Nothing Special   »   [go: up one dir, main page]

CN111565377B - 应用于物联网的安全监测方法和装置 - Google Patents

应用于物联网的安全监测方法和装置 Download PDF

Info

Publication number
CN111565377B
CN111565377B CN202010292027.8A CN202010292027A CN111565377B CN 111565377 B CN111565377 B CN 111565377B CN 202010292027 A CN202010292027 A CN 202010292027A CN 111565377 B CN111565377 B CN 111565377B
Authority
CN
China
Prior art keywords
internet
things
terminal
event information
vector representation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010292027.8A
Other languages
English (en)
Other versions
CN111565377A (zh
Inventor
郑霖
代维
林育民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
River Security Inc
Original Assignee
River Security Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by River Security Inc filed Critical River Security Inc
Priority to CN202010292027.8A priority Critical patent/CN111565377B/zh
Publication of CN111565377A publication Critical patent/CN111565377A/zh
Application granted granted Critical
Publication of CN111565377B publication Critical patent/CN111565377B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Social Psychology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种应用于物联网的安全监测方法和装置,其中方法包括:威胁感知平台收集运行于物联网终端的程序所采集的所述物联网终端发生的预设行为的事件信息;将属于同一型号或同一类型的物联网终端的事件信息进行整合并从中提取有效行为特征;基于所述有效行为特征,将有效行为特征偏离所述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端。本申请能够对异常的物联网终端进行安全监测,提高安全性。

