[发明专利]针对物联网的设备类型识别及网络入侵检测方法

说明书

本发明公开了针对物联网的设备类型识别及网络入侵检测方法，入侵检测系统由设备类型识别匹配系统与异常检测系统构成，类型识别系统能够根据设备周期性通信的特点提取设备特征，根据周期的统计特性等进行分类汇总，将设备分为抽象类型；异常检测系统基于GRU神经网络的模式识别系统可学习记忆正常通信行为从而建立正常行为序列模型，由于GRU神经网络针对每个设备类型分别设计，识别精度更高，误报率大大降低；它采用网关来监听网络内所有物联网设备的通信情况，使所有物联网设备直接或间接地连到网关，从而可检测它们到因特网的所有通信与物联网设备间的本地通信，通过性能更强的网关进行本地数据处理，避免物联网设变资源紧缺。

技术领域

本发明涉及互联网技术领域，具体涉及一种针对物联网的设备类型识别及网络入侵检测方法。

背景技术

近年来，随着物联网技术兴起，越来越多的智能家居等电子设备进入人们视线，给人们生活提供更多便利，无处不在地改变着人们的生活，各大厂家各种生产的基于物联网的产品也与日俱增。然而，目前生产的物联网产品质量参差不齐，标准不统一，而且厂家在设计生产产品时往往忽视了安全性的问题，物联网也成为信息安全保护的重灾区。为保证安全性，需要针对物联网的安全防护系统，目前的常见解决方案可以划分为两种：升级受影响的设备固件与入侵检测系统。相这两类方法在识别新型攻击时效率低下，只有供应商更新才能检测新型攻击,而这可能导致重大延时、造成安全损失，无法很好应对高速增长的物联网市场。而基于物联网特点，设计的系统常面对以下问题：每天都有大量新物联网产品问世，而其中很大部分存在安全隐患。入侵者也针对这些设备漏洞的随时开发恶意软件，因而保证物联网设备的安全性所需的资源、精力是动态增长变化的；物联网设备可用存储空间、计算资源、电源能力有限，因而不适用传统针对设备上的入侵检测；物联网设备具有异质性，设备个体的特征分布比较分散，不同种类的设备之间各方面都有较大差别，而且每类设备功能相对有限；对比其他高端设备，物联网设备产生的网络流量较少，而且其中大多数是不定期的用户访问查询。

发明内容

本发明的目的在于针对现有技术的缺陷和不足，提供一种针对物联网的设备类型识别及网络入侵检测方法，采用网关来监听网络内所有物联网设备的通信情况，使所有物联网设备直接或间接地连到网关，从而可检测它们到因特网的所有通信与物联网设备间的本地通信，通过性能更强的网关进行本地数据处理，避免物联网设变资源紧缺。

为实现上述目的，本发明采用的技术方案是：它包含设备类型识别匹配系统及异常检测系统；设备类型识别匹配系统中设有设备指纹识别模块；异常检测系统中设有异常检测模块；在局域网内，所有的物联网设备与个人电脑、智能手机应用直接或间接连接到安全网关接入因特网，安全网关中的设备指纹识别模块监测物联网设备所有的通信行为并提取通信行为的数学特征，再将特征发送至异常检测模块和中央物联网服务中心的正常通信行为特征数据集；安全网关中的异常检测模块在数据训练阶段，基于正常通信行为特征数据集生成异常检测数学模型，并将异常检测数学模型上传至安全服务中心备份；在实时检测阶段，异常检测模块使用异常检测数学模型基于当前通信行为的数学特征对当前通信行为是否异常做出判定，并对异常行为实时触发警报。

进一步地，针对物联网络的设备类型检测方法包含如下步骤：

一、提取物联网设备流量的通信周期：根据物联网设备网络通信流量的周期性特点，分析其通信特征，找出周期，为进一步提取特征提供预处理数据；安全网关通过解包数据链路层提供的mac地址识别不同的设备，对mac地址不同的设备分别处理；安全网关根据设备网络流量提取其周期采用傅里叶变换与求自相关函数两种数学方法；

提取物联网设备流量的通信周期的方法包含如下步骤：