[发明专利]一种基于有限自动机的物联网入侵检测方法及检测系统

权利要求书

1.一种基于有限自动机的物联网入侵检测方法，其特征在于：包括以下步骤：

步骤1，采用有限自动机理论对物联网终端的通用协议群建立用于将标签转换模型间的信道进行标准化表示的可组合标签转换模型，该可组合标签转换模型表示通过媒介相互连接的多个标签转换模型，且该可组合标签转换模型定义为四元组

其中，S_glu＝S₁∪S₂∪...∪S_n∪S_M，

L_glu＝L₁∪L₂∪...∪L_n，

s_l表示可组合标签转换模型的低层状态；M表示媒介，即表示媒介M内的一个转换，其中表示的是状态s_i的低层表示；S_M表示媒介的状态；i、j和m均表示自然数且1＜i＜m；d表示标签转换模型中的标签；

表示多个标签转换模型，S为所刻画的设备的所有状态的集合，L为设备主要行为抽象表示的集合，T为L内的某个或多个行为导致所述标签转换模型的状态的转移；s₀为有限自动机的初始状态，且L_I为引起所述标签转换模型的状态转移的输入行为集合，L_O为引起所述标签转换模型的状态转移的输出行为集合，并使L_I∪L_O＝L且

s′_i表示S集合中与s_i连通的另外一个状态点；S_i表示的是第i个标签转换模型中的S集合，T_i表示的是第i个标签转换模型中的T的集合；

μ表示的是某个标签转换模型自身的一种内部行为，即该行为不会使其他的标签转换模型产生可见的输入或输出，但会使其自身的状态发生转移；

表示第i个标签转换模型中第1个状态的所有输出的标签的集合；

表示第j个标签转换模型中第1个状态的所有输入的标签的集合；

表示n个标签转换模型的初始状态，即表示第1个标签转换模型的s₀，表示第n个标签转换模型的s₀；

S₁∪S₂∪...∪S_n∪S_M中的S₁，S₂，...，S_n表示第i到第n个标签转换模型的状态集合；

步骤2，在云服务器上建立事件数据库，事件数据库中的数据包括标准协议的数据、可能操作流和异常动作流，且该事件数据库直接访问IDS事件分析器；

标准协议的数据为通过所述可组合标签转换模型对标准协议的描述；

可能操作流为通过标准协议的数据创建的数据；

异常动作流为已知异常入侵事件的数据；

步骤3，通过事件监视器采集物联网上的控制流数据，并把控制流数据根据需求重新打包成需求打包数据发送至事件数据库和IDS事件分析器；

步骤41，IDS事件分析器接收所述需求打包数据并分析需求打包数据的信息，识别出网络设备中的物联网设备，并生成网络拓扑视图，然后记录被识别的物联网设备的ID信息；

步骤42，IDS事件分析器首先根据所述网络拓扑视图和ID信息将所述需求打包数据进行分组，具体分组步骤为：将具有相同会话ID的数据包分为一组，同时将相同会话ID的数据包根据协议类型，按时间顺序整理，生成分组数据；

然后，IDS事件分析器将每组分组数据通过所述可组合标签转换模型转换为转换事件流，具体步骤为：根据相同会话ID的数据包中的协议类型获取每组分组数据中消息序列的协议类型，再将消息序列的协议类型与所述标准协议的数据进行比对，获取所述消息序列的协议类型的基本的形式化动作原语，将动作原语与每组分组数据中的信息进行组合后将分组数据表示为自动机原语，即将每组分组数据转换为转换事件流；

步骤43，IDS事件分析器将转换事件流与异常动作流进行比对，进行基于签名的入侵检测；

如转换事件流中含有与异常动作流中的入侵事件签名相同的事件签名，则判断为异常入侵事件，则将异常结果输出至响应单元；

如转换事件流中不含有与异常动作流中的已知入侵事件签名相同的事件签名，则该转换事件流继续与可能操作流中的数据进行比对，判断是否为异常入侵事件，如判断为异常入侵事件，则记录该异常入侵事件，同时向用户发送判断请求；

如用户判断为异常入侵事件，则将异常结果输出至响应单元，并将该异常入侵事件的特征进行提取存储至事件数据库中的异常动作流数据中；

步骤5，响应单元接收到异常结果后生成警告入侵风险报告。