CN110602041A - 基于白名单的物联网设备识别方法、装置及网络架构 - Google Patents
基于白名单的物联网设备识别方法、装置及网络架构 Download PDFInfo
- Publication number
- CN110602041A CN110602041A CN201910717616.3A CN201910717616A CN110602041A CN 110602041 A CN110602041 A CN 110602041A CN 201910717616 A CN201910717616 A CN 201910717616A CN 110602041 A CN110602041 A CN 110602041A
- Authority
- CN
- China
- Prior art keywords
- equipment
- model
- internet
- things
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,特别涉及一种基于白名单的物联网设备识别方法、装置及网络架构,该方法包含:抓取网络中数据包,获取不同设备型号的通信流量数据并提取流量通信特征;对流量通信特征进行数据建模,得到不同设备型号的指纹识别模型,并依据指纹识别模型构建基于流量通信特征的特征指纹库,该特征指纹库中存储有预先获取白名单设备的流量通信特征;依据指纹识别模型构建设备识别模型,并通过特征指纹库对设备识别模型进行周期性训练;通过训练后的设备识别模型实时识别接入设备。本发明能够有针对性地对白名单设备与非白名单设备分别采取对应的安全管理措施,提高物联网设备识别效率,便于在实际分析中开展应用,具有较好的应用前景。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种基于白名单的物联网设备识别方法、装置及网络架构。
背景技术
物联网设备随物联网(IOT)数量的激增是未来的趋势。根据最近的预测显示,物联网设备将按市场需求呈指数增长,2030年物联网设备的数量将达到1250亿。各种物联网应用场景不断涌现,例如智能电网、智慧城市、智能楼宇、智慧医疗、智能交通等,这些***都呈现出大规模,分布式,复杂异构的特点。***中设备种类繁多,以智能家居***为例,摄像头、智能门锁、智能电视、智能冰箱、智能照明***以及各类智能传感器将配备在未来的家庭中。海量物联网设备的使用和其应用技术的普及方便了我们的生活,但其在服务,技术,设备和协议(例如无线,有线,卫星,蜂窝,蓝牙等)上的异构性使得物联网的管理愈加复杂。由于很多智能设备的生产供应商都是不具备网络安全专业知识的传统家用电器制造商,很多设备先天都是存在漏洞的。有漏洞的设备被攻击者利用,接入目标网络,潜伏伺机发起攻击,这导致目标网络面临严重的安全威胁。
在大型的公司或者组织内部,对于有漏洞设备的接入控制以及内部安全管理尤为重要。员工倾向于将大量物联网设备连接到家庭网络,而25-50%中的员工表示已经将这些物联网设备中的某一个连接到了企业网络。这些通过员工连接到家庭或者企业内部网络的设备成为攻击者发动攻击的据点。比如安装在会议室的智能电视,一个小部件可以使用Skype应用程序来提升权限,然后拍摄想要的图像,并将图像信息泄露到远程FTP服务器。还存在另一种攻击类型,即显示器虽然已关闭,但植入的恶意软件仍然能够捕获周围的声音,并通过WiFi非法传输给第三方。面对这些种类繁杂,路径多样的攻击,各种组织的内部网络应该重新考虑是否允许这些设备轻易的连接网络,并考虑如何对连接到内部网络的设备进行管理。传统的设备识别技术在无线通信中广泛应用,早期的无线通信指纹工作主要识别基于硬件和驱动的设备特性。面向物联网的设备识别技术主要利用与传感器相关特征来唯一识别设备。由于大量廉价的物联网设备使用的内部驱动或者硬件等都大致相同,而且并不是所有的设备都配置传感器,所以已有这些方法不能用来准确识别物联网的设备型号。
发明内容
为此,本发明提供一种基于白名单的物联网设备识别方法、装置及网络架构,根据设备流量特征利用机器学习技术构建指纹并训练分类器以识别设备,基于设备型号的识别结果有针对性地对白名单设备与非白名单设备分别采取对应的安全管理措施,便于在实际分析中开展应用。
按照本发明所提供的设计方案,一种基于白名单的物联网设备识别方法,包含:
抓取网络中数据包,获取不同设备型号的通信流量数据并提取流量通信特征;
对流量通信特征进行数据建模,得到不同设备型号的指纹识别模型,并依据指纹识别模型构建基于流量通信特征的特征指纹库,该特征指纹库中存储有预先获取白名单设备的流量通信特征;
依据指纹识别模型构建设备识别模型,并通过特征指纹库对设备识别模型进行周期性训练;
