一种基于ATT&CK矩阵映射的物联网终端威胁检测方法技术

本发明专利技术涉及物联网终端威胁检测技术领域，特别涉及一种基于ATT&CK矩阵映射的轻量级物联网入侵检测方法，包括对嗅探的物联网原始数据进行数据清洗，并自动识别攻击数据；实时筛选物联网协议头部和数据部分字节作为有效特征；量化物联网协议头部和数据部分字节形成流量初始特征矩阵；量化物联网通信数据的逻辑通信关系形成行为初始特征矩阵；通过矩阵线性运算将流量和行为初始特征进行线性加权，并将加权之后得到的综合特征矩阵映射到ATT&CK矩阵；通过ATT&CK检测物联网威胁类型；本发明专利技术能够以较高的效率和准确率判别针对物联网终端的威胁，达到对物联网终端威胁进行快速检测的目的。的。的。

【技术实现步骤摘要】
一种基于ATT&CK矩阵映射的物联网终端威胁检测方法


[0001]本专利技术涉及入侵检测
，特别涉及一种基于ATT&CK矩阵映射的物联网终端威胁检测方法。

技术介绍

[0002]物联网是互联网在政务、工业、国防和社会生活中的延伸，通过近几年的迅猛发展，已经形成了“万物互联”的庞大体系。随着应用的拓展，针对物联网的攻击频繁出现，轻则造成人身隐私泄露和财产安全损失，重则导致工控瘫痪、金融混乱、社会动荡，严重危害国家安全。由于物联网的节点及终端设备的功耗较低、计算资源不足、运行环境复杂、通信协议多样，使得传统的网络安全技术无法直接应用于物联网，因此从多层面研究物联网安全威胁的检测方法已经成为亟待攻克的难题。目前主流的网络安全威胁检测方法主要包括以下几种：
[0003]1、通过网络分层协议字段综合加权进行检测，本质上这是一种流量分析方法。这种技术通过对物联网中传输报文的不同层次的协议字段进行提取，获得威胁数据的特征，并赋予不同的权值进行简单叠加后得到威胁指标值，最终通过该值的大小确定威胁类型。例如，取应用层的域名解析字段dns.query.name、网络层的目的IP、传输层的数据字段作为特征字节。
[0004]2、通过不同层次的安全策略进行检测。在数据采集层，利用IDS对端口扫描、暴力破解等攻击进行预警；在传输层利用X509证书验证智能终端的合法身份；在数据处理层，利用深度包检测技术对物联网通信数据进行过滤，控制终端对物联网服务器的非法访问。从本质上讲，这种检测方法是基于规则来检测，其效果取决于专家经验。
[0005]3、利用深度学习模型进行威胁检测。随着深度学习热度增加，众多研究者将目光从传统的机器学习转移到深度学习中。典型的代表是：采用卷积神经网络学习网络的空间特征，采用两层卷积层和两层最大池化层；采用包含两层隐藏层的LSTM网络对网络空间的时序特征进行学习；综合前面两个模型所得时空特征表示，利用softmax分类器进行威胁分类。但模型的训练需要大量的样本才能完成，部署模型也需要对参数调优以达到最佳效果，对维护者和使用者提出了更高的要求。
[0006]在物联网海量的数据通信的背景下，亟需一种快速的网络安全威胁检测方法，轻量级的威胁检测能够更好、更快地保护IoT的安全，以较低的时空代价实现物联网终端威胁的检测功能。

