[发明专利]一种软件定义物联网自学习安全防御方法及系统

权利要求书

1.一种软件定义物联网自学习防御方法，其特征在于，包括以下步骤：

(1)嗅探获取软件定义物联网节点发送的包含于介质访问控制层和网络层之间的所有数据包，获得数据包集合：其中，表示第i个数据包；

(2)对步骤(1)中获取的数据包集合中的每个数据包进行网络安全特征提取，并采用稀疏自编码器进行编码，获得所有数据包的各个网络安全特征值对应的编码；

(3)对于步骤(2)中获取的数据包的各个网络安全特征值的编码进行聚类，获得编码类别集合Cluster＝{cs₁,cs₂,…,cs_m}，其中cs_i表示聚类集合Cluster中的第i个聚类，m表示聚类集合Cluster中的聚类个数；

(4)将步骤(3)中获得的编码类别集合Cluster中的每一类别cs_i与已知安全网络安全特征编码集合Nom、以及已知风险网络安全特征值编码集合Mal中的元素进行比对，自动判定所述编码为安全网络安全特征编码、风险网络安全特征值编码、或未知网络安全特征编码，并将安全网络安全特征编码和风险网络安全特征编码分别追加到已知安全网络安全特征编码集合Nom、以及已知风险网络安全特征值编码集合Mal中，对于风险网络安全特征值编码执行预设的防御动作，收集未知网络安全特征编码形成未知网络安全特征编码集合Diff；

步骤(4)具体为：

对于步骤(3)中获得的编码类别集合Cluster中的每一类别cs_i，获取其中心值，与所有已知安全网络安全特征值编码集合Nom中的所有元素值进行比对，如果所述已知安全网络安全特征值编码集合Nom中存在至少一个元素与该类别网络安全特征值编码的中心值相同，则将该类别所有的网络安全特征值编码{e₁,e₂,e₃,…}追加到已知安全网络安全特征值编码集合Nom中；否则，将该类别中的所有元素{e₁,e₂,e₃,…}与已知风险网络安全特征值编码集合Mal中的所有元素进行比对：对于该类别中每一元素，如果已知风险网络安全特征值编码集合Mal中存在至少一个元素与该元素的值相同，则将该元素追加到已知风险网络安全特征值编码集合中并执行预先设定的防御动作，否则将该网络安全特征值编码加入到未知网络安全特征值编码集合Diff中；

(5)对于步骤(4)中获得的未知网络安全特征编码集合Diff，由网络安全专家组成员鉴定其中的每一个元素是否为安全的软件定义物联网网络行为，若鉴定为安全，则将该元素追加到已知安全网络安全特征值编码集合Nom中，否则将该元素追加到已知风险数据包编码集合Mal中并设定其预设的防御动作。

2.如权利要求1所述的软件定义物联网自学习防御方法，其特征在于，步骤(2)包括：

(2-1)对于数据包采用网络安全监控工具抽取其中网络安全特征，并根据网络安全特征与整数的映射关系，将的网络安全特征值映射为整数，组成数据包网络安全特征值集合即：

其中为第i个实际嗅探到的数据包的网络安全特征向量，其中为第i个实际嗅探到的数据包的第j个网络安全特征，n表示第i个实际的数据包的网络安全特征向量所具有的网络安全特征个数；为网络安全特征对应的网络安全特征值，为整数；

(2-2)对于步骤(2-1)中获取的数据包网络安全特征值集合采用稀疏自编码器进行编码，获得数据包网络安全特征值集合中每一个数据包网络安全特征值对应的编码，组成数据包编码集合

3.如权利要求2所述的软件定义物联网自学习防御方法，其特征在于，步骤(2-2)具体为：

(2-2-1)对于步骤(2-1)中获取的数据包网络安全特征值集合中的每一元素进行归一化处理获得归一化后的网络安全特征值其中，表示的最大值；

(2-2-2)对于步骤(2-2-1)获得归一化后的网络安全特征值采用稀疏自编码器编码，获得每一个数据包网络安全特征值对应的编码，所有数据包网络安全特征值对应的编码组成数据包编码集合