一种基于设备通信数据特征的异常设备检测方法转让专利
申请号 : CN202110768602.1
文献号 : CN113542060B
文献日 : 2023-03-07
发明人 : 杨鲲 , 张埙 , 刘强 , 梅海波 , 陈卉
申请人 : 电子科技大学中山学院
摘要 :
本发明公开了本发明公开一种基于设备通信数据特征的异常设备检测方法,利用聚类算法处理获得正常设备通信行为特征;利用数据点与邻域点距离,设计数据密度半径表示其局部密度情况,采用邻域内点的密度半径均值表示该点的邻域点密度情况,通过两个密度值的差异情况筛选孤立点,对局部同密度的点进行聚类,建立设备正常行为特征库;计算密度情况及其局部密度与邻域密度差异,以及与最近点所在簇的密度差异,判断异常设备行为。本发明具有灵活的适应性,能够适应不同密度分布下的聚类,同时参数能够调节区分不同密度的梯度差,降低了误判概率。
权利要求 :
1.一种基于设备通信数据特征的异常设备检测方法,其特征在于,包括:
选取物联网设备通信行为特征,建立表征物联网设备通信行为特征的数据对象模型;
预处理得到表征数据对象密集程度的密度半径,同时依大小由密向疏排列;密度半径e的计算公式为: 其中M为密度阈值,distancepi表示离检测点最近M个点的距离;
依次处理设备行为数据点,通过比较该数据点局部密度与其邻域点密度均值的差异程度,过滤孤立噪声点,对物联网设备行为数据集按局部密度聚类,建立正常行为特征数据库,比较待测设备通信行为数据,识别异常行为;具体包括:A31:从数据集中顺序取出一个未访问数据点p,采用公式 计算p点局部
邻域点的密度半径均值,Ep表示该数据点邻域点的数据密集情况,eqi表示与设备行为特征最相似的设备群特征;
A32:比较该点p与其局部邻域点密度半径均值Ep的差异程度o,其中o=|log2(ep/Ep)|,Ep为p点局部邻域点密度半径均值;以o
A33:对于符合条件的非孤立点p,标记为第k簇点,记第k簇内平均密度半径值为E,将p添加进Seeds集合内;
A34:若Seeds为空,则跳回A31;若Seeds不为空,则任取Seeds内一点q,标记为第k簇类点,加权更新第k簇内平均密度半径值为E=(E*(N‑1)+Eq)/N,N为当前簇内节点数;对于q邻域内任一点p,该点p与其局部邻域点密度半径均值Ep的差异程度o,若符合条件o
A35:完成全部设备通信行为数据集的处理,形成分布全局的多种密度分布的物联网设备正常行为特征库;对于待检测设备行为数据对象w,计算其密度半径值ew及在特征库下的局部邻域点密度半径均值Ew,检测条件o
2.根据权利要求1所述一种基于设备通信数据特征的异常设备检测方法,其特征在于,连续周期检测物联网设备通信行为数据,若连续标记设备异常行为记录次数超过阈值,则将该设备判断为异常设备。
说明书 :
一种基于设备通信数据特征的异常设备检测方法
技术领域
[0001] 本发明属于物联网安全技术领域,尤其涉及一种一种以TCP/IP协议通信的物联网系统,建立物联网设备正常通信行为的数据特征库,通过比对检测设备数据特征与正常行为特征库差异检测异常物联网设备的方法。
背景技术
[0002] 物联网作为现代信息产业的组成部分,其规模、价值、分布领域逐渐扩大,其重要性日渐提高,同时物联网设备存在低成本、多架构、技术标准不统一等特点,这些特点使得物联网设备面临更多的安全风险,可能会受到恶劣环境与人为恶意攻击影响,变成异常设备,向物联网服务器上传不可靠数据,影响物联网(Internet of Things,IOT)系统的安全稳定运行。
[0003] 物联网设备属于物联网系统的末端,主要完成环境感知与状态上报的功能。相对于传统互联网及移动互联网领域,物联网设备各类设备主要是针对各具体细分领域设计,其专用性更强,结构更简单,功能更单一,工作任务有周期化特征,因而其通信行为具有相对稳定的数据特征。物联网系统作为一个规模庞大的信息系统,设备正常设备行为具有一定的数据特征,而异常行为对于系统安全造成威胁,其数据特征会偏离正常设备行为的特征。在网络系统安全方面,将这些异常的具有破坏性的行为视为入侵行为,采用多种方式检测入侵行为并加以处理和防范叫做入侵检测。入侵检测系统(intrusion detection system,IDS)是网络安全研究的重要领域。入侵检测大致可以分为两类,误用检测(misuse detection)和异常检测(anomaly detection)。误用检测是针对确定攻击行为的特征匹配,从而判定异常行为。异常检测是一种基于正常行为特征的检测方法,通过对于数据集的学习,将正常的行为转换为可表达的规则特征,通过比对检测行为与特征库的差异可以判断异常行为。