通过训练后的设备识别模型实时识别接入设备。
上述地,提取的流量通信特征至少包含:协议类型、数据包大小、IP地址变化及端口号大小。
上述地,利用随机森林算法周期性训练设备识别模型,包含如下内容:将特征指纹库中数据分割成若干训练样本集,每个训练样本集分别通过各自分类器进行分类训练;针对分类器分类训练结果进行综合投票,确定设备识别模型的输出。
上述地,设备识别模型训练中,首先依据流量通信特征判断物联网设备是否属于白名单,若不是,则阻断物联网设备与内网之间的连接,若是,则根据设定的安全管理模型部署内网中物联网设备的安全措施。
上述地,安全管理模型用于对白名单内的物联网设备进行持续流量异常监测并构建用于依据监测结果部署安全措施的威胁感知模型。
上述地,所述威胁感知模型为采用本体建模方法构建的包含资产、漏洞、警报、威胁、安全机制和关系的物联网安全本体模型。
进一步地,本发明还提供一种基于白名单的物联网设备识别装置,包含:流量采集模块、模型构建模块、模型训练模块和设备识别模块,其中,
流量采集模块,用于抓取网络中数据包,获取不同设备型号的通信流量数据并提取流量通信特征;
指纹构建模块,用于对流量通信特征进行数据建模,得到不同设备型号的指纹识别模型,并依据指纹识别模型构建基于流量通信特征的特征指纹库,该特征指纹库中存储有预先获取白名单设备的流量通信特征;
模型训练模块,用于依据指纹识别模型构建设备识别模型,并通过特征指纹库对设备识别模型进行周期性训练;
设备识别模块,用于通过训练后的设备识别模型实时识别接入设备。
更进一步地,本发明提供一种分布式网络架构,基于上述的物联网设备识别装置实现,包含用于物联网设备流量分析处理的安全网关和用于通过模型对物联网设备流量特征进行训练测试的安全服务器,物联网设备通过安全网关连接安全服务器;流量采集模块和指纹构建模块设于安全网关,模型训练模块和设备识别模块设于安全服务器。
上述的网络架构中,所述安全服务器内还设置有威胁感知模型,用于对物联网设备潜在威胁或已发生威胁部署相应安全措施。
上述的网络架构中,所述威胁感知模型为采用本体建模方法构建的包含资产、漏洞、警报、威胁、安全机制和关系的物联网安全本体模型。
本发明的有益效果:
本发明以设备流量通信特征为主要参数,分析未知设备与白名单设备之间的指纹差异,根据设备流量特征利用机器学习技术构建指纹并训练分类器以识别设备,基于设备型号的识别结果有针对性地对白名单设备与非白名单设备分别采取对应的安全管理措施。并进一步通过随机森林方法来检测非白名单设备,可以对白名单内部设备部署有效的通信限制等安全措施,从而给予内网更安全的保障。
针对现有威胁检测技术在检测定向攻击时效率较低等的情形,本发明通过对非白名单设备的接入控制以及白名单设备的内部安全措施部署的“两步法”,使得定向攻击一方面难以接入内部网络,即使侥幸接入内部网络,也会面临持续的流量监测和相应的安全控制措施。此外,本发明中的模型采用设备设置阶段的流量通信指纹,具有轻量级,检测速度快的特点,便于在物联网环境中部署。最后,由于采用本体威胁建模的框架,在云端与设备漏洞数据库连接,该模型还能高效发现不同设备型号的漏洞威胁,帮助安全管理人员快速响应,部署安全措施,具有较好的应用前景。
附图说明:
图1为实施例中物联网设备识别方法流程图之一;
图2为实施例中特征指纹库构建示意图;
图3为实施例中设备识别方法流程图之二;
图4为实施例中随机森林算法示意图;
图5为实施例中威胁感知模型示意图;
图6为实施例中设备识别装置示意图;
图7为实施例中分布式网络架构示意图。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
针对传统设备识别技术在无线通信中存在识别准确率地、应用受限等的情形,本发明实施例中,参见图1所示,提供一种基于白名单的物联网设备识别方法,包含如下内容:
S101)抓取网络中数据包,获取不同设备型号的通信流量数据并提取流量通信特征;
S102)对流量通信特征进行数据建模,得到不同设备型号的指纹识别模型,并依据指纹识别模型构建基于流量通信特征的特征指纹库,该特征指纹库中存储有预先获取白名单设备的流量通信特征;
S103)依据指纹识别模型构建设备识别模型,并通过特征指纹库对设备识别模型进行周期性训练;
S104)通过训练后的设备识别模型实时识别接入设备。
根据设备流量特征利用机器学习技术构建指纹并训练分类器以识别设备,基于设备型号的识别结果有针对性地对白名单设备与非白名单设备分别采取对应的安全管理措施,在保证物联网设备识别准确率的前提下,提高其识别效率,便于在实际分析中开展应用。
在对设备提取流量通信特征时,假设此时的设备都是没有被攻击者入侵的正常设备,即特征指纹库中都是正常设备的通信指纹。进一步地,本发明实施例中,提取的流量通信特征至少包含:协议类型、数据包大小、IP地址变化及端口号大小。参见图2所示,在学习模式下是不存在被感染的设备的。根据提取的特征信息利用数学建模提取出特征中的数字模型,再将数字模型进行组合构建基于通信流量特征的指纹库。
