异常时才发出警报；由于物联网设备的异质性，不同局域网的通信特征有较大差异，故安全网关将识别结果上传到物联网安全服务中心，安全中心整合数据再次形成新的整体识别模型，下发到各个本地网关，提高识别能力。权　利　要　求　书3/3页4CN109818793A4针对物联网的设备类型识别及网络入侵检测方法技术领域[0001]本发明涉及互联网技术领域，具体涉及一种针对物联网的设备类型识别及网络入侵检测方法。背景技术[0002]近年来，随着物联网技术兴起，越来越多的智能家居等电子设备进入人们视线，给人们生活提供更多便利，无处不在地改变着人们的生活，各大厂家各种生产的基于物联网的产品也与日俱增。然而，目前生产的物联网产品质量参差不齐，标准不统一，而且厂家在设计生产产品时往往忽视了安全性的问题，物联网也成为信息安全保护的重灾区。为保证安全性，需要针对物联网的安全防护系统，目前的常见解决方案可以划分为两种：升级受影响的设备固件与入侵检测系统。相这两类方法在识别新型攻击时效率低下，只有供应商更新才能检测新型攻击,而这可能导致重大延时、造成安全损失，无法很好应对高速增长的物联网市场。而基于物联网特点，设计的系统常面对以下问题：每天都有大量新物联网产品问世，而其中很大部分存在安全隐患。入侵者也针对这些设备漏洞的随时开发恶意软件，因而保证物联网设备的安全性所需的资源、精力是动态增长变化的；物联网设备可用存储空间、计算资源、电源能力有限，因而不适用传统针对设备上的入侵检测；物联网设备具有异质性，设备个体的特征分布比较分散，不同种类的设备之间各方面都有较大差别，而且每类设备功能相对有限；对比其他高端设备，物联网设备产生的网络流量较少，而且其中大多数是不定期的用户访问查询。发明内容[0003]本发明的目的在于针对现有技术的缺陷和不足，提供一种针对物联网的设备类型识别及网络入侵检测方法，采用网关来监听网络内所有物联网设备的通信情况，使所有物联网设备直接或间接地连到网关，从而可检测它们到因特网的所有通信与物联网设备间的本地通信，通过性能更强的网关进行本地数据处理，避免物联网设变资源紧缺。[0004]为实现上述目的，本发明采用的技术方案是：它包含设备类型识别匹配系统及异常检测系统；设备类型识别匹配系统中设有设备指纹识别模块；异常检测系统中设有异常检测模块；在局域网内，所有的物联网设备与个人电脑、智能手机应用直接或间接连接到安全网关接入因特网，安全网关中的设备指纹识别模块监测物联网设备所有的通信行为并提取通信行为的数学特征，再将特征发送至异常检测模块和中央物联网服务中心的正常通信行为特征数据集；安全网关中的异常检测模块在数据训练阶段，基于正常通信行为特征数据集生成异常检测数学模型，并将异常检测数学模型上传至安全服务中心备份；在实时检测阶段，异常检测模块使用异常检测数学模型基于当前通信行为的数学特征对当前通信行为是否异常做出判定，并对异常行为实时触发警报。[0005]进一步地，针对物联网络的设备类型检测方法包含如下步骤：[0006]一、提取物联网设备流量的通信周期：根据物联网设备网络通信流量的周期性特说　明　书1/7页5CN109818793A5点，分析其通信特征，找出周期，为进一步提取特征提供预处理数据；安全网关通过解包数据链路层提供的mac地址识