[发明专利]一种基于智能终端的异常流量分析方法及装置

说明书

本申请公开了一种基于智能终端的异常流量分析方法及装置。所述方法包括：收集物联网设备的流量数据；对所述流量数据进行处理得到预测数据集；利用预设流量分析模型对所述预测数据集进行分析，确定所述流量数据是否存在异常；当确定所述流量数据存在异常时，根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图。所述装置包括初搜集模块、处理模块、分析模块和拓扑模块。本申请能够通过对异常流量进行分析识别DDoS攻击。

技术领域

本申请涉及物联网安全管理领域，特别是涉及一种基于智能终端的异常流量分析方法及装置。

背景技术

物联网(Internet ofThings，IOT)是一个基于互联网的信息载体，是对传统互联网的扩展和延伸。由于物联网设备通常无人监控、版本更新滞后、病毒防御能力差，使其易受恶意控制成为物联网僵尸网络节点，进而执行分布式拒绝服务(Distributed DenialofService，DDoS)攻击，对整个互联网环境的安全造成严重威胁。其中，2016年Mirai僵尸网络控制的上万台物联网设备便是造成半个美国互联网瘫痪的罪魁祸首。

现有相关技术中，针对物联网DDoS攻击检测方法有：通过设置流量阈值进行识别，当实际流量值大于设定阈值时识别为攻击流量；使用第三方提供的敏捷物联网解决方案。

由于物联网设备往往一次安装、长久使用，缺乏后期的监控与维护，设置流量阈值进行DDoS攻击检测的方式不够灵活，阈值难以把握，且准确率较低；而购买第三方解决方案则需要更多费用。

发明内容

本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题。提出一种基于智能终端的异常流量分析方法及装置，通过对异常流量进行分析识别DDoS攻击。

根据本申请的一个方面，提供了一种基于智能终端的异常流量分析方法，包括：

收集物联网设备的流量数据；

对所述流量数据进行处理得到预测数据集；

利用预设流量分析模型对所述预测数据集进行分析，确定所述流量数据是否存在异常；

当确定所述流量数据存在异常时，根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图。

优选地，预设流量分析模型的获取方式包括：

通过在设备端安装agent的方式，实时或定时向云端服务器上报流量数据；

云端服务器收集设备正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据；

对收集到的流量数据，记录所述流量数据所属的类别；

分别对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理，完成特征提取，得到特征数据集；

对所述特征数据集进行拆分得到训练集和测试集；

使用所述训练集和所述测试集对流量分析模型进行训练和验证得到预设流量分析模型。

优选地，对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理包括：

对收集到的正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行清洗；

对清洗后的流量数据进行格式转换，转换为每个流量包的描述数据；

对转换后的描述数据按照预设维度进行汇聚。

优选地，使用所述特征数据对流量分析模型进行训练和验证得到预设流量分析模型包括：

利用训练集的特征数据对流量分析模型进行训练；并记录流量分析模型的各项评估指标；