特征指纹构建完成之后,指纹库中存有白名单设备列表内的设备通信指纹。进一步地,本发明实施例中,利用随机森林算法周期性训练设备识别模型,包含如下内容:将特征指纹库中数据分割成若干训练样本集,每个训练样本集分别通过各自分类器进行分类训练;针对分类器分类训练结果进行综合投票,确定设备识别模型的输出。
参见图3所示,采用基于数据包捕获的采集方法,使用linux***下Wireshark抓包工具实时抓取网络中的数据包,从而获得不同设备型号的通信流量。在分布式的流量采集与监测模型下,通过对设备通信流量数据的分析,检测设备型号,构建基于设备型号的接入控制与内部设备安全管理体系。捕获原始流量数据包,提取流量通信特征;对特征信息数学建模,构建特征指纹库;采用随机森林算法周期性训练检测模型,并对设备进行检测;根据模型识别结果判断设备是否属于白名单;根据白名单判断结果,对非白名单设备采取接入控制;根据白名单判断结果,对白名单内部设备进行持续的流量异常检测以及本体威胁建模;根据建模结果,部署对应的安全管理措施。
在机器学习中,随机森林是一个包含多个决策树的分类器,并且其输出的类别是由个别树输出的类别的众数而定;随机森林算法可设计为如下内容:用N来表示训练用例(样本)的个数,M表示特征数目。输入特征数目m,用于确定决策树上一个节点的决策结果;其中m应远小于M。从N个训练用例(样本)中以有放回抽样的方式,取样N次,形成一个训练集(即bootstrap取样),并用未抽到的用例(样本)作预测,评估其误差。对于每一个节点,随机选择m个特征,决策树上每个节点的决定都是基于这些特征确定的。根据这m个特征,计算其最佳的***方式。每棵树都会完整成长而不会剪枝,这有可能在建完一棵正常树状分类器后会被采用)。参见图4所示,通过随机森林算法训练不同设备型号的指纹识别模型,学习速度快、效率高,能够有效提高物联网接入设备的识别效果。
进一步地,本发明实施例中,设备识别模型训练中,首先依据流量通信特征判断物联网设备是否属于白名单,若不是,则阻断物联网设备与内网之间的连接,若是,则根据设定的安全管理模型部署内网中物联网设备的安全措施。根据白名单判断结果,对白名单内部设备进行持续的流量异常监测,并根据设备型号进行本体威胁建模,最后根据威胁建模结果,部署基于设备型号的安全管理措施。
进一步地,本发明实施例中,安全管理模型用于对白名单内的物联网设备进行持续流量异常监测并构建用于依据监测结果部署安全措施的威胁感知模型。设备识别模型负责判别接入设备是否为白名单内部设备,从而对设备采取不同的控制策略,对非白名单设备进行接入控制,对白名单内部设备采取持续的流量异常检测和构建基于设备型号的威胁模型并部署对应的安全措施。
进一步地,本发明实施例中,所述威胁感知模型为采用本体建模方法构建的包含资产、漏洞、警报、威胁、安全机制和关系的物联网安全本体模型。参见图5所示,资产作为本体中一种抽象的概念,包含物理资产即设备,设备上的软件,以及设备使用的通信方式WiFi、Ethernet等,资产要求安全属性被认为是安全的,例如可用性,机密性,完整性等;每个威胁都会影响一个或多个安全属性,安全机制可以满足这些安全属性。漏洞是设备或软件中的缺陷,当他们被发现时,一般供应商会发布补丁来修复,但对于物联网设备来说,打补丁往往不及时,所以需要使用安全机制来预防攻击者利用发现的漏洞。安全机制描述保护已知漏洞的工具和方法,选择安全机制最重要的方面取决于资产的宝贵水平,根据成本等因素来实施恰当的保护,安全机制一般包括:侦探、预防、纠正、恢复、响应等。威胁表示利用设备和软件等的漏洞弱点可以发起的攻击,一般利用一个或多个漏洞,威胁等级代表对资产造成损害的程度,包括数据泄露,数据破坏等问题。警报代表异常检测模型感知到的威胁类型,在设备通信有异常的行为时,安全机制会做出响应,比如提高安全保护等级,限制设备通信等。
基于上述的方法,本发明实施例提供一种基于白名单的物联网设备识别装置,参见图6所示,包含:流量采集模块101、模型构建模块102、模型训练模块103和设备识别模块104,其中,
流量采集模块101,用于抓取网络中数据包,获取不同设备型号的通信流量数据并提取流量通信特征;
指纹构建模块102,用于对流量通信特征进行数据建模,得到不同设备型号的指纹识别模型,并依据指纹识别模型构建基于流量通信特征的特征指纹库,该特征指纹库中存储有预先获取白名单设备的流量通信特征;
模型训练模块103,用于依据指纹识别模型构建设备识别模型,并通过特征指纹库对设备识别模型进行周期性训练;
设备识别模块104,用于通过训练后的设备识别模型实时识别接入设备。
