基于设备角色的物联网设备异常检测方法、系统及装置转让专利
申请号 : CN202111523646.4
文献号 : CN113935438B
文献日 : 2022-04-26
发明人 : 张峰 , 王滨 , 郭明 , 刘松 , 赵海涛 , 李超豪 , 闫琛
申请人 : 杭州海康威视数字技术股份有限公司
摘要 :
权利要求 :
1.一种基于设备角色的物联网设备检测方法,其特征在于,该方法应用于电子设备,该方法包括:
获得第一指定时间段内经由物联网核心交换机的域名系统DNS报文;所述DNS报文包括DNS请求和DNS响应;
依据已获得的第一指定时间段内的DNS报文,基于目标物联网设备涉及的物联网设备角色确定该目标物联网设备的目标特征向量;所述目标物联网设备涉及的物联网设备角色包括:用于发起DNS请求的DNS请求角色、用于响应接收的DNS请求的DNS响应角色、用于域名解析的DNS服务器;所述目标特征向量至少包括:所述目标物联网设备发起的DNS请求的DNS请求数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析的信息;
计算目标物联网设备的目标特征向量分别与已训练出的检测模型中各类别标签对应的中心特征向量之间的距离;
依据目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别,所述目标类别为所述检测模型中一个类别标签对应的类别或者为未知异常,所述检测模型中的类别标签至少包括:正常业务设备标签、DNS服务器标签、异常业务设备标签,所述正常业务设备标签至少包括:目标物联网设备作为DNS请求角色正常、或者目标物联网设备作为DNS响应角色正常。
2.根据权利要求1所述的方法,其特征在于,所述依据已获得的第一指定时间段内的DNS报文,基于目标物联网设备涉及的物联网设备角色确定该目标物联网设备的目标特征向量包括:
当DNS报文为DNS请求时,将所述DNS请求中源IP地址对应的目标物联网设备的DNS请求数量增加设定值,将所述DNS请求中目的IP地址对应的目标物联网设备的DNS响应数量增加设定值;
当DNS报文为DNS响应时,将所述DNS响应中源IP地址对应的目标物联网设备的DNS响应数量增加设定值,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS请求数量增加设定值,并识别DNS响应中携带的DNS解析结果,当所述DNS解析结果包含表示DNS解析成功的标识时,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS解析成功数量增加设定值;
在所述第一指定时间段结束时,针对每一目标物联网设备,依据该目标物联网设备的DNS解析成功数量确定该目标物联网设备的DNS解析成功信息,将该目标物联网设备的DNS请求数量、该目标物联网设备的DNS响应数量、以及该目标物联网设备的DNS解析成功信息确定为该目标物联网设备的特征向量。
3.根据权利要求1所述的方法,其特征在于,所述检测模型通过以下方式训练:基于第二指定时间段内经由所述物联网核心交换机的DNS报文,确定样本物联网设备的样本特征向量,所述样本特征向量至少包括:所述样本物联网设备发起的DNS请求的DNS请求数量、发向所述样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS解析成功信息是指所述样本物联网设备发起的DNS请求中的域名被成功解析的信息;
所述第二指定时间段不同于所述第一指定时间段;
依据各个样本物联网设备的样本特征向量对各个样本物联网设备进行分类;
确定每一类别对应的类别标签,依据每一类别标签以及该类别标签对应的中心特征向量训练得到所述检测模型,所述类别标签对应的中心特征向量是基于所述类别标签对应的类别中的各样本物联网设备的样本特征向量确定。
4.根据权利要求3所述的方法,其特征在于,所述基于第二指定时间段内经由所述物联网核心交换机的DNS报文,确定样本物联网设备的样本特征向量包括:当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS请求时,将该DNS请求中源IP地址对应的样本物联网设备的DNS请求数量增加设定值,将该DNS请求中目的IP地址对应的样本物联网设备的DNS响应数量增加设定值;
当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS响应时,将该DNS响应中源IP地址对应的样本物联网设备的DNS响应数量增加设定值,将该DNS响应中目的IP地址对应的样本物联网设备的DNS请求数量增加设定值,并识别该DNS响应携带的DNS解析结果,当DNS解析结果包含DNS解析成功的标识时,将该DNS响应中目的IP地址对应的样本物联网设备的DNS解析成功数量增加设定值;