技术实现思路

[0007]为了实现轻量级的物联网智能终端威胁检测，本专利技术提出一种基于 ATT&CK矩阵映射的物联网终端威胁检测方法，如图1，包括以下步骤：
[0008]S1、对嗅探的物联网原始数据进行数据清洗，并识别物联网攻击数据；
[0009]S2、将物联网协议头部和数据部分字节作为候选特征，对其实时筛选保留有效特
征；
[0010]S3、量化物联网协议头部和数据部分字节形成流量初始特征矩阵；
[0011]S4、量化物联网通信数据的逻辑通信关系形成行为初始特征矩阵；
[0012]S5、通过矩阵线性运算将流量和行为初始特征进行线性加权，并将加权之后得到的综合特征矩阵映射到ATT&CK矩阵；
[0013]S6、通过ATT&CK检测物联网威胁类型。
[0014]进一步的，选择物联网协议头部和数据部分字节作为特征包括：
[0015]针对ZWAVE协议，将数据报文头部的帧控制字段2字节作为特征字节；
[0016]针对Zigbee协议，将数据报文中的源地址、目的地址、有效载荷的长度作为识别的特征；
[0017]针对BLE协议的广播报文，接入地址固定0x8eb9d6，从ADstruct中提取ADtype和ADdata中的UUID，companyID作为特征字节；
[0018]针对链路通信报文，提取LLID和attribute value作为特征字节，使用包长度、包类型、LLID、UUID、CompanyID、attribute value进行BLE数据的识别特征；
[0019]针对WiFi协议，从MAC帧中选择源地址、目的地址、帧类型、帧子类型、 BSSID作为特征字节，从Radiotap头部中选择数据传输速率、信号强度、信道作为特征字节。
[0020]进一步的，采用欧氏距离计算待识别数据报文特征与已知攻击报文特征之间的距离，若该距离小于设置的识别阈值则将待识别数据归入IoT攻击网络数据中。
[0021]进一步的，实时筛选保留有效特征时，采用基于互信息对物联网数据特征进行筛选，筛选指标表示为：
[0022][0023]其中，I(F
M
；C)表示特征F
M
与威胁类别C的互信息；I(F
M
；F
S
)表示特征F
M
与F
S
之间的互信息；表示对应的均值；I(F
M
；F
S
|C)表示在知道特征F
M
与F
S
互信息的情况下再知道威胁类别C后能获得的信息，而表示对应的均值。
[0024]进一步的，量化物联网协议头部和数据部分字节形成流量初始特征矩阵包括：
[0025]将数据报文的所有特征字节转化为无符号整型进行量化；
[0026]采用二维矩阵进行存储，该矩阵中行表示不同数据报文，列表示不同特征字节；
[0027]使用MinMaxScaler对矩阵进行归一化处理，得到流量初始特征矩阵。
[0028]进一步的，量化物联网通信数据的逻辑通信关系形成行为初始特征矩阵包括：
[0029]将连续网络数据报文进行前后逻辑关系进行量化，连续网络数据报文进行前后逻辑关系至少包括相同源地址数据报文发送时间间隔、相同目的地址数据报文发送时间间隔、相同载荷数据报文发送间隔、指定周期内发往相同目的地址的报文数量；
[0030]采用二维矩阵进行存储，该矩阵中每一行表示一个数据报文，每一列为各个数据报文的一个逻辑通信特征；
[0031]使用MinMaxScaler对矩阵进行归一化处理，得到行为初始特征矩阵。
[0032]进一步的，通过矩阵线性运算将流量和行为初始特征进行线性加权，该过程表示为：
[0033]M＝α
·
FF+β
·
BF；
[0034]其中，M为流量和行为初始特征进行线性加权后得到的综合特征矩阵；FF 为流量特征初始矩阵，BF为行为特征初始矩阵；α、β分别为矩阵加权系数。
[0035]进一步的，通过ATT&CK检测物联网威胁类型包括：通过将综合特征矩阵与映射算子进行矩阵相乘，按照结果矩阵中的元素大小对照ATT&CK矩阵相应位置，元素数值越大，代表该数据报文对应ATT&CK中相应位置上的攻击类型的概率越大。
[0036]本专利技术提出的ATT&CK矩阵映射方法能本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于ATT&CK矩阵映射的物联网终端威胁检测方法，其特征在于，包括以下步骤：S1、对嗅探的物联网原始数据进行数据清洗，并识别物联网攻击数据；S2、将物联网协议头部和数据部分字节作为候选特征，进行实时筛选保留有效特征；S3、量化物联网协议头部和数据部分字节形成流量初始特征矩阵；S4、量化物联网通信数据的逻辑通信关系形成行为初始特征矩阵；S5、通过矩阵线性运算将流量和行为初始特征进行线性加权，并将加权之后得到的综合特征矩阵映射到ATT&CK矩阵；S6、通过ATT&CK检测物联网威胁类型。2.根据权利要求1所述的一种基于ATT&CK矩阵映射的物联网终端威胁检测方法，其特征在于，选择物联网协议头部和数据部分字节作为特征包括：针对ZWAVE协议，将数据报文头部的帧控制字段2字节作为特征字节；针对Zigbee协议，将数据报文中的源地址、目的地址、有效载荷的长度作为识别的特征；针对BLE协议的广播报文，接入地址固定0x8eb9d6，从ADstruct中提取ADtype和ADdata中的UUID，companyID作为特征字节；针对链路通信报文，提取LLID和attribute value作为特征字节，使用包长度、包类型、LLID、UUID、CompanyID、attribute value进行BLE数据的识别特征；针对WiFi协议，从MAC帧中选择源地址、目的地址、帧类型、帧子类型、BSSID作为特征字节，从Radiotap头部中选择数据传输速率、信号强度、信道作为特征字节。3.根据权利要求1所述的一种基于ATT&CK矩阵映射的物联网终端威胁检测方法，其特征在于，采用欧氏距离计算待识别数据报文特征与已知攻击报文特征之间的距离，若该距离小于设置的识别阈值则将待识别数据归入IoT攻击网络数据中。4.根据权利要求1所述的一种基于ATT&CK矩阵映射的物联网终端威胁检测方法，其特征在于，实时筛选保留有效特征时，采用基于互信息对物联网数据特征进行筛选，筛选指标表示为：其中，I(F
M
；C)表示特征F
M
与威胁类别C的互信息；I(F
M
；F
S
)表示特征F
M
与F
S...

【专利技术属性】
技术研发人员：张亮，程克非，崔晓通，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：