[发明专利]一种流量异常检测方法、检测设备及计算机可读存储介质

说明书

本发明公开了一种流量异常检测方法、检测设备及计算机可读存储介质，所述方法包括：获取待测设备的网络流量；对所述网络流量进行预处理，生成包序列；针对每一个所述包序列，将该包序列输入与所述待测设备对应的检测模型中，并通过所述检测模型对该包序列进行编码和解码，得到该包序列对应的重构序列，其中，所述检测模型为与所述待测设备对应的自编码器；根据所述重构序列，确定所述包序列对应的序列类型；根据各个所述包序列对应的序列类型，确定所述网络流量对应的流量类型。本发明能够有效提高针对物联网的网络流量异常检测的准确率，降低物联网被攻击的概率，提高物联网的安全性。

技术领域

本发明涉及物联网领域，尤其涉及一种流量异常检测方法、检测设备及计算机可读存储介质。

背景技术

随着物联网(Internet of Things,IoT)技术的发展和成熟，物联网设备在全球的部署量急速增长，预计在2022年全球的部署量将达到290亿台。与此同时，物联网设备数量的增多也为攻击者提供了一种新的攻击方式。一方面，大多数物联网设备是低能耗、低功能性的，因此一些复杂的或对算力要求较高的安全机制难以部署在设备上；另一方面，尽管物联网的市场规模预计将在2022年达到540亿美元，过期的固件/软件依旧普遍存在于各类设备并且可能会长期存在。此外，普通消费者往往缺乏足够的专业知识和安全意识，例如不修改默认登陆密码，从而导致设备很容易遭受攻击。

这些缺陷为攻击者提供了一个进行恶意软件传播、尤其是物联网僵尸网络扩散的有利环境。在2016年，一个名为Mirai的物联网僵尸网络通过利用安装Telnet的物联网设备未修改的默认登陆密码控制了超过600,000台物联网设备，并发动了一次前所未有的大规模分布式拒接服务攻击(Distributed Denial-of-Service，DDoS)，其攻击流量峰值超过了620Gbps，导致众多知名网站的服务无法正常接入。之后，Mirai的源代码被匿名公开发布，从而又催生了Mirai的多个变种恶意软件的出现，进一步恶化了物联网的安全生态环境。

为了缓解基于物联网的网络攻击造成的威胁，目前最常用的手段是网络入侵检测系统(Network Intrusion Detection System,NIDS)，包括基于特征的网络入侵检测技术和最新的基于机器学习的网络入侵检测技术。基于特征的网络入侵检测一般会构建一个攻击流量特征数据库，通过对数据包或流内是否包含已知的攻击特征来判断是否存在网络入侵。这些检测系统往往无法有效的检测零日攻击(zero-day attack)或不包含在特征数据库和训练数据集内的恶意行为。基于机器学习的网络入侵检测会对正常流量和攻击流量的行为进行特征提取并使用机器学习模型进行建模，通过模型来推断流量中是否存在攻击行为。然而，由于物联网设备的多样性，各类设备的行为特征可能差异巨大，因此很难为所有类别的设备构建一个统一的行为模型。因此，在新型攻击不断涌现的物联网领域中，现有的检测系统无法对这些攻击进行有效的防御。

发明内容

本发明的主要目的在于提供一种流量异常检测方法、检测设备及计算机可读存储介质，旨在解决现有技术中针对物联网攻击检测效率低的问题。

为实现上述目的，本发明提供一种流量异常检测方法，所述流量异常检测方法包括如下步骤：

获取待测设备的网络流量；

对所述网络流量进行预处理，生成包序列；

针对每一个所述包序列，将该包序列输入与所述待测设备对应的检测模型中，并通过所述检测模型对该包序列进行编码和解码，得到该包序列对应的重构序列，其中，所述检测模型为与所述待测设备对应的自编码器；

根据所述重构序列，确定所述包序列对应的序列类型；

根据各个所述包序列对应的序列类型，确定所述网络流量对应的流量类型。

可选地，所述的流量异常检测方法，其中，所述对所述网络流量进行预处理，生成包序列，具体包括：