在第二指定时间段结束时,针对每一样本物联网设备,依据该样本物联网设备的DNS解析成功数量确定该样本物联网设备的DNS解析成功信息,将该样本物联网设备的DNS解析成功信息、该样本物联网设备的DNS请求数量、以及该样本物联网设备的DNS响应数量确定为该样本物联网设备的样本特征向量。
5.根据权利要求3所述的方法,其特征在于,所述确定每一类别对应的类别标签包括:针对每一类别,依据该类别中各样本物联网设备的样本特征向量,确定该类别对应的类别标签分析参数,所述类别标签分析参数至少包括:DNS报文总数量;所述DNS报文总数量依据该类别中各样本物联网设备的DNS请求数量和DNS响应数量确定;
从所有类别中选择DNS报文总数量取值最大的第一类别,确定第一类别对应的类别标签为DNS服务器类别标签,针对除第一类别之外的每一类别,依据该类别中样本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标签。
6.根据权利要求5所述的方法,其特征在于,所述依据该类别中样本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标签包括:针对除所述第一类别之外的每一类别,
确定该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比;其中,所述DNS请求平均数依据该类别中各样本物联网设备的DNS请求数量与该类别中样本物联网设备的设备总数量确定,所述DNS响应平均数依据该类别中各样本物联网设备的DNS响应数量与该类别中样本物联网设备的设备总数量确定;所述DNS解析成功平均占比是依据该类别中各样本物联网设备的DNS解析成功信息以及该类别中样本物联网设备的设备总数量确定;
依据该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比确定该类别对应的类别标签。
7.根据权利要求6所述的方法,其特征在于,所述依据该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比确定该类别对应的类别标签包括:针对除所述第一类别之外的每一类别,
计算该类别对应的DNS请求平均数与DNS响应平均数之间的比值;
若所述比值小于第一设定阈值,则确定该类别对应的类别标签为第一异常业务设备类别标签,第一异常业务设备类别标签用于指示DNS反射攻击;
若所述比值大于第二设定阈值,则确定该类别对应的类别标签为第二异常业务设备类别标签,所述第二异常业务设备类别标签用于指示DNS洪泛攻击;其中,第二设定阈值大于第一设定阈值;
若所述DNS解析成功平均占比小于第三设定阈值,则确定该类别对应的类别标签为第三异常业务设备类别标签,所述第三异常业务设备类别标签用于指示恶意程序;
若所述比值在所述第一设定阈值和所述第二设定阈值之间、且所述DNS解析成功平均占比大于第三设定阈值,则确定该类别对应的类别标签为正常业务设备类别标签。
8.根据权利要求1所述的方法,其特征在于,所述依据每一目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别包括:
针对每一目标物联网设备,若该目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离均大于最大距离MAX,则确定目标物联网设备所属的目标类别为未知异常,否则,
从所述检测模型的各类别标签中确定目标类别标签,所述目标类别标签对应的中心特征向量与目标物联网设备的目标特征向量之间的距离满足指定距离条件,确定目标物联网设备所属的目标类别为所述目标类别标签对应的类别。
9.根据权利要求8所述的方法,其特征在于,所述检测模型中还存在各类别标签对应的样本距离,每一类别标签对应的样本距离是该类别标签对应的类别中各样本物联网设备的样本特征向量与该类别标签对应的中心特征向量之间的距离中的最大值;
所述最大距离MAX为所述检测模型中各类别标签对应的样本距离中的最大值。
10.根据权利要求1至9任一所述的方法,其特征在于,该方法进一步包括:在确定目标物联网设备所属的目标类别为用于指示DNS反射攻击的第一异常设备类别标签对应的类别时,在DNS服务器上限制针对该类别中各目标物联网设备的DNS响应次数;
在确定目标物联网设备所属的目标类别为用于指示DNS洪泛攻击的第二异常设备类别标签对应的类别时,针对该类别中各目标物联网设备进行基础配置检查和/或安全扫描;
在确定目标物联网设备所属的目标类别为用于指示恶意程序的第三异常设备类别标签对应的类别时,联动已配置的安全设备对该类别中各目标物联网设备进行安全加固。
11.根据权利要求1所述的方法,其特征在于,该方法进一步包括:在检测到模型更新事件时,重新训练更新所述检测模型;所述模型更新事件至少包括:模型更新时间到达、或者检测到目标物联网设备所属的类别为未知异常。
