[发明专利]基于特征选择的物联网设备流量异常检测方法、装置及存储介质

说明书

本发明公开了一种基于特征选择的物联网设备流量异常检测方法、装置及存储介质，旨在解决现有技术中缺乏物联网设备流量异常检测方法的技术问题。所述方法包括基于预设的阻尼时间窗口采集物联网设备的流量，对流量进行分类和特征提取获得物联网设备的多个样本；利用随机森林算法对物联网设备的多个样本进行迭代运算，获得物联网设备的最优特征子集；基于最优特征子集对物联网设备进行流量异常检测。本发明能够为异构的物联网设备选择合适的特征信息，提高流量异常检测的效率和准确度。

技术领域

本发明涉及一种基于特征选择的物联网设备流量异常检测方法、装置及存储介质，属于物联网信息安全技术领域。

背景技术

随着物联网的快速发展，全球部署的物联网设备的数量急剧增加。然而，大多数的物联网设备受到生产成本的限制，设备的计算、存储能力有限，不能安装复杂的安全机制。另外，大多数物联网设备的生产商都是不具备网络安全专业知识的传统家用电器制造商，这些厂商的开发团队往往不遵循安全的软件开发惯例，例如，重复使用未经验证的代码、不安全的第三方库等。这些因素导致了面向消费者市场的物联网设备很多都是存在安全隐患的，当这些设备接入互联网，整个网络环境的恶意攻击行为将会更加肆意蔓延且检测难度会大大增加。

相对于传统互联网，物联网中的设备具备以下特点：1、大多数的物联网设备硬件资源受限，如计算能力低，存储及电池电量小；2、异构物联网设备的流量类型差异性很大；3、单台物联网设备产生的流量很少，但海量设备与服务器之间的流量巨大；4、物联网设备工作模式和用户的使用习惯有很大关联，在不同的时间段，流量变化很大。目前传统网络中的流量异常检测方案非常丰富，但是由于物联网设备的计算资源和内存资源普遍不足和网络协议等问题，传统的检测技术难以应用于物联网中，因此针对物联网设备特点的流量异常检测方案还比较少。

发明内容

为了解决现有技术中缺乏物联网设备流量异常检测方法的问题，本发明提出了一种基于特征选择的物联网设备流量异常检测方法、装置及存储介质，为异构的物联网设备选择合适的特征信息，降低待检测数据的维度，从而达到降低流量预处理过程的复杂度、提高检测的效率的目的。

为解决上述技术问题，本发明采用了如下技术手段：

第一方面，本发明提出了基于特征选择的物联网设备流量异常检测方法，包括如下步骤：

基于预设的阻尼时间窗口采集物联网设备的流量，对流量进行分类和特征提取获得物联网设备的多个样本，每个样本均包括N个特征，不同样本中的特征值不同；

利用随机森林算法对物联网设备的多个样本进行迭代运算，获得物联网设备的最优特征子集；

基于最优特征子集对物联网设备进行流量异常检测。

结合第一方面，进一步的，物联网设备的每个样本的获取方法为下：

根据数据包参数对物联网设备的流量进行分类，获得分类后的数据流，其中，所述数据包参数包括MAC地址、源IP地址、目的IP地址、源IP-Socket地址和目的IP-Socket地址；

根据数据增量对分类后的数据流进行特征提取，获得物联网设备的样本。

结合第一方面，进一步的，根据数据包参数对每个阻尼时间窗口采集到的流量进行分类的具体操作如下：

获取流量的数据包参数；

将MAC地址、源IP地址、目的IP地址均相同的数据包存储到MAC_IP类别的数据流中；

将源IP地址相同的数据包存储到Src_IP类别的数据流中；

将源IP地址和目的IP地址均相同的数据包存储到Channel类别的数据流中；

将源IP-Socket地址和目的IP-Socket地址均相同的数据包存储到Socket类别的数据流中。