[发明专利]一种基于设备通信数据特征的异常设备检测方法

说明书

本发明公开了本发明公开一种基于设备通信数据特征的异常设备检测方法，利用聚类算法处理获得正常设备通信行为特征；利用数据点与邻域点距离，设计数据密度半径表示其局部密度情况，采用邻域内点的密度半径均值表示该点的邻域点密度情况，通过两个密度值的差异情况筛选孤立点，对局部同密度的点进行聚类，建立设备正常行为特征库；计算密度情况及其局部密度与邻域密度差异，以及与最近点所在簇的密度差异，判断异常设备行为。本发明具有灵活的适应性，能够适应不同密度分布下的聚类，同时参数能够调节区分不同密度的梯度差，降低了误判概率。

技术领域

本发明属于物联网安全技术领域，尤其涉及一种一种以TCP/IP协议通信的物联网系统，建立物联网设备正常通信行为的数据特征库，通过比对检测设备数据特征与正常行为特征库差异检测异常物联网设备的方法。

背景技术

物联网作为现代信息产业的组成部分，其规模、价值、分布领域逐渐扩大，其重要性日渐提高，同时物联网设备存在低成本、多架构、技术标准不统一等特点，这些特点使得物联网设备面临更多的安全风险，可能会受到恶劣环境与人为恶意攻击影响，变成异常设备，向物联网服务器上传不可靠数据，影响物联网(Internet of Things，IOT)系统的安全稳定运行。

物联网设备属于物联网系统的末端，主要完成环境感知与状态上报的功能。相对于传统互联网及移动互联网领域，物联网设备各类设备主要是针对各具体细分领域设计，其专用性更强，结构更简单，功能更单一，工作任务有周期化特征，因而其通信行为具有相对稳定的数据特征。物联网系统作为一个规模庞大的信息系统，设备正常设备行为具有一定的数据特征，而异常行为对于系统安全造成威胁，其数据特征会偏离正常设备行为的特征。在网络系统安全方面，将这些异常的具有破坏性的行为视为入侵行为，采用多种方式检测入侵行为并加以处理和防范叫做入侵检测。入侵检测系统(intrusion detectionsystem，IDS)是网络安全研究的重要领域。入侵检测大致可以分为两类，误用检测(misusedetection)和异常检测(anomaly detection)。误用检测是针对确定攻击行为的特征匹配，从而判定异常行为。异常检测是一种基于正常行为特征的检测方法，通过对于数据集的学习，将正常的行为转换为可表达的规则特征，通过比对检测行为与特征库的差异可以判断异常行为。

对于物联网设备行为数据特征的分析与生成需要用到聚类方法，聚类方法能够按照一定的评价标准，根据数据点特征的差异程度划分为不同的聚类簇，使得每个簇内的元素具有比较相似的特征，而不同簇类之间又存在较大的特征差异。基于密度的聚类算法能自动的识别不同数量与形状的数据类簇，但其全局统一的参数只适用于单一密度分布情况；而物联网应用场景多，专用性强，在一个物联网系统下，会存在多种设备群，具有多种通信行为特征，常用聚类算法采用全局统一的特征生成与判断方式，不能适应物联网领域的设备特点，因而需要设计适合于物联网设备数据特点的聚类算法，能适应物联网下多种密度分布的设备通信数据特征，建立物联网系统下的设备正常通信行为数据特征库。在此基础上，基于正常设备与异常设备在通信行为上的特征差异，通过比较设备行为与特征库的差异检测异常设备通信行为，进而检测异常设备。

发明内容

针对物联网环境下弱性能设备因自然损坏与恶意破坏变成异常设备影响物联网系统的平稳可靠运行，本发明提出一种基于设备通信数据特征的异常设备检测方法。本发明基于物联网设备通信行为具有相对稳定的数据特征的特点，采用聚类算法处理获得设备通信行为数据特征；针对物联网下各类设备差异大，导致设备通信行为数据特征全局不统一的现状，利用数据点与邻域点距离，设计数据密度半径表示其局部密度情况，采用邻域点的密度半径均值表示该点的邻域点密度情况，通过两个密度值的差异情况筛选孤立点，对局部同密度的点进行聚类，建立物联网系统下的设备正常通信行为特征库。对待测设备通信行为数据计算其在特征库下的密度情况，计算得到其局部密度与邻域密度差异，以及与最近点所在簇的密度差异，判断异常设备行为，连续多个周期检测，降低误判的概率。

本发明的目的就在于为了解决上述问题而提供一种基于设备通信数据特征的异常设备检测方法，具体包括以下实现过程：