12.一种基于角色的物联网设备异常检测系统,其特征在于,该系统包括:物联网核心交换机、用于执行如权利要求1至11任一方法的电子设备;所述电子设备部署在物联网核心交换机的旁路或者独立于所述物联网核心交换机。
13.一种电子设备,其特征在于,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现权利要求1‑11任一项的方法步骤。
说明书 :
基于设备角色的物联网设备异常检测方法、系统及装置
技术领域
背景技术
常。但目前这种基于规则库或者规则表解析出异常的方式,常会因为规则库或者规则表配
置延迟而导致不能及时发现异常比如被攻击的设备等,同时配置规则库或者规则表也会加
大工作量。
发明内容
题。
数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS
解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析的信息;
型中一个类别标签对应的类别或者为未知异常,所述检测模型中的类别标签至少包括:正
常业务设备标签、DNS服务器标签、异常业务设备标签。
的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、响应DNS请求、域
名解析等,借助该行为(经由物联网核心交换机的DNS报文)构建物联网设备的特征向量,最
后基于该特征向量与检测模型中已训练出的各类别标签对应的中心特征向量之间的距离
确定物联网设备所属的类别,不再依赖于规则库或者规则表,实现了基于设备角色的物联
网设备检测。
(用于响应接收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、
响应DNS请求、域名解析等(最终会形成经由物联网核心交换机的DNS报文),不再依赖于物
联网设备本身的基础信息比如进程、内存、网络等信息,不会对物联网设备产生影响或干
扰。
附图说明
具体实施方式
中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申
请的一些方面相一致的装置和方法的例子。
清楚地表示其他含义。
应。相应地,域名解析会涉及以下三个设备角色:DNS请求角色(用于发起DNS请求)、DNS响应
角色(用于响应接收的DNS请求)、DNS服务器(用于域名解析)。在正常情况下,DNS服务器担
任DNS响应角色,但是对于一些攻击,则常会导致DNS服务器与DNS响应角色不一致。
等)正常,则其发起DNS请求的数量较少,相应地,收到DNS响应的数量也较少;假若担任DNS
请求角色的业务设备异常比如被攻击等,则其发起的DNS请求的数量很多、或者收到的DNS
响应的数量很多,或者发起的DNS请求都得不到正常响应等。可选地,在本实施例中,上述的
业务设备可举例为网络摄像机(IPC)、硬盘录像机(DNR)、网络录像机(NVR)等安防设备,本
实施例并不具体限定。
本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显
易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
也可独立于物联网核心交换机,比如部署在物联网核心交换机的旁路等,本实施例并不具
体限定。
限定。
送至上述电子设备。即最终实现了电子设备获得DNS报文。
的方式复制一份DNS报文并转发给上述电子设备。即最终实现了电子设备获得DNS报文。
识。同样,当一个报文为DNS响应时,该报文会携带用于指示DNS响应的响应标识。基于此,若
DNS报文携带上述请求标识,则确定该DNS报文为DNS请求,若DNS报文携带上述响应标识,则
确定该DNS报文为DNS响应。
设备)的DNS请求数量增加设定值,并将DNS请求中目的IP地址对应的物联网设备(此时记为
属于上述第一指定时间段的目标物联网设备)的DNS响应数量增加设定值。
数量增加设定值,将DNS响应中目的IP地址对应的物联网设备(此时记为属于上述第一指定
时间段的目标物联网设备)的DNS请求数量增加设定值,并识别DNS响应中携带的DNS解析结
果,当DNS解析结果包含表示DNS解析成功的标识时,将DNS响应中目的IP地址对应的物联网
设备(此时记为属于上述第一指定时间段的目标物联网设备)的DNS解析成功数量增加设定
值。
DNS响应数量、DNS解析成功数量均为预设值比如0或者其他值等,本实施例并不具体限定。
备的DNS解析成功信息、该目标物联网设备的DNS请求数量、以及该目标物联网设备的DNS响
应数量确定为该目标物联网设备的特征向量。最终实现了上述步骤102中确定上述第一指
