[发明专利]IoT设备行为的多维周期性检测

权利要求书

1.一种方法，其包括：

捕获与第一IoT设备和第一IoT应用相关联的IoT事件；

从IoT事件生成IoT信号特征，至少一些IoT信号特征与第一IoT设备和第一IoT应用的活动相关联；

从IoT事件提取背景事件上下文；

基于IoT信号特征和背景事件上下文生成周期性的活动实例描述符；

从非活动的IoT事件提取外部上下文；

基于周期性的活动实例描述符和外部上下文标识第一IoT设备的周期性活动；

确定第一IoT设备的周期性活动的预期周期性；

检测第一IoT设备的活动；

将第一IoT设备的检测到的活动与预期周期性进行匹配。

2.根据权利要求1所述的方法，进一步包括：如果第一IoT设备的检测到的活动的周期性不能与预期周期性匹配，则生成警报。

3.根据权利要求1所述的方法，进一步包括：如果第一IoT设备的检测到的活动的周期性与已知为恶意的周期性活动的预期周期性匹配，则生成警报。

4.根据权利要求1所述的方法，进一步包括：

监视第一IoT设备的周期性活动；

如果第一IoT设备的预期周期性活动未能发生，则生成警报。

5.根据权利要求1所述的方法，进一步包括：

监视第一IoT设备的周期性活动；

如果第一IoT设备的周期性活动的周期性偏离预期周期性，则生成警报。

6.根据权利要求1所述的方法，其中，使用傅立叶变换算法、基于p分数的算法或指数分布算法来确定预期周期性。

7.根据权利要求1所述的方法，其中，使用时间序列相关性来确定预期周期性。

8.根据权利要求1所述的方法，其中，使用归一化技术来生成周期性活动实例描述符。

9.根据权利要求1所述的方法，其中，周期性活动实例描述符是使用其开始时间、结束时间、间隔值和间隔波动值来描述第一IoT设备的活动的数据结构。

10.根据权利要求1所述的方法，其中，周期性活动实例描述符包括以下各项中的一项或多项：活动ID、周期性活动ID、多维合并特征值、特征值范围、设备ID、应用ID、用户ID、采样间隔、特征类、特征组、特征优先级、用于对活动进行分类的算法、时间戳、间隔值和间隔波动值。

11.一种系统，其包括：

事件捕获引擎，其被配置成捕获与第一IoT设备和第一IoT应用相关联的IoT事件；

IoT信号特征生成引擎，其被配置成：

从IoT事件生成IoT信号特征，至少一些IoT信号特征与第一IoT设备和第一IoT应用的活动相关联；

从IoT事件提取背景事件上下文；

周期性发现引擎，其被配置成基于IoT信号特征和背景事件上下文生成周期性活动实例描述符；

内容提取引擎，其被配置成从非活动的IoT事件提取外部上下文；

周期性活动生成引擎，其被配置成：

基于周期性活动实例描述符和外部上下文标识第一IoT设备的周期性活动；

确定第一IoT设备的周期性活动的预期周期性；

异常周期性活动IoT网络威胁评估引擎，其被配置成：

检测第一IoT设备的活动；

将第一IoT设备的检测到的活动与预期周期进行匹配。

12.根据权利要求11所述的系统，其中，异常周期性活动IoT网络威胁评估引擎被配置成如果第一IoT设备的检测到的活动的周期性不能与预期周期性匹配，则生成警报。