本申请公开了一种基于智能终端的异常流量分析方法及装置。所述方法包括:收集物联网设备的流量数据;对所述流量数据进行处理得到预测数据集;利用预设流量分析模型对所述预测数据集进行分析,确定所述流量数据是否存在异常;当确定所述流量数据存在异常时,根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图。所述装置包括初搜集模块、处理模块、分析模块和拓扑模块。本申请能够通过对异常流量进行分析识别DDoS攻击。常流量进行分析识别DDoS攻击。常流量进行分析识别DDoS攻击。
【技术实现步骤摘要】
一种基于智能终端的异常流量分析方法及装置
[0001]本申请涉及物联网安全管理领域,特别是涉及一种基于智能终端的异常流量分析方法及装置。
技术介绍
[0002]物联网(Internet ofThings,IOT)是一个基于互联网的信息载体,是对传统互联网的扩展和延伸。由于物联网设备通常无人监控、版本更新滞后、病毒防御能力差,使其易受恶意控制成为物联网僵尸网络节点,进而执行分布式拒绝服务(Distributed Denial ofService,DDoS)攻击,对整个互联网环境的安全造成严重威胁。其中,2016年Mirai僵尸网络控制的上万台物联网设备便是造成半个美国互联网瘫痪的罪魁祸首。
[0003]现有相关技术中,针对物联网DDoS攻击检测方法有:通过设置流量阈值进行识别,当实际流量值大于设定阈值时识别为攻击流量;使用第三方提供的敏捷物联网解决方案。
[0004]由于物联网设备往往一次安装、长久使用,缺乏后期的监控与维护,设置流量阈值进行DDoS攻击检测的方式不够灵活,阈值难以把握,且准确率较低;而购买第三方解决方案则需要更多费用。
技术实现思路
[0005]本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题。提出一种基于智能终端的异常流量分析方法及装置,通过对异常流量进行分析识别DDoS攻击。
[0006]根据本申请的一个方面,提供了一种基于智能终端的异常流量分析方法,包括:
[0007]收集物联网设备的流量数据;
[0008]对所述流量数据进行处理得到预测数据集;
[0009]利用预设流量分析模型对所述预测数据集进行分析,确定所述流量数据是否存在异常;
[0010]当确定所述流量数据存在异常时,根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图。
[0011]优选地,预设流量分析模型的获取方式包括:
[0012]通过在设备端安装agent的方式,实时或定时向云端服务器上报流量数据;
[0013]云端服务器收集设备正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据;
[0014]对收集到的流量数据,记录所述流量数据所属的类别;
[0015]分别对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理,完成特征提取,得到特征数据集;
[0016]对所述特征数据集进行拆分得到训练集和测试集;
[0017]使用所述训练集和所述测试集对流量分析模型进行训练和验证得到预设流量分析模型。
[0018]优选地,对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理包括:
[0019]对收集到的正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行清洗;
[0020]对清洗后的流量数据进行格式转换,转换为每个流量包的描述数据;
[0021]对转换后的描述数据按照预设维度进行汇聚。
[0022]优选地,使用所述特征数据对流量分析模型进行训练和验证得到预设流量分析模型包括:
[0023]利用训练集的特征数据对流量分析模型进行训练;并记录流量分析模型的各项评估指标;
[0024]根据评估指标优劣调整流量分析模型的参数获得测试测试流量分析模型;
[0025]使用测试集的特征数据对所述测试流量分析模型进行验证;
[0026]若测试流量分析模型的各项评估指标达到期望值,则将所述测试流量分析模型作为预设流量分析模型;否则,重新调整流量分析模型的算法及其参数,得到各项评估指标达到期望值的预设流量分析模型。
[0027]优选地,所述的方法还包括:当确定所述流量数据存在异常时,发出告警。
[0028]优选地,根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图包括:
[0029]对收集到的攻击数据算法分析得到恶意控制端ip和攻击目标ip;
[0030]通过ip白名单对分析得到的恶意控制端ip和攻击目标ip数据进行确认与优化;
[0031]统计得到设备与恶意控制端ip、攻击目标ip的流量交互过程中的参数及攻击类型,绘制恶意网络流量拓扑图;
[0032]所述流量交互过程中的参数包括以下的的一项或者多项:
[0033]数据包种类、流量大小、攻击开始时间与攻击结束时间。
[0034]根据本申请的另一个方面,还提供了一种基于智能终端的异常流量分析装置,包括:
[0035]搜集模块,设置为收集物联网设备的流量数据;
