[发明专利]一种关注物联网实体安全的行为监控方法

权利要求书

1.一种关注物联网实体安全的行为监控方法，其特征在于，包括以下步骤：

步骤1、对物联网实体进行在线运行时行为监控，获取物联网实体所发送的状态消息和事件消息，根据预设的条件过滤出所述状态消息和事件消息中的正常消息；当监控时间达到阈值时，对所述正常消息进行关联分析，得到物联网实体所处状态之间的转换关系，形成转换关系集合，再对所述转换关系集合进行聚类分析，形成多个不同类型物联网实体的转换关系子集；在所述不同类型物联网实体的转换关系子集中，选择最佳转换关系作为该类物联网实体的行为模型；

步骤2、采用所述行为模型，对物联网实体进行在线运行时行为监控，当发现与所述行为模型不符的异常物联网实体消息时，则对所述异常物联网实体消息进行响应；

所述步骤1中每个物联网实体所处状态之间的转换关系采用路径表示，所述路径以所述正常消息为节点、正常消息间的时间间隔为距离、正常消息中的事件为条件构建。

2.根据权利要求1所述的方法，其特征在于，所述最佳转换关系为最佳路径。

3.根据权利要求2所述的方法，其特征在于，所述最佳路径可为最长路径、平均路径或最短路径。

4.根据权利要求1所述的方法，其特征在于，所述异常物联网实体消息的判断过程为：在所述行为监控过程中，记录物联网实体的消息及相邻消息发送时间的时间间隔，形成物联网实体当前行为路径，将所述当前行为路径与所述各类物联网实体的行为模型进行对比分析，若所述当前行为路径未存在于任何一个所述各类物联网实体的行为模型中，则说明最后接收的物联网实体消息为异常物联网实体消息。

5.根据权利要求1所述的方法，其特征在于，当达到设定的所述行为模型使用时间阈值时，执行所述步骤1更新所述行为模型，当进行第n次更新时，将第n-1个所述行为模型作为聚类操作的输入之一。

6.根据权利要求1所述的方法，其特征在于，所述响应为通知系统管理员。

7.根据权利要求1所述的方法，其特征在于，所述预设的条件，在未形成所述行为模型时，为预设的物联网实体禁止行为列表；否则，为所述行为模型。