[发明专利]基于特征选择的物联网设备流量异常检测方法、装置及存储介质有效
| 申请号: | 202110503165.0 | 申请日: | 2021-05-10 |
| 公开(公告)号: | CN113298125B | 公开(公告)日: | 2022-08-16 |
| 发明(设计)人: | 江凌云;刘祥军;邓贤旸;朱洪波 | 申请(专利权)人: | 南京邮电大学 |
| 主分类号: | G06K9/62 | 分类号: | G06K9/62;G06N20/00;H04L9/40 |
| 代理公司: | 南京纵横知识产权代理有限公司 32224 | 代理人: | 孙永生 |
| 地址: | 210023 *** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 特征 选择 联网 设备 流量 异常 检测 方法 装置 存储 介质 | ||
1.基于特征选择的物联网设备流量异常检测方法,其特征在于,包括如下步骤:
基于预设的阻尼时间窗口采集物联网设备的流量,对流量进行分类和特征提取获得物联网设备的多个样本,每个样本均包括N个特征,不同样本中的特征值不同;
利用随机森林算法对物联网设备的多个样本进行迭代运算,获得物联网设备的最优特征子集;
基于最优特征子集对物联网设备进行流量异常检测;
物联网设备的每个样本的获取方法为下:
根据数据包参数对物联网设备的流量进行分类,获得分类后的数据流,其中,所述数据包参数包括MAC地址、源IP地址、目的IP地址、源IP-Socket地址和目的IP-Socket地址;
根据数据增量对分类后的数据流进行特征提取,获得物联网设备的样本;
根据数据增量对分类后的数据流进行特征提取的具体操作如下:
根据阻尼时间窗口的衰减因子给分类后的每个数据流配置一个五元组,所述五元组为:
TSi,λ=(w,LS,SS,SRmn,Tlast)
其中,TSi,λ表示衰减因子为λ的阻尼时间窗口内第i个数据流的五元组,w表示当前时刻数据流中数据包的数量,LS表示当前时刻数据流中数据包之和,SS表示当前时刻数据流中数据包的平方和,SRmn表示数据流中第m个数据包与第n个数据包之间的相关系数,m,n∈[1,w],Tlast表示上一次更新五元组TSi,λ的时间,i=1,2,…,H,H为分类后的数据流的总数;
基于阻尼时间窗口内的数据增量更新每个数据流的五元组;
根据更新后的五元组提取每个数据流的特征,并计算特征值,特征值的计算公式包括:
其中,Si表示第i个数据流,Sj表示第j个数据流,j=1,2,...,H且j≠i,表示Si中数据包的加权平均大小,表示Si中数据包的标准均方差,||Si,Sj||表示Si和Sj的二维均值,表示Sj中数据包的加权平均大小,表示Si和Sj的二维方差,表示Sj中数据包的标准均方差,表示Si和Sj的二维协方差,wi表示Si中数据包的数量,wj表示Sj中数据包的数量,表示Si和Sj的相关系数;
利用所有阻尼时间窗口内所有数据流的特征值组成物联网设备的样本。
2.根据权利要求1所述的基于特征选择的物联网设备流量异常检测方法,其特征在于,根据数据包参数对每个阻尼时间窗口采集到的流量进行分类的具体操作如下:
获取流量的数据包参数;
将MAC地址、源IP地址、目的IP地址均相同的数据包存储到MAC_IP类别的数据流中;
将源IP地址相同的数据包存储到Src_IP类别的数据流中;
将源IP地址和目的IP地址均相同的数据包存储到Channel类别的数据流中;
将源IP-Socket地址和目的IP-Socket地址均相同的数据包存储到Socket类别的数据流中。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京邮电大学,未经南京邮电大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110503165.0/1.html,转载请声明来源钻瓜专利网。