更进一步地,基于上述的方法和装置,本发明实施例还提供一种分布式网络架构,包含用于物联网设备流量分析处理的安全网关和用于通过模型对物联网设备流量特征进行训练测试的安全服务器,物联网设备通过安全网关连接安全服务器;流量采集模块和指纹构建模块设于安全网关,模型训练模块和设备识别模块设于安全服务器。
参见图7所示,采用分布式的网络架构的安全管理***模型,物联网设备通过安全网关连接安全服务器,安全网关承担流量分析的工作,缓解安全服务器处理海量设备产生的巨量数据的压力。安全网关与安全服务器在模型中发挥着相互辅助,相互补充的作用,物联网网关用来监视、采集设备流量,构建设备指纹以及设备识别与异常检测,并将设备识别与异常检测结果反馈给安全服务器,物联网安全服务器用来执行设备识别模型与基于设备型号的异常检测模型的训练,并根据安全网关的反馈结果构建威胁感知模型,用来对内部设备中潜在的威胁或者已经发生的威胁部署对应的安全措施。设备识别模型负责判别接入设备是否为白名单内部设备,从而对设备采取不同的控制策略,对非白名单设备进行接入控制,对白名单内部设备采取持续的流量异常检测和构建基于设备型号的威胁模型并部署对应的安全措施,在该安全管理模型中起到基础性的作用。
上述的网络架构中,安全服务器内还设置有威胁感知模型,用于对物联网设备潜在威胁或已发生威胁部署相应安全措施。
上述的网络架构中,威胁感知模型为采用本体建模方法构建的包含资产、漏洞、警报、威胁、安全机制和关系的物联网安全本体模型。
本发明优选实施例中,通过捕获原始流量数据包,并将流量中的通信特征提取出来;其次,对特征信息进行数学建模,构建特征指纹库;然后,采用随机森林算法周期性训练检测模型,并对设备进行检测;最后,根据识别结果判断设备是否属于白名单,对非白名单设备采取设备接入控制,对白名单内部设备进行持续流量监测和本体威胁建模,并根据建模结果部署对应的安全措施。通过构建基于白名单的物联网设备识别模型,可以有效地检测发现非法设备,并对物联网内部设备网络安全提供有力保障。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的方法,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
基于上述的方法,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的方法。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于白名单的物联网设备识别方法,其特征在于,包含:
抓取网络中数据包,获取不同设备型号的通信流量数据并提取流量通信特征;
对流量通信特征进行数据建模,得到不同设备型号的指纹识别模型,并依据指纹识别模型构建基于流量通信特征的特征指纹库,该特征指纹库中存储有预先获取白名单设备的流量通信特征;
依据指纹识别模型构建设备识别模型,并通过特征指纹库对设备识别模型进行周期性训练;
通过训练后的设备识别模型实时识别接入设备。
2.根据权利要求1所述的基于白名单的物联网设备识别方法,其特征在于,提取的流量通信特征至少包含:协议类型、数据包大小、IP地址变化及端口号大小。
3.根据权利要求1所述的基于白名单的物联网设备识别方法,其特征在于,利用随机森林算法周期性训练设备识别模型,包含如下内容:将特征指纹库中数据分割成若干训练样本集,每个训练样本集分别通过各自分类器进行分类训练;针对分类器分类训练结果进行综合投票,确定设备识别模型的输出。
4.根据权利要求1或3所述的基于白名单的物联网设备识别方法,其特征在于,设备识别模型训练中,首先依据流量通信特征判断物联网设备是否属于白名单,若不是,则阻断物联网设备与内网之间的连接,若是,则根据设定的安全管理模型部署内网中物联网设备的安全措施。
5.根据权利要求4所述的基于白名单的物联网设备识别方法,其特征在于,安全管理模型用于对白名单内的物联网设备进行持续流量异常监测并构建用于依据监测结果部署安全措施的威胁感知模型。
6.根据权利要求5所述的基于白名单的物联网设备识别方法,其特征在于,所述威胁感知模型为采用本体建模方法构建的包含资产、漏洞、警报、威胁、安全机制和关系的物联网安全本体模型。
7.一种基于白名单的物联网设备识别装置,其特征在于,包含:流量采集模块、模型构建模块、模型训练模块和设备识别模块,其中,
流量采集模块,用于抓取网络中数据包,获取不同设备型号的通信流量数据并提取流量通信特征;
指纹构建模块,用于对流量通信特征进行数据建模,得到不同设备型号的指纹识别模型,并依据指纹识别模型构建基于流量通信特征的特征指纹库,该特征指纹库中存储有预先获取白名单设备的流量通信特征;
模型训练模块,用于依据指纹识别模型构建设备识别模型,并通过特征指纹库对设备识别模型进行周期性训练;