Description

应用于物联网的安全监测方法和装置
【技术领域】
本申请涉及计算机网络技术领域,特别涉及一种应用于物联网的安全监测方法、装置、设备和计算机存储介质。
【背景技术】
本部分旨在为权利要求书中陈述的本申请的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就被认为是现有技术。
物联网(IoT,The Internet of Things)是一个基于互联网、传统电信网等的信息承载体,它让所有能够被独立寻址的普通物理对象形成互联互通的网络。随着物联网技术发展,大量物联网终端接入互联网,但由于市场方兴未艾,众多物联网终端的安全防护仍存在较多薄弱之处。且由于大量物联网终端分布在网络空间各角落,无法进行统一管理,一旦物联网终端被入侵,对网络安全和用户隐私都会产生严重威胁。
【发明内容】
有鉴于此,本申请提供了一种应用于物联网的安全监测方法、装置、设备和计算机存储介质,以便于对物联网终端进行安全监测,提高安全性。
具体技术方案如下:
第一方面,本申请提供了一种应用于物联网的安全监测方法,该方法包括:
威胁感知平台收集运行于物联网终端的程序所采集的所述物联网终端发生的预设行为的事件信息;
将属于同一型号或同一类型的物联网终端的事件信息进行整合并从中提取有效行为特征;
基于所述有效行为特征,将有效行为特征偏离所述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端。
根据本申请一优选实施方式,所述预设行为的事件信息包括以下至少一种:
文件事件、存储项变更事件、进程事件和网络连接事件。
根据本申请一优选实施方式,所述将属于同一型号或同一类型的物联网终端的事件信息进行整合包括:
将属于同一型号或同一类型的物联网终端的事件信息进行数据清洗和归一化处理。
根据本申请一优选实施方式,所述从中提取有效行为特征包括:
将物联网终端的事件信息的向量表示输入自编码器进行降维处理,将得到的向量表示作为有效行为特征的向量表示。
根据本申请一优选实施方式,基于所述有效行为特征,将有效行为特征偏离所述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端包括:
将所述有效行为特征的向量表示输入解码器进行升维处理,确定升维处理得到的向量表示与所述物联网终端的事件信息的向量表示的差异程度;
将所述差异程度在所述同一型号或同一类型的物联网终端中的均差值超过预设阈值的物联网终端识别为异常终端。
根据本申请一优选实施方式,在所述将属于同一型号或同一类型的物联网终端的事件信息进行整合之前,还包括:
判断物联网终端的事件信息是否包含已知攻击产生的特征行为;
将包含已知攻击产生的特征行为的物联网终端识别为异常终端。
第二方面,本申请提供了一种应用于物联网的安全监测装置,该装置设置于威胁感知平台,包括:
收集单元,用于收集运行于物联网终端的程序所采集的所述物联网终端发生的预设行为的事件信息;
整合单元,用于将属于同一型号或同一类型的物联网终端的事件信息进行整合;
第一识别单元,用于从整合后的事件信息中提取有效行为特征,基于所述有效行为特征,将有效行为特征偏离所述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端。
根据本申请一优选实施方式,所述预设行为的事件信息包括以下至少一种:
文件事件、存储项变更事件、进程事件和网络连接事件。
根据本申请一优选实施方式,所述整合单元,具体用于将属于同一型号或同一类型的物联网终端的事件信息进行数据清洗和归一化处理。
根据本申请一优选实施方式,所述第一识别单元在提取有效行为特征时,具体执行:
将物联网终端的事件信息的向量表示输入自编码器进行降维处理,将得到的向量表示作为有效行为特征的向量表示。
根据本申请一优选实施方式,所述第一识别单元在基于所述有效行为特征,将有效行为特征偏离所述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端时,具体执行:
将所述有效行为特征的向量表示输入解码器进行升维处理,确定升维处理得到的向量表示与所述物联网终端的事件信息的向量表示的差异程度;
将所述差异程度在所述同一型号或同一类型的物联网终端中的均差值超过预设阈值的物联网终端识别为异常终端。
根据本申请一优选实施方式,该装置还包括:
第二识别单元,用于在所述整合单元将属于同一型号或同一类型的物联网终端的事件信息进行整合之前,判断物联网终端的事件信息是否包含已知攻击产生的特征行为;将包含已知攻击产生的特征行为的物联网终端识别为异常终端。
第三方面,本申请还提供了一种设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上任一所述的方法。
第四方面,本申请还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如上任一所述的方法。
由以上技术方案可以看出,本申请提供了一种物联网的安全检测方法,能够对异常的物联网终端进行安全监测,提高安全性。
【附图说明】
图1示出了可以应用本发明实施例的物联网的安全监测方法或装置的示例性系统架构;
图2为本申请实施例提供的一种方法流程图;
图3为本申请实施例提供的应用自编码器-解码器的示意图;
