[发明专利]一种IoT网络异常流量实时检测方法及系统

说明书

本发明涉及一种IoT网络异常流量实时检测方法及系统。本发明首先使用主动探测和被动发现相结合的方式提取物联网流量特征；其次，使用核主成分分析法对提取的特征向量进行维度约简以减小冗余特征对检测器的影响以提高检测准确度；最后，使用重新生成的低维特征向量训练基于条件深度信念网络的IoT网络流量检测器，在此过程中，数据以窗口的形式序列输入条件深度信念网络模型。本发明能够实时准确的检测IoT网络异常流量，确保物联网内设备和通信安全。

技术领域

本发明涉及物联网(Internet of Things，IoT)安全技术领域，特别是涉及一种IoT网络异常流量实时检测方法及系统。

背景技术

随着物联网设备的普及以及物联网技术的快速应用，基于物联网设备和技术广泛应用于智能家居、智慧医疗、智能交通、智能楼宇、智慧城市等场景。物联网给人类生活带来了便利，但由于网内通信也引起了诸多网络安全问题。研究发现，当前主流的数物联网设备固件存在后门，这会导致其泄露敏感信息，此外，物联网设备通信协议的脆弱性也给整个物联网系统带来了安全隐患。针对物联网的安全事件频发催生了针对物联网安全通信层面攻击检测技术的发展，其中通过检测物联网中的异常流量可有效发现网络中的攻击行为。传统的异常流量检测技术主要包括基于特征匹配技术。强依赖网络中已发生的事件，需要不断制定更新规则来判断是否有攻击行为发生，且该类方法检测准确度不高。此外，基于物联网系统的较强实时性，及时识别攻击并给出警告对系统内设备安全稳定运行至关重要，因此，针对物联网内流量提出一套精准、高效的实时检测方法对保障物联网内网乃至整个网络安全稳定具有重大意义。

发明内容

本发明的目的是提供一种IoT网络异常流量实时检测方法及系统，以解决现有的网络异常流量检测方法需要不断设定检测规则，检测准确度低，且无法实时识别攻击并发出警告的问题。

为实现上述目的，本发明提供了如下方案：

一种IoT网络异常流量实时检测方法，包括：

定义时间窗口，在所述时间窗口的起始时刻利用主动探测方式获取物联网IoT中物联网终端的指纹信息，并在所述时间窗口内以被动发现方式获取IoT网络内的定量信息以及流量交互信息；所述指纹信息包括IoT终端IP、MAC地址、操作系统版本号、开放端口个数、通信协议种类以及设备厂商号；所述定量信息包括不同终端IP数、MAC地址数、不同操作系统版本数、最大开放端口、支持通信协议类别数以及设备厂商数；所述流量交互信息包括TCP建链数、TCP断链数，源IP数量、目的IP数量、相同IP通信的最大连接数、设备发送的数据包数、向设备发送的数据包数、TCP与UDP比例、设备发送的标记为“SYN”、“RST”、“FIN”的TCP报文数量、设备发送报文的bps数以及向设备发送报文的bps数；

基于不同的攻击种类，获取攻击网络流量；所述攻击种类包括TCPSYN泛洪攻击、Land攻击、Smurf攻击、FTP半连接攻击、TCP重放攻击、端口扫描攻击以及中间人攻击；

根据攻击网络流量生成攻击特征向量；

根据所述指纹信息、所述定量信息以及所述流量交互信息生成正常特征向量，确定重组高维特征向量；

对所述重组高维特征向量进行归一化处理，并利用核主成分分析法对归一化后的特征向量进行处理，确定重组低维特征向量；

将所述重组低维特征向量和所述攻击特征向量划分训练集以及测试集，并利用所述训练集对条件深度信念网络进行训练，构建基于条件深度信念网络的IoT异常流量检测器；

利用所述IoT异常流量检测器实时检测IoT内的网络异常流量。

可选的，所述对所述重组高维特征向量进行归一化处理，并利用核主成分分析法对归一化后的特征向量进行处理，确定重组低维特征向量，具体包括：