[发明专利]一种关注物联网实体安全的行为监控方法

说明书

本发明公开了一种关注物联网实体安全的行为监控方法，通过在时间阈值内获取物联网实体所发送的消息实现对物联网实体网络行为特征的聚类，形成物联网实体的行为模型，不需要从通信网络中提取海量的数据，有效节省了数据采集、分析及清洗的时间，且规避了不同类型物联网实体之间网络行为特征的个性化差异。

技术领域

本发明属于信息技术领域，具体涉及一种关注物联网实体安全的行为监控方法。

背景技术

物联网是基于互联网、传统电信网等信息承载体，让所有能行使独立功能的普通物体实现互联互通的网络，与计算机信息系统一样，物联网实体一样存在着实体安全。为保障物联网实体安全，通常采用对物联网实体进行行为监控。

现有方案中，监控者首先需要从通信网络数据中采集并清洗物联网实体相关的网络数据，包括：物联网实体语音、短信业务的通信数据、物联网实体上网数据、物联网实体地基本属性数据和位置数据等，根据这些数据，获得不同行业应用的物联网实体的网络行为特征；然后，基于上述网络行为特征，选择合适的算法进行异常行为分析，找到离群点，建立分析模型；最后进行模型的应用和评估。

现有方案主要存在以下问题：一是需要采集的数据量大，且数据中的噪声较多，数据的分析及清洗需要耗费大量时间；二是物联网实体行为不存在通用的模式，网络行为特征的个性化较强，难以做到统一处理；三是异常行为分析的算法准确性不高，现有的方案一般是通过寻找离群点来寻找具有异常行为的物联网实体，所使用的算法均建立在样本数据大量且可靠的基础之上，其实施过程带有一定的不确定性。

发明内容

有鉴于此，本发明提供了一种关注物联网实体安全的行为监控方法，有效节省了数据采集、分析及清洗的时间，且规避了不同类型物联网实体之间网络行为特征的个性化差异。

本发明提供的一种关注物联网实体安全的行为监控方法，包括以下步骤：

步骤1、对物联网实体进行在线运行时行为监控，获取物联网实体所发送的状态消息和事件消息，根据预设的条件过滤出所述状态消息和事件消息中的正常消息；当监控时间达到阈值时，对所述正常消息进行关联分析，得到物联网实体所处状态之间的转换关系，形成转换关系集合，再对所述转换关系集合进行聚类分析，形成多个不同类型物联网实体的转换关系子集；在所述不同类型物联网实体的转换关系子集中，选择最佳转换关系作为该类物联网实体的行为模型；

步骤2、采用所述行为模型，对物联网实体进行在线运行时行为监控，当发现与所述行为模型不符的异常物联网实体消息时，则对所述异常物联网实体消息进行响应。

进一步地，所述步骤1中每个物联网实体所处状态之间的转换关系采用路径表示，所述路径以所述正常消息为节点、正常消息间的时间间隔为距离、正常消息中的事件为条件构建。

进一步地，所述最佳转换关系为最佳路径。

进一步地，所述最佳路径可为最长路径、平均路径或最短路径。

进一步地，所述异常物联网实体消息的判断过程为：在所述行为监控过程中，记录物联网实体的消息及相邻消息发送时间的时间间隔，形成物联网实体当前行为路径，将所述当前行为路径与所述各类物联网实体的行为模型进行对比分析，若所述当前行为路径未存在于任何一个所述各类物联网实体的行为模型中，则说明最后接收的物联网实体消息为异常物联网实体消息。

进一步地，当达到设定的所述行为模型使用时间阈值时，执行所述步骤1 更新所述行为模型，当进行第n次更新时，将第n-1个所述行为模型作为聚类操作的输入之一。

进一步地，所述响应为通知系统管理员。

进一步地，所述预设的条件，在未形成所述行为模型时，为预设的物联网实体禁止行为列表；否则，为所述行为模型。

有益效果：