图4为本申请实施例提供的安全检测装置的结构图;
图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器的框图。
【具体实施方式】
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本申请进行详细描述。
图1示出了可以应用本发明实施例的物联网的安全监测方法或装置的示例性系统架构。
如图1所示,该系统架构可以包括物联网终端101、网络102和服务器103。网络102用以在物联网终端101和服务器103之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用物联网终端101通过网络102与服务器103交互。物联网终端101上可以安装有各种应用,例如语音交互应用、网页浏览器应用、通信类应用等。
物联网终端101可以是任意的物联网终端,包括但不限于智能家居设备、智能可穿戴式设备、智能交通设备、智能环境监测设备等等。本发明所提供的威胁感知平台可以设置并运行于上述服务器103中。其可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块,在此不做具体限定。服务器103可以是单一服务器,也可以是多个服务器构成的服务器群组。
应该理解,图1中的物联网终端、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的物联网终端、网络和服务器。
图2为本申请实施例提供的一种方法流程图,如图2中所示,该方法可以包括以下步骤:
在201中,威胁感知平台收集运行于物联网终端的程序所采集的物联网终端发生的预设行为的事件信息。
在本申请实施例中,可以针对互联网终端嵌入式平台编写可以监控并采集终端内部运行状态的程序,将该程序嵌入并运行于物联网终端。该程序可以常驻物联网终端的系统中并持续监控并采集物联网终端发生的预设行为的事件信息。
其中,预设行为的事件信息可以包括文件事件、存储项变更事件、进程事件和网络连接事件等信息中的至少一种。
例如,文件事件可以包括物联网终端的系统磁盘可写入分区中的文件创建、删除等事件及详细信息。存储项变更事件可以包括物联网终端的系统NVRAM(Non-VolatileRandom Access Memory,非易失性随机访问存储器)等可写入闪存中的存储项变更事件及详细信息。进程事件可以包括物联网终端的系统进程创建、退出等事件及详细信息。网络连接事件可以包括物联网终端的系统网络端口创建、销毁等事件及连接建立后的五元组(协议,本地地址,本地端口号,远地地址,远地端口号)详细信息等。
运行于物联网终端的该程序可以将采集到的事件信息采用流式或周期式的方式,通过网络发送给威胁感知平台,由威胁感知平台收集并存储。
在202中,将属于同一型号或同一类型的物联网终端的事件信息进行整合并从中提取有效行为特征。
通常而言,同一型号或同一类型的物联网设备在同一软件系统版本运行的情况下,上述采集到的事件信息应当具备较为一致的行为特点。当某些或某个物联网设备的行为特征明显偏离基线时,被入侵的可能性较高。本申请就是基于这一核心思想提出的技术方案。
威胁感知平台收集到各物联网终端发生的事件信息后,在进行整合时,可以将属于同一型号或同一类型的物联网终端的事件信息进行数据清洗和归一化处理。其中数据清洗可以将明显超出合理数值的事件信息、数据格式不正确的事件信息、存在数据缺失的事件信息等过滤掉,使得留下的事件信息都是有效的。
通常业界在进行异常终端的识别时,采用的通常是诸如K-Means等聚类方法,但这种方法在选取阈值时大多依据人工经验,这样会造成误判,准确性较低。
而本申请采用更为智能的基于神经网络的AutoEncoder(自编码器)算法实现无监督的异常检测。其中,在提取有效行为特征时,可以将物联网终端的事件信息的向量表示输入自编码器进行降维处理,将得到的向量表示作为有效行为特征的向量表示。
物联网设备的事件信息进行归一化处理后,经过映射可以得到物联网设备的事件信息构成的向量表示,该向量表示的维度与物联网设备的事件信息的种类数一致。例如,对于各物联网设备而言,收集到十六种事件信息,那么一个物联网设备的事件信息就可以表示为十六维的向量。如图3所示,将该向量表示输入多层神经网络构成的自编码器对物联网设备的多维向量表示进行降维,例如将文件事件、存储项变更事件、进程事件、网络连接事件等十六维向量降至二维,该过程中,多层神经网络自动学习到有效的行为特征,该有效的行为特征由降维得到的该二维向量得到。也就是说,从十六维的向量中自动学习到其中二维的事件信息,该事件信息所体现的行为特征即为有效的行为特征。其中上述十六维和二维仅为本申请中所列举的维度,但本申请并不限于该具体的维度。
在203中,基于有效行为特征,将有效行为特征偏离上述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端。
本步骤中,可以将有效行为特征的向量表示输入多层神经网络构成的解码器进行升维处理,然后确定升维处理得到的向量表示与物联网终端的事件信息的向量表示的差异程度;将差异程度在所述同一型号或同一类型的物联网终端中的均差值超过预设阈值的物联网终端识别为异常终端。例如图3中所示,将降维后得到的二维的向量通过多层神经网络构成的解码器升维回十六维,将该十六维的向量与最初降维之前的十六维向量进行比对,确定差异程度。对于同一型号或同一类型的物联网终端均能够确定出该差异程度,将同一型号或同一类型的物联网终端的差异程度求平均。若某物联网终端的差异程度偏离平均值超过预设的阈值,则该物联网终端被识别为异常终端。
也就是说,将降维处理得到的向量表示进行还原。对于学习到的有效行为特征是最能够体现物联网终端事件信息的特征,基于理想状况,进行降维之前的向量与还原之后的向量之间的差异应该在正常范围内,该正常范围是同一型号或同一类型的物联网终端所基本体现的差异程度。若某物联网终端的前后向量误差偏离该正常范围,则可以认为该物联网终端为异常终端。
本申请中,有效行为特征由多层神经网络自学习得到,无需人为设置特征阈值,本申请所提供的基于自编码的算法可大幅降低之前聚类算法人工选取特征阈值带来的误判,且效率更高。
对于识别出的异常终端,威胁感知平台可以向管理员发送异常通知,该异常通知中可以包括异常终端的信息,例如异常终端的ID、名称、型号、类型等信息,还可以包括该异常终端的事件信息。该异常通知可以通过可视化的方式提供给管理员,例如通过系统界面提供,也可以采用向管理员的终端发送通知消息的方式。通过在物联网终端安全监控技术上的创新,可以使得物联网终端厂商或信息安全监管部门更有效地发现威胁并及时响应。
更进一步地,在执行步骤202之前可以首先判断物联网终端的事件信息是否包含已知攻击产生的特征行为,如果是,则将包含已知攻击产生的特征行为的物联网终端识别为异常终端。其中,已知攻击产生的特征行为可以是人工根据经验配置的特征行为,也可以是采用其他方式准确识别出的已知攻击产生的特征行为,也可以是对采用本申请实施例所提供的方式识别出的异常终端进行行为特征分析后得到的特征行为。
以上是对本申请所提供的方法进行的详细描述,下面结合实施例对本申请提供的装置进行详细描述。
图4为本申请实施例提供的安全检测装置的结构图,如图4中所示,该装置设置于上述方法中的威胁感知平台,用以实现上述安全感知平台的功能。具体包括:收集单元01、整合单元02和第一识别单元03,还可以进一步包括第二识别单元04。其中各组成单元的主要功能如下:
收集单元01负责收集运行于物联网终端的程序所采集的物联网终端发生的预设行为的事件信息。具体可以包括文件事件、存储项变更事件、进程事件和网络连接事件中的至少一种。
整合单元02负责将属于同一型号或同一类型的物联网终端的事件信息进行整合。具体地,可以将属于同一型号或同一类型的物联网终端的事件信息进行数据清洗和归一化处理。
第一识别单元03负责从整合后的事件信息中提取有效行为特征,基于有效行为特征,将有效行为特征偏离同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端。
其中,第一识别单元03在提取有效行为特征时,可以将物联网终端的事件信息的向量表示输入自编码器进行降维处理,将得到的向量表示作为有效行为特征的向量表示。
第一识别单元03在基于有效行为特征,将有效行为特征偏离同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端时,可以将有效行为特征的向量表示输入解码器进行升维处理,确定升维处理得到的向量表示与物联网终端的事件信息的向量表示的差异程度;将差异程度在同一型号或同一类型的物联网终端中的均差值超过预设阈值的物联网终端识别为异常终端。
第二识别单元04在整合单元02将属于同一型号或同一类型的物联网终端的事件信息进行整合之前,判断物联网终端的事件信息是否包含已知攻击产生的特征行为;将包含已知攻击产生的特征行为的物联网终端识别为异常终端。
以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
图5示出了适于用来实现本发明实施方式的示例性计算机系统/服务器的框图。图5显示的计算机系统/服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统/服务器012以通用计算设备的形式表现。计算机系统/服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元016,系统存储器028,连接不同系统组件(包括系统存储器028和处理单元016)的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器028可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。计算机系统/服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统034可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,计算机系统/服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该计算机系统/服务器012交互的设备通信,和/或与使得该计算机系统/服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,计算机系统/服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器020通过总线018与计算机系统/服务器012的其它模块通信。应当明白,尽管图5中未示出,可以结合计算机系统/服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元016通过运行存储在系统存储器028中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的方法流程。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行本发明实施例所提供的方法流程。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种应用于物联网的安全监测方法,其特征在于,该方法包括:
威胁感知平台收集运行于物联网终端的程序所采集的所述物联网终端发生的预设行为的事件信息;
将属于同一型号或同一类型的物联网终端的事件信息进行整合并从中提取有效行为特征;
基于所述有效行为特征,将有效行为特征偏离所述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端;
其中,所述从中提取有效行为特征包括:将物联网终端的事件信息的向量表示输入自编码器进行降维处理,将得到的向量表示作为有效行为特征的向量表示,所述向量表示的维度与物联网终端的事件信息的种类数一致;
基于所述有效行为特征,将有效行为特征偏离所述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端包括:将所述有效行为特征的向量表示输入解码器进行升维处理,确定升维处理得到的向量表示与所述物联网终端的事件信息的向量表示的差异程度;将所述差异程度在所述同一型号或同一类型的物联网终端中的均差值超过预设阈值的物联网终端识别为异常终端。
2.根据权利要求1所述的方法,其特征在于,所述预设行为的事件信息包括以下至少一种:
文件事件、存储项变更事件、进程事件和网络连接事件。
3.根据权利要求1所述的方法,其特征在于,所述将属于同一型号或同一类型的物联网终端的事件信息进行整合包括:
将属于同一型号或同一类型的物联网终端的事件信息进行数据清洗和归一化处理。
4.根据权利要求1所述的方法,其特征在于,在所述将属于同一型号或同一类型的物联网终端的事件信息进行整合之前,还包括:
判断物联网终端的事件信息是否包含已知攻击产生的特征行为;
将包含已知攻击产生的特征行为的物联网终端识别为异常终端。
5.一种应用于物联网的安全监测装置,其特征在于,该装置设置于威胁感知平台,包括:
收集单元,用于收集运行于物联网终端的程序所采集的所述物联网终端发生的预设行为的事件信息;
整合单元,用于将属于同一型号或同一类型的物联网终端的事件信息进行整合;
第一识别单元,用于从整合后的事件信息中提取有效行为特征,基于所述有效行为特征,将有效行为特征偏离所述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端;
其中,所述第一识别单元在提取有效行为特征时,具体执行:将物联网终端的事件信息的向量表示输入自编码器进行降维处理,将得到的向量表示作为有效行为特征的向量表示,所述向量表示的维度与物联网终端的事件信息的种类数一致;
所述第一识别单元在基于所述有效行为特征,将有效行为特征偏离所述同一型号或同一类型的基线特征的程度超过预设阈值的物联网终端识别为异常终端时,具体执行:将所述有效行为特征的向量表示输入解码器进行升维处理,确定升维处理得到的向量表示与所述物联网终端的事件信息的向量表示的差异程度;将所述差异程度在所述同一型号或同一类型的物联网终端中的均差值超过预设阈值的物联网终端识别为异常终端。
6.根据权利要求5所述的装置,其特征在于,所述预设行为的事件信息包括以下至少一种:
文件事件、存储项变更事件、进程事件和网络连接事件。
7.根据权利要求5所述的装置,其特征在于,所述整合单元,具体用于将属于同一型号或同一类型的物联网终端的事件信息进行数据清洗和归一化处理。
8.根据权利要求5所述的装置,其特征在于,该装置还包括:
第二识别单元,用于在所述整合单元将属于同一型号或同一类型的物联网终端的事件信息进行整合之前,判断物联网终端的事件信息是否包含已知攻击产生的特征行为;将包含已知攻击产生的特征行为的物联网终端识别为异常终端。
9.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法。
10.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-4中任一所述的方法。
CN202010292027.8A 2020-04-14 2020-04-14 应用于物联网的安全监测方法和装置 Active CN111565377B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010292027.8A CN111565377B (zh) 2020-04-14 2020-04-14 应用于物联网的安全监测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010292027.8A CN111565377B (zh) 2020-04-14 2020-04-14 应用于物联网的安全监测方法和装置

Publications (2)

Publication Number Publication Date
CN111565377A CN111565377A (zh) 2020-08-21
CN111565377B true CN111565377B (zh) 2023-08-01

Family

ID=72073024

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010292027.8A Active CN111565377B (zh) 2020-04-14 2020-04-14 应用于物联网的安全监测方法和装置

Country Status (1)

Country Link
CN (1) CN111565377B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113965394B (zh) * 2021-10-27 2024-02-02 北京天融信网络安全技术有限公司 网络攻击信息获取方法、装置、计算机设备和介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105407103A (zh) * 2015-12-19 2016-03-16 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN107196930A (zh) * 2017-05-12 2017-09-22 苏州优圣美智能系统有限公司 计算机网络异常检测的方法、系统及移动终端
CN109413091A (zh) * 2018-11-20 2019-03-01 中国联合网络通信集团有限公司 一种基于物联网终端的网络安全监控方法和装置
CN109981617A (zh) * 2019-03-12 2019-07-05 深圳市智物联网络有限公司 一种物联网设备监控方法、系统及电子设备和存储介质
CN110855514A (zh) * 2019-09-30 2020-02-28 北京瑞航核心科技有限公司 一种关注物联网实体安全的行为监控方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11277420B2 (en) * 2017-02-24 2022-03-15 Ciena Corporation Systems and methods to detect abnormal behavior in networks
CN108804914B (zh) * 2017-05-03 2021-07-16 腾讯科技(深圳)有限公司 一种异常数据检测的方法及装置
WO2019094729A1 (en) * 2017-11-09 2019-05-16 Strong Force Iot Portfolio 2016, Llc Methods and systems for the industrial internet of things
CN109711714B (zh) * 2018-12-24 2023-01-10 浙江大学 基于并联长短期记忆网络的制造装配产品质量预测方法
CN110033014A (zh) * 2019-01-08 2019-07-19 阿里巴巴集团控股有限公司 异常数据的检测方法及其系统
CN110807518A (zh) * 2019-11-06 2020-02-18 国网山东省电力公司威海供电公司 一种面向电网数据的离群点检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105407103A (zh) * 2015-12-19 2016-03-16 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN107196930A (zh) * 2017-05-12 2017-09-22 苏州优圣美智能系统有限公司 计算机网络异常检测的方法、系统及移动终端
CN109413091A (zh) * 2018-11-20 2019-03-01 中国联合网络通信集团有限公司 一种基于物联网终端的网络安全监控方法和装置
CN109981617A (zh) * 2019-03-12 2019-07-05 深圳市智物联网络有限公司 一种物联网设备监控方法、系统及电子设备和存储介质
CN110855514A (zh) * 2019-09-30 2020-02-28 北京瑞航核心科技有限公司 一种关注物联网实体安全的行为监控方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《以泛在电力物联终端行为分析为核心的物联网应用安全管控思路及实现》;杨阳,王利斌,冯磊;《电子世界》;全文 *
《面向视频物联网的安全防护机制的设计与实现》;李偲;《中国优秀硕士学位论文全文数据库 信息科技辑》;全文 *

Also Published As

Publication number Publication date
CN111565377A (zh) 2020-08-21

Similar Documents

Publication Publication Date Title
US20220263860A1 (en) Advanced cybersecurity threat hunting using behavioral and deep analytics
CN111866016B (zh) 日志的分析方法及系统
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
WO2019084072A1 (en) GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM
CN111585799A (zh) 网络故障预测模型建立方法及装置
CN111400357A (zh) 一种识别异常登录的方法和装置
US20170149800A1 (en) System and method for information security management based on application level log analysis
CN112306802A (zh) 系统的数据获取方法、装置、介质和电子设备
CN117240598B (zh) 攻击检测方法、装置、终端设备及存储介质
CN111614614B (zh) 应用于物联网的安全监测方法和装置
CN111565377B (zh) 应用于物联网的安全监测方法和装置
CN108156127B (zh) 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
CN113343228B (zh) 事件可信度分析方法、装置、电子设备及可读存储介质
CN111709021B (zh) 一种基于海量告警的攻击事件识别方法及电子装置
CN113132393A (zh) 异常检测方法、装置、电子设备以及存储介质
CN116418591A (zh) 一种计算机网络安全入侵智能检测系统
CN117749499A (zh) 一种网络信息系统场景下的恶意加密流量检测方法及系统
EP4254241A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
CN116545740A (zh) 一种基于大数据的威胁行为分析方法及服务器
CN114938300A (zh) 基于设备行为分析的工控系统态势感知方法及其系统
EP3679506A2 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
CN114915446A (zh) 一种融合先验知识的智能网络安全检测方法
WO2021055964A1 (en) System and method for crowd-sourced refinement of natural phenomenon for risk management and contract validation
CN111274089A (zh) 一种基于旁路技术的服务器异常行为感知系统
CN117290898B (zh) 一种用于Chiplet芯片系统的安全保护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant