本发明涉及物联网安全技术领域,特别涉及一种基于机器学习进行物联网威胁检测的方法。
背景技术:
尽管越来越多的物联网(iot)设备连接到互联网,但由于物联网设备数量众多,导致其成为攻击者重点关注的方向,且其中许多设备并不安全,使得僵尸网络有了攻击的可乘之机,如使用僵尸网络进行ddos攻击、恶意挖矿、对外端口扫描实施入侵等。
不断增长的威胁促使开发新技术来识别和阻止来自物联网僵尸网络的攻击流量。由于物联网威胁存在未知性,难以形成现成的规则进行威胁匹配识别,因此可使用机器学习已知的攻击类型,用以及时发现物联网设备遭受的已知及未知攻击的威胁,以便采取安全防护措施,从而减少损失。
技术实现要素:
本发明的目的是克服上述背景技术中不足,提供一种基于机器学习进行物联网威胁检测的方法,通过使用机器学习已知的攻击类型,实现及时发现物联网设备遭受的已知及未知攻击的威胁,以便采取安全防护措施,从而减少损失。
为了达到上述的技术效果,本发明采取以下技术方案:
一种基于机器学习进行物联网威胁检测的方法,用于实现对物联网设备的威胁检测,包括以下步骤:
a.在物联网环境中采集流量数据;
b.对采集到的流量数据进行特征处理;
c.将处理过的流量数据用于机器学习模型训练;
d.将训练好的模型部署到物联网环境设备中,用于威胁检测及识别。
进一步地,所述步骤a具体为:
a1.建立一个本地网络,其中,所述本地网络中至少包含路由设备及物联网设备;
a2.在物联网环境中采集流量数据。
进一步地,所述步骤a中采集流量时具体的采集方式为局域网抓包的方式。
进一步地,所述步骤a中采集流量时具体分为正常流量采集与异常流量采集。
进一步地,所述正常流量采集为采集物联网设备在一定时间段内的正常流量;所述异常流量采集是通过在物联网设备终端模拟对外端口扫描对外dos流量数据,进行异常流量采集。
进一步地,所述步骤b具体为分析搜集到的流量数据的特征,进行特征信息提取。
进一步地,所述特征信息提取具体包括至少分别提取正常流量数据与异常流量数据的数据包大小信息、数据包发送间隔信息、ip五元组特征信息,并对提取的特征值进行分组标记,具体分为正常流量数据组与异常流量数据组。
进一步地,所述步骤c具体为:将经特征提取处理的流量数据用于机器学习模型训练,从而训练生成用于威胁识别的机器学习模型。
进一步地,所述机器学习模型进行训练时其学习算法采用随机森林或深度神经网络。
进一步地,所述步骤d中,机器学习模型进行威胁检测及识别时具体是对输入的物联网环境中的流量数据,使用预设的特征处理方式来解析数据,进行威胁识别并输出威胁识别结果。
本发明与现有技术相比,具有以下的有益效果:
本发明的基于机器学习进行物联网威胁检测的方法,通过使用机器学习已知的攻击类型,实现及时发现物联网设备遭受的已知及未知攻击的威胁,且可使机器不断学习新的攻击类型,并及时发现威胁,以便采取安全防护措施,从而减少损失。
附图说明
图1是本发明的一个实施例中建立的本地网络示意图。
图2是本发明的基于机器学习进行物联网威胁检测的方法的流程示意图。
具体实施方式
下面结合本发明的实施例对本发明作进一步的阐述和说明。
实施例:
实施例一:
如图2所示,一种基于机器学习进行物联网威胁检测的方法,用于实现对物联网设备的威胁检测,包括以下步骤:
步骤一:在物联网环境中采集流量数据;具体为:先建立一个本地网络,然后,在物联网环境中采集流量数据;其中,所述本地网络中至少包含路由设备及物联网设备,如图1所示,本实施例中建立的本地网络中包括路由器、物联网设备电视机。
具体的,本实施例中,采集流量时具体的采集方式为局域网抓包的方式,且采集流量时具体分为正常流量采集与异常流量采集,其中,正常流量采集为采集物联网设备在一定时间段内的正常流量;所述异常流量采集是通过在物联网设备终端模拟对外端口扫描对外dos流量数据,进行异常流量采集。
步骤二:对采集到的流量数据进行特征处理;具体为分析搜集到的正常流量数据的特征及异常流量数据的特征,并进行特征信息提取,本实施例中,特征信息提取具体包括分别提取正常流量数据与异常流量数据的数据包大小信息、数据包发送间隔信息、ip五元组特征信息,并对提取的特征值进行分组标记,具体标记为正常流量数据组与异常流量数据组。
步骤三:将处理过的流量数据用于机器学习模型训练;具体为:将经特征提取处理的流量数据用于机器学习模型训练,从而训练生成用于威胁识别的机器学习模型,机器学习模型进行训练时其学习算法采用随机森林或深度神经网络实现监督学习。
步骤四:将训练好的模型部署到物联网环境设备中,用于威胁检测及识别;其中,机器学习模型进行威胁检测及识别时具体是对输入的物联网环境中的流量数据,使用预设的特征处理方式来解析数据,如提取输入的流量数据的特征,并将提取的特征分别与正常流量数据特征及异常流量数据特征进行比对,从而进行威胁识别并输出威胁识别结果。
由上可知,本发明的基于机器学习进行物联网威胁检测的方法,通过使用机器学习已知的攻击类型,实现及时发现物联网设备遭受的已知及未知攻击的威胁,且可使机器不断学习新的攻击类型,并及时发现威胁,以便采取安全防护措施,从而减少损失。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。