(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 20221095279 2.7 (22)申请日 2022.08.10 (65)同一申请的已公布的文献号 申请公布号 CN 115022100 A (43)申请公布日 2022.09.06 (73)专利权人 东南大学 地址 210096 江苏省南京市玄武区四牌楼 2 号 (72)发明人 童飞　何峰　张玉健　 (74)专利代理 机构 南京众联专利代理有限公司 32206 专利代理师 杜静静 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01) G16Y 40/50(2020.01)G16Y 30/10(2020.01) G06N 20/00(2019.01) (56)对比文件 CN 102724317 A,2012.10.10 CN 110753064 A,2020.02.04 CN 109257393 A,2019.01.2 2 CN 110224990 A,2019.09.10 汪周红.面向视频监控网络的入侵 检测技术 研究. 《中国优秀硕士学位 论文全文数据库》 .2022, Cheng Chen等.A Novel Detecti on and Localization Scheme of W ormhole Attack in IoT Network. 《IEEE》 .2022, 蒋道霞.基 于机器学习的入侵 检测系统. 《淮 阴工学院学报》 .20 05,(第01期), 审查员 许伶俐 (54)发明名称 一种基于流量画像与机器学习的物联网入 侵检测方法 (57)摘要 本发明公开了一种基于流量画像与机器学 习的物联网入侵检测方法， 包含以下步骤： S1.由 流量捕获模块捕获 网段内流量数据包， 将数据包 聚合为数据流； S2.由规则集检测模块执行第一 轮检测， 根据数据流的标识符位与规则集进行匹 配； S3.匹配成功则判断为良性并记录， 结束检 测， 若失败则进行第二轮检测； S4.由机器学习检 测模块执行第二轮检测， 由机器学习模型根据数 据流的特征进行分类； S5.若分类为良性则不报 警只记录， 若 为攻击则报警 并记录； S6.机器学习 模块更新规则集。 本发明利用物联网设备在通信 时产生的流量特征完成对数据流的检测， 引入规 则集检测提高入侵检测系统的检测速率， 同时降 低检测的误报率。 权利要求书3页 说明书8页 附图5页 CN 115022100 B 2022.11.01 CN 115022100 B 1.一种基于流 量画像与机器学习的物联网入侵检测方法， 其特 征在于， 包括以下步骤： S1.由流量捕获模块捕获网段内流 量数据包， 按特定规则将数据包聚合 为数据流； S2.由规则集检测模块执 行第一轮 检测， 根据数据流的标识符位与规则集进行匹配； S3.匹配成功则判断为良性并记录， 结束检测， 若失败则进行第二轮 检测； S4.由机器学习检测模块执行第二轮检测， 由机器学习模型根据数据流携带的统计特 征进行分类； S5.若分类为良性则不报 警只记录， 若为攻击则报警并记录， 同时提供预测的攻击类型 以及对应概 率； S6.机器学习检测模块更新 规则集； 其中， 所述S6中， 机器学习检测模块会通过对设备正常流量进行画像即记录与分析， 构 建待定规则记录表， 从而更新规则集检测模块中的规则集， 当一条数据流被机器学习检测 模块检测为良性类且预测良性概率满足设定阈值时， 则其中的Flow  ID将会进 行规则化， 即 提取源IP地址、 目的IP地址和协议号， 组成[协 议号， 内部IP地址， 外部IP地址]的待定规则， 并存储在 待定规则记录表Record_List中， 表中会对 该待定规则设定计数器与计时器， 若新 进入机器学习检测模块的数据流被分类为良性类， 并且满足设定的良性类概率则根据Flow   ID规则化， 如果规则化后与已存在的待定规则一致， 则计数器加一， 计时器更新记录时间， 当满足设定的次数与时间跨度阈值， 则接受待定规则进入规则集成为正式应用的合法规 则， 如果在待定期间， 待定规则代表了为任意一个攻击类别的数据流， 则从Record_List记 录表中删除该待定规则， 若为良性类， 但是预测概率不符合阈值则继续追踪对应的数据流， Record_L ist记录表中该待定规则对应的表项不做更新。 2.