设备识别模块,用于通过训练后的设备识别模型实时识别接入设备。
8.一种分布式网络架构,其特征在于,基于权利要求5所述的物联网设备识别装置实现,包含用于物联网设备流量分析处理的安全网关和用于通过模型对物联网设备流量特征进行训练测试的安全服务器,物联网设备通过安全网关连接安全服务器;流量采集模块和指纹构建模块设于安全网关,模型训练模块和设备识别模块设于安全服务器。
9.根据权利要求8所述的分布式网络架构,其特征在于,所述安全服务器内还设置有威胁感知模型,用于对物联网设备潜在威胁或已发生威胁部署相应安全措施。
10.根据权利要求9所述的分布式网络架构,其特征在于,所述威胁感知模型为采用本体建模方法构建的包含资产、漏洞、警报、威胁、安全机制和关系的物联网安全本体模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910717616.3A CN110602041A (zh) | 2019-08-05 | 2019-08-05 | 基于白名单的物联网设备识别方法、装置及网络架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910717616.3A CN110602041A (zh) | 2019-08-05 | 2019-08-05 | 基于白名单的物联网设备识别方法、装置及网络架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110602041A true CN110602041A (zh) | 2019-12-20 |
Family
ID=68853445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910717616.3A Pending CN110602041A (zh) | 2019-08-05 | 2019-08-05 | 基于白名单的物联网设备识别方法、装置及网络架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110602041A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111757378A (zh) * | 2020-06-03 | 2020-10-09 | 湃方科技(北京)有限责任公司 | 一种无线网络中设备识别方法及装置 |
| CN112073988A (zh) * | 2020-07-31 | 2020-12-11 | 中国科学院信息工程研究所 | 一种局域网内隐藏摄像头的探测方法 |
| CN112068926A (zh) * | 2020-07-31 | 2020-12-11 | 中国科学院信息工程研究所 | 一种局域网内虚拟机的识别方法 |
| CN112464295A (zh) * | 2020-12-14 | 2021-03-09 | 国网辽宁省电力有限公司抚顺供电公司 | 基于电力边缘网关设备的维护通信安全装置 |
| CN112769623A (zh) * | 2021-01-19 | 2021-05-07 | 河北大学 | 边缘环境下的物联网设备识别方法 |
| CN112953961A (zh) * | 2021-03-14 | 2021-06-11 | 国网浙江省电力有限公司电力科学研究院 | 配电房物联网中设备类型识别方法 |
| CN113079052A (zh) * | 2021-04-29 | 2021-07-06 | 恒安嘉新(北京)科技股份公司 | 模型训练、物联网数据识别方法、装置、设备及存储介质 |
| CN113420791A (zh) * | 2021-06-02 | 2021-09-21 | 国网河北省电力有限公司信息通信分公司 | 边缘网络设备接入控制方法、装置及终端设备 |
| CN113765891A (zh) * | 2021-08-13 | 2021-12-07 | 深圳番多拉信息科技有限公司 | 一种设备指纹识别方法以及装置 |
| CN113839941A (zh) * | 2021-09-22 | 2021-12-24 | 国网湖北省电力有限公司检修公司 | 基于smote和并行随机森林的物联网设备准入检测方法和*** |
| CN113904795A (zh) * | 2021-08-27 | 2022-01-07 | 北京工业大学 | 一种基于网络安全探针的流量快速精确检测方法 |
| WO2022083345A1 (zh) * | 2020-10-20 | 2022-04-28 | 华为技术有限公司 | 一种用于检测视频监控设备的方法和电子设备 |