[0036]处理模块,设置为对所述流量数据进行处理得到预测数据集;
[0037]分析模块,设置为利用预设流量分析模型对所述预测数据集进行分析,确定所述流量数据是否存在异常;
[0038]拓扑模块,设置为当确定所述流量数据存在异常时,根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图。
[0039]优选地,所述分析模块中预设流量分析模型的获取方式包括:
[0040]通过在设备端安装agent的方式,实时或定时向云端服务器上报流量数据;
[0041]云端服务器收集设备正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据;
[0042]对收集到的流量数据,记录所述流量数据所属的类别;
[0043]分别对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理,完成特征提取,得到特征数据集;
[0044]对所述特征数据集进行拆分得到训练集和测试集;
[0045]使用所述训练集和所述测试集对流量分析模型进行训练和验证得到预设流量分析模型。
[0046]优选地,所述分析模块对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理包括:
[0047]对收集到的正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行清洗;
[0048]对清洗后的流量数据进行格式转换,转换为每个流量包的描述数据;
[0049]对转换后的描述数据按照预设维度进行汇聚。
[0050]优选地,所述分析模块中使用所述特征数据对流量分析模型进行训练和验证得到预设流量分析模型包括:
[0051]利用训练集的特征数据对流量分析模型进行训练;并记录流量分析模型的各项评估指标;
[0052]根据评估指标优劣调整流量分析模型的参数获得测试测试流量分析模型;
[0053]使用测试集的特征数据对所述测试流量分析模型进行验证;
[0054]若测试流量分析模型的各项评估指标达到期望值,则将所述测试流量分析模型作为预设流量分析模型;否则,重新调整流量分析模型的算法及其参数,得到各项评估指标达到期望值的预设流量分析模型。
[0055]本申请的基于智能终端的异常流量分析方法及装置,通过机器学习算法建模进行物联网DDoS本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于智能终端的异常流量分析方法,其特征在于,包括:收集物联网设备的流量数据;对所述流量数据进行处理得到预测数据集;利用预设流量分析模型对所述预测数据集进行分析,确定所述流量数据是否存在异常;当确定所述流量数据存在异常时,根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图。2.根据权利要求1所述的方法,其特征在于,预设流量分析模型的获取方式包括:通过在设备端安装agent的方式,实时或定时向云端服务器上报流量数据;云端服务器收集设备正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据;对收集到的流量数据,记录所述流量数据所属的类别;分别对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理,完成特征提取,得到特征数据集;对所述特征数据集进行拆分得到训练集和测试集;使用所述训练集和所述测试集对流量分析模型进行训练和验证得到预设流量分析模型。3.根据权利要求2所述的方法,其特征在于,对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理包括:对收集到的正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行清洗;对清洗后的流量数据进行格式转换,转换为每个流量包的描述数据;对转换后的描述数据按照预设维度进行汇聚。4.根据权利要求2所述的方法,其特征在于,使用所述特征数据对流量分析模型进行训练和验证得到预设流量分析模型包括:利用训练集的特征数据对流量分析模型进行训练;并记录流量分析模型的各项评估指标;根据评估指标优劣调整流量分析模型的参数获得测试测试流量分析模型;使用测试集的特征数据对所述测试流量分析模型进行验证;若测试流量分析模型的各项评估指标达到期望值,则将所述测试流量分析模型作为预设流量分析模型;否则,重新调整流量分析模型的算法及其参数,得到各项评估指标达到期望值的预设流量分析模型。5.根据权利要求2所述的方法,其特征在于,还包括:当确定所述流量数据存在异常时,发出告警。6.根据权利要求1所述的方法,其特征在于,根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图包括:对收集到的攻击数据算法分析得到恶意控制端ip和攻击目标ip;通过ip白名单对分析得到的恶意控制端ip和攻击目标ip数据进行确认与优化;统...
【专利技术属性】
技术研发人员:姚熙,何鑫鑫,王迷涛,
申请(专利权)人:北京方研矩行科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。