[发明专利]一种基于流量画像与机器学习的物联网入侵检测方法

权利要求书

1.一种基于流量画像与机器学习的物联网入侵检测方法，其特征在于，包括以下步骤：

S1.由流量捕获模块捕获网段内流量数据包，按特定规则将数据包聚合为数据流；

S2.由规则集检测模块执行第一轮检测，根据数据流的标识符位与规则集进行匹配；

S3.匹配成功则判断为良性并记录，结束检测，若失败则进行第二轮检测；

S4.由机器学习检测模块执行第二轮检测，由机器学习模型根据数据流携带的统计特征进行分类；

S5.若分类为良性则不报警只记录，若为攻击则报警并记录，同时提供预测的攻击类型以及对应概率；

S6.机器学习检测模块更新规则集；

其中，所述S6中，机器学习检测模块会通过对设备正常流量进行画像即记录与分析，构建待定规则记录表，从而更新规则集检测模块中的规则集，当一条数据流被机器学习检测模块检测为良性类且预测良性概率满足设定阈值时，则其中的Flow ID将会进行规则化，即提取源IP地址、目的IP地址和协议号，组成[协议号，内部IP地址，外部IP地址]的待定规则，并存储在待定规则记录表Record_List中，表中会对该待定规则设定计数器与计时器，若新进入机器学习检测模块的数据流被分类为良性类，并且满足设定的良性类概率则根据FlowID规则化，如果规则化后与已存在的待定规则一致，则计数器加一，计时器更新记录时间，当满足设定的次数与时间跨度阈值，则接受待定规则进入规则集成为正式应用的合法规则，如果在待定期间，待定规则代表了为任意一个攻击类别的数据流，则从Record_List记录表中删除该待定规则，若为良性类，但是预测概率不符合阈值则继续追踪对应的数据流，Record_List记录表中该待定规则对应的表项不做更新。

2.如权利要求1所述的基于流量画像与机器学习的物联网入侵检测方法，其特征在于，所述S1中，由流量捕获模块捕获的数据包将会被整合为数据流，数据流是一系列在一定时间间隔内经过流量捕获模块的数据包提取统计特征后形成的数据集合，流量捕获模块提取传输层数据包的统计信息，数据流以一个TCP流或一个UDP流为一个单位；TCP流以FIN标志为结束，UDP流以设置的flowtimeout时间为限制，超过时间则标志为结束，随后统计一条数据流中的统计信息作为提取的特征，且统计的特征都分为正反向，规定由源地址到目的地址为正向，目的地址到源地址为反向，为每个数据流构建一个标志位称为Flow ID，包含以下5个字段：

（1）Source IP：源IP地址；

（2）Destination IP：目的IP地址；

（3）Source port：源端口号；

（4）Destination port：目的端口号；

（5）Protocol number：协议号。

3.如权利要求1所述的基于流量画像与机器学习的物联网入侵检测方法，其特征在于，所述S2中，规则集检测模块将从每一条数据流的Flow ID中提取源IP地址、目的IP地址和协议号，该规则集检测模块会将源IP地址、目的IP地址两者中与本地设备IP地址相同的标注为内部IP地址，另一个标注为外部IP地址，并组成[协议号，内部IP地址，外部IP地址]的判别式与规则集中的规则进行匹配，匹配方法为常规遍历，即将判别式与规则集中规则逐条比对是否相同，规则集中的规则格式包含以下3个字段：

（1）Protocol number：协议号；

（2）External IP：外部IP地址；

（3）Internal IP：内部IP地址。

4.如权利要求3所述的基于流量画像与机器学习的物联网入侵检测方法，其特征在于，所述S3中，若判别式与规则集中的规则匹配成功则判断为良性数据流，同时记录到普通日志文件中，文件中标注对应数据流的Flow ID，时间戳以及判断结果，若匹配失败，则此数据流为未知流，规则集检测模块交付机器学习检测模块进行第二轮检测。