| CN115085274A (zh) * | 2022-07-27 | 2022-09-20 | 北京智芯微电子科技有限公司 | 新能源设备接入的自动识别方法、装置、电子设备及介质 |
| CN115668878A (zh) * | 2020-05-28 | 2023-01-31 | 西门子加拿大有限公司 | 基于人工智能的设备识别 |
| CN115834190A (zh) * | 2022-11-22 | 2023-03-21 | 中国联合网络通信集团有限公司 | 主机管控方法、装置、设备和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106899586A (zh) * | 2017-02-21 | 2017-06-27 | 上海交通大学 | 一种基于机器学习的dns服务器软件指纹识别***和方法 |
| CN106936667A (zh) * | 2017-04-17 | 2017-07-07 | 东南大学 | 一种基于应用程序流量分布式分析的主机实时识别方法 |
| WO2018044282A1 (en) * | 2016-08-30 | 2018-03-08 | Visa International Service Association | Biometric identification and verification among iot devices and applications |
| CN109033471A (zh) * | 2018-09-05 | 2018-12-18 | 中国信息安全测评中心 | 一种信息资产识别方法及装置 |
| CN109063745A (zh) * | 2018-07-11 | 2018-12-21 | 南京邮电大学 | 一种基于决策树的网络设备类型识别方法及*** |
| CN109151880A (zh) * | 2018-11-08 | 2019-01-04 | 中国人民解放军国防科技大学 | 基于多层分类器的移动应用流量识别方法 |
| CN109600317A (zh) * | 2018-11-25 | 2019-04-09 | 北京亚鸿世纪科技发展有限公司 | 一种自动识别流量并提取应用规则的方法及装置 |
| CN109818793A (zh) * | 2019-01-30 | 2019-05-28 | 基本立子(北京)科技发展有限公司 | 针对物联网的设备类型识别及网络入侵检测方法 |
-
2019
- 2019-08-05 CN CN201910717616.3A patent/CN110602041A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018044282A1 (en) * | 2016-08-30 | 2018-03-08 | Visa International Service Association | Biometric identification and verification among iot devices and applications |
| CN106899586A (zh) * | 2017-02-21 | 2017-06-27 | 上海交通大学 | 一种基于机器学习的dns服务器软件指纹识别***和方法 |
| CN106936667A (zh) * | 2017-04-17 | 2017-07-07 | 东南大学 | 一种基于应用程序流量分布式分析的主机实时识别方法 |
| CN109063745A (zh) * | 2018-07-11 | 2018-12-21 | 南京邮电大学 | 一种基于决策树的网络设备类型识别方法及*** |
| CN109033471A (zh) * | 2018-09-05 | 2018-12-18 | 中国信息安全测评中心 | 一种信息资产识别方法及装置 |
| CN109151880A (zh) * | 2018-11-08 | 2019-01-04 | 中国人民解放军国防科技大学 | 基于多层分类器的移动应用流量识别方法 |
| CN109600317A (zh) * | 2018-11-25 | 2019-04-09 | 北京亚鸿世纪科技发展有限公司 | 一种自动识别流量并提取应用规则的方法及装置 |
| CN109818793A (zh) * | 2019-01-30 | 2019-05-28 | 基本立子(北京)科技发展有限公司 | 针对物联网的设备类型识别及网络入侵检测方法 |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115668878A (zh) * | 2020-05-28 | 2023-01-31 | 西门子加拿大有限公司 | 基于人工智能的设备识别 |
