本发明专利技术公开了一种基于机器学习的家用物联网设备DDoS检测方法,包括以下步骤:A.建立一个本地网络模拟家用物联网设备网络来生成正常数据与DoS数据;B.收集所述步骤A中生成的正常数据与DoS数据,并对收集到的正常数据与DoS数据进行特征分析与特征提取;C.将特征数据分成训练集与测试集两部分,所述训练集用于训练机器学习决策树、随机森林模型并生成二分类模型,所述测试集用于验证生成的二分类模型的精确率与召回率以衡量机器学习模型检测DDoS流量的可行性;D.将生成的二分类模型运行在网络中间件上进行数据获取、特征提取及数据包分类及识别正常流量包与DoS流量包。本发明专利技术的方法可实现特定网络行为进行高精度的DDoS检测。
【技术实现步骤摘要】
一种基于机器学习的家用物联网设备DDoS检测方法
本专利技术涉及物联网安全检测与机器学习
,特别涉及一种基于机器学习的家用物联网设备DDoS检测方法。
技术介绍
尽管越来越多的物联网(IoT)设备连接到互联网,但其中许多设备并不安全,进一步恶化了互联网环境,不安全的物联网设备使僵尸网络对其的攻击有了可乘之机,利用不安全的家用物联网设备,一些僵尸网络(如Mirai)对关键基础设施进行分布式拒绝服务(DDoS)攻击。不断增长的威胁促使开发新技术来识别和阻止来自物联网僵尸网络的攻击流量。最近的异常检测研究已经表明机器学习可以用于识别恶意网络流量。同时,物联网设备的流量与其他互联网设备(例如笔记本电脑和智能手机)的流量存在很大差异。基于这一特性,即可制定一个用于家用物联网设备DDoS检测方法,利用物联网设备特定的网络行为进行特征提取,通过机器学习算法实现高精度DDoS检测,及时发现物联网设备受攻击的情况,采取安全防护措施,减少损失。
技术实现思路
本专利技术的目的是克服上述
技术介绍
中不足,提供一种基于机器学习的家用物联网设备DDoS检测方法,可使用机器学习算法来检测物联网设备的DDoS攻击流量,是一个面向物联网特定功能的网络异常检测方法,可实现特定网络行为进行高精度的DDoS检测。为了达到上述的技术效果,本专利技术采取以下技术方案:一种基于机器学习的家用物联网设备DDoS检测方法,包括以下步骤:A.建立一个本地网络模拟家用物联网设备网络来生成正常数据与DoS数据;B.收集所述步骤A中生成的正常数据与DoS数据,并对收集到的正常数据与DoS数据进行特征分析与特征提取;C.将特征数据分成训练集与测试集两部分,所述训练集用于训练机器学习决策树、随机森林模型并生成二分类模型,所述测试集用于验证生成的二分类模型的精确率与召回率以衡量机器学习模型检测DDoS流量的可行性;D.将生成的二分类模型运行在网络中间件上进行数据获取、特征提取及数据包分类及识别正常流量包与DoS流量包;本专利技术的方法中,主要通过基于机器学习算法并在本地搭建物联网测试环境获取分析数据流量以进行特征化,从而训练机器学习二分类模型,最终使用二分类模型进行分类识别DDoS数据包,以实现对物联网设备的特定网络行为进行高精度的DDoS检测。进一步地,所述步骤A中建立的本地网络中至少包括路由器、多个家用物联网设备、攻击设备、靶机。进一步地,所述步骤B具体包括以下步骤:B1.收集正常数据:对所述多个家用物联网设备与路由器之间的交互数据进行抓包,获取正常流量数据文件;B2.收集DoS数据:将攻击设备、靶机接入本地网络,同时将所述多个家用物联网设备断开本地网络,抓取攻击设备对靶机的DoS攻击文件,获取DoS数据文件;B3.对所述步骤B1及步骤B2中获取的两类数据文件的数据进行特征分析及特征提取。进一步地,所述步骤B3中具体是将提取的特征数据分为有状态特征与无状态特征,所述有状态特征为一定时间跨度内汇总多个数据包分析出的特征值,所述无状态特征是从单个数据包分析出的特征指。进一步地,所述无状态特征包括数据包大小、数据包间隔、通信协议,所述有状态特征包括带宽、目标IP地址数目。进一步地,所述步骤B3具体为:B3.1对所述步骤B1及步骤B2中获取的两类数据文件进行分组,首先按数据包的目标IP进行分组,目标IP相同的分为一组,然后将各组的数据包进一步按照一定的数据包发送时间间隔进行分组;B3.2对分好组的数据进行有状态特征和无状态特征提取;B3.3将提取的特征数据进行人工标记,区分每条特征数据为DoS数据还是正常数据,用于机器学习模型训练。本专利技术与现有技术相比,具有以下的有益效果:本专利技术的基于机器学习的家用物联网设备DDoS检测方法是基于物联网设备的流量与其他互联网设备(例如笔记本电脑和智能手机)的流量存在很大差异的特性,制定的一个用于家用物联网设备DDoS检测方法,利用物联网设备特定的网络行为进行特征提取,通过机器学习算法实现高精度DDoS检测,从而实现及时发现物联网设备受攻击的情况,采取安全防护措施,减少损失,是一个面向物联网特定功能的网络异常检测方法,可实现特定网络行为进行高精度的DDoS检测。附图说明图1是本专利技术的一个实施例中的建立的本地网络的示意图。图2是本专利技术的一个实施例中二分类机器学习模型进行DDoS检测的流程示意图。