[发明专利]一种基于物联网流量的入侵检测系统及其检测方法

权利要求书

1.一种基于物联网流量的入侵检测系统，其特征在于，包括：

基础数据采集模块，用于采集物联网环境下的网络数据流量，并生成数据流的初始数据；

物联网协议识别模块，用于识别数据流的协议类别；

数据流量异常检测模块，用于检测数据流量是否异常；

可视化分析模块，用于呈现数据流量的检测结果信息。

2.根据权利要求1所述的一种基于物联网流量的入侵检测系统，其特征在于，所述基础数据采集模块包括：

接口模块，用于连接物联网设备；

数据流量采集模块，用于实时或在离线状态下采集物联网环境下的网络数据流量；

数据流量缓存模块，用于缓存采集的网络数据流量；

数据流量重组模块，用于对网络数据流量进行会话流重组，生成数据流的初始数据。

3.根据权利要求1所述的一种基于物联网流量的入侵检测系统，其特征在于，所述物联网协议识别模块包括：

协议特征提取模块，用于提取数据流的特征信息，包括数据流初始数据的端口信息、报头内容信息、单包协议语义信息；

协议特征知识库，用于存储物联网协议数据资源；

协议特征匹配模块，用于将提取的数据流特征信息与存储的物联网协议数据资源进行匹配，得到所采集的数据流的协议类别。

4.根据权利要求1所述的一种基于物联网流量的入侵检测系统，其特征在于，所述数据流量异常检测模块包括：

深度包/深度流特征提取模块，用于提取数据流量中深度包的特征和数据流量中深度流的特征；

深度包异常检测规则库，用于存储物联网数据流量异常规则数据，并将提取的深度包特征与存储的物联网数据流量异常规则数据进行规范检测，输出深度包检测结果；

深度流分类器，用于将提取的深度流特征与设定的正常阈值进行比对，检测深度流是否异常，并输出深度流检测结果；

流量异常判定模块，用于根据深度包检测结果和深度流检测结果判定数据流量是否异常。

5.一种基于物联网流量的入侵检测方法，其特征在于，包括以下步骤：

步骤1：获取物联网数据流的初始数据；

步骤2：确定获取的物联网数据流的协议类型；

步骤3：对物联网数据流的深度包进行异常检测；

步骤4：对物联网数据流的深度流进行异常检测；

步骤5：根据深度包的检测结果和深度流的检测结果判定物联网数据流是否异常；是，则判定物联网设备存在入侵风险，否，判定物联网设备不存在入侵风险。

6.根据权利要求5所述的一种基于物联网流量的入侵检测方法，其特征在于，所述步骤1中获取物联网数据流的初始数据包括以下步骤：

A、从物联网链路层或运行在物联网环境下的设备中获取物联网数据流量包，并将流量包保存在缓冲区上；

B、对物联网数据流量进行会话流重组，得到数据流初始数据。

7.根据权利要求5所述的一种基于物联网流量的入侵检测方法，其特征在于，所述步骤2中确定获取的物联网数据流的协议类型包括以下步骤：

a、提取数据流初始数据的特征信息；其中，提取数据流初始数据的特征信息包括：初始数据的端口信息、报头内容信息以及单包协议语义信息；

b、将提取的数据流初始数据的特征信息与存储的物联网协议数据资源进行匹配，确定获取的物联网数据流的协议类型。

8.根据权利要求5所述的一种基于物联网流量的入侵检测方法，其特征在于，所述步骤3中对物联网数据流的深度包进行异常检测包括以下步骤：

Ⅰ、提取数据流量中深度包的特征；其中，提取的数据流量中深度包特征包括：数据包的大小、类型、长度、载荷中包含的可疑信息、数据包头；

Ⅱ、将提取的深度包的各项特征与存储的物联网数据流量异常规则数据进行规范检测，检测深度包的各项特征是否异常，当深度包中任意一项特征出现异常时，则判定该深度包出现异常，输出深度包检测结果。