| CN111757378B (zh) * | 2020-06-03 | 2024-04-02 | 中科时代(深圳)计算机***有限公司 | 一种无线网络中设备识别方法及装置 |
| CN111757378A (zh) * | 2020-06-03 | 2020-10-09 | 湃方科技(北京)有限责任公司 | 一种无线网络中设备识别方法及装置 |
| CN112073988A (zh) * | 2020-07-31 | 2020-12-11 | 中国科学院信息工程研究所 | 一种局域网内隐藏摄像头的探测方法 |
| CN112068926A (zh) * | 2020-07-31 | 2020-12-11 | 中国科学院信息工程研究所 | 一种局域网内虚拟机的识别方法 |
| CN114448530B (zh) * | 2020-10-20 | 2023-06-20 | 华为技术有限公司 | 一种用于检测视频监控设备的方法和电子设备 |
| WO2022083345A1 (zh) * | 2020-10-20 | 2022-04-28 | 华为技术有限公司 | 一种用于检测视频监控设备的方法和电子设备 |
| CN114448530A (zh) * | 2020-10-20 | 2022-05-06 | 华为技术有限公司 | 一种用于检测视频监控设备的方法和电子设备 |
| CN112464295A (zh) * | 2020-12-14 | 2021-03-09 | 国网辽宁省电力有限公司抚顺供电公司 | 基于电力边缘网关设备的维护通信安全装置 |
| CN112464295B (zh) * | 2020-12-14 | 2023-06-30 | 国网辽宁省电力有限公司抚顺供电公司 | 基于电力边缘网关设备的维护通信安全装置 |
| CN112769623A (zh) * | 2021-01-19 | 2021-05-07 | 河北大学 | 边缘环境下的物联网设备识别方法 |
| CN112953961A (zh) * | 2021-03-14 | 2021-06-11 | 国网浙江省电力有限公司电力科学研究院 | 配电房物联网中设备类型识别方法 |
| CN113079052A (zh) * | 2021-04-29 | 2021-07-06 | 恒安嘉新(北京)科技股份公司 | 模型训练、物联网数据识别方法、装置、设备及存储介质 |
| CN113079052B (zh) * | 2021-04-29 | 2023-04-07 | 恒安嘉新(北京)科技股份公司 | 模型训练、物联网数据识别方法、装置、设备及存储介质 |
| CN113420791A (zh) * | 2021-06-02 | 2021-09-21 | 国网河北省电力有限公司信息通信分公司 | 边缘网络设备接入控制方法、装置及终端设备 |
| CN113420791B (zh) * | 2021-06-02 | 2022-08-30 | 国网河北省电力有限公司信息通信分公司 | 边缘网络设备接入控制方法、装置及终端设备 |
| CN113765891A (zh) * | 2021-08-13 | 2021-12-07 | 深圳番多拉信息科技有限公司 | 一种设备指纹识别方法以及装置 |
| CN113765891B (zh) * | 2021-08-13 | 2024-04-09 | 深圳番多拉信息科技有限公司 | 一种设备指纹识别方法以及装置 |
| CN113904795A (zh) * | 2021-08-27 | 2022-01-07 | 北京工业大学 | 一种基于网络安全探针的流量快速精确检测方法 |
| CN113904795B (zh) * | 2021-08-27 | 2024-06-04 | 北京工业大学 | 一种基于网络安全探针的流量快速精确检测方法 |
| CN113839941B (zh) * | 2021-09-22 | 2023-08-29 | 国网湖北省电力有限公司检修公司 | 基于smote和并行随机森林的物联网设备准入检测方法和*** |
| CN113839941A (zh) * | 2021-09-22 | 2021-12-24 | 国网湖北省电力有限公司检修公司 | 基于smote和并行随机森林的物联网设备准入检测方法和*** |
| CN115085274A (zh) * | 2022-07-27 | 2022-09-20 | 北京智芯微电子科技有限公司 | 新能源设备接入的自动识别方法、装置、电子设备及介质 |
