[发明专利]基于自动机的物联网设备流量建模、检测方法和装置

说明书

本申请提出一种基于自动机的物联网设备流量建模、检测方法和装置，涉及物联网技术领域，其中，方法包括：采集待监控的物联网设备在各个工作状态的正常流量，生成原始流量集合；对原始流量集合中每条通信数据流进行汇编，生成多棵流树，并对多棵流树进行合并，生成联合流树；对联合流树中的通信数据流进行缩减处理后，将联合流树中表示通信数据流的数据结构转换为自动机模型。由此，根据物联网设备所产生的正常流量集合建立能够精准描述其正常通信行为轮廓的自动机模型，并将自动机模型用于设备行为的监控和异常检测，从而，能够精准的检测出各种类型的异常现象，提高物联网设备异常检测精确性和效率。

技术领域

本申请涉及物联网技术领域，尤其涉及一种基于自动机的物联网设备流量建模、检测方法和装置。

背景技术

目前，随着物联网技术的快速发展，各种各样不同类型的物联网设备已经被大量部署于人类生产生活的各个领域，如智能家居、智慧城市与工业控制系统等。在带来巨大便捷的同时，物联网设备也面临着各种各样的网络安全威胁。一方面，物联网设备可能会因为恶意攻击者的入侵而无法正常工作，并形成大型僵尸网络，从而被利用来发动大规模分布式拒绝服务攻击，危害重要通信基础设施。另一方面，由于物联网设备的使用与人类的生产和生活活动密切相关，其本身的不当行为，如失灵或故障，也会危害用户的安全和隐私。因此，能够对各种物联网设备的通信行为和工作状态进行监控并进一步检测异常的算法和系统存在很大的需求。

然而，设计适用于物联网设备的异常检测系统通常会面临以下几个方面的挑战：首先，应用于不同领域的物联网设备使用了多种不同的通信技术体系与网络规模，针对不同的技术分别设计算法要求很多专家知识，且设计出的算法不具有通用性；其次，物联网设备通常仅具有有限的通信和计算资源，因此作为伴生的异常检测系统不应该有较高的开销，其运行也不能妨碍物联网设备的正常工作；第三，物联网设备所面临的安全威胁与攻击向量也十分广泛，即使不考虑恶意攻击者的入侵，设备自身的故障等不当行为也需要被及时发现，因此入侵检测系统的检测目标不应当局限于某种特定类型的异常。最后，物联网技术仍然处于快速的发展中，新的设备类型、漏洞与攻击向量也会不断出现，因此异常检测系统也应当随着这些变化不断演进，具有较好的可扩展性，能够及时从管理人员的反馈中优化自身，避免重复同样的错误，也即实现终生式异常检测。

发明内容

本申请旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本申请的第一个目的在于提出一种基于自动机的物联网设备流量建模方法，实根据物联网设备所产生的正常流量集合建立能够精准描述其正常通信行为轮廓的自动机模型，并将自动机模型用于设备行为的监控和异常检测，具有通用性，高检测率，可解释性，可扩展性，从而，能够精准的检测出各种类型的异常现象，提高物联网设备异常检测精确性和效率。

本申请的第二个目的在于提出一种基于自动机的物联网设备流量建模装置。

为达上述目的，本申请第一方面实施例提出了一种基于自动机的物联网设备流量建模方法，包括：

采集待监控的物联网设备在各个工作状态的正常流量，生成原始流量集合；

对所述原始流量集合中每条通信数据流进行汇编，生成多棵流树，并对所述多棵流树进行合并，生成联合流树；

对所述联合流树中的通信数据流进行缩减处理后，将所述联合流树中表示通信数据流的数据结构转换为自动机模型。

本申请实施例的基于自动机的物联网设备流量建模方法，通过采集待监控的物联网设备在各个工作状态的正常流量，生成原始流量集合；对原始流量集合中每条通信数据流进行汇编，生成多棵流树，并对多棵流树进行合并，生成联合流树；对联合流树中的通信数据流进行缩减处理后，将联合流树中表示通信数据流的数据结构转换为自动机模型。由此，根据物联网设备所产生的正常流量集合建立能够精准描述其正常通信行为轮廓的自动机模型，并将自动机模型用于设备行为的监控和异常检测，从而，能够精准的检测出各种类型的异常现象，提高物联网设备异常检测精确性和效率。