如权利要求1所述的基于流量画像与机器学习的物联网入侵检测方法， 其特征在于， 所述S1中， 由流量捕获模块捕获的数据包将会被整合为数据流， 数据流是一系列在一定时 间间隔内经过流量捕获模块的数据包提取 统计特征后形成的数据集合， 流量捕获模块提取 传输层数据包的统计信息， 数据流以一个TCP流或一个UDP流为一个单位； TCP流以FIN标志 为结束， UDP流以设置的flowtimeout时间为限制， 超 过时间则标志为结束， 随后统计一条数 据流中的统计信息作为提取 的特征， 且统计的特征都分为正反向， 规定由源地址到目的地 址为正向， 目的地址到源地址为反向， 为每个数据流构建一个标志位称为Flow  ID， 包含以 下5个字段： （1） Source  IP： 源IP地址； （2） Desti nation IP： 目的IP地址； （3） Source  port： 源端口号； （4） Desti nation port： 目的端口号； （5） Protoco l number： 协议 号。 3.如权利要求1所述的基于流量画像与机器学习的物联网入侵检测方法， 其特征在于， 所述S2中， 规则集检测模块将从每一条数据流的Flow  ID中提取源IP地址、 目的IP地址和协 议号， 该规则集检测模块会将源IP地址、 目的IP地址两者中与本地设备IP地址相同的标注 为内部IP地址， 另一个标注为外部IP地址， 并组成[协议号， 内部IP地址， 外部IP地址]的判 别式与规则集中的规则进行匹配， 匹配方法为常规遍历， 即将判别式与规则集中规则逐条 比对是否相同， 规则集中的规则格式包 含以下3个字段：权　利　要　求　书 1/3 页 2 CN 115022100 B 2（1） Protoco l number： 协议 号； （2） External  IP： 外部IP地址； （3） Internal IP： 内部IP地址 。 4.如权利要求3所述的基于流量画像与机器学习的物联网入侵检测方法， 其特征在于， 所述S3中， 若判别式与规则集中的规则匹配成功则判断为良性数据流， 同时记录到普通日 志文件中， 文件中标注对应数据流的Flow  ID， 时间戳以及判断结果， 若匹配失败， 则此数据 流为未知流， 规则集检测模块交付机器学习检测模块进行第二轮 检测。 5.如权利要求1所述的基于流量画像与机器学习的物联网入侵检测方法， 其特征在于， 所述S4中， 机器学习检测模块在收到规则集检测模块传来的数据流后， 将会去除数据流中 代表特定网络环境的统计特征， 所述的特定网络环境的统计特征包括Flow  ID、 源IP地址、 目的IP地址、 源端口号、 目的端口号、 协议号以及时间戳， 这些特征会使机器学习模型过拟 合到固定的网段从而失去泛化能力， 所以这些特征不会参与机器学习模型训练以及检测的 流程， 随后剩余特征数据将由机器学习模型处理进行多分类并给出相应结果， 结果包含类 别名称以及相应概 率。 6.如权利要求1所述的基于流量画像与机器学习的物联网入侵检测方法， 其特征在于， 所述S5中， 由机器学习检测模块中的机器学习模型处理数据流的特征数据后， 若分类结果 为良性类则记录在普通日志文件中， 文件中标注对应数据流的Flow  ID、 时间戳、 判断结果 良性以及 对应概率， 若分类为某一具体攻击类别则报警， 即输出警告语句， 语句内容包含以 下信息： (1)Flow ID： 数据流的标识符； (2)Timestamp： 时间戳； (3)Attack category： 预测的攻击类别； (4)Category  probability： 对应的类别概 率； 以上信息也会同时记录在警报日志文件中。 7.如权利要求1所述的基于流量画像与机器学习的物联网入侵检测方法， 其特征在于， 在规则集检测模块中使用的规则集为人工预先设定规则内容， 规则设定格式为[协 议号， 内 部IP地址， 外部IP地址]， 设定规则内容包含： 与本地路由IP地址通信的规则条目、 与常见 DNS服务IP地址通信的规则条目， 其中协议号为TCP协议号、 UDP协议号 或为默认数字0， 内部 IP地址设定为设备所持有的IP地址， 外部IP地址为所涉及到的本地路由IP地址、 常见DNS服 务IP地址， 这些规则预先存储在规则集中， 一旦入侵检测方法启动能在规则集检测模块立 即生效， 若规则集中无人工预先设定规则， 则规则集中的规则全部由机器学习检测模块在 运行中生成。 8.如权利要求1所述的基于流量画像与机器学习的物联网入侵检测方法， 其特征在于， 在机器学习检测模块中使用的机器学习模型需要预先训练， 即学习当前网段 的流量行为， 具体方法为： 以离线方式捕获当前网段的正常流量数据结合现有公开攻击数据集的恶意流 量数据， 构建以数据流为单位的训练与测试数据集， 对训练数据集与测试数据集中的数据 进行标准化、 归一化， 以及特征提取， 数据预处理