[发明专利]一种基于流量画像与机器学习的物联网入侵检测方法

说明书

本发明公开了一种基于流量画像与机器学习的物联网入侵检测方法，包含以下步骤：S1.由流量捕获模块捕获网段内流量数据包，将数据包聚合为数据流；S2.由规则集检测模块执行第一轮检测，根据数据流的标识符位与规则集进行匹配；S3.匹配成功则判断为良性并记录，结束检测，若失败则进行第二轮检测；S4.由机器学习检测模块执行第二轮检测，由机器学习模型根据数据流的特征进行分类；S5.若分类为良性则不报警只记录，若为攻击则报警并记录；S6.机器学习模块更新规则集。本发明利用物联网设备在通信时产生的流量特征完成对数据流的检测，引入规则集检测提高入侵检测系统的检测速率，同时降低检测的误报率。

技术领域

本发明涉及基于物联网的入侵检测系统，特别涉及一种基于流量画像与机器学习的物联网入侵检测方法。

背景技术

随着物联网（Internet of Things, IoT）技术的逐渐发展，物联网设备在各种场景下给人类带来了极大的便利。例如，智慧工业、数字医疗、智能交通、智慧城市和智能家居等，同时物联网应用也跨越许多垂直领域，包括汽车、电信和能源等。物联网的生态系统由支持网络连接的智能设备组成，这些设备通过嵌入式系统（如处理器、传感器和通信硬件）从其环境中获取数据，并对数据进行捕获、发送，根据数据进行相应的操作。物联网设备通过连接到物联网网关或其他边缘设备实现交换传感器数据的功能。这些设备也能够相互通信，并根据接收到的信息采取一系列行动。

物联网市场在近几年继续增长，IoT Analytics现在提高了其对2025年已知联网的物联网设备数量的预测（从215亿台提高到309亿台），平均每人拥有近4件物联网设备。由于物联网设备应用广泛，因此带来了巨大的经济效应，物联网也在过去几年受到了极大的关注。随着设备数量快速增长，物联网设备已经成为互联网整体流量的主要来源。据预测，到2023年，物联网流量将占互联网流量的一半，而其中智能家居物联网设备预计将占据近一半的所有物联网流量。智能家居物联网的扩张带来了诸多挑战。由于智能家居设备计算能力有限、缺乏传输加密和缺乏认证与授权机制等，这一系列设备的不安全因素使得智能家居设备容易受到各种网络攻击的威胁，并且在物联网设备中统一应用安全机制非常困难。此外，智能家居设备采集到的敏感数据与人类的生产和生活息息相关。这些攻击不仅会造成经济损失，而且还会危害人类的健康和安全。

分布式拒绝服务攻击（Distributed Denial-of-Service, DDoS）是对物联网危害性较高的攻击之一。而最具破坏性的互联网攻击是利用物联网设备及其安全缺陷创建僵尸网络，发起DDoS洪泛攻击。事实也证明，在一个布满物联网设备的智能城市中，攻陷一个连接互联网的智能灯泡就可以控制所有的灯。为了避免这些物联网安全风险，我们需要完善物联网不足的安全防御环境和入侵检测系统（Intrusion Detection System, IDS）。由于物联网环境的动态性和可用计算资源的有限性，传统的入侵检测技术在物联网生态系统中难以实现。与此同时，机器学习技术，一种不需要显式编程，在动态网络中表现良好的人工智能技术，正在迅速发展。利用机器学习的IDS将通过持续学习来适应环境的变化，这也将为物联网安全带来新的解决方案。

发明内容

本发明要解决的技术问题是在物联网智能家居场景中，为物联网设备提供一种快速、准确的入侵检测方法。

为此目的，本发明提出的技术方案为一种基于流量画像与机器学习的物联网入侵检测方法，包括以下步骤：

S1.由流量捕获模块捕获网段内流量数据包，按特定规则将数据包聚合为数据流；

S2.由规则集检测模块执行第一轮检测，根据数据流的标识符位与规则集进行匹配；

S3.匹配成功则判断为良性并记录，结束检测，若失败则进行第二轮检测；

S4.由机器学习检测模块执行第二轮检测，由机器学习模型根据数据流携带的统计特征进行分类；