[发明专利]一种基于物联网流量的入侵检测系统及其检测方法

说明书

本发明公开了一种基于物联网流量的入侵检测系统，其包括基础数据采集模块、物联网协议识别模块、数据流量异常检测模块以及可视化分析模块。本发明还公开了一种基于物联网流量的入侵检测方法，其包括获取物联网数据流的初始数据，确定获取的物联网数据流的协议类型，对物联网数据流的深度包进行异常检测，对物联网数据流的深度流进行异常检测，根据深度包的检测结果和深度流的检测结果判定物联网数据流是否异常等步骤。本发明深入物联网入侵检测系统从流量采集到检测的过程，完善物联网下的入侵检测系统体系，提高入侵检测效率，提醒安全人员从事事件响应计划，为物联网安全防范提供有力保障。

技术领域

本发明属于物联网安全技术领域，具体是指一种基于物联网流量的入侵检测系统及其检测方法。

背景技术

针对物联网的动态性、复杂性、网络及设备异构性，物联网暴露出了越来越多的安全问题，并且针对物联网的大部分入侵行为都是通过网络方式进行渗透的，为了适用于物联网的新场景，不断有新的物联网通信协议出现，但是目前还没有一款专门针对物联网协议的数据流量的入侵检测系统。为了保障物联网设备的安全运行，数据的安全存储，对于物联网协议的数据包检测安全研究刻不容缓。

发明内容

本发明的目的在于解决上述问题，提供一种以物联网应用环境下的数据流量为主要检测对象，通过对物联网环境中的数据流量进行网络环境安全性检测，及时发现安全问题，实现数据包流量检测的入侵检测系统及其检测方法。

本发明的目的通过下述技术方案实现：一种基于物联网流量的入侵检测系统，包括：

基础数据采集模块，用于采集物联网环境下的网络数据流量，并生成数据流的初始数据；

物联网协议识别模块，用于识别数据流的协议类别；

数据流量异常检测模块，用于检测数据流量是否异常；

可视化分析模块，用于呈现数据流量的检测结果信息。

进一步的，所述基础数据采集模块包括：

接口模块，用于连接物联网设备；

数据流量采集模块，用于实时或在离线状态下采集物联网环境下的网络数据流量；

数据流量缓存模块，用于缓存采集的网络数据流量；

数据流量重组模块，用于对网络数据流量进行会话流重组，生成数据流的初始数据。

所述物联网协议识别模块包括：

协议特征提取模块，用于提取数据流的特征信息，包括数据流初始数据的端口信息、报头内容信息、单包协议语义信息；

协议特征知识库，用于存储物联网协议数据资源；

协议特征匹配模块，用于将提取的数据流特征信息与存储的物联网协议数据资源进行匹配，得到所采集的数据流的协议类别。

所述数据流量异常检测模块包括：

深度包/深度流特征提取模块，用于提取数据流量中深度包的特征和数据流量中深度流的特征；

深度包异常检测规则库，用于存储物联网数据流量异常规则数据，并将提取的深度包特征与存储的物联网数据流量异常规则数据进行规范检测，输出深度包检测结果；

深度流分类器，用于将提取的深度流特征与设定的正常阈值进行比对，检测深度流是否异常，并输出深度流检测结果；

流量异常判定模块，用于根据深度包检测结果和深度流检测结果判定数据流量是否异常。

一种基于物联网流量的入侵检测方法，包括以下步骤：

步骤1：获取物联网数据流的初始数据；