[0004] 对于物联网设备行为数据特征的分析与生成需要用到聚类方法,聚类方法能够按照一定的评价标准,根据数据点特征的差异程度划分为不同的聚类簇,使得每个簇内的元素具有比较相似的特征,而不同簇类之间又存在较大的特征差异。基于密度的聚类算法能自动的识别不同数量与形状的数据类簇,但其全局统一的参数只适用于单一密度分布情况;而物联网应用场景多,专用性强,在一个物联网系统下,会存在多种设备群,具有多种通信行为特征,常用聚类算法采用全局统一的特征生成与判断方式,不能适应物联网领域的设备特点,因而需要设计适合于物联网设备数据特点的聚类算法,能适应物联网下多种密度分布的设备通信数据特征,建立物联网系统下的设备正常通信行为数据特征库。在此基础上,基于正常设备与异常设备在通信行为上的特征差异,通过比较设备行为与特征库的差异检测异常设备通信行为,进而检测异常设备。
发明内容
[0005] 针对物联网环境下弱性能设备因自然损坏与恶意破坏变成异常设备影响物联网系统的平稳可靠运行,本发明提出一种基于设备通信数据特征的异常设备检测方法。本发明基于物联网设备通信行为具有相对稳定的数据特征的特点,采用聚类算法处理获得设备通信行为数据特征;针对物联网下各类设备差异大,导致设备通信行为数据特征全局不统一的现状,利用数据点与邻域点距离,设计数据密度半径表示其局部密度情况,采用邻域点的密度半径均值表示该点的邻域点密度情况,通过两个密度值的差异情况筛选孤立点,对局部同密度的点进行聚类,建立物联网系统下的设备正常通信行为特征库。对待测设备通信行为数据计算其在特征库下的密度情况,计算得到其局部密度与邻域密度差异,以及与最近点所在簇的密度差异,判断异常设备行为,连续多个周期检测,降低误判的概率。
[0006] 本发明的目的就在于为了解决上述问题而提供一种基于设备通信数据特征的异常设备检测方法,具体包括以下实现过程:
[0007] 选取物联网设备通信行为特征,建立表征物联网设备通信行为特征的数据对象模型;
[0008] 预处理得到表征数据对象密集程度的密度半径,同时依大小由密向疏排列;
[0009] 依次处理设备行为数据点,通过比较该数据点局部密度与其邻域点密度均值的差异程度,过滤孤立噪声点,对物联网设备行为数据集按局部密度聚类,建立正常行为特征数据库,比较待测设备通信行为数据,识别异常行为;
[0010] 连续多个周期进行检测,多次检测均标记为异常行为时,标记该设备为异常设备。
[0011] 本发明通过以下技术方案来实现上述目的:设计表征设备通信行为的多维数据点对象,利用数据点与邻域点距离,计算数据点局部密度与邻域密度表示数据点与邻域点密度差异,过滤孤立噪声点,对局部同密度点聚类,建立正常设备通信行为特征库,检测识别异常设备行为,连续多个周期检测,降低异常设备误判概率。
[0012] 本发明的有益效果在于:
[0013] 1.基于不同物联网设备具体通信设计,选取系统下表征设备状态的数据对象模型,量化到合适计算范围,有灵活的适应性;
[0014] 2.根据设定的密度阈值,利用数据点与邻域点距离均值来表征其局部密度,无需先验参数;
[0015] 3.利用数据点自身局部密度与其邻域点密度均值比较差异与设定差异参数比较,能够适应不同密度分布下的聚类,同时参数能够调节区分不同密度的梯度差;
[0016] 4.采用连续多个周期检测结果作为判断,降低误判概率。
附图说明
[0017] 图1为本发明的实施步骤;
[0018] 图2为本发明实施提供的建立物联网设备正常行为特征库的步骤;
[0019] 图3为本发明实施例提供的检测异常设备流程图。
具体实施方式
[0020] 下面结合附图对本发明作进一步说明:
[0021] 如附图1所示,本发明提供了一种基于设备通信数据特征的异常设备检测方法,基于物联网设备通信行为具有相对稳定的数据特征的特点,通过设备通信数据特征检测异常设备。设计表征设备通信行为的数据对象,表示为设备通信数据集内的数据点;利用数据点与邻域数据点的距离,计算获得数据点局部密度与邻域密度,用于表示数据点与邻域点密度差异,过滤孤立点,对局部同密度点聚类,建立正常设备通信行为特征库,检测识别异常设备行为;连续多个周期检测,降低误判概率,最终识别异常设备,保护物联网系统可靠性,接下来结合具体的附图对本发明实现过程作详细的介绍。本发明方法具体实现过程如下:
[0022] A1:选取物联网设备通信行为特征,建立表征设备通信行为特征数据模型,通过该数据模型能够表征设备数据通信行为背后的设备状态;
[0023] 物联网设备通信方式多样,在采用TCP/IP协议通信的方式中,设备与服务器通信的过程一般有建立连接、通信、断开连接的三个步骤,而在这个过程中,正常工作的物联网设备,会按照软件程序设定完成周期性工作,因而其在消息上报上具有相对稳定的频率,而在正常的工作环境下,设备与服务器的连接通信的频率是稳定的,选择连接频率与消息频率表征设备行为。
[0024] 设备连接频率用X表示,代表给定时间内,设备向服务器发起连接请求的次数,连接频率的计算方式为X=N/T,其中T代表检测时间长度,N代表设备连接次数。设备消息频率用Y表示,代表一定时间内,设备向服务器发送的消息数量,消息频率的计算方式为Y=N/T,其中T代表检测时间长度,N代表设备消息发送次数。
[0025] A2:预处理设备通信行为数据对象,量化到一定值域范围,按下述公式计算得到表征数据对象密度情况的密度半径,通过密度半径能够量化物联网设备通信行为特征相似性。区别于按照先验知识,提前给出全局数据点检测半径与密度阈值的方式,本方法仅事先设定一个密度阈值M,采用密度半径 表示该数据点的数据密度情况,其中distancepi表示离检测点最近M个点的距离,通过密度半径e表征数据点局部的密集程度;
[0026] A3:依次处理设备通信行为数据点,计算该点局部邻域点的密度半径均值Ep,比较该点与其局部邻域点密度半径均值Ep的差异程度o,过滤孤立噪声点,实现数据集按局部密度聚类,形成正常设备通信行为特征库,用于检测设备的通信行为;
[0027] A31:从数据集中顺序取出一个未访问数据点p,采用公式 计算p点局部邻域点的密度半径均值,表示该数据点邻域点的数据密集情况,表示与设备行为特征最相似的设备群特征;
[0028] A32:比较该点p与其局部邻域点密度半径均值Ep的差异程度o,其中o=|log2(ep/Ep)|,以o
[0029] A33:对于符合条件的非孤立点p,标记为第k簇点,记第k簇内平均密度半径值为E,将p添加进Seeds集合内;
[0030] A34:若Seeds为空,则跳回A31;若Seeds不为空,则任取Seeds内一点q,标记为第k簇类点,加权更新第k簇内平均密度半径值为E=(E*(N‑1)+Eq)/N,N为当前簇内节点数;对于q邻域内任一点p,该点p与其局部邻域点密度半径均值Ep的差异程度o,若符合条件o
[0031] A35:完成全部设备通信行为数据集的处理,形成分布全局的多种密度分布的物联网设备正常行为特征库。由于设备异常通信行为是孤立的,偏离正常行为特征簇的,因此对于待检测设备行为数据对象w,计算其密度半径值ew及在特征库下的局部邻域点密度半径均值Ew,检测条件o
[0032] A4:连续多个周期进行检测,多次检测均标记为异常设备行为时,标记该设备为异常设备,降低误判概率。
[0033] 本发明的有益效果在于:
[0034] 1.基于不同物联网设备具体通信设计,选取系统下表征设备状态的数据对象模型,量化到合适计算范围,有灵活的适应性;
[0035] 2.根据设定的密度阈值,利用数据点与邻域点距离均值来表征其局部密度,无需先验参数;
[0036] 3.利用数据点自身局部密度与其邻域点密度均值比较差异与设定差异参数比较,能够适应不同密度分布下的聚类,同时参数能够调节区分不同密度的梯度差;
[0037] 4.采用连续多个周期检测结果作为判断,降低误判概率。
[0038] 本发明的技术方案不限于上述具体实施例的限制,凡是根据本发明的技术方案做出的技术变形,均落入本发明的保护范围之内。