定时间段内各目标物联网设备的目标特征向量。
到的比值。
如在同一预设范围内),消除各目标特征向量中同一位置上的值的差异比较大而对后续确
定类别带来的影响。
别标签,这里暂不赘述。
基于物联网设备角色(DNS请求角色、DNS响应角色、DNS服务器)的检测。
收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、响应DNS请求、
域名解析等,借助该行为(经由物联网核心交换机的DNS报文)构建物联网设备的特征向量,
最后基于该特征向量与检测模型中已训练出的各类别标签对应的中心特征向量之间的距
离确定物联网设备所属的类别,不再依赖于规则库或者规则表,实现了基于设备角色的物
联网设备检测。
(用于响应接收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、
响应DNS请求、域名解析等(最终会形成经由物联网核心交换机的DNS报文),不再依赖于物
联网设备本身的基础信息比如进程、内存、网络等信息,不会对物联网设备产生影响或干
扰。
内用于检测模型训练的样本物联网设备)的DNS请求数量增加设定值,将该DNS请求中目的
IP地址对应的物联网设备(记为第二指定时间段内用于检测模型训练的样本物联网设备)
的DNS响应数量增加设定值。
物联网设备)的DNS响应数量增加设定值,将该DNS响应中目的IP地址对应的物联网设备(记
为第二指定时间段内用于检测模型训练的样本物联网设备)的DNS请求数量增加设定值,并
识别该DNS响应携带的DNS解析结果,当DNS解析结果包含DNS解析成功的标识时,将该DNS响
应中目的IP地址对应的物联网设备(记为第二指定时间段内用于检测模型训练的样本物联
网设备)的DNS解析成功数量增加设定值。
联网设备的DNS解析成功信息可为DNS解析成功占比,具体可为该样本物联网设备的DNS解
析成功数量除以该样本物联网设备的DNS请求数量得到的比值。
样本特征向量。也即,上述样本特征向量至少包括:样本物联网设备发起的DNS请求的DNS请
求数量、发向样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息。
差异比较小(比如在同一预设范围内),消除各样本特征向量中同一位置上的值的差异比较
大而对后续聚类带来的影响。
应的类别中的各样本物联网设备的样本特征向量确定。
联网设备的样本特征向量中确定处于中心的样本特征向量,将该处于中心的样本特征向量
确定为该类别(也即该类别对应的类别标签)对应的中心特征向量。这里只是举例描述类别
标签对应的中心特征向量,并非用于限定。
数量依据该类别中各样本物联网设备的DNS请求数量和DNS响应数量确定。
本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标
签。
借助据该类别中样本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类
别对应的类别标签。
之和除以该类别中样本物联网设备的设备总数量得到的结果。
除以该类别中样本物联网设备的设备总数量得到的结果。
包括各样本物联网设备的DNS解析成功占比为例,则DNS解析成功平均占比可为该类别中各
样本物联网设备的DNS解析成功占比之和除以该类别中样本物联网设备的设备总数量得到
的结果。
一设定阈值、第二设定阈值。可选地,比如第一设定阈值为0.1、第二设定阈值为10,第三设
定阈值为0.1。
进行描述:
网设备所属的目标类别为未知异常,否则,执行步骤402。
签对应类中各样本物联网设备的样本特征向量,计算该获得的每一样本特征向量与该类别
标签对应的中心特征向量之间的距离,选择最大距离中的最大值作为类别标签对应的样本
距离。
最大的距离。
型中类别标签对应的类别,此时可暂先将目标物联网设备所属的目标类别确定为未知异
常。
测模型中的类别标签,至于具体是哪一个类别,则需要进一步基于下述步骤402确定。
联网设备所属的目标类别为目标类别标签。
检测模型中其他任一类别标签对应的中心特征向量与目标物联网设备的目标特征向量之
间的距离。
类别。
联网设备所属的目标类别为用于指示DNS反射攻击的第一异常设备类别标签对应的类别
时,在域名DNS服务器上限制针对该类别中各目标物联网设备的DNS响应次数,比如限制DNS
服务器每分钟仅针对该类别中的目标物联网设备响应10次。
和/或安全扫描,比如先检查该类别中各目标物联网设备进行基础配置,防止因为基础配置
错误导致DNS洪泛,之后再对该类别中各目标物联网设备进行安全扫描,查杀可能的病毒文
件。
联网设备进行安全加固,比如,联动防火墙等安全设备对该类别中各目标物联网设备进行
安全检查和病毒查杀加固。
求的DNS请求数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功
