[发明专利]一种基于设备类型的异常流量检测方法及装置

说明书

本发明公开一种基于设备类型的异常流量检测方法及装置，包括：构建设备mac地址和设备类型之间的映射关系；提取待检测流量中的设备mac地址，并基于所述映射关系，选取相应设备类型的异常流量检测模型；将所述待检测流量的流量特征输入相应设备类型的异常流量检测模型，得到异常流量检测结果。本发明能够自动化的识别产生流量的设备类型，并将其输入到与其设备类型绑定的异常流量检测模型中进行检测，更加及时、准确的发现网络中设备被攻击的状态，并进行警报。

技术领域

本发明涉及流量检测领域，尤其涉及一种基于设备类型的异常流量检测方法及装置。

背景技术

异常流量检测作为一种有效的防护手段，它通过监控设备的进出流量来发现设备被攻击的状态，相比于漏洞检测和基于签名的入侵检测，它具有部署成本低、及时发现未知攻击的优点。目前的异常流量检测方法主要是先进行流量特征提取，再将流量特征输入到模型中进行异常流量和正常流量的判别。根据异常流量检测的方法可以将异常流量检测分为基于分类的、基于统计的、基于机器学习的、基于深度学习的等四大类方法。随着机器学习、深度学习领域的发展，这两种方法成为了异常流量检测的广泛使用的算法之一。

Yisroel Mirsky(Mirsky Y,Doitshman T,Elovici Y,et al.Kitsune:AnEnsemble of Autoencoders for Online Network Intrusion Detection[C]//Networkand Distributed System Security Symposium.2018)等介绍了Kitsune：即插即用的NIDS。该NIDS使用基于自编码器来构造无监督的异常流量检测模型来检测，在线监测IDS模型，提高了无监督异常检测模型的准确率。Thien DucNguyen(Nguyen T D,Marchal S,Miettinen M,et al.DIoT:A Federated Self-learning Anomaly Detection Systemfor IoT[J].2018.)提出一种能够有效检测受感染的IoT设备的自主自学习分布式系统，DIOT自动的识别物设备类型并为使用联邦学习的方法设备类型并建立正常的流量模型来用于检测异常流量，降低了异常流量检测模型的假阳率。安全公司绿盟技术提出了物联网准入网关IoT-AG来保护拓展物联网设备的安全，通过使用设备主动探测发现技术，结合机器学习算法，访问关系白名单等实现管控联网设备行为的目的。安全公司奇安信提出了IoT接入控制系统解决网内各类型IoT设备大量使用场景下的安全接入管理问题，通过IoT设备的发现和识别、接入感知与用户识别、多类型设备的统一接入控制、仿冒检测和处置、安全合规检查、状态监控、IP地址管理与使用监控等模块实现安全管理功能。

但目前的异常流量检测技术的相关研究在训练模型时并没有对产生流量的设备类型加以区分，试图训练出一种能够广泛应用的异常流量检测模型。伴随着设备类型的丰富，成百上千的设备类型涌入市场，这为现有的异常流量检测方案带来了一些挑战。

首先是训练集收集的难度增大。为了保证模型训练效果，异常流量检测模型训练时需要涵盖所有的设备类型的正常流量，收集流量需要购买设备耗费大量的资金，而且也无法购买到所有的设备类型，收集到所有的正常流量模式。

其次是模型更新的成本增加。现在设备类型更新速度很快，流量的模型也会出现新的变化，需要对异常流量检测模型进行实时的更新来保证模型效果，增加了模型的更新频率。而且为了保证训练集的全面性往往训练集都非常的大，训练一次需要消耗较大的成本。无论更新频率的增加还是模型训练的高成本都加大了模型更新的成本。

最后是模型的识别准确率下降。由于异常流量检测模型在训练时不具有针对性，各种设备类型的流量模式具有很大的差别，聚集在一起进行学习会影响机器学习方法的学习效果，导致异常检测模型会无法检测到流量微小的变化，模型检测的准确率会有所下降。

虽然有一些研究如绿盟技术的物联网准入网关IoT-AG技术以及Thien DucNguyen等人开始将设备类型和异常流量检测结合起来，目前也存在一些缺陷。