[发明专利]一种针对IoT环境的僵尸网络检测的系统、方法及存储介质

说明书

本发明公开了一种针对IoT环境的僵尸网络检测的系统及其方法，属于入侵检测技术领域。本发明包括流量采集器对于监控的IoT设备的流量进行监听，并基于白名单机制获取符合待检测规则的流量数据包；存储单元存储流量采集器获取的流量数据包；数据包解析器对存储单元存在的流量数据包中的内容进行解析，解析后，获得IP信息，IP信息包括时间、源IP、目的IP、源地址和目的地址；特征提取器提取IP信息的所有统计特征并进行特征工程中的特征降维处理，得到排序在前的三个统计特征；样本检测器基于决策树算法构建的检测模型对得到的三个统计特征进行恶意行为判定检测。本发明用于对IoT环境的僵尸网络检测。

技术领域

一种针对IoT环境的僵尸网络检测的系统及其方法，用于对IoT环境的僵尸网络检测，属于入侵检测技术领域，具体是采用离线的方式，设计出自动化的IoT流量检测系统，并能以插件化的方式对检测系统的检测模型进行更新。

背景技术

IoT设备在当今互联网中正展现出高速发展的势头。物联网等通信技术显著超越了传统技术对周围环境的感知，它赋予设备收集、量化和了解周围环境的能力。物联网是计算机史上发展最快的领域之一，CISCO进行的一项调查显示，物联网设备的数量每年都在上升，2020年超过500亿台，互联网上连接的设备之间将交换44ZB的数据。

但是，由于网络中IoT设备本身并没有非常成熟的安全机制以及其开放性和异构性使其成为了僵尸网络的又一新的繁殖群体。一个著名的例子是Mirai僵尸网络，2016年8月它首次被白帽安全机构MalwareMustDie发现，Mirai的许多变体和模仿者已经成为了历史上最强大的DDos攻击的载体。同年9月，计算机安全顾问Brian Krebs的网站受到620Gbps流量的冲击——比使大多数网站崩溃所需的流量高出许多量级。可以预见，物联网系统的安全风险会高于其他计算系统，并且传统的解决方案可能对物联网系统无效，应用现有的加密技术、身份认证、访问控制等对于具有庞大数量连接设备的大型系统来说是一个挑战，也是不充分的，因为系统的每个部分都有固有的漏洞。同时，由于IoT设备接入网络行为具有随意性，例如对于办公场所的无线局域网络，陌生访客的接入如果不加以管理，便会成为严重的网络安全的危害因素，这大大增加了整个网络系统安全的维护难度。因此，IoT网络中接入设备的脆弱性将成为未来网络攻击新的入侵点，需要一种对IoT网络中的异常流量进行检测的方法。

目前，机器学习和深度学习的方法被广泛的运用到了流量检测的工作之中。利用流量数据，根据不同的检测目的，训练相应的检测模型，可以高效、自动化的对网络中的异常流量进行检测。

在文献《An ensemble intrusion detection technique based on proposedstatistical flow features for protecting network traffic of internet ofthings》，Nour Moustafa等人通过对IoT环境常用的协议进行深入分析，特别是MQTT、DNS和HTTP协议，提出了一组基于统计信息的流量特征。同时，基于Decision Tree、NaiveBayesian以及Artificial Neural Network三种技术，利用AdaBoost集成学习的技术从检测精度和处理时间等方面对系统的整体性能做出提升。研究表明，在基于DNS和HTTP数据源的集成学习方法检测效果优于传统的SVM、MC等检测算法。

在文献《Botminer：Clustering analysis of network traffic for protocol-and structure-independent botnet detection》中，Guofei Gu等人通过僵尸网络流量在通信层面的行为和应用层面的行为分别定义了僵尸网络中的主机的通信目的与行为意图。基于僵尸网络在这两个层面的行为，采取了两层聚类的方法，从而实现了对于受控网络环境中对于已被僵尸程序感染主机的检测。