信息;所述DNS解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析
的信息;
类别为所述检测模型中一个类别标签对应的类别或者为未知异常,所述检测模型中的类别
标签至少包括:正常业务设备类别标签、DNS服务器类别标签、异常业务设备类别标签。
增加设定值;
增加设定值,并识别DNS响应中携带的DNS解析结果,当所述DNS解析结果包含表示DNS解析
成功的标识时,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS解析成功数量增
加设定值;
DNS请求数量、该目标物联网设备的DNS响应数量、以及该目标物联网设备的DNS解析成功信
息确定为该目标物联网设备的特征向量。
DNS请求数量、发向所述样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;
所述DNS解析成功信息是指所述样本物联网设备发起的DNS请求中的域名被成功解析的信
息;所述第二指定时间段不同于所述第一指定时间段;
应的类别中的各样本物联网设备的样本特征向量确定。
的IP地址对应的样本物联网设备的DNS响应数量增加设定值;
的IP地址对应的样本物联网设备的DNS请求数量增加设定值,并识别该DNS响应携带的DNS
解析结果,当DNS解析结果包含DNS解析成功的标识时,将该DNS响应中目的IP地址对应的样
本物联网设备的DNS解析成功数量增加设定值;
解析成功信息、该样本物联网设备的DNS请求数量、以及该样本物联网设备的DNS响应数量
确定为该样本物联网设备的样本特征向量。
数量依据该类别中各样本物联网设备的DNS请求数量和DNS响应数量确定;
设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标签。
网设备的设备总数量确定,所述DNS响应平均数依据该类别中各样本物联网设备的DNS响应
数量与该类别中样本物联网设备的设备总数量确定;所述DNS解析成功平均占比是依据该
类别中各样本物联网设备的DNS解析成功信息以及该类别中样本物联网设备的设备总数量
确定;
大于第一设定阈值;
括:
备所属的目标类别为未知异常,否则,
联网设备所属的目标类别为所述目标类别标签对应的类别。
对应的中心特征向量之间的距离中的最大值;
各目标物联网设备的DNS响应次数;在确定目标物联网设备所属的目标类别为用于指示DNS
洪泛攻击的第二异常设备类别标签对应的类别时,针对该类别中各目标物联网设备进行基
础配置检查和/或安全扫描;在确定目标物联网设备所属的目标类别为用于指示恶意程序
的第三异常设备类别标签对应的类别时,联动已配置的安全设备对该类别中各目标物联网
设备进行安全加固。
的类别为未知异常。
可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器
可执行指令,以实现本申请上述示例公开的方法。
实现本申请上述示例公开的方法。
(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动
器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,
或者它们的组合。
以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放
器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的
任意几种设备的组合。
施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的
计算机可用存储介质(包括但不限于磁盘存储器、CD‑ROM、光学存储器等)上实施的计算机
程序产品的形式。
流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程
序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以
产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于
实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装
置。
包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一
个方框或者多个方框中指定的功能。
或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图
一个方框或多个方框中指定的功能的步骤。
替换、改进等,均应包含在本申请的权利要求范围之内。