| CN115834190A (zh) * | 2022-11-22 | 2023-03-21 | 中国联合网络通信集团有限公司 | 主机管控方法、装置、设备和存储介质 |
| CN115834190B (zh) * | 2022-11-22 | 2024-04-09 | 中国联合网络通信集团有限公司 | 主机管控方法、装置、设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110602041A (zh) | 基于白名单的物联网设备识别方法、装置及网络架构 | |
| Kalech | Cyber-attack detection in SCADA systems using temporal pattern recognition techniques | |
| Banerjee et al. | A blockchain future for internet of things security: a position paper | |
| Tuptuk et al. | Security of smart manufacturing systems | |
| US10812499B2 (en) | Detection of adversary lateral movement in multi-domain IIOT environments | |
| US11316891B2 (en) | Automated real-time multi-dimensional cybersecurity threat modeling | |
| US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| CN112637220B (zh) | 一种工控***安全防护方法及装置 | |
| US20220188634A1 (en) | Artificial Intelligence with Cyber Security | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| Lee et al. | A review on honeypot-based botnet detection models for smart factory | |
| Herrero et al. | A neural-visualization IDS for honeynet data | |
| CN116781430B (zh) | 用于燃气管网的网络信息安全***及其方法 | |
| US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| US11762991B2 (en) | Attack kill chain generation and utilization for threat analysis | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| Mubarak et al. | Anomaly Detection in ICS Datasets with Machine Learning Algorithms. | |
| Sen et al. | On using contextual correlation to detect multi-stage cyber attacks in smart grids | |
| CN113852615A (zh) | 一种在多级dns环境中失陷主机监测方法及装置 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐*** | |
| Anton et al. | The global state of security in industrial control systems: An empirical analysis of vulnerabilities around the world | |
| CN117527412A (zh) | 数据安全监测方法及装置 | |
| CN117056951A (zh) | 一种数字平台的数据安全管理方法 | |
| Pappaterra | Implementing Bayesian Networks for online threat detection | |
| Robles Durazno | Industrial control systems cybersecurity analysis and countermeasures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |