【CN109818793A】针对物联网的设备类型识别及网络入侵检测方法【专利】

权利要求书3页 说明书7页 附图1页
ห้องสมุดไป่ตู้
CN 109818793 A
CN 109818793 A
权 利 要 求 书
1/3 页
1 .针对物联网的设备类型识别及网络入侵检测方法，其特征在于它包含设备类型识别 匹配系统及异常检测系统 ；设备类型识别匹配系统中设有设备指纹识别模块 ；异常检测系 统中设有异常检测模块 ；在局域网内 ，所有的物联网设备与个人电 脑、智能手机应 用直接或 间接连接到安全网关接入因特网，安全网关中的设备指纹识别模块监测物联网设备所有的 通信行为并提取通信行为的数学特征，再将特征发送至异常检测模块和中央物联网服务中 心的 正常通信行为特征数据集 ；安全网关中的 异常检 测模块在数据 训练阶 段 ，基于正常通 信行为特征数据集生成异常检测数学模型，并将异常检测数学模型上传至安全服务中心备 份 ；在实时检 测阶段 ，异常检测模块使 用异常检 测数学模型基于当前通信行为的 数学特征 对当前通信行为是否异常做出判定，并对异常行为实时触发警报。
2 .根据权利要求1所述的针对物联网的设备类型识别及网络入侵检测方法，其特征在 于针对物联网络的设备类型检测方法包含如下步骤：
一、提取物联网设备流量的通信周期 ：根据物联网设备网络通信流量的 周期性特点 ，分 析其通信特征，找出周期，为进一步提取特征提供预处理数据；安全网关通过解包数据链路 层提供的mac地址识别不同的设备 ，对mac地址不同的设备分别处理 ；安全网关根据设备网 络流量提取其周期采用傅里叶变换与求自相关函数两种数学方法；
(74)专利代理机构 北京卓岚智财知识产权代理 事务所( 特殊普通合伙 ) 11624
代理人 郭智
(51)Int .Cl . H04L 12/24(2006 .01) H04L 29/06(2006 .01)
(10)申请公布号 CN 109818793 A (43)申请公布日 2019.05.28
( 54 )发明 名称 针对物联网的设备类型识别及网络入侵检
提取物联网设备流量的通信周期的方法包含如下步骤： a、监听设备在 (0～d) s内的通信情况 ，由于网络流量统计数据格式不尽相同 ，为统一格 式 ，首先以 秒为单位对流量信息进行离散化处理 ，具体做法为根据设备在第i个时间段内是 否有通信定义该时刻段内输出yi是否为1(如取1s为单位，yi表示is至(i+1)s内该设备是否 有通信行为) ；以下公式以时间段为1s定义 ； b、根据公式一对yi做离散傅里叶变化：
三、对提取的特征分类汇总，获得具体分类：对周期提取特征后，利用KNN算法将采集的 不同设备的特征进行分类；具体方法如下：
安全网关检 测设备流量后 ，提取其特征并 传送到物联网安全服务汇总处理 ；物联网安 全服务通过欧式 距离衡量多个安全网关提供的 不同 物联网设备的 特征之间的 差距 ，利 用 KNN算法将设备分类 ；在接收到分布安全网关提供的特征时 ，物联网安全服务计算它与已 有 特征的欧氏 距离来衡量差距 ，若该特征匹配与该设备的特征欧氏 距离最接近的 k个设备中 大多数所属于的类型，则将它归于此类，并用于加强该类型识别训练，否则将它记录为新的 类型 ；新的 类型为聚类算法得出的 虚拟类型 ；若该特征不匹配某一已 知类型 ，则将其标注 ， 而当某区域内的 样例足够多时 ，将该区域内的设备标注为新的设备类型 ；物联网安全服务 中心在做出判断 后 ，将判决结果与KNN 训练结果回 传给本地网关 ；随时间 累积 ，模型学习更 多的特征类型，物联网安全服务可识别的设备数目也随之增加，鉴别也更精确。
( 19 )中华人民 共和国国家知识产权局
( 12 )发明专利申请
(21)申请号 201910089779 .1
(22)申请日 2019 .01 .30
(71)申请人 基本立子（北京）科技发展有限公司 地址 100000 北京市东城区安定门外安德 里北街湖景苑1号楼B座9层901室
(72)发明人 季文翀 王永斌 刘廉如 范文翰 张忠平
公式一：
其中
设Ymax为频域内的最大值，记录频域内取值大于0 .8*Ymax的所有频率值，记为ki，作为候
选频率 ，根据
得出预选 周期 ；首先 ，为提高计算速度、增强识别能 力 ，忽略 过短 与过
长的 周期 ；其次 ，为确定预选 周期Yi能否衡量通信的 周期性 ，根据公式二计算y (n) 在每个候 选周期处的自相关函数值：
公式二： 若Ryy(Ti)在区间[0 .9*Ti，1 .1*Ti]内可以在li处取到最大值，则判定周期内存在周期， 并将Ti更新为li； C、定义ri与rni：安全网关通过公式三及公式四衡量周期Ti的准确度：
公式三：
公式四：
其中ri表示周期为Ti的信号在(0～d)s出现的频率，稳定的周期通信应当满足ri＝1；rni 计算Ti及与它相邻的周期在0～ds内出现频率，稳定的周期通信应当满足ri≈rni≈1；
从而，可以将(0～d)s采集的通信信息转化为{(T1，r1，rn1) ，(T2，r2，rn2) ，...，(Tn，rn， rnn)}。
2
CN 109818793 A
权 利 要 求 书
2/3 页
二 、提取 周期特征 ：为了进一步提高 数 据的 利 用率 ，测算 第一步得出的 周期的 统 计特 性，安全网关将一段周期分为若干段，重复利用根据由流量转换而来的{(T1，r1，rn1) ，(T2， r2，rn2) ，...，(Tn，rn，rnn)}数据，提取的特征分为四类，分别为：(1)周期基本信息；(2)周期 推断 准 确度 ，由 于将 周期分为了多个小段 ，安全网关计算从每个小段得出的 均值 、方差、标 准差等统计信息来衡量计算的 周期是否足够稳定、精确 ；(3) 周期持续时间 ，将计算的 周期 划分到相应的区间范围中 ，便于之后聚类模型测算不同物联网设备的差别 ，方便分类 ，提高 辨别准确度；(4)推断周期的统计上的稳定度，安全网关计算各段的ri，rni，用ri、rni所处的 区间范围进行衡量；
测方法 ( 57 )摘要
本发明公开了针对物联网的设备类型识别 及网络入侵检测方法，入侵检测系统由设备类型 识别匹配系统与异常检测系统构成，类型识别系 统能 够根 据设备 周期性通 信的 特点提取设备特 征 ，根据 周期的统计特性等进行分类汇总 ，将设 备分为 抽象类型 ；异常检 测系统基于GRU神经网 络的模式识别系统可学习记忆正常通信行为从 而建立正常行为序列模型 ，由 于GRU神经网络针 对每个设备类型分别设计，识别精度更高 ，误报 率大大降低；它采用网关来监听网络内所有物联 网设备的通信情况，使所有物联网设备直接或间 接地连到网关，从而可检测它们到因特网的所有 通信与物联网设备间的本地通信，通过性能更强 的网关进行本地数据处理 ，避免物联网设变资源 紧缺。