[发明专利]针对物联网的设备类型识别及网络入侵检测方法

权利要求书

1.针对物联网的设备类型识别及网络入侵检测方法，其特征在于它包含设备类型识别匹配系统及异常检测系统；设备类型识别匹配系统中设有设备指纹识别模块；异常检测系统中设有异常检测模块；在局域网内，所有的物联网设备与个人电脑、智能手机应用直接或间接连接到安全网关接入因特网，安全网关中的设备指纹识别模块监测物联网设备所有的通信行为并提取通信行为的数学特征，再将特征发送至异常检测模块和中央物联网服务中心的正常通信行为特征数据集；安全网关中的异常检测模块在数据训练阶段，基于正常通信行为特征数据集生成异常检测数学模型，并将异常检测数学模型上传至安全服务中心备份；在实时检测阶段，异常检测模块使用异常检测数学模型基于当前通信行为的数学特征对当前通信行为是否异常做出判定，并对异常行为实时触发警报。

2.根据权利要求1所述的针对物联网的设备类型识别及网络入侵检测方法，其特征在于针对物联网络的设备类型检测方法包含如下步骤：

一、提取物联网设备流量的通信周期：根据物联网设备网络通信流量的周期性特点，分析其通信特征，找出周期，为进一步提取特征提供预处理数据；安全网关通过解包数据链路层提供的mac地址识别不同的设备，对mac地址不同的设备分别处理；安全网关根据设备网络流量提取其周期采用傅里叶变换与求自相关函数两种数学方法；

提取物联网设备流量的通信周期的方法包含如下步骤：

a、监听设备在(0～d)s内的通信情况，由于网络流量统计数据格式不尽相同，为统一格式，首先以秒为单位对流量信息进行离散化处理，具体做法为根据设备在第i个时间段内是否有通信定义该时刻段内输出y_i是否为1(如取1s为单位，y_i表示is至(i+1)s内该设备是否有通信行为)；以下公式以时间段为1s定义；

b、根据公式一对y_i做离散傅里叶变化：

公式一：其中

设Y_max为频域内的最大值，记录频域内取值大于0.8*Y_max的所有频率值，记为k_i，作为候选频率，根据得出预选周期；首先，为提高计算速度、增强识别能力，忽略过短与过长的周期；其次，为确定预选周期Y_i能否衡量通信的周期性，根据公式二计算y(n)在每个候选周期处的自相关函数值：

公式二：

若R_yy(T_i)在区间[0.9*T_i，1.1*T_i]内可以在l_i处取到最大值，则判定周期内存在周期，并将T_i更新为l_i；

C、定义r_i与rn_i：安全网关通过公式三及公式四衡量周期T_i的准确度：

公式三：

公式四：

其中r_i表示周期为T_i的信号在(0～d)s出现的频率，稳定的周期通信应当满足r_i＝1；rn_i计算T_i及与它相邻的周期在0～ds内出现频率，稳定的周期通信应当满足r_i≈r_ni≈1；

从而，可以将(0～d)s采集的通信信息转化为{(T₁，r₁，rn₁)，(T₂，r₂，rn₂)，...，(T_n，r_n，rn_n)}。

二、提取周期特征：为了进一步提高数据的利用率，测算第一步得出的周期的统计特性，安全网关将一段周期分为若干段，重复利用根据由流量转换而来的{(T₁，r₁，rn₁)，(T₂，r₂，rn₂)，...，(T_n，r_n，rn_n)}数据，提取的特征分为四类，分别为：(1)周期基本信息；(2)周期推断准确度，由于将周期分为了多个小段，安全网关计算从每个小段得出的均值、方差、标准差等统计信息来衡量计算的周期是否足够稳定、精确；(3)周期持续时间，将计算的周期划分到相应的区间范围中，便于之后聚类模型测算不同物联网设备的差别，方便分类，提高辨别准确度；(4)推断周期的统计上的稳定度，安全网关计算各段的r_i，rn_i，用r_i、rn_i所处的区间范围进行衡量；

三、对提取的特征分类汇总，获得具体分类：对周期提取特征后，利用KNN算法将采集的不同设备的特征进行分类；具体方法如下：

安全网关检测设备流量后，提取其特征并传送到物联网安全服务汇总处理；物联网安全服务通过欧式距离衡量多个安全网关提供的不同物联网设备的特征之间的差距，利用KNN算法将设备分类；在接收到分布安全网关提供的特征时，物联网安全服务计算它与已有特征的欧氏距离来衡量差距，若该特征匹配与该设备的特征欧氏距离最接近的k个设备中大多数所属于的类型，则将它归于此类，并用于加强该类型识别训练，否则将它记录为新的类型；新的类型为聚类算法得出的虚拟类型；若该特征不匹配某一已知类型，则将其标注，而当某区域内的样例足够多时，将该区域内的设备标注为新的设备类型；物联网安全服务中心在做出判断后，将判决结果与KNN训练结果回传给本地网关；随时间累积，模型学习更多的特征类型，物联网安全服务可识别的设备数目也随之增加，鉴别也更精确。