具体实施方式下面结合本专利技术的实施例对本专利技术作进一步的阐述和说明。实施例:一种基于机器学习的家用物联网设备DDoS检测方法,用于实现对物联网设备的特定网络行为进行高精度的DDoS检测,具体包括以下步骤:S101.建立了一个本地网络,如图1所示,本实施例中建立的本地网络中包括路由器、多个主流家用物联网设备、攻击设备及DoS靶机。具体的,主流家用物联网设备主要用以实现正常流量,攻击设备及DoS靶机则主要用于进行DoS攻击,其中,本实施例中的主流家用物联网设备具体包括网络摄像头、智能音响及与安卓智能手机蓝牙连接的智能手环。同时,在本实施例中具体是使用服务器上Linux虚拟机作为DoS源即攻击设备,将运行有phpweb应用的ApacheWeb服务器作为DoS靶机。建立本地网络时需先,配置好家用路由器wifi,然后将网络摄像头、智能音响接入路由器wifi。将智能手环通过蓝牙连接到安卓智能手机,然后安卓智能手机接入路由器wifi。S102.收集正常流量,使用上述主流家用物联网设备进行半个小时的交互并在路由器端抓包,获取正常流量数据文件,由此记录该时间段内发送的所有数据包。具体在本实施例中,此过程中交互的内容包括控制摄像头云台转向、打开/关闭智能摄像头和安装固件更新。语音控制智能音响播放音乐,控制音量,语音搜索等。将智能手环采集到运动步数,心率等数据上传到服务器进行存储。具体的,在获取到正常流量数据文件后还需进一步过滤抓包数据文件中所有非IoT的流量,例如安卓智能手机的其他App与服务器通信的数据。S103.收集Dos流量,本实施例中具体参考Mirai感染设备的常见DoS攻击类型:TCPSYNFlood、UDPFlood,将服务器上Linux虚拟机作为DoS攻击源将运行有phpweb应用的ApacheWeb服务器作为DoS靶机,然后通过wifi将两台设备连接到本地网络环境中,同时将上述主流家用物联网设备与wifi断开连接,然后,DoS攻击源对靶机分别进行5分钟左右的各类DoS攻击。路由器同样抓取攻击流量的pcap文件。TCPSYNFlood和UDPFlood攻击使用hping3进行模拟。然后再混合DoS流量与正常流量,使其看起来是物联网设备同时产生正常流量和DoS攻击流量。S104.特征提取,对步骤S102及步骤S103抓取到的两类数据进行研究、分析,然后进行特征提取,并将提取后的特征分为无状态特征与有状态特征。无状态特征是从单个数据包分析出的特征值,即无状态特征可以从各个数据包的数据推导出来,生成这些特征时不会依赖IP源的通信流。有状态特征则为一定时间跨度(10s)汇总多个数据包分析出的特征值,即有状态特征是一定时间跨度内(如10s)的网络流量,这些特征需要在一个时间跨度内汇总多个数据包的统计数据。具体的,无状态特征包括数据包大小、数据包间隔、通信协议。其中,数本文档来自技高网...
【技术保护点】
1.一种基于机器学习的家用物联网设备DDoS检测方法,其特征在于,包括以下步骤:A.建立一个本地网络模拟家用物联网设备网络来生成正常数据与DoS数据;B.收集所述步骤A中生成的正常数据与DoS数据,并对收集到的正常数据与DoS数据进行特征分析与特征提取;C.将特征数据分成训练集与测试集两部分,所述训练集用于训练机器学习决策树、随机森林模型并生成二分类机器学习模型,所述测试集用于验证生成的二分类机器学习模型的精确率与召回率以衡量二分类机器学习模型检测DDoS流量的可行性;D.将生成的二分类机器学习模型运行在网络中间件上进行数据获取、特征提取及数据包分类及识别正常流量包与DoS流量包。
【技术特征摘要】
1.一种基于机器学习的家用物联网设备DDoS检测方法,其特征在于,包括以下步骤:A.建立一个本地网络模拟家用物联网设备网络来生成正常数据与DoS数据;B.收集所述步骤A中生成的正常数据与DoS数据,并对收集到的正常数据与DoS数据进行特征分析与特征提取;C.将特征数据分成训练集与测试集两部分,所述训练集用于训练机器学习决策树、随机森林模型并生成二分类机器学习模型,所述测试集用于验证生成的二分类机器学习模型的精确率与召回率以衡量二分类机器学习模型检测DDoS流量的可行性;D.将生成的二分类机器学习模型运行在网络中间件上进行数据获取、特征提取及数据包分类及识别正常流量包与DoS流量包。2.根据权利要求1所述的一种基于机器学习的家用物联网设备DDoS检测方法,其特征在于,所述步骤A中建立的本地网络中至少包括路由器、多个家用物联网设备、攻击设备、靶机。3.根据权利要求2所述的一种基于机器学习的家用物联网设备DDoS检测方法,其特征在于,所述步骤B具体包括以下步骤:B1.收集正常数据:对所述多个家用物联网设备与路由器之间的交互数据进行抓包,获取正常流量数据文件;B2.收集DoS数据:将攻击设备、靶机接入本地网络,同时将所述多个家用物联...
【专利技术属性】
技术